momoklein | 04.10.2012 15:04 | Infektion mit GVU Trojaner;Trjan.0Accsess,Ransom.Gen,Delf,Dropper.BCMiner,Drop.Gs Hallo mein System war vom GVU Trojaner 2.07 gesperrt.
habe darauf mein System mit Malwarebytes gescant und die funde in die Quarantäne verbannt. ( 7x Trojan.0Accsess; 1x Trojan.Ransom.Gen; 1x Trojan.Delf; 1x Trojan.Dropper.BCMiner; 1x Trojan.Drop.GS)
danach nochmal mit SuperAntiSpyware gescant keine Funde außer Track Coockie
habe jetzt nochmal mit OTL ein LOG erstellt und hoffe/Bitte um Hilfe ob das system nun auch wieder im reinen ist.
OTL.TXT Code:
[2012.04.16 23:45:34 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\MyPhoneExplorer
[2010.07.18 23:20:28 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\NationRed
[2011.10.04 22:25:23 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\Navigram
[2010.12.13 21:32:15 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\OpenOffice.org
[2011.07.03 15:15:44 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\Opera
[2010.09.21 00:18:46 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\Outlook
[2010.05.24 01:08:16 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\PlayFirst
[2011.09.28 21:24:06 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\ProtectDISC
[2011.08.17 11:41:01 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\Simfy
[2010.02.03 19:22:22 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\SoftDMA
[2011.10.18 16:22:51 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\SoftGrid Client
[2012.08.20 22:15:23 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\TeamViewer
[2010.11.18 23:45:44 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\Template
[2011.07.22 22:54:14 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\TomTom
[2011.10.18 14:33:55 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\TP
[2012.05.15 20:02:14 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\Tracker Software
[2011.04.03 13:20:30 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\TweakNow RegCleaner 2011
[2010.12.28 00:35:59 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\ViquaSoft
[2010.09.03 19:07:51 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\Vodafone
[2010.12.27 18:37:04 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\Win7codecs
[2012.01.12 19:28:50 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\Windows Live Writer
[2012.01.08 15:08:16 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\Wireshark
[2012.05.17 19:33:03 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\www.rene-zeidler.de
[2010.05.18 18:51:52 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\ZombieDriver
========== Purity Check ==========
========== Alternate Data Streams ==========
@Alternate Data Stream - 98 bytes -> C:\ProgramData\Temp:66BBBB3E
@Alternate Data Stream - 153 bytes -> C:\ProgramData\Temp:4D066AD2
@Alternate Data Stream - 146 bytes -> C:\ProgramData\Temp:AB689DEA
@Alternate Data Stream - 133 bytes -> C:\ProgramData\Temp:93DE1838
@Alternate Data Stream - 128 bytes -> C:\ProgramData\Temp:ABE89FFE
@Alternate Data Stream - 128 bytes -> C:\ProgramData\Temp:444C53BA
@Alternate Data Stream - 127 bytes -> C:\ProgramData\Temp:0B9176C0
@Alternate Data Stream - 126 bytes -> C:\ProgramData\Temp:4769CB2A
@Alternate Data Stream - 124 bytes -> C:\ProgramData\Temp:E1F04E8D
@Alternate Data Stream - 118 bytes -> C:\ProgramData\Temp:4CF61E54
< End of report > Extras.TXT Code:
[ System Events ]
Error - 04.10.2012 09:08:19 | Computer Name = Kackstelzen-PC | Source = Service Control Manager | ID = 7003
Description = Der Dienst "IKE- und AuthIP IPsec-Schlüsselerstellungsmodule" ist
von folgendem Dienst abhängig: BFE. Dieser Dienst ist eventuell nicht installiert.
Error - 04.10.2012 09:08:29 | Computer Name = Kackstelzen-PC | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet: %%1060
Error - 04.10.2012 09:08:39 | Computer Name = Kackstelzen-PC | Source = Service Control Manager | ID = 7000
Description = Der Dienst "ithsgt" wurde aufgrund folgenden Fehlers nicht gestartet:
%%577
Error - 04.10.2012 09:08:39 | Computer Name = Kackstelzen-PC | Source = Service Control Manager | ID = 7000
Description = Der Dienst "lilsgt" wurde aufgrund folgenden Fehlers nicht gestartet:
%%577
Error - 04.10.2012 09:08:42 | Computer Name = Kackstelzen-PC | Source = Service Control Manager | ID = 7003
Description = Der Dienst "IPsec-Richtlinien-Agent" ist von folgendem Dienst abhängig:
BFE. Dieser Dienst ist eventuell nicht installiert.
Error - 04.10.2012 09:08:55 | Computer Name = Kackstelzen-PC | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Funktionssuche-Ressourcenveröffentlichung" wurde mit folgendem
Fehler beendet: %%-2147024891
Error - 04.10.2012 09:09:33 | Computer Name = Kackstelzen-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Heimnetzgruppen-Anbieter" ist vom Dienst "Funktionssuche-Ressourcenveröffentlichung"
abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%-2147024891
Error - 04.10.2012 09:09:33 | Computer Name = Kackstelzen-PC | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Funktionssuche-Ressourcenveröffentlichung" wurde mit folgendem
Fehler beendet: %%-2147024891
Error - 04.10.2012 09:13:00 | Computer Name = Kackstelzen-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Heimnetzgruppen-Anbieter" ist vom Dienst "Funktionssuche-Ressourcenveröffentlichung"
abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%-2147024891
Error - 04.10.2012 09:13:00 | Computer Name = Kackstelzen-PC | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Funktionssuche-Ressourcenveröffentlichung" wurde mit folgendem
Fehler beendet: %%-2147024891
< End of report >
Malewarebytes.TXT Code:
Kackstelze :: KACKSTELZEN-PC [Administrator]
01.10.2012 14:02:50
mbam-log-2012-10-01 (14-02-50).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|F:\|H:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 492244
Laufzeit: 1 Stunde(n), 11 Minute(n), 22 Sekunde(n)
Infizierte Speicherprozesse: 1
C:\ProgramData\lsass.exe (Trojan.Delf) -> 1128 -> Löschen bei Neustart.
Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateien: 11
C:\$Recycle.Bin\S-1-5-18\$046a3e8063699622ca1ac22cb225dc8f\n (Trojan.0Access) -> Löschen bei Neustart.
C:\$Recycle.Bin\S-1-5-18\$046a3e8063699622ca1ac22cb225dc8f\U\00000004.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\$Recycle.Bin\S-1-5-18\$046a3e8063699622ca1ac22cb225dc8f\U\00000008.@ (Trojan.Dropper.BCMiner) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\$Recycle.Bin\S-1-5-18\$046a3e8063699622ca1ac22cb225dc8f\U\000000cb.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\$Recycle.Bin\S-1-5-18\$046a3e8063699622ca1ac22cb225dc8f\U\80000000.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\$Recycle.Bin\S-1-5-18\$046a3e8063699622ca1ac22cb225dc8f\U\80000032.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\$Recycle.Bin\S-1-5-18\$046a3e8063699622ca1ac22cb225dc8f\U\80000064.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\$Recycle.Bin\S-1-5-21-2924732907-1533212913-4135081494-1000\$046a3e8063699622ca1ac22cb225dc8f\n (Trojan.0Access) -> Löschen bei Neustart.
C:\Users\Kackstelze\AppData\Local\Temp\WGSDGSDGDSGSD.EXE (Exploit.Drop.GS) -> Löschen bei Neustart.
C:\ProgramData\lsass.exe (Trojan.Delf) -> Löschen bei Neustart.
C:\Users\Kackstelze\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk (Trojan.Ransom.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
(Ende) Tausend dank schonmal im vorraus !!! |