|
Galaxy S3 Mini Bootschleife Hallo zusammen, bin zum ersten Mal hier - also verzeiht bitte kleine Verstöße. Zum Problem: Ich hab' mir, weil ich dummerweise eine whatsapp unbekannter Herkunft geöffnet habe einen Virus/Trojaner eingefangen. 1. Der Trojaner erzeugt eine Bootschleife 2. Nach einiger Zeit ließ sich das Handy wieder starten, aber sobald ich eine App anklick beginnt die Schleife neu. 3. Handy auf Werkseinstellungen zurückgesetzt- ohne Erfolg 4. Handy zur Werkstatt gebracht - neu aufsetzen lassen - zuerst anscheinend mit Erfolg 5. Dann google-play Konto aufgerufen -Trojaner war wieder aktiv. 6. Anscheinend wurde auch mein google-play passwort abgegriffen (Meldung von google) 7. Alle auf dem Handy befindlichen Passwörter über PC geändert Auch wenn ich beim Neuaufsetzen den Zugriff aufs Netzwerk nicht zulasse, aktiviert sich der Trojaner. Das war jetzt ein bischen viel und ich habe eigentlich wenig Hoffnung - aber die stirbt ja zuletzt. Gruß an alle |
Hallo, bitte hänge dein Handy an den PC. 1. Entpacke SHDDS aus dem Archiv neu.zip (Link aus anderem Thread, überarbeitet, daher der Name ;)) und führe sie als Administrator aus. Link -> http://www.trojaner-board.de/attachm...owsern-neu.zip Poste das Logfile, das sich öffnet, hier. Notfalls anhängen 2.Dann lade dir bitte MyPhoneExplorer herunter. WICHTIG: Verbinde bitte dein Handy nicht mehr mit dem Internet!!! Daniela |
hallo kerri88, erst einmal danke für deine hilfe. Im moment lass ich gerade einen full-scan mit mcafee plus über meinen pc laufen - das dauert noch ein paar minuten. Die batch-datei greift dann nur auf mein handy zu - oder auch auf meinen pc? Entschuldige bitte meine vorsicht - aber in früheren zeiten habe ich manchmal schlechte erfahrungen mit batches gehabt. Ich lad jetzt MyPhoneExplorer runter und würde mich über deine weitere hilfe freuen. (Das handy ist im moment ausgeschaltet) sixtus |
Die Batch liest 1. Laufende Prozesse und 2. Alles was beim Systemstart geladen wird (am pc). Zur Sicherheit falls vom Handy was auf den PC gelangt ist. Außer dem listet es nur alle Daten im Appspeichr des Handys auf was potentiell gefährlich ist/sein könnte daher USB Verbindung. |
Hallo Daniela, das log hat alle meine festplatteninhalte aufgeführt. Obwohl ich alle irrelevanten daten gelöscht habe ist das log noch zu groß. Suche gerade nach einer möglichkeit es irgenwie anzuhängen - aufzuteilen oder wie auch immer. Danke für deine Freundschaftanfrage und hilfe. peter |
Das sollte gehen über 'Antworten' Button und dann auf der seite. Lieber wäre es mir dss log auf mehrere posts aufzuteilen. |
Hier das logfile Code: :: HDD Scanner Logfile hier noch einige Informationen: 1. Obwohl das handy beim scan angeschlossen war und von win erkannt wurde, sehe ich im logfile keinen hinweis auf das handy. 2. Es wundert mich die große anzahl von svchost.exe 3. Im logfile habe ich alle inhalte meiner festplatten gelöscht ;-) (außer natürlich c:), ich lass jetzt noch mal (offline) mit mcafee einen kompetten scan über den pc durchführen. 4. Weder auf meinem pc, noch auf allen anderen Geräten im Netz sind passwörter gespeichert. Das passwort für google-play wurde in dem moment abgegriffen, als ich mich mit dem handy nach der "reparatur" zum ersten mal bei google-play anmelden wollte (meldung von google: zurgriffsversuch aus berlin - mein standort ist bochum). 5. Danach habe ich über pc sicherheitshalber alle passwörter geändert und ich kann auch keine außergewöhnlichen aktivitäten entdecken. Wenn schon mein handy nicht zu retten ist, hoffe ich damit alles richtig gemacht zu haben. Im voraus danke für deine antwort. gruß peter |
So bringt das leider gar nix. 1) Ganzes Log bitte in Zukunft, das ist sonst sinnlos. Bitte wiederholen und anhängen. 2) Die svchost.exe ist OK, das dürfte an der Batch und an Hintergrundprozessen liegen. Bitte umgehend eine Datensicherung erstellen aller Fotos, Musik, Videos etc., den Anwendungsspeicher in den Einstellungen des Handys teilen, falls du reinkommst. |
Hallo Daniela, das logfile ist 844018 zeichen gro. Muss ich es aufteilen, oder gibt es eine andere möglichkeit? Zum handy. Der anwendungsmanager sagt "keine apps installiert" Die Speicherverwaltung sagt " 145 mb durch apps belegt". Die Icons für die apps werden aber alle angezeigt. gruß peter Hallo Daniela, eine frage und noch zwei anmerkungen. Frage: ist es möglich, das log nach word zu kopieren und da aufzuteilen (da kann ich die Anzahl der zeichen sehen) und dann die einzelnen teile hier in den editor einzufügen? (Aber ist es nicht eine zumutng ein so großes log durchzugehen) Anmerkungen: seit ich über pc meine passwörter für die google-accounts geändert habe, bekomme ich auf meinem tablet die meldung „kontoaktion erforderlich“ – mach ich natürlich nicht. Außerdem bekomme ich die meldung „anmeldefehler bei …..@gmail.com“. Ich habe die app gestoppt und bekomme gerade noch einmal die meldung „anmeldefehler …“. Darum kann es meine app eigentlich nicht gewesen sein. peter |
Ja, lange Logs interessieren mich ;) Screenshot zu der Meldung anfügen Achja sorry bei MyPhoneExplorer bitte Systemspeicher ansehen & Screenshot. |
Liste der Anhänge anzeigen (Anzahl: 1) Hier erst einmal der screenshot - pc log folgt Anhang 79095 |
Eine frage noch. Soll ich die logs über den antworten button unter online/offline schicken? Wenn ich über direkt antworten gehe wird die datei sehr wahrscheinlich zu groß? Also wenn ich für jedes log über direkt antworten gehe - meinte ich Ist mir schon fast peinlich - 7 große logs. Es ist sehr viel joomla-zeugs drin, da ich 2 webseiten betreue. Hir das erste. Code: :: HDD Scanner Logfile |
log2 Code: D:\JoomlaII\Bilder\Klassen\Klasse_2_Wengern |
log3 Code: D:\Joomla_Apo\apo_fotos\IMG_7429.JPG |
log4 Code: E:\Drivers\03. Realtek Sound\Vista64\RtlUpd64.exe |
log5 Code: E:\Drivers\07. Realtek Wireless Network Adapter\0x0418.ini |
log6 Code: E:\Tools\McAfee LiveSafe - Internet Security\Apps\VSO\vsoLI.inf |
log7 - das letzte. Ich bin mir aber ziemlich sicher, das es ein reiner android-trojaner ist, der ausschließlich versucht google-passwörter über android geräte abzugreifen. DAAANKE für deine hilfe Code: E:\Tools\McAfee LiveSafe - Internet Security\Factory\Apps\MSC\Factory\MSC_x86_5_1_1043_AU.cab |
Da steht nix vom Handy drin. War es mit USB Tethering an angeschlossen? Man sollte es dazu vielleicht auch anschalten, wenn die Bootschleife nicht auftaucht *hm* |
Zitat:
Im moment bin ich dabei mit mehreren scannern meinen pc auf viren/trojaner zu überprüfen. Malewarebytes hat schon mal nichts gefunden - auch keinen Rootkit. Jetzt läuft antivir - das dauert noch. Jetzt hab ich noch mal zwei fragen. Wir sind hier zwar nicht im pc/windows bereich, aber vielleicht hast du eine antwort (falls nicht, stell ich die frage noch mal im entsprechenden bereich des forums). 1. antivir hat den trojaner TR/Dldr.MSIL entdeckt und isoliert (allerdings glaube ich dieser trojaner ist kein großes problem gewesen, da ich die exe nie ausgeführt habe) 2. antivir protokoll meldet "alle boot sektoren virenfrei" aber "nach versteckten dateien im bootsektor konnte nicht gescant werden da inkompatibles format" Jetzt aber die Frage zum usb tethering: Meine größte angst ist natürlich, dass mein pc infiziert wird (handy benutz ich fast nur zum telefonieren - pc aber permanent). Muß ich irgendwelche vorsichtsmaßnahmen unternehmen, wenn ich das handy über usb-tethering verbinde? Oder ist die sache sicher. Entschuldige, dass ich so übervorsichtig bin - das hat absolut nichts mit misstrauen zu tun. Bin dankbar für deine hilfe. |
Wo hat Avira den Trojaner gefunden - bitte Log/Report dazu? Wenn Du Autorun deaktiviert hast, kein Problem. Sorry, aber deine ganzen Scans bringen nichts, wenn das Handy nicht angeschlossen ist. Angenommen, es ist kein Virenproblem: 1) Wie alt ist dein Handy? 2) Hilft es, den Akku rauszunehmen und nach ca. 30 Sekunden wieder rein? Versuch das mal. 3) Hat es in letzter Zeit schonmal funktioniert? |
avira hat den trojaner unter D/downloads/ in irgendeiner adobe_flash_player. exe gefunden (log hänge ich hinten an - die trojaner-meldung ist ganz weit unten. zu 1: ca: 3 jahre alt zu 2: werd ich versuchen - denke aber es kommt dann wieder zur bootschleife (aber kein problem, da alle passwörter geändert) zu 3: es hat immer funktioniert, bis ich dummerweise diese verfluchte unbekannte whatsapp-nachricht geöffnet habe. Frage: Das handy war beim letzten scan angeschlossen-aber sehr wahrscheinlich nicht auf usb-tethering eingestellt. Ich soll jetzt also autorun deaktivieren, das handy über usb-tethering anschließen und dann deine batch nochmal durchführen. Soll ich meine virenprogramme vorher aktivieren, die ja beim ausgeschalteten autorun nicht aktiv sind? hab das log vergessen: Code: |
1) Autorun heißt es wird am Handy nichts automatisch gestartet. Das hat mit den AV tools gar nix zu tun ;) 2) Die Flash Player wiederherstellen und auf Virus Total hochladen und die Auswrtung (Text und Link) hier posten. Davor Avira abstellen. (Echtzeitscanner) 3) Probieren ob Handy nach 'Akkumanöver' bootet, USB Tethering an und Batch starten. Daniela |
zu1: autorun am handy abschalten kann ich nicht zu2: ist unten angefügt zu3: akkumanöver wieder bootschleife - usb tethering und batch muss ich noch machen. Geht das auch wenn ich die netzwerkverbindung des pc kappe? https://www.virustotal.com/de/file/776a97fe2c540b78587fae71f9341f69a4f3ce5e1a2606261f8051b33077a3bd/analysis/1477484213/ Zoner 20161026 Zillya Trojan.VittaliaCRTD.Win32.4603 20161025 Yandex PUA.Downloader! 20161025 ViRobot Adware.Downloadmin.505120.CV[h] 20161026 VIPRE Trojan.Win32.Generic!BT 20161026 VBA32 Downloader.DownloAdmin 20161025 TrendMicro-HouseCall TROJ_GEN.R08NC0EGE16 20161026 TrendMicro TROJ_GEN.R08NC0EGE16 20161026 TheHacker 20161025 Tencent 20161026 Symantec SMG.Heur!gen 20161026 SUPERAntiSpyware PUP.DownloadAdmin/Variant 20161026 Sophos Download Admin (PUA) 20161026 Rising 20161026 Qihoo-360 Win32/Virus.Downloader.2f8 20161026 Panda Trj/CI.A 20161025 nProtect 20161026 NANO-Antivirus Trojan.Win32.DownloAdmin.egynoh 20161026 Microsoft 20161026 McAfee-GW-Edition Artemis!PUP 20161026 McAfee Artemis!F653D34E1A79 20161026 Malwarebytes 20161026 Kingsoft 20161026 Kaspersky not-a-virus:Downloader.Win32.DownloAdmin.bzyx 20161026 K7GW Unwanted-Program ( 004f19a51 ) 20161026 K7AntiVirus Unwanted-Program ( 004f19a51 ) 20161025 Jiangmin Downloader.DownloAdmin.bk 20161026 Invincea virus.win32.parite.b 20161018 Ikarus PUA.DownloadAdmin 20161026 GData Application.Downloader.AHJ 20161026 Fortinet Riskware/DownloAdmin 20161026 F-Secure Application.Downloader.AHJ 20161026 F-Prot W32/S-5c054815!Eldorado 20161026 ESET-NOD32 Win32/DownloadAdmin.T potentially unwanted 20161026 eScan Application.Downloader.AHJ 20161026 Emsisoft 20161026 DrWeb Trojan.Vittalia.12509 20161026 Cyren W32/S-5c054815!Eldorado 20161026 CrowdStrike Falcon (ML) malicious_confidence_93% (D) 20160725 Comodo Application.Win32.DownloadAdmin.T 20161026 CMC 20161026 ClamAV 20161026 CAT-QuickHeal TrojDownloader.DownAdmin.A7 20161026 Bkav W32.HfsAdware.FA37 20161026 BitDefender Application.Downloader.AHJ 20161026 Baidu 20161026 AVware Trojan.Win32.Generic!BT 20161026 Avira (no cloud) TR/Dldr.MSIL.505120 20161026 AVG Generic_s.IA 20161026 Avast 20161026 Arcabit Application.Downloader.AHJ 20161026 Antiy-AVL RiskWare[Downloader:not-a-virus]/Win32.DownloAdmin 20161026 ALYac 20161026 Alibaba 20161026 AhnLab-V3 PUP/Win32.Generic.C1524275 20161026 AegisLab Troj.Downloader.W32.Downloadmin!c 20161026 Ad-Aware Application.Downloader.AHJ 20161026 |
Autorun am PC meinte ich :rolleyes: Mit Handy meinte ich dass vom dortigen Speicher nix gestartet wird wenn es drangehängt wird. Mit USB versuchen. Adobe Flash Programm löschen, falls noch da. Sicher nie ausgeführt? Sieht nämlich nicht nach Fehlalarm aus. Daniela |
Hallo Daniela, es bringt anscheinend nix. Entweder bin ich zu blöd oder irgendetwas funktioniert nicht. Ich bin folgendermaßen vorgegangen: 1. habe alle autostart-programme deaktiviert 2. beide geräte waren beim neustart im netzwerk 3. geräte verbunden und auf handy usb-tethering aktiviert 4. handy wurde im win-explorer (als gerät - ohne laufwerksbuchstaben) erkannt 5. batch laufen lassen Bevor ich das riesenlog noch einmal poste - ich bin es durchgegangen und sehe keinen hinweis auf das handy. Da sehe ich nun wirklich wenig chancen. Mit dem hinweis auf das flash-programm hast du mich nun sehr verunsichert. Ich bin 'ziemlich' sicher es nie ausgeführt zu haben. Aber wenn doch - müsste es doch einen anderen virus/trojaner oder ein rootkit geben, das von meinen diversen virenprogrammen erkannt wird? Ich möchte deine zeit nicht übermäßig beanspruchen - soll ich vielleicht doch noch mal zum handy-doktor gehen? peter |
Ging das mit Myphoneexplorer im Systemspeicher bei dir? |
Leider nicht, myphoneexplorer meldet 'keine verbindung zum handy möglich' - obwohl es im win-explorer angezeigt wird. |
Was zeigt er denn da an? Das ergibt doch mit der Batch keinen Sinn wenn die Laufwerke angezeigt werden :D |
der win-explorer zeigt das gerät GT-I819 mit den unterverzeichnissen card und phone an. Darunter mehrere unterverzeichnisse, wobei die meisten leer sind, sehr wahrscheinlich weil ich das gerät auf die werkseinstellungen zurückgesetzt habe. Habe das handy in der regel auch nur zum telefonieren, whatsapp und einige photos genutzt. Außer google-mail und google-play bin ich mit dem handy nie auf passwortgeschützte seiten gegangen. Noch ein paar bemerkungen und eine frage: 1. Das gerät wird auch im gerätemanager angezeigt mit der bemerkung "es sind noch aktionen für dieses gerät notwendig. 2. Mit Samsung Kies kann ich auf das gerät zugreifen (habe natürlich keine aktionen unternommen) Könnte man dem gerät irgendwie einen laufwerksbuchstaben vergeben, damit deine batch funktioniert. In der datenträgerverwaltung (wo das möglich wäre) wird das gerät leider nicht aufgeführt. peter |
Versuch das nochmal mit dem Akku, ggf. mit einem feuchten Tuch drüber / Staub entfernen etc. Mit Samsung Kies bitte Datenbackup machen und dann nochmal zum Handydoktor, falls hier keiner was anderes weiß. Der soll sich mal anschauen was da zu machen ist, da kann ich dir leider nicht helfen. :( |
Hallo Daniela, werd ich noch mal versuchen - bin aber ziemlich sicher, das es ein virus ist. Trotzdem: Vielen, vielen Dank für deine zeitintensiven und ausführlichen Hilfeversuche. peter |
"Versuche" ist gut, hier bin ich leider ratlos. Wenn ich Support wie in nem Handyladen geben würde OK, aber hier über's Board ist ein wenig schwierig. Bitte das Backup erstellen und ab in den Handyladen... Viel Glück, Daniela ;) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 22:39 Uhr. |
Copyright ©2000-2025, Trojaner-Board