Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Infektion mit GVU Trojaner;Trjan.0Accsess,Ransom.Gen,Delf,Dropper.BCMiner,Drop.Gs (https://www.trojaner-board.de/125149-infektion-gvu-trojaner-trjan-0accsess-ransom-gen-delf-dropper-bcminer-drop-gs.html)

momoklein 04.10.2012 15:04
Infektion mit GVU Trojaner;Trjan.0Accsess,Ransom.Gen,Delf,Dropper.BCMiner,Drop.Gs
 
Hallo mein System war vom GVU Trojaner 2.07 gesperrt.

habe darauf mein System mit Malwarebytes gescant und die funde in die Quarantäne verbannt. ( 7x Trojan.0Accsess; 1x Trojan.Ransom.Gen; 1x Trojan.Delf; 1x Trojan.Dropper.BCMiner; 1x Trojan.Drop.GS)

danach nochmal mit SuperAntiSpyware gescant keine Funde außer Track Coockie

habe jetzt nochmal mit OTL ein LOG erstellt und hoffe/Bitte um Hilfe ob das system nun auch wieder im reinen ist.

OTL.TXT

Code:
[2012.04.16 23:45:34 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\MyPhoneExplorer
[2010.07.18 23:20:28 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\NationRed
[2011.10.04 22:25:23 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\Navigram
[2010.12.13 21:32:15 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\OpenOffice.org
[2011.07.03 15:15:44 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\Opera
[2010.09.21 00:18:46 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\Outlook
[2010.05.24 01:08:16 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\PlayFirst
[2011.09.28 21:24:06 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\ProtectDISC
[2011.08.17 11:41:01 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\Simfy
[2010.02.03 19:22:22 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\SoftDMA
[2011.10.18 16:22:51 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\SoftGrid Client
[2012.08.20 22:15:23 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\TeamViewer
[2010.11.18 23:45:44 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\Template
[2011.07.22 22:54:14 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\TomTom
[2011.10.18 14:33:55 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\TP
[2012.05.15 20:02:14 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\Tracker Software
[2011.04.03 13:20:30 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\TweakNow RegCleaner 2011
[2010.12.28 00:35:59 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\ViquaSoft
[2010.09.03 19:07:51 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\Vodafone
[2010.12.27 18:37:04 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\Win7codecs
[2012.01.12 19:28:50 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\Windows Live Writer
[2012.01.08 15:08:16 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\Wireshark
[2012.05.17 19:33:03 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\www.rene-zeidler.de
[2010.05.18 18:51:52 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\ZombieDriver
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 98 bytes -> C:\ProgramData\Temp:66BBBB3E
@Alternate Data Stream - 153 bytes -> C:\ProgramData\Temp:4D066AD2
@Alternate Data Stream - 146 bytes -> C:\ProgramData\Temp:AB689DEA
@Alternate Data Stream - 133 bytes -> C:\ProgramData\Temp:93DE1838
@Alternate Data Stream - 128 bytes -> C:\ProgramData\Temp:ABE89FFE
@Alternate Data Stream - 128 bytes -> C:\ProgramData\Temp:444C53BA
@Alternate Data Stream - 127 bytes -> C:\ProgramData\Temp:0B9176C0
@Alternate Data Stream - 126 bytes -> C:\ProgramData\Temp:4769CB2A
@Alternate Data Stream - 124 bytes -> C:\ProgramData\Temp:E1F04E8D
@Alternate Data Stream - 118 bytes -> C:\ProgramData\Temp:4CF61E54

< End of report >
Extras.TXT

Code:

[ System Events ]
Error - 04.10.2012 09:08:19 | Computer Name = Kackstelzen-PC | Source = Service Control Manager | ID = 7003
Description = Der Dienst "IKE- und AuthIP IPsec-Schlüsselerstellungsmodule" ist
von folgendem Dienst abhängig: BFE. Dieser Dienst ist eventuell nicht installiert.
 
Error - 04.10.2012 09:08:29 | Computer Name = Kackstelzen-PC | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet:  %%1060
 
Error - 04.10.2012 09:08:39 | Computer Name = Kackstelzen-PC | Source = Service Control Manager | ID = 7000
Description = Der Dienst "ithsgt" wurde aufgrund folgenden Fehlers nicht gestartet:
  %%577
 
Error - 04.10.2012 09:08:39 | Computer Name = Kackstelzen-PC | Source = Service Control Manager | ID = 7000
Description = Der Dienst "lilsgt" wurde aufgrund folgenden Fehlers nicht gestartet:
  %%577
 
Error - 04.10.2012 09:08:42 | Computer Name = Kackstelzen-PC | Source = Service Control Manager | ID = 7003
Description = Der Dienst "IPsec-Richtlinien-Agent" ist von folgendem Dienst abhängig:
 BFE. Dieser Dienst ist eventuell nicht installiert.
 
Error - 04.10.2012 09:08:55 | Computer Name = Kackstelzen-PC | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Funktionssuche-Ressourcenveröffentlichung" wurde mit folgendem
 Fehler beendet:  %%-2147024891
 
Error - 04.10.2012 09:09:33 | Computer Name = Kackstelzen-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Heimnetzgruppen-Anbieter" ist vom Dienst "Funktionssuche-Ressourcenveröffentlichung"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:  %%-2147024891
 
Error - 04.10.2012 09:09:33 | Computer Name = Kackstelzen-PC | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Funktionssuche-Ressourcenveröffentlichung" wurde mit folgendem
 Fehler beendet:  %%-2147024891
 
Error - 04.10.2012 09:13:00 | Computer Name = Kackstelzen-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Heimnetzgruppen-Anbieter" ist vom Dienst "Funktionssuche-Ressourcenveröffentlichung"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:  %%-2147024891
 
Error - 04.10.2012 09:13:00 | Computer Name = Kackstelzen-PC | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Funktionssuche-Ressourcenveröffentlichung" wurde mit folgendem
 Fehler beendet:  %%-2147024891
 
 
< End of report >

Malewarebytes.TXT
Code:
Kackstelze :: KACKSTELZEN-PC [Administrator]

01.10.2012 14:02:50
mbam-log-2012-10-01 (14-02-50).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|F:\|H:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 492244
Laufzeit: 1 Stunde(n), 11 Minute(n), 22 Sekunde(n)

Infizierte Speicherprozesse: 1
C:\ProgramData\lsass.exe (Trojan.Delf) -> 1128 -> Löschen bei Neustart.

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 11
C:\$Recycle.Bin\S-1-5-18\$046a3e8063699622ca1ac22cb225dc8f\n (Trojan.0Access) -> Löschen bei Neustart.
C:\$Recycle.Bin\S-1-5-18\$046a3e8063699622ca1ac22cb225dc8f\U\00000004.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\$Recycle.Bin\S-1-5-18\$046a3e8063699622ca1ac22cb225dc8f\U\00000008.@ (Trojan.Dropper.BCMiner) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\$Recycle.Bin\S-1-5-18\$046a3e8063699622ca1ac22cb225dc8f\U\000000cb.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\$Recycle.Bin\S-1-5-18\$046a3e8063699622ca1ac22cb225dc8f\U\80000000.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\$Recycle.Bin\S-1-5-18\$046a3e8063699622ca1ac22cb225dc8f\U\80000032.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\$Recycle.Bin\S-1-5-18\$046a3e8063699622ca1ac22cb225dc8f\U\80000064.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\$Recycle.Bin\S-1-5-21-2924732907-1533212913-4135081494-1000\$046a3e8063699622ca1ac22cb225dc8f\n (Trojan.0Access) -> Löschen bei Neustart.
C:\Users\Kackstelze\AppData\Local\Temp\WGSDGSDGDSGSD.EXE (Exploit.Drop.GS) -> Löschen bei Neustart.
C:\ProgramData\lsass.exe (Trojan.Delf) -> Löschen bei Neustart.
C:\Users\Kackstelze\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk (Trojan.Ransom.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
Tausend dank schonmal im vorraus !!!

markusg 04.10.2012 15:06
hi
malwarebytes öffnen, berichte, logs mit funden posten.

momoklein 04.10.2012 15:33
da hab ich doch das wichtigste log vergessen sorry.

so alle log´s angehängt.

hoffe das war so OK !!

markusg 05.10.2012 17:26
hi
du hast das zero access rootkit.
wenn du onlinebanking machst, rufe die bank an, da sie zu hatt, notfall nummer:
116 116
onlinebanking wegen zero access rootkit sperren lassen.
da man dieses nicht 100 %ig sicher los wird:
der pc muss neu aufgesetzt und dann abgesichert werden
1. Datenrettung:2. Formatieren, Windows neu instalieren:3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
ich werde außerdem noch weitere punkte dazu posten.
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:23 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130