Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Infektion mit GVU Trojaner;Trjan.0Accsess,Ransom.Gen,Delf,Dropper.BCMiner,Drop.Gs (https://www.trojaner-board.de/125149-infektion-gvu-trojaner-trjan-0accsess-ransom-gen-delf-dropper-bcminer-drop-gs.html)

momoklein 04.10.2012 15:04
Infektion mit GVU Trojaner;Trjan.0Accsess,Ransom.Gen,Delf,Dropper.BCMiner,Drop.Gs
 
Hallo mein System war vom GVU Trojaner 2.07 gesperrt.

habe darauf mein System mit Malwarebytes gescant und die funde in die Quarantäne verbannt. ( 7x Trojan.0Accsess; 1x Trojan.Ransom.Gen; 1x Trojan.Delf; 1x Trojan.Dropper.BCMiner; 1x Trojan.Drop.GS)

danach nochmal mit SuperAntiSpyware gescant keine Funde außer Track Coockie

habe jetzt nochmal mit OTL ein LOG erstellt und hoffe/Bitte um Hilfe ob das system nun auch wieder im reinen ist.

OTL.TXT

Code:
[2012.04.16 23:45:34 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\MyPhoneExplorer
[2010.07.18 23:20:28 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\NationRed
[2011.10.04 22:25:23 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\Navigram
[2010.12.13 21:32:15 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\OpenOffice.org
[2011.07.03 15:15:44 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\Opera
[2010.09.21 00:18:46 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\Outlook
[2010.05.24 01:08:16 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\PlayFirst
[2011.09.28 21:24:06 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\ProtectDISC
[2011.08.17 11:41:01 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\Simfy
[2010.02.03 19:22:22 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\SoftDMA
[2011.10.18 16:22:51 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\SoftGrid Client
[2012.08.20 22:15:23 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\TeamViewer
[2010.11.18 23:45:44 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\Template
[2011.07.22 22:54:14 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\TomTom
[2011.10.18 14:33:55 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\TP
[2012.05.15 20:02:14 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\Tracker Software
[2011.04.03 13:20:30 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\TweakNow RegCleaner 2011
[2010.12.28 00:35:59 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\ViquaSoft
[2010.09.03 19:07:51 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\Vodafone
[2010.12.27 18:37:04 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\Win7codecs
[2012.01.12 19:28:50 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\Windows Live Writer
[2012.01.08 15:08:16 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\Wireshark
[2012.05.17 19:33:03 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\www.rene-zeidler.de
[2010.05.18 18:51:52 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\ZombieDriver
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 98 bytes -> C:\ProgramData\Temp:66BBBB3E
@Alternate Data Stream - 153 bytes -> C:\ProgramData\Temp:4D066AD2
@Alternate Data Stream - 146 bytes -> C:\ProgramData\Temp:AB689DEA
@Alternate Data Stream - 133 bytes -> C:\ProgramData\Temp:93DE1838
@Alternate Data Stream - 128 bytes -> C:\ProgramData\Temp:ABE89FFE
@Alternate Data Stream - 128 bytes -> C:\ProgramData\Temp:444C53BA
@Alternate Data Stream - 127 bytes -> C:\ProgramData\Temp:0B9176C0
@Alternate Data Stream - 126 bytes -> C:\ProgramData\Temp:4769CB2A
@Alternate Data Stream - 124 bytes -> C:\ProgramData\Temp:E1F04E8D
@Alternate Data Stream - 118 bytes -> C:\ProgramData\Temp:4CF61E54

< End of report >
Extras.TXT

Code:

[ System Events ]
Error - 04.10.2012 09:08:19 | Computer Name = Kackstelzen-PC | Source = Service Control Manager | ID = 7003
Description = Der Dienst "IKE- und AuthIP IPsec-Schlüsselerstellungsmodule" ist
von folgendem Dienst abhängig: BFE. Dieser Dienst ist eventuell nicht installiert.
 
Error - 04.10.2012 09:08:29 | Computer Name = Kackstelzen-PC | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet:  %%1060
 
Error - 04.10.2012 09:08:39 | Computer Name = Kackstelzen-PC | Source = Service Control Manager | ID = 7000
Description = Der Dienst "ithsgt" wurde aufgrund folgenden Fehlers nicht gestartet:
  %%577
 
Error - 04.10.2012 09:08:39 | Computer Name = Kackstelzen-PC | Source = Service Control Manager | ID = 7000
Description = Der Dienst "lilsgt" wurde aufgrund folgenden Fehlers nicht gestartet:
  %%577
 
Error - 04.10.2012 09:08:42 | Computer Name = Kackstelzen-PC | Source = Service Control Manager | ID = 7003
Description = Der Dienst "IPsec-Richtlinien-Agent" ist von folgendem Dienst abhängig:
 BFE. Dieser Dienst ist eventuell nicht installiert.
 
Error - 04.10.2012 09:08:55 | Computer Name = Kackstelzen-PC | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Funktionssuche-Ressourcenveröffentlichung" wurde mit folgendem
 Fehler beendet:  %%-2147024891
 
Error - 04.10.2012 09:09:33 | Computer Name = Kackstelzen-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Heimnetzgruppen-Anbieter" ist vom Dienst "Funktionssuche-Ressourcenveröffentlichung"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:  %%-2147024891
 
Error - 04.10.2012 09:09:33 | Computer Name = Kackstelzen-PC | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Funktionssuche-Ressourcenveröffentlichung" wurde mit folgendem
 Fehler beendet:  %%-2147024891
 
Error - 04.10.2012 09:13:00 | Computer Name = Kackstelzen-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Heimnetzgruppen-Anbieter" ist vom Dienst "Funktionssuche-Ressourcenveröffentlichung"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:  %%-2147024891
 
Error - 04.10.2012 09:13:00 | Computer Name = Kackstelzen-PC | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Funktionssuche-Ressourcenveröffentlichung" wurde mit folgendem
 Fehler beendet:  %%-2147024891
 
 
< End of report >

Malewarebytes.TXT
Code:
Kackstelze :: KACKSTELZEN-PC [Administrator]

01.10.2012 14:02:50
mbam-log-2012-10-01 (14-02-50).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|F:\|H:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 492244
Laufzeit: 1 Stunde(n), 11 Minute(n), 22 Sekunde(n)

Infizierte Speicherprozesse: 1
C:\ProgramData\lsass.exe (Trojan.Delf) -> 1128 -> Löschen bei Neustart.

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 11
C:\$Recycle.Bin\S-1-5-18\$046a3e8063699622ca1ac22cb225dc8f\n (Trojan.0Access) -> Löschen bei Neustart.
C:\$Recycle.Bin\S-1-5-18\$046a3e8063699622ca1ac22cb225dc8f\U\00000004.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\$Recycle.Bin\S-1-5-18\$046a3e8063699622ca1ac22cb225dc8f\U\00000008.@ (Trojan.Dropper.BCMiner) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\$Recycle.Bin\S-1-5-18\$046a3e8063699622ca1ac22cb225dc8f\U\000000cb.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\$Recycle.Bin\S-1-5-18\$046a3e8063699622ca1ac22cb225dc8f\U\80000000.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\$Recycle.Bin\S-1-5-18\$046a3e8063699622ca1ac22cb225dc8f\U\80000032.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\$Recycle.Bin\S-1-5-18\$046a3e8063699622ca1ac22cb225dc8f\U\80000064.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\$Recycle.Bin\S-1-5-21-2924732907-1533212913-4135081494-1000\$046a3e8063699622ca1ac22cb225dc8f\n (Trojan.0Access) -> Löschen bei Neustart.
C:\Users\Kackstelze\AppData\Local\Temp\WGSDGSDGDSGSD.EXE (Exploit.Drop.GS) -> Löschen bei Neustart.
C:\ProgramData\lsass.exe (Trojan.Delf) -> Löschen bei Neustart.
C:\Users\Kackstelze\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk (Trojan.Ransom.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
Tausend dank schonmal im vorraus !!!

markusg 04.10.2012 15:06
hi
malwarebytes öffnen, berichte, logs mit funden posten.

momoklein 04.10.2012 15:33
da hab ich doch das wichtigste log vergessen sorry.

so alle log´s angehängt.

hoffe das war so OK !!

markusg 05.10.2012 17:26
hi
du hast das zero access rootkit.
wenn du onlinebanking machst, rufe die bank an, da sie zu hatt, notfall nummer:
116 116
onlinebanking wegen zero access rootkit sperren lassen.
da man dieses nicht 100 %ig sicher los wird:
der pc muss neu aufgesetzt und dann abgesichert werden
1. Datenrettung:2. Formatieren, Windows neu instalieren:3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
ich werde außerdem noch weitere punkte dazu posten.
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:04 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19