Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: mahmud.exe, wahrscheinlich noch mehr...

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 05.12.2011, 21:40   #1
maglite
 
mahmud.exe, wahrscheinlich noch mehr... - Icon23

mahmud.exe, wahrscheinlich noch mehr...



Zu Beginn ersteinmal ein großes Dankeschön, dass ihr euch Zeit für mich nehmt.
Mein Name ist Chris und mein kleiner Bruder hat meinen PC zertört...

Ich habe ein Notebook von HP, WinXP SP3, und die Bundespolizei hat "die ungesetzliche Tätigkeit enthüllt"...

Start im abgesicherten Modus mit Eingabeaufforderung geht nicht; Maus wie Tastaur funktioniert ab dem Moment des Winlogon-Screen nicht mehr.

Normale Anmeldung unter dem Gastkonto geht noch, aber ich muss alles über den Taskmanager eingeben, explorer.exe macht mir nur die eigenen Dateien auf, nicht mehr.
Über regedit.exe die Shell angesehen - die führt mich zu
...dok&einstell/Admin/Anwendungsdat./mahmud.exe
Ändern oder löschen ging nicht - Gastkonto hat keine Adminrechte.

OTL habe ich laufen lassen, ich hoffe ihr könnt was damit anfangen obwohl es nur vom Gastkonto aus gemacht wurde, also ohne Adminrechte;
Bitte verzeiht das ich die extra.txt Datei nicht gezippt hochlade, ich komme nur über mein Tablet ins Internet, und das kann nicht zippen...

Vielen vielen Dank jetzt schon! Ich hoff ihr könnt mir soweit helfen, dass ich meinen Bruder nicht umbringen muss... Und das muss ich wenn meine Semesterarbeit futsch ist.

Alt 06.12.2011, 09:24   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
mahmud.exe, wahrscheinlich noch mehr... - Standard

mahmud.exe, wahrscheinlich noch mehr...



Zitat:
Bitte verzeiht das ich die extra.txt Datei nicht gezippt hochlade, ich komme nur über mein Tablet ins Internet, und das kann nicht zippen...
Ohne die OTL.txt bringt das aber nichts
Was ist mit Malwarebytes kannst du das ausführen?

Zitat:
Und das muss ich wenn meine Semesterarbeit futsch ist.
Noch nie davon gehört, dass man wichtige Daten immer sichern muss?
__________________

__________________

Alt 06.12.2011, 09:39   #3
maglite
 
mahmud.exe, wahrscheinlich noch mehr... - Standard

mahmud.exe, wahrscheinlich noch mehr...



Guten morgen, Arne

Die zweite .txt werde ich gleich heute mittag wenn ich von der Uni heimkomme posten, ob ich Malwarebytes zum laufen bekomme schau ich dann auch.
Was das sichern betrifft: letzte Sicherung ist von vor 2 Tagen, d.h. es wurden seitdem ca. 13h umsonst gearbeitet. Mitten in der Klausurenphase... Aber prinzipiell hast du Recht...

Danke,
Chris

____
sent from my htc hd2
__________________

Alt 07.12.2011, 09:14   #4
maglite
 
mahmud.exe, wahrscheinlich noch mehr... - Standard

mahmud.exe, wahrscheinlich noch mehr...



guten Morgen, Arne

Also, hier kommt jetzt ersteinmal die otl.txt Datei, malwarebytes muss ich heute an der Uni runterladen, das ging mit dem Tablet, warum auch immer, nicht... Du siehst dann ja, wenn ich es reinstelle...

Danke,

Chris

Alt 07.12.2011, 20:10   #5
maglite
 
mahmud.exe, wahrscheinlich noch mehr... - Standard

mahmud.exe, wahrscheinlich noch mehr...



Ich kann unter dem Gastzugang malewarebytes nicht installieren... Ich nehme an, dass das ein schlechtes Zeichen ist, oder?
Gibt es von diesem Malwarebytes noch eine Version die man nicht installieren muss, sondern direkt ausführen kann?

Mein Usb-Stick wurde heute an der Uni übrigens wegen "schadhafter Software" nicht zugelassen,leider hat das Uni-system nicht gesagt was drauf ist...

Ich kann nun übrigens wieder auf mein normales Benutzerkonto zugreifen, also dass mit dem ich normalerweise immer drin bin - habe also die Möglichkeit alles wichige zu speichern. Mach ich dann am besten auf CD, oder? Immerhin hat es den USB--Stick ja verseucht ?!

Danke euch nochmals!


Alt 07.12.2011, 20:11   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
mahmud.exe, wahrscheinlich noch mehr... - Standard

mahmud.exe, wahrscheinlich noch mehr...



Ohne Adminrechte bringt auch OTL nichts.
Mach das alles im abgesicherten Modus mit Netzwerktreibern
__________________
--> mahmud.exe, wahrscheinlich noch mehr...

Alt 07.12.2011, 20:30   #7
maglite
 
mahmud.exe, wahrscheinlich noch mehr... - Standard

mahmud.exe, wahrscheinlich noch mehr...



Das geht leider auch nicht - ich hab keine Sekunde Zeit bis Maus und Tastatur einfrieren... Ich muss dann doch ein Passwort eingeben, aber ich weiß nicht wie ich das machen soll ohne Maus und Tastatur... von Zeit zu Zeit schaff ich es den Benutzer anzuklicken, dann blinkt der Curser und es ist zu spät... Ich mach wirklich so schnell ich kann, aber es geht einfach nicht... Weder mit Netzwerktreibern, noch mit Eingabebaufforderung...
Ich will einen Mac.

Naja, ich probier mal weiter, vielleicht isses wie beim Tischkicker und man muss den Bewegungsablauf nur oft genug gemacht haben, bis er schnell genug wird... Hoffentlich hält der Humor.

Falls du noch weitere ideen haben solltest: mein handy klingelt sobald hier was drinsteht...

Alt 07.12.2011, 20:41   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
mahmud.exe, wahrscheinlich noch mehr... - Standard

mahmud.exe, wahrscheinlich noch mehr...



Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.
  • Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
  • Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
  • Lege eine leere CD in Deinen Brenner.
  • ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
  • Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
  • Du kannst nun die Fenster des Brennprogramms schließen.
Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD
  • Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
  • Mache einen Doppelklick auf das OTLPE Icon.
  • Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
  • Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
  • Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
  • Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
  • OTLpe sollte nun starten.
  • Drücke Run Scan, um den Scan zu starten.
  • Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
  • Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
  • Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 07.12.2011, 20:42   #9
maglite
 
mahmud.exe, wahrscheinlich noch mehr... - Standard

mahmud.exe, wahrscheinlich noch mehr...



Ich glaub ich hab den ersten Schritt geschafft - ich hab gerade aus blanker Verzweiflung den Rechner normal hochgefahren und direkt nach der Passworteingabe strg+alt+entf gedrückt bevor der ukash-screen dawar und hab versucht die mahmud.exe zu beenden... hätte fast funktioniert... also noch 2 mal, jetzt hats geklappt: Ich hab die mahmud exe geschlossen bekommen bevor sie mir das ukash fenster reingehauen hat!!! Jetzt blinkt avira:

TR/Ransom.DU.9

Alt 07.12.2011, 20:47   #10
maglite
 
mahmud.exe, wahrscheinlich noch mehr... - Standard

mahmud.exe, wahrscheinlich noch mehr...



Ich lass jetzt defogger, otl, und Malwarebytes nochmal drüberlaufen, ergebnise poste ich dann in ein paar minuten

FREUDEEEE!!!

Alt 07.12.2011, 21:50   #11
maglite
 
mahmud.exe, wahrscheinlich noch mehr... - Standard

mahmud.exe, wahrscheinlich noch mehr...



So, anbei sind:
otl.txt
extra.txt
defogger
malwarebytes log

Sobald du mir grünes Licht gibst lösch' ich den Mahmud.exe bis dahin dümpelt der noch in der quarantäne von avira.
Was ich mit den funden aus Malwarebytes machen soll musst du mir dann bitte uch noch schreiben, ich lass da erstmal die Finger weg, vielleicht brauchst du ja noch was davon, und ich kenn das Programm nicht...


Vielen vielen Dank!!!

Geändert von maglite (07.12.2011 um 21:51 Uhr) Grund: Anhang vergessen

Alt 08.12.2011, 11:30   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
mahmud.exe, wahrscheinlich noch mehr... - Standard

mahmud.exe, wahrscheinlich noch mehr...



Zitat:
c:\dokumente und einstellungen\koenig_cbe\eigene dateien\selten bis nie\setups\Media\nero burning rom_8.1.1.4+kgn[h33t][rupliham]\Setup\Keygen\nero 8.x ultra edition keygen.exe (RiskWare.Tool.CK) -> No action taken.


Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!


Zitat:
c:\Recycle.Bin\config.bin (Trojan.Spyeyes) -> No action taken.
Du hast ein SpyEyes drauf, da ist eine Neuinstallation eh dringend anzuraten.

Wenn du auch noch andere Dinge erledigen willst als nur Zocken oder Solitär spielen wie zB E-Mails abrufen, OnlineBanking (eben alles was Logins erfordert) dann solltest du deine Daten sichern, den Rechner komplett plätten und eine Neuinstallation von Windows durchführen.
Anschließend auch sämtliche Passwörter ändern!!!

Mit komplett plätten wird gemeint: alle Partitionen auflösen, neu erstellen und formatieren. Helfen kann dabei ein Tool wie DBAN oder die Laufwerksverwaltung in einem Ubuntu im Ausprobiermodus.

Praktischerweise kann man mit diesem Live-Linux auch ziemlich gefahrlos all seine wichtigen Daten auf eine externe Platte sichern.
kopiere nur persönliche Dateien, Musik, Videos, etc. auf die Backupplatte, KEINE ausführbaren Dateien wie Programme/Spiele/Setups!!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 08.12.2011, 22:31   #13
maglite
 
mahmud.exe, wahrscheinlich noch mehr... - Standard

mahmud.exe, wahrscheinlich noch mehr...



Hallo Arne,

hatte ganz vergessen, dass ich noch die Neroversion draufhatte... Selbst schuld - steht hier ja auch überall, dass bei Hinweisen auf kegens und Cracks vorbei ist...
Kann ich ehrlich gesagt auch gut nachvollziehen...

Danke, dass du mir trozdem noch gesagt hast, dass spyeyes drauf sind; werde die nächsten Tage dann neu Aufsetzen...


Also insgesamt:
Vielen Dank , dass du/ihr euch Zeit nehmt und helft, ich weiß das wirklich zu schätzen

Chris

Antwort

Themen zu mahmud.exe, wahrscheinlich noch mehr...
abgesicherten, anmeldung, bruder, bundespolizei, dankeschön, dateien, eingabeaufforderung, explorer.exe, funktioniert, futsch, großes, interne, internet, kleiner, konto, löschen, mahmud.exe, maus, meldung, modus, notebook, regedit.exe, shell, sp3, tablet, taskmanager, wahrscheinlich, winxp




Ähnliche Themen: mahmud.exe, wahrscheinlich noch mehr...


  1. fbdownloader auf dem PC und wahrscheinlich noch anders Zeug. Werde ihn nicht los!
    Plagegeister aller Art und deren Bekämpfung - 23.12.2013 (9)
  2. Wahrscheinlich der GVU-Virus, es kommt nur noch ein weißer Bildschirm
    Plagegeister aller Art und deren Bekämpfung - 27.07.2013 (3)
  3. kein WLAN über Fritzbox 3270 mehr, wahrscheinlich durch Trojaner
    Plagegeister aller Art und deren Bekämpfung - 01.07.2013 (11)
  4. Laptop sehr langsam / sehr wahrscheinlich verseucht / Anti Viren Programme updaten nicht mehr
    Log-Analyse und Auswertung - 05.02.2013 (9)
  5. MBR I/O Error und noch mehr
    Plagegeister aller Art und deren Bekämpfung - 22.11.2012 (6)
  6. Bundespolizei Trojaner - mahmud.exe?
    Plagegeister aller Art und deren Bekämpfung - 11.12.2011 (1)
  7. cmd.exe und mahmud.exe - Bundespolizei Trojaner
    Plagegeister aller Art und deren Bekämpfung - 02.12.2011 (12)
  8. TR/Ransom.DU.55'+EXP/Pdfka.QG'+contacts[1].exe+mahmud.exe
    Log-Analyse und Auswertung - 29.11.2011 (24)
  9. BKA Trojaner (mahmud.exe) win xp sp3 32bit
    Log-Analyse und Auswertung - 23.10.2011 (1)
  10. Wahrscheinlich virus Kein Internetverbindung mehr möglich
    Plagegeister aller Art und deren Bekämpfung - 11.06.2010 (0)
  11. Boo/Sinowal.A und noch mehr
    Log-Analyse und Auswertung - 11.02.2010 (3)
  12. dropper.gen und wahrscheinlich mehr, bitte log auswerten
    Log-Analyse und Auswertung - 11.02.2010 (3)
  13. BOO/Sinowal weg? Ist da noch mehr?
    Plagegeister aller Art und deren Bekämpfung - 07.10.2009 (7)
  14. Vista atartet nicht mehr wahrscheinlich Virus
    Plagegeister aller Art und deren Bekämpfung - 04.08.2009 (1)
  15. troyaner auf dem rechner und wahrscheinlich noch mehr.
    Plagegeister aller Art und deren Bekämpfung - 14.09.2007 (40)
  16. Trojaner auf PC und noch mehr....?
    Mülltonne - 27.08.2006 (1)
  17. Noch mehr SpyAxe
    Plagegeister aller Art und deren Bekämpfung - 17.12.2005 (2)

Zum Thema mahmud.exe, wahrscheinlich noch mehr... - Zu Beginn ersteinmal ein großes Dankeschön, dass ihr euch Zeit für mich nehmt. Mein Name ist Chris und mein kleiner Bruder hat meinen PC zertört... Ich habe ein Notebook von - mahmud.exe, wahrscheinlich noch mehr......
Archiv
Du betrachtest: mahmud.exe, wahrscheinlich noch mehr... auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.