| |
| |||||||
Log-Analyse und Auswertung: BKA Trojaner win7 pro 64 BitWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
05.10.2011, 14:53
| #1 |
 |  BKA Trojaner win7 pro 64 Bit Hallo zusammen, ein vermeintliches Hdd-Rettungstool hat mir wohl das Virus ins System geladenhttp://www.trojaner-board.de/images/smilies/pfeiff.gif. Es äußerte sich folgendermassen: nach dem Windows start erschien eine Benutzermaske mit dem ungfähren Inhalt ich solle 100€ Strafe überweisen wegen angeblicher illegaler Machenschaften. Ein Link war auf der GUI anklikbar über den man wohl das Geld hätte überweisen können. Daraufhin habe ich an einem anderen PC eine Sophos Live Disc erstellt, von dieser gebootet und diese drei infizierte dateien (unter anderem im TEMP Verzeichnis) löschen lassen, woraufhin mein Pc wieder einwandfrei funktioniert. Da ich aber in nächster Zeit das System neu und sauber aufsetzen wollte wäre es super wenn jemand nachsehen könnte ob noch Viren-Reste vorhanden sind, obwohl ich keine Daten von extremem Wert habe.hxxp://www.trojaner-board.de/images/smilies/dankeschoen.gif |
|
05.10.2011, 14:58
| #2 |
| /// Malware-holic   | BKA Trojaner win7 pro 64 Bit hast du das tool noch welches das problem verursacht haben könnte?
__________________falls ja, File-Upload.net - Ihr kostenloser File Hoster! lade es dort hoch und sende es mir als private nachicht, nicht hier im forum posten. falls du den link hast, ebenfalls als private nachicht bitte.
__________________ |
|
05.10.2011, 15:38
| #3 |
| | BKA Trojaner win7 pro 64 Bit Nein leider nicht. Ich hatte aufgrund eines wohl defekten chips probleme mit der Festplattenverschlüsselung bei einem notebook. Das Programm sollte die Festplatte analysieren und feststellen ob sie zu retten ist. Dazu musste ich das Programm (das ich mit Sophos vorher überprüft hatte) als Administrator ausführen und den Router Firewall deaktivieren, damit es Verbindung zu irgendeinem Server aufnehmen konnte.
__________________Das war ziemlich dumm von mir allerdings dem Zeitdruck geschuldet einen Laptop für meine Schwester herzurichten. |
|
05.10.2011, 15:40
| #4 |
| /// Malware-holic | BKA Trojaner win7 pro 64 Bit jo, die info nützt mir leider nicht, trotzdem danke :-) bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
06.10.2011, 18:18
| #5 |
| | BKA Trojaner win7 pro 64 Bit Hallo, nachdem ich gestern unter Benutzung von ComboFix die Fehlermeldung: ""\MicroLab\SearchEngin\" kann syntaktisch an dieser Stelle nicht verarbeitet werden." hatte, hat heute das "log-erstellen" funktioniert. Mein trojaner könnte eventuell auch von einer gefakten , soweit ich mich erinnere 36 MB großen, Avira free personal version stammen. Das sagt Sophos dazu: Mal/FakeAV-CN, Mal/FakeAV-CN, Mal/Encpk-LZ, Mal/FakeAV-CN, Mal/FakeAV-CN F:\Downloads\avira_antivir_personal_de.exe.part [versteckt] leider kann ich auf die datei nicht zugreifen, auch nicht über die konsole. Vielleich ist sie ein Artefakt in Sophos. Hier meine Log Datei von Combo fix: Combofix Logfile: Code:
ATTFilter ComboFix 11-10-06.03 - Laertes 06.10.2011 19:00:27.1.6 - x64
Microsoft Windows 7 Professional 6.1.7601.1.1252.49.1031.18.8190.6665 [GMT 2:00]
ausgeführt von:: c:\users\Laertes\Desktop\ComboFix.exe
AV: Sophos Anti-Virus *Disabled/Updated* {65FBD860-96D8-75EF-C7ED-7BE27E6C498A}
SP: Sophos Anti-Virus *Disabled/Updated* {DE9A3984-B0E2-7A61-FD5D-409005EB0337}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Odysseus\AppData\Roaming\1180648259.exe
c:\users\Odysseus\AppData\Roaming\975639139.exe
c:\users\Odysseus\AppData\Roaming\Help\coredb\storage
.
.
((((((((((((((((((((((( Dateien erstellt von 2011-09-06 bis 2011-10-06 ))))))))))))))))))))))))))))))
.
.
2011-10-06 17:02 . 2011-10-06 17:02 -------- d-----w- c:\users\Odysseus\AppData\Local\temp
2011-10-06 17:02 . 2011-10-06 17:02 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-10-06 16:17 . 2011-10-06 16:17 69000 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{D542B0EA-B21C-4341-A5BC-D7A04E171C3E}\offreg.dll
2011-10-04 07:57 . 2011-09-13 00:26 9049936 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{D542B0EA-B21C-4341-A5BC-D7A04E171C3E}\mpengine.dll
2011-10-02 08:57 . 2011-10-02 08:57 -------- d-----w- c:\program files (x86)\AMD APP
2011-10-02 08:56 . 2011-10-02 08:56 -------- d-----w- c:\programdata\ATI
2011-10-02 08:41 . 2011-10-02 08:41 -------- d-----w- c:\program files\ATI Technologies
2011-09-20 13:19 . 2011-09-20 13:19 -------- d-----w- c:\program files (x86)\ADLSoft UnCompressor
2011-09-20 08:48 . 2011-09-20 08:48 -------- d-----w- c:\program files (x86)\CrystalDiskInfo
2011-09-14 09:47 . 2011-09-14 09:47 60416 ----a-w- c:\windows\system32\OVDecode64.dll
2011-09-14 09:47 . 2011-09-14 09:47 53760 ----a-w- c:\windows\SysWow64\OVDecode.dll
2011-09-14 09:47 . 2011-09-14 09:47 16652288 ----a-w- c:\windows\system32\amdocl64.dll
2011-09-14 09:46 . 2011-09-14 09:46 13625856 ----a-w- c:\windows\SysWow64\amdocl.dll
2011-09-14 09:38 . 2011-09-14 09:38 44032 ----a-w- c:\windows\system32\amdoclcl64.dll
2011-09-14 09:38 . 2011-09-14 09:38 37376 ----a-w- c:\windows\SysWow64\amdoclcl.dll
2011-09-09 16:10 . 2011-09-09 16:10 10704 ----a-w- c:\windows\SysWow64\vpncategories.dll
2011-09-09 16:10 . 2011-09-09 16:10 33232 ----a-w- c:\windows\SysWow64\vpnevents.dll
2011-09-09 15:59 . 2011-09-09 15:59 106408 ----a-r- c:\windows\system32\drivers\acsock64.sys
2011-09-09 12:51 . 2011-09-09 12:51 -------- d-----w- c:\users\Odysseus\AppData\Local\Ilivid Player
2011-09-09 12:41 . 2011-09-09 12:52 -------- d-----w- c:\program files (x86)\iLivid
2011-09-09 12:39 . 2011-09-09 12:39 -------- d-----w- c:\users\Laertes\AppData\Local\PackageAware
2011-09-08 18:27 . 2011-09-08 18:27 10203648 ----a-w- c:\windows\system32\drivers\atikmdag.sys
2011-09-08 17:59 . 2011-09-08 17:59 24229376 ----a-w- c:\windows\system32\atio6axx.dll
2011-09-08 17:39 . 2011-09-08 17:39 18534912 ----a-w- c:\windows\SysWow64\atioglxx.dll
2011-09-08 17:34 . 2011-09-08 17:34 151552 ----a-w- c:\windows\system32\atiapfxx.exe
2011-09-08 17:30 . 2011-09-08 17:30 486912 ----a-w- c:\windows\system32\atieclxx.exe
2011-09-08 17:29 . 2011-09-08 17:29 204288 ----a-w- c:\windows\system32\atiesrxx.exe
2011-09-08 17:28 . 2011-09-08 17:28 120320 ----a-w- c:\windows\system32\atitmm64.dll
2011-09-08 17:28 . 2011-09-08 17:28 356352 ----a-w- c:\windows\SysWow64\atipdlxx.dll
2011-09-08 17:28 . 2011-09-08 17:28 278528 ----a-w- c:\windows\SysWow64\Oemdspif.dll
2011-09-08 17:28 . 2011-09-08 17:28 21504 ----a-w- c:\windows\system32\atimuixx.dll
2011-09-08 17:28 . 2011-09-08 17:28 59392 ----a-w- c:\windows\system32\atiedu64.dll
2011-09-08 17:28 . 2011-09-08 17:28 43520 ----a-w- c:\windows\SysWow64\ati2edxx.dll
2011-09-08 17:18 . 2011-09-08 17:18 1113088 ----a-w- c:\windows\system32\atiumd6v.dll
2011-09-08 17:18 . 2011-09-08 17:18 1828864 ----a-w- c:\windows\SysWow64\atiumdmv.dll
2011-09-08 17:09 . 2011-09-08 17:09 51200 ----a-w- c:\windows\system32\aticalrt64.dll
2011-09-08 17:09 . 2011-09-08 17:09 46080 ----a-w- c:\windows\SysWow64\aticalrt.dll
2011-09-08 17:09 . 2011-09-08 17:09 44544 ----a-w- c:\windows\system32\aticalcl64.dll
2011-09-08 17:09 . 2011-09-08 17:09 44032 ----a-w- c:\windows\SysWow64\aticalcl.dll
2011-09-08 17:09 . 2011-09-08 17:09 8723456 ----a-w- c:\windows\system32\aticaldd64.dll
2011-09-08 17:05 . 2011-09-08 17:05 7331840 ----a-w- c:\windows\SysWow64\aticaldd.dll
2011-09-08 16:53 . 2011-09-08 16:53 270336 ----a-w- c:\windows\SysWow64\atiadlxy.dll
2011-09-08 16:52 . 2011-09-08 16:52 15360 ----a-w- c:\windows\system32\atig6pxx.dll
2011-09-08 16:52 . 2011-09-08 16:52 13312 ----a-w- c:\windows\SysWow64\atiglpxx.dll
2011-09-08 16:52 . 2011-09-08 16:52 13312 ----a-w- c:\windows\system32\atiglpxx.dll
2011-09-08 16:52 . 2011-09-08 16:52 39936 ----a-w- c:\windows\system32\atig6txx.dll
2011-09-08 16:52 . 2011-09-08 16:52 32768 ----a-w- c:\windows\SysWow64\atigktxx.dll
2011-09-08 16:52 . 2011-09-08 16:52 310784 ----a-w- c:\windows\system32\drivers\atikmpag.sys
2011-09-08 16:51 . 2011-09-08 16:51 53248 ----a-w- c:\windows\system32\drivers\ati2erec.dll
2011-09-08 16:51 . 2011-09-08 16:51 54784 ----a-w- c:\windows\system32\atimpc64.dll
2011-09-08 16:51 . 2011-09-08 16:51 54784 ----a-w- c:\windows\system32\amdpcom64.dll
2011-09-08 16:50 . 2011-09-08 16:50 53760 ----a-w- c:\windows\SysWow64\atimpc32.dll
2011-09-08 16:50 . 2011-09-08 16:50 53760 ----a-w- c:\windows\SysWow64\amdpcom32.dll
2011-09-07 07:50 . 2011-09-07 07:50 -------- d-----w- c:\users\Laertes\AppData\Roaming\Apple Computer
2011-09-07 07:10 . 2011-09-07 14:00 -------- d-----w- C:\Temp
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-10-05 19:58 . 2011-04-10 11:23 144672 ----a-w- c:\windows\system32\drivers\savonaccess.sys
2011-09-26 07:46 . 2011-05-15 15:51 404640 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2011-09-09 16:00 . 2010-11-15 19:19 26536 ----a-w- c:\windows\system32\drivers\vpnva64.sys
2011-09-08 17:34 . 2011-07-28 21:40 732672 ----a-w- c:\windows\SysWow64\aticfx32.dll
2011-09-08 17:32 . 2011-07-28 21:39 862720 ----a-w- c:\windows\system32\aticfx64.dll
2011-09-08 17:30 . 2011-07-28 21:36 466944 ----a-w- c:\windows\system32\ATIDEMGX.dll
2011-09-08 17:28 . 2011-07-28 21:34 423424 ----a-w- c:\windows\system32\atipdl64.dll
2011-09-08 17:24 . 2011-07-28 21:30 4204032 ----a-w- c:\windows\SysWow64\atidxx32.dll
2011-09-08 17:18 . 2011-07-28 21:11 3888640 ----a-w- c:\windows\system32\atiumd6a.dll
2011-09-08 17:16 . 2011-07-28 21:20 4944896 ----a-w- c:\windows\system32\atidxx64.dll
2011-09-08 17:08 . 2011-07-28 21:03 4064768 ----a-w- c:\windows\SysWow64\atiumdva.dll
2011-09-08 17:05 . 2011-07-28 21:09 4289024 ----a-w- c:\windows\SysWow64\atiumdag.dll
2011-09-08 17:00 . 2011-07-28 21:02 5428736 ----a-w- c:\windows\system32\atiumd64.dll
2011-09-08 16:59 . 2011-07-28 21:01 58880 ----a-w- c:\windows\system32\coinst.dll
2011-09-08 16:53 . 2011-07-28 20:54 381952 ----a-w- c:\windows\system32\atiadlxx.dll
2011-09-08 16:52 . 2011-07-28 20:53 40960 ----a-w- c:\windows\system32\atiuxp64.dll
2011-09-08 16:51 . 2011-07-28 20:53 31744 ----a-w- c:\windows\SysWow64\atiuxpag.dll
2011-09-08 16:51 . 2011-07-28 20:53 38912 ----a-w- c:\windows\system32\atiu9p64.dll
2011-09-08 16:51 . 2011-07-28 20:53 29184 ----a-w- c:\windows\SysWow64\atiu9pag.dll
2011-08-22 07:21 . 2011-08-22 07:21 178800 ----a-w- c:\windows\SysWow64\CmdLineExt_x64.dll
2011-08-18 12:31 . 2011-04-11 15:24 419840 ----a-w- c:\windows\system32\wrap_oal.dll
2011-08-18 12:31 . 2011-04-11 15:24 111616 ----a-w- c:\windows\system32\OpenAL32.dll
2011-08-18 12:31 . 2011-04-11 15:24 413696 ----a-w- c:\windows\SysWow64\wrap_oal.dll
2011-08-18 12:31 . 2011-04-11 15:24 102400 ----a-w- c:\windows\SysWow64\OpenAL32.dll
2011-07-22 05:42 . 2011-08-10 06:37 2303488 ----a-w- c:\windows\system32\jscript9.dll
2011-07-22 05:36 . 2011-08-10 06:37 1389056 ----a-w- c:\windows\system32\wininet.dll
2011-07-22 05:32 . 2011-08-10 06:37 2382848 ----a-w- c:\windows\system32\mshtml.tlb
2011-07-22 02:54 . 2011-08-10 06:37 1797632 ----a-w- c:\windows\SysWow64\jscript9.dll
2011-07-22 02:48 . 2011-08-10 06:37 1126912 ----a-w- c:\windows\SysWow64\wininet.dll
2011-07-22 02:44 . 2011-08-10 06:37 2382848 ----a-w- c:\windows\SysWow64\mshtml.tlb
2011-07-16 05:41 . 2011-08-10 06:28 362496 ----a-w- c:\windows\system32\wow64win.dll
2011-07-16 05:41 . 2011-08-10 06:28 243200 ----a-w- c:\windows\system32\wow64.dll
2011-07-16 05:41 . 2011-08-10 06:28 13312 ----a-w- c:\windows\system32\wow64cpu.dll
2011-07-16 05:39 . 2011-08-10 06:28 16384 ----a-w- c:\windows\system32\ntvdm64.dll
2011-07-16 05:37 . 2011-08-10 06:28 421888 ----a-w- c:\windows\system32\KernelBase.dll
2011-07-16 05:21 . 2011-08-10 06:28 4608 ---ha-w- c:\windows\system32\api-ms-win-core-threadpool-l1-1-0.dll
2011-07-16 05:21 . 2011-08-10 06:28 4096 ---ha-w- c:\windows\system32\api-ms-win-core-sysinfo-l1-1-0.dll
2011-07-16 05:21 . 2011-08-10 06:28 4096 ---ha-w- c:\windows\system32\api-ms-win-core-synch-l1-1-0.dll
2011-07-16 05:21 . 2011-08-10 06:28 6144 ---ha-w- c:\windows\system32\api-ms-win-security-base-l1-1-0.dll
2011-07-16 05:21 . 2011-08-10 06:28 3584 ---ha-w- c:\windows\system32\api-ms-win-core-rtlsupport-l1-1-0.dll
2011-07-16 05:21 . 2011-08-10 06:28 3072 ---ha-w- c:\windows\system32\api-ms-win-core-xstate-l1-1-0.dll
2011-07-16 05:21 . 2011-08-10 06:28 3072 ---ha-w- c:\windows\system32\api-ms-win-core-util-l1-1-0.dll
2011-07-16 05:21 . 2011-08-10 06:28 3072 ---ha-w- c:\windows\system32\api-ms-win-core-string-l1-1-0.dll
2011-07-16 05:21 . 2011-08-10 06:28 4608 ---ha-w- c:\windows\system32\api-ms-win-core-processthreads-l1-1-0.dll
2011-07-16 05:21 . 2011-08-10 06:28 4096 ---ha-w- c:\windows\system32\api-ms-win-core-localregistry-l1-1-0.dll
2011-07-16 05:21 . 2011-08-10 06:28 4096 ---ha-w- c:\windows\system32\api-ms-win-core-localization-l1-1-0.dll
2011-07-16 05:21 . 2011-08-10 06:28 3584 ---ha-w- c:\windows\system32\api-ms-win-core-processenvironment-l1-1-0.dll
2011-07-16 05:21 . 2011-08-10 06:28 3584 ---ha-w- c:\windows\system32\api-ms-win-core-namedpipe-l1-1-0.dll
2011-07-16 05:21 . 2011-08-10 06:28 3584 ---ha-w- c:\windows\system32\api-ms-win-core-misc-l1-1-0.dll
2011-07-16 05:21 . 2011-08-10 06:28 3584 ---ha-w- c:\windows\system32\api-ms-win-core-memory-l1-1-0.dll
2011-07-16 05:21 . 2011-08-10 06:28 3584 ---ha-w- c:\windows\system32\api-ms-win-core-libraryloader-l1-1-0.dll
2011-07-16 05:21 . 2011-08-10 06:28 3072 ---ha-w- c:\windows\system32\api-ms-win-core-profile-l1-1-0.dll
2011-07-16 05:21 . 2011-08-10 06:28 3072 ---ha-w- c:\windows\system32\api-ms-win-core-io-l1-1-0.dll
2011-07-16 05:21 . 2011-08-10 06:28 3072 ---ha-w- c:\windows\system32\api-ms-win-core-interlocked-l1-1-0.dll
2011-07-16 05:21 . 2011-08-10 06:28 5120 ---ha-w- c:\windows\system32\api-ms-win-core-file-l1-1-0.dll
2011-07-16 05:21 . 2011-08-10 06:28 3584 ---ha-w- c:\windows\system32\api-ms-win-core-heap-l1-1-0.dll
2011-07-16 05:21 . 2011-08-10 06:28 3072 ---ha-w- c:\windows\system32\api-ms-win-core-handle-l1-1-0.dll
2011-07-16 05:21 . 2011-08-10 06:28 3072 ---ha-w- c:\windows\system32\api-ms-win-core-fibers-l1-1-0.dll
2011-07-16 05:21 . 2011-08-10 06:28 3072 ---ha-w- c:\windows\system32\api-ms-win-core-errorhandling-l1-1-0.dll
2011-07-16 05:21 . 2011-08-10 06:28 3072 ---ha-w- c:\windows\system32\api-ms-win-core-delayload-l1-1-0.dll
2011-07-16 05:21 . 2011-08-10 06:28 3072 ---ha-w- c:\windows\system32\api-ms-win-core-debug-l1-1-0.dll
2011-07-16 05:21 . 2011-08-10 06:28 3072 ---ha-w- c:\windows\system32\api-ms-win-core-datetime-l1-1-0.dll
2011-07-16 05:21 . 2011-08-10 06:28 3072 ---ha-w- c:\windows\system32\api-ms-win-core-console-l1-1-0.dll
2011-07-16 04:29 . 2011-08-10 06:28 14336 ----a-w- c:\windows\SysWow64\ntvdm64.dll
2011-07-16 04:26 . 2011-08-10 06:28 44032 ----a-w- c:\windows\apppatch\acwow64.dll
2011-07-16 04:25 . 2011-08-10 06:28 25600 ----a-w- c:\windows\SysWow64\setup16.exe
2011-07-16 04:24 . 2011-08-10 06:28 5120 ----a-w- c:\windows\SysWow64\wow32.dll
2011-07-16 04:24 . 2011-08-10 06:28 272384 ----a-w- c:\windows\SysWow64\KernelBase.dll
2011-07-16 04:15 . 2011-08-10 06:28 4096 ---ha-w- c:\windows\SysWow64\api-ms-win-core-sysinfo-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 06:28 4096 ---ha-w- c:\windows\SysWow64\api-ms-win-core-synch-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 06:28 3072 ---ha-w- c:\windows\SysWow64\api-ms-win-core-string-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 06:28 5120 ---ha-w- c:\windows\SysWow64\api-ms-win-core-file-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 06:28 4608 ---ha-w- c:\windows\SysWow64\api-ms-win-core-processthreads-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 06:28 4096 ---ha-w- c:\windows\SysWow64\api-ms-win-core-misc-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 06:28 4096 ---ha-w- c:\windows\SysWow64\api-ms-win-core-localregistry-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 06:28 4096 ---ha-w- c:\windows\SysWow64\api-ms-win-core-localization-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 06:28 3584 ---ha-w- c:\windows\SysWow64\api-ms-win-core-processenvironment-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 06:28 3584 ---ha-w- c:\windows\SysWow64\api-ms-win-core-namedpipe-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 06:28 3584 ---ha-w- c:\windows\SysWow64\api-ms-win-core-memory-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 06:28 3584 ---ha-w- c:\windows\SysWow64\api-ms-win-core-libraryloader-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 06:28 3584 ---ha-w- c:\windows\SysWow64\api-ms-win-core-interlocked-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 06:28 3584 ---ha-w- c:\windows\SysWow64\api-ms-win-core-heap-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 06:28 3072 ---ha-w- c:\windows\SysWow64\api-ms-win-core-rtlsupport-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 06:28 3072 ---ha-w- c:\windows\SysWow64\api-ms-win-core-profile-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 06:28 3072 ---ha-w- c:\windows\SysWow64\api-ms-win-core-io-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 06:28 3072 ---ha-w- c:\windows\SysWow64\api-ms-win-core-handle-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 06:28 3072 ---ha-w- c:\windows\SysWow64\api-ms-win-core-fibers-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 06:28 3072 ---ha-w- c:\windows\SysWow64\api-ms-win-core-errorhandling-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 06:28 3072 ---ha-w- c:\windows\SysWow64\api-ms-win-core-delayload-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 06:28 3072 ---ha-w- c:\windows\SysWow64\api-ms-win-core-debug-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 06:28 3072 ---ha-w- c:\windows\SysWow64\api-ms-win-core-datetime-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 06:28 3072 ---ha-w- c:\windows\SysWow64\api-ms-win-core-console-l1-1-0.dll
2011-07-16 02:21 . 2011-08-10 06:28 7680 ----a-w- c:\windows\SysWow64\instnm.exe
2011-07-16 02:21 . 2011-08-10 06:28 2048 ----a-w- c:\windows\SysWow64\user.exe
2011-07-16 02:17 . 2011-08-10 06:28 6144 ---ha-w- c:\windows\SysWow64\api-ms-win-security-base-l1-1-0.dll
2011-07-16 02:17 . 2011-08-10 06:28 4608 ---ha-w- c:\windows\SysWow64\api-ms-win-core-threadpool-l1-1-0.dll
2011-07-16 02:17 . 2011-08-10 06:28 3584 ---ha-w- c:\windows\SysWow64\api-ms-win-core-xstate-l1-1-0.dll
2011-07-16 02:17 . 2011-08-10 06:28 3072 ---ha-w- c:\windows\SysWow64\api-ms-win-core-util-l1-1-0.dll
2011-07-09 05:26 . 2011-08-24 06:47 2048 ----a-w- c:\windows\system32\tzres.dll
2011-07-09 04:29 . 2011-08-24 06:47 2048 ----a-w- c:\windows\SysWow64\tzres.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"Sophos AutoUpdate Monitor"="d:\program files (x86)\Sophos\AutoUpdate\almon.exe" [2011-06-02 494616]
"NUSB3MON"="d:\program files (x86)\NEC Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe" [2010-01-22 106496]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]
"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2010-11-29 421888]
"iTunesHelper"="d:\program files (x86)\iTunes\iTunesHelper.exe" [2011-07-19 421736]
"StartCCC"="d:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2011-09-08 343168]
"Cisco AnyConnect Secure Mobility Agent for Windows"="c:\program files (x86)\Cisco\Cisco AnyConnect Secure Mobility Client\vpnui.exe" [2011-09-09 523216]
.
c:\users\Odysseus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.3.lnk - d:\program files (x86)\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
c:\users\Laertes\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.3.lnk - d:\program files (x86)\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=d:\progra~1\Sophos\SOPHOS~1\sophos_detoured.dll
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0SophosBootTasks
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SAVService]
@="service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SophosAntiVirus]
"DisableMonitoring"=dword:00000001
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 SAVCleanupService;Sophos Cleanup Service;d:\program files (x86)\Sophos\Sophos Anti-Virus\SAVCleanupService.exe [2011-06-02 106520]
R3 GPCIDrv;GPCIDrv;d:\program files (x86)\GIGABYTE\EasyBoost\GPCIDrv64.sys [x]
R3 sdcfilter;sdcfilter;c:\windows\system32\DRIVERS\sdcfilter.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [x]
R4 SophosBootDriver;SophosBootDriver;c:\windows\system32\DRIVERS\SophosBootDriver.sys [x]
S0 amd_sata;amd_sata;c:\windows\system32\DRIVERS\amd_sata.sys [x]
S0 amd_xata;amd_xata;c:\windows\system32\DRIVERS\amd_xata.sys [x]
S1 SAVOnAccess;SAVOnAccess;c:\windows\system32\DRIVERS\savonaccess.sys [x]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2011-06-06 64952]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x]
S2 AMD FUEL Service;AMD FUEL Service;d:\program files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe [2011-09-08 361984]
S2 AODDriver4.01;AODDriver4.01;d:\program files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys [2011-06-24 55424]
S2 SAVAdminService;Sophos Anti-Virus Statusreporter;d:\program files (x86)\Sophos\Sophos Anti-Virus\SAVAdminService.exe [2011-10-05 167960]
S2 SAVService;Sophos Anti-Virus;d:\program files (x86)\Sophos\Sophos Anti-Virus\SavService.exe [2011-06-02 99864]
S2 swi_service;Sophos Web Intelligence Service;d:\program files (x86)\Sophos\Sophos Anti-Virus\Web Intelligence\swi_service.exe [2011-10-05 1543704]
S2 vpnagent;Cisco AnyConnect Secure Mobility Agent;c:\program files (x86)\Cisco\Cisco AnyConnect Secure Mobility Client\vpnagent.exe [2011-09-09 475088]
S3 acsock;acsock;c:\windows\system32\DRIVERS\acsock64.sys [x]
S3 amdiox64;AMD IO Driver;c:\windows\system32\DRIVERS\amdiox64.sys [x]
S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atikmdag.sys [x]
S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [x]
S3 AtiHDAudioService;AMD Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdW76.sys [x]
S3 cmudaxp;ASUS Xonar Essence STX Audio Interface;c:\windows\system32\drivers\cmudaxp.sys [x]
S3 nusb3hub;NEC Electronics USB 3.0 Hub Driver;c:\windows\system32\DRIVERS\nusb3hub.sys [x]
S3 nusb3xhc;NEC Electronics USB 3.0 Host Controller Driver;c:\windows\system32\DRIVERS\nusb3xhc.sys [x]
S3 usbfilter;AMD USB Filter Driver;c:\windows\system32\DRIVERS\usbfilter.sys [x]
S3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [x]
S3 VMfilt;VMfilt;c:\windows\system32\drivers\VMfilt64.sys [x]
S3 yukonw7;NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller;c:\windows\system32\DRIVERS\yk62x64.sys [x]
.
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Cmaudio8788"="c:\windows\Syswow64\cmicnfgp.dll" [2011-05-12 8769536]
"Cmaudio8788GX"="c:\windows\syswow64\HsMgr.exe" [2008-07-11 200704]
"Cmaudio8788GX64"="c:\windows\system\HsMgr64.exe" [2008-07-11 282112]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x1
"AppInit_DLLs"=d:\progra~1\Sophos\SOPHOS~1\sophos_detoured_x64.dll
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
mLocal Page = c:\windows\SysWOW64\blank.htm
LSP: c:\programdata\Sophos Web Intelligence\swi_lsp.dll
TCP: DhcpNameServer = 192.168.2.1
DPF: {55963676-2F5E-4BAF-AC28-CF26AA587566} - hxxps://asa04.lrz.de/CACHE/stc/1/binaries/vpnweb.cab
FF - ProfilePath - c:\users\Laertes\AppData\Roaming\Mozilla\Firefox\Profiles\uawu7gcy.default\
FF - prefs.js: browser.search.selectedEngine - Bing
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1572467957-3373370344-1634859198-500\Software\Microsoft\Internet Explorer\ApprovedExtensionsMigration]
@Denied: (2) (Administrator)
"Timestamp"=hex:fa,5c,a8,90,6e,f7,cb,01
.
[HKEY_USERS\S-1-5-21-1572467957-3373370344-1634859198-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,e0,b6,70,00,b2,d8,cf,4c,b4,fc,e8,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,e0,b6,70,00,b2,d8,cf,4c,b4,fc,e8,\
.
[HKEY_USERS\S-1-5-21-1572467957-3373370344-1634859198-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.eml\UserChoice]
@Denied: (2) (Administrator)
"Progid"="ThunderbirdEML"
.
[HKEY_USERS\S-1-5-21-1572467957-3373370344-1634859198-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.htm\UserChoice]
@Denied: (2) (Administrator)
"Progid"="FirefoxHTML"
.
[HKEY_USERS\S-1-5-21-1572467957-3373370344-1634859198-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.html\UserChoice]
@Denied: (2) (Administrator)
"Progid"="FirefoxHTML"
.
[HKEY_USERS\S-1-5-21-1572467957-3373370344-1634859198-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.shtml\UserChoice]
@Denied: (2) (Administrator)
"Progid"="FirefoxHTML"
.
[HKEY_USERS\S-1-5-21-1572467957-3373370344-1634859198-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.wdseml\UserChoice]
@Denied: (2) (Administrator)
"Progid"="ThunderbirdEML"
.
[HKEY_USERS\S-1-5-21-1572467957-3373370344-1634859198-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xht\UserChoice]
@Denied: (2) (Administrator)
"Progid"="FirefoxHTML"
.
[HKEY_USERS\S-1-5-21-1572467957-3373370344-1634859198-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xhtml\UserChoice]
@Denied: (2) (Administrator)
"Progid"="FirefoxHTML"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2011-10-06 19:03:48
ComboFix-quarantined-files.txt 2011-10-06 17:03
.
Vor Suchlauf: 8 Verzeichnis(se), 17.880.645.632 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 18.773.082.112 Bytes frei
.
- - End Of File - - 571EF2A5C10B2C25990CCEA30F2B2430
|
|
06.10.2011, 18:24
| #6 |
| /// Malware-holic | BKA Trojaner win7 pro 64 Bit hi, öffne mal computer, c: qoobox, rechtsklick quarantain, mit winrar oder zip packen, hochladen: folge dem link, und lade das archiv im upload channel hoch http://www.trojaner-board.de/54791-a...ner-board.html hast du den link noch, wo du die avira version laden wolltest, dann bitte als private nachicht an mich.
__________________ --> BKA Trojaner win7 pro 64 Bit |
|
06.10.2011, 18:43
| #7 |
| | BKA Trojaner win7 pro 64 Bit Hallo, dafür bin ich wohl zu blöd oder das verzeichnis qoobox existiert bei mir nicht. Windows konsole kann das Verzeichnis auch nicht finden. Mit linux kann ich übrigens auch nicht die "fake av-datei" sehen und der Sophos "infected" order ist auch leer.   |
|
06.10.2011, 18:47
| #8 |
| /// Malware-holic | BKA Trojaner win7 pro 64 Bit lade unhide: http://filepony.de/download-unhide/ doppelklicken, dateien werden sichtbar der ordner qoobox liegt direkt auf c: sollte nach unhide auf jeden fall sichtbar sein
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
06.10.2011, 19:20
| #9 |
| | BKA Trojaner win7 pro 64 Bit Hallo, unhide hat nichts zu Tage gefördert  , auch nicht mit abgeschaltetem Sophos.Solltest Du Interesse an den Sophos-Logfiles von meiner Sophos Boot CD Lösch-Session haben, kann ich Dir die auch posten oder schicken. Das untere Bild zeigt mein Laufwerk C mit den Logfiles(oben): |
|
06.10.2011, 19:24
| #10 |
| /// Malware-holic | BKA Trojaner win7 pro 64 Bit du hast doch windows ganz normal gebootet oder. wenn du jetzt auf computer, bzw arbeitsplatz klickst und dort das laufwerk c: öffnest muss dort ein ordner qoobox sein, sollte ja nicht so viele einträge mit q geben, bzw die mit q beginnen
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
06.10.2011, 20:05
| #11 |
| | BKA Trojaner win7 pro 64 Bit Hallo, ich hab die datei hochgeladen. qoobox wurde wohl gelöscht als ich combofix deinstalliert hab  . |
|
06.10.2011, 20:11
| #12 |
| /// Malware-holic | BKA Trojaner win7 pro 64 Bit ja, super, hab ich was von deinstalieren geschrieben? ich hab die malware daraus zur analyse benötigt, da ich dir jetzt auch nciht sagen kann was genau gelöscht wurde, müssen wir trotzdem zur sicherheit klären, machst du onlinebanking einkäufe oder sonst was wichtiges mit dem pc?
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
06.10.2011, 20:47
| #13 |
| | BKA Trojaner win7 pro 64 Bit hallo, mir war nicht klar, dass combofix mehr macht als eine log-datei zu schreiben. Ich mach sowohl onlinebanking, als auch onlineshopping, wobei ich mich seitdem nicht mehr auf diesem rechner bei der Bank angemeldet habe. Allerdings hab ich online mit kreditkarte eingekauft aber wohl keine Kreditkartennummer eingegeben. Sophos hatte diese drei files gefunden und gelöscht: >>> Virus 'Mal/EncPk-AAT' found in file /mnt/sda1/Users/Odysseus/AppData/Local/Temp/0.3472579573876027.exe >>> Virus 'Mal/EncPk-AAT' found in file /mnt/sda1/Users/Odysseus/AppData/Local/Temp/jar_cache6280521374959359570.tmp >>> Virus 'Mal/EncPk-AAT' found in file /mnt/sda1/Users/Odysseus/AppData/Roaming/0.3472579573876027.exe |
|
07.10.2011, 09:57
| #14 |
| /// Malware-holic | BKA Trojaner win7 pro 64 Bit also, für mich siehts danach aus als hast du ne malware die bank daten stiehlt. deswegen, bank anrufen, sperren lassen. dann daten sichern, wie bilder filme etc. dann pc neu aufsetzen. falls anleitung nötig bekommst du sie. dann gebe ich dir ne anleitung wie man das system vernünftig absichert.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
07.10.2011, 18:28
| #15 |
| | BKA Trojaner win7 pro 64 Bit Hallo,  seit dem Virenbefall hab ich von dem Computer aus nicht mehr ins onlinebanking eingeloggt (da sind auch keine bankdaten gespeichert) und es wurde auch nichts dubioses abgebucht. Ich hab auch keine Kreditkarteninformationen eingegeben. Aber natürlich werde ich wachsam bleiben.  Neu aufsetzen wollte ich den Pc eh. Deshalb würde es mich natürlich brennend interessieren, wenn Du mir sagen könntest, wie ich meine Daten auf den "frischen (mit partedmagic secure erasten)" pc "rüberbekomm" ohne ihn zu kompromittieren und wie infektiös die viren sind. Nochmals vielen Dank. P.S.:Es kann gut sein, dass der bka -trojaner nur meine kontodaten wollte, als er mich "überreden" wollte 100€ zu zahlen oder zu überweisen . |
|
| Themen zu BKA Trojaner win7 pro 64 Bit |
| anderen, aufsetzen, bka trojaner, bundeskriminalamt, dateien, daten, erstellt, folge, geld, hallo zusammen, infizierte, infizierte dateien, link, live, löschen, neu, sophos, start, super, system, system neu, temp, trojaner, verzeichnis, virus, win, win7, windows, windows start, zusammen |
Linear-Darstellung
