|
Plagegeister aller Art und deren Bekämpfung: trojanerfund "TR/Obfuscate.XZ.4040"Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
01.03.2012, 22:38 | #1 |
| trojanerfund "TR/Obfuscate.XZ.4040" hallo, ich habe bei meinem letzten virenscann folgenden trojaner gefunden, bzw. antivir hat ihn gefunden: Beginne mit der Suche in 'C:\' C:\$Recycle.Bin\S-1-5-21-1078102198-2045045650-3695564782-1000\$R5QJ6KQ\1911.dll [FUND] Ist das Trojanische Pferd TR/Obfuscate.XZ.4040 Beginne mit der Desinfektion: C:\$Recycle.Bin\S-1-5-21-1078102198-2045045650-3695564782-1000\$R5QJ6KQ\1911.dll [FUND] Ist das Trojanische Pferd TR/Obfuscate.XZ.4040 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a564b48.qua' verschoben! den vollständigen report habe ich als txt an diesen beitrag angehängt. bei einem anderen beitrag in diesem forum habe ich gelesen, dass die dortige anleitung zum löschen des trojaners nur für diesen pc geeignet ist.http://www.trojaner-board.de/83672-t...ng-google.html könnte mir jemand helfen diesen trojaner von meinem pc zu entfernen?? vielen dank schon mal vg wolf |
02.03.2012, 08:24 | #2 | ||
/// Helfer-Team | trojanerfund "TR/Obfuscate.XZ.4040" Hallo und Herzlich Willkommen!
__________________Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]: Zitat:
Für Vista und Win7: Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen Auf der angewählten Anwendung einen Rechtsklick (rechte Maustaste) und "Als Administrator ausführen" wählen! 1. Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org
2. Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
3. Um festzustellen, ob veraltete oder schädliche Software unter Programme installiert sind, ich würde gerne noch all deine installierten Programme sehen:
Zitat:
** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw grußkira
__________________ |
02.03.2012, 12:06 | #3 |
| trojanerfund "TR/Obfuscate.XZ.4040" hallo kira,
__________________habe versucht das ergebnis hier zu posten, allerdings bekam ich die fehlermeldung, dass ich zu viele zeichen verwendet hätte. Die folgenden Fehler traten bei der Verarbeitung auf: Der Text, den Sie eingegeben haben, besteht aus 1288302 Zeichen und ist damit zu lang. Bitte kürzen Sie den Text auf die maximale Länge von 100000 Zeichen. Logs bitte als Archiv an den Beitrag anhängen! daher hänge ich alles als gezippte txt an. ist das ok, oder soll ich 2 posts draus machen?? vg wolf |
02.03.2012, 17:02 | #4 | |
/// Helfer-Team | trojanerfund "TR/Obfuscate.XZ.4040" 1. Zitat:
Code:
ATTFilter :OTL IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} FF - prefs.js..browser.startup.homepage: "http://www.spiegel.de/" [2011.09.03 01:13:56 | 000,002,252 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\bing.xml [2011.09.03 01:19:44 | 000,001,105 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\yahoo-de.xml O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2009.09.09 03:17:43 | 000,419,088 | R--- | M] (Electronic Arts) - D:\AutoRun.exe -- [ UDF ] O32 - AutoRun File - [2009.09.09 03:11:07 | 000,000,000 | R--D | M] - D:\Autorun -- [ UDF ] O32 - AutoRun File - [2009.09.09 03:17:41 | 009,912,320 | R--- | M] () - D:\autorun.dat -- [ UDF ] O32 - AutoRun File - [2009.09.09 02:54:34 | 000,000,136 | R--- | M] () - D:\autorun.inf -- [ UDF ] O33 - MountPoints2\{c8999a90-dbe8-11e0-86ef-806e6f6e6963}\Shell - "" = AutoRun O33 - MountPoints2\{c8999a90-dbe8-11e0-86ef-806e6f6e6963}\Shell\AutoRun\command - "" = D:\AutoRun.exe -- [2009.09.09 03:17:43 | 000,419,088 | R--- | M] (Electronic Arts) :Commands [purity] [emptytemp]
2. Java aktualisieren Deine Javaversion ist nicht aktuell. Downloade nun die Offline-Version von Java "Empfohlen Version 6 Update 31 " von Oracle und installiere sie. Achte darauf, eventuell angebotene Toolbars nicht mitzuinstallieren, also während der Installation den Haken bei der Toolbar entfernen. 3. reinige dein System mit CCleaner:
4.
5. Auch auf USB-Sticks, selbstgebrannten Datenträgern, externen Festplatten und anderen Datenträgern können Viren transportiert werden. Man muss daher durch regelmäßige Prüfungen auf Schäden, die durch Malware ("Worm.Win32.Autorun") verursacht worden sein können, überwacht werden. Hierfür sind ser gut geegnet und empfohlen, die auf dem Speichermedium gesicherten Daten, mit Hilfe des kostenlosen Online Scanners zu prüfen. Schließe jetzt alle externe Datenträgeran (USB Sticks etc) Deinen Rechner an, dabei die Hochstell-Taste [Shift-Taste] gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. (So verhindest Du die Ausführung der AUTORUN-Funktion) - Man kann die AUTORUN-Funktion aber auch generell abschalten.►Anleitung 6. -> Führe dann einen Komplett-Systemcheck mit Eset Online Scanner (NOD32)Kostenlose Online Scanner durch Achtung!: >>Du sollst nicht die Antivirus-Sicherheitssoftware installieren, sondern dein System nur online scannen<< 7. erneut einen Scan mit OTL:
► berichte erneut über den Zustand des Computers. Ob noch Probleme auftreten, wenn ja, welche?
__________________ Warnung!: Vorsicht beim Rechnungen per Email mit ZIP-Datei als Anhang! Kann mit einen Verschlüsselungs-Trojaner infiziert sein! Anhang nicht öffnen, in unserem Forum erst nachfragen! Sichere regelmäßig deine Daten, auf CD/DVD, USB-Sticks oder externe Festplatten, am besten 2x an verschiedenen Orten! Bitte diese Warnung weitergeben, wo Du nur kannst! Geändert von kira (02.03.2012 um 17:15 Uhr) |
02.03.2012, 22:05 | #5 |
| trojanerfund "TR/Obfuscate.XZ.4040" so, habe jetzt alles geschafft. ich habe die txt dateien wieder in den anhang gepackt. vielen dank schon mal. stand jetzt gibt es keine probleme. ich werde ein auge darauf haben und mich wieder melden falls mir was auffällt. vg wolf |
03.03.2012, 20:06 | #6 | ||
/// Helfer-Team | trojanerfund "TR/Obfuscate.XZ.4040" 1. Zitat:
Code:
ATTFilter :OTL IE - HKLM\..\SearchScopes,DefaultScope = IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://de.msn.com/?ocid=iehp IE - HKCU\..\SearchScopes,DefaultScope = ?????????????? O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2009.11.13 13:27:08 | 000,000,057 | R--- | M] () - D:\Autorun.inf -- [ CDFS ] O33 - MountPoints2\{c8999a90-dbe8-11e0-86ef-806e6f6e6963}\Shell - "" = AutoRun O33 - MountPoints2\{c8999a90-dbe8-11e0-86ef-806e6f6e6963}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\menu.hta :Files ipconfig /flushdns /c :Commands [purity] [emptytemp]
2. Programme deinstallieren/entfernen, die wir verwendet haben und nicht brauchst, bis auf: Code:
ATTFilter CCleaner 3. Tool-Bereinigung mit OTL Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.
4. Wenn alles gut verlaufen und dein System läuft stabil,mache folgendes:
5. Ich würde Dir vorsichtshalber raten, dein Passwort zu ändern (man sollte alle 3-4 Monate machen) z.B. Login-, Mail- oder Website-Passwörter Tipps: Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 3-5 Monate ändern) auch noch hier unter: Sicheres Kennwort (Password) 6. ► Schaue bitte nach, ob für Windows neue Update gibt?!:-> - Microsoft Update hält Ihren Computer auf dem neuesten Stand! ► der Internet Explorer muss aktualisiert werden! Version 9 ist aktuell... Du kannst gleich den Internet Explorer 9 installieren, um die vorhandene Version von Internet Explorer zu ersetzen:-> Internet Explorer 9 Software wie Betriebssysteme, Browser und E-Mail Clients werden laufend weiterentwickelt. Gleichzeitig arbeiten jedoch auch Hacker daran, ständig neue Sicherheitslücken zu finden und auszunutzen. Was heute noch keine Schlupflücke für Viren und Würmer ist, kann morgen bereits zur Gefahr werden, wenn der entsprechende Schädling programmiert wurde. Das führt dazu, dass es relativ häufig zu Meldungen über neue Sicherheitsanfälligkeiten kommt, auch wenn diese noch nicht durch Hacker entdeckt wurden. Denn selbstverständlich suchen auch Sicherheitsspezialisten nach potenziellen Angriffsmöglichkeiten. Updates der Softwareentwickler sorgen dafür, dass der User immer die aktuellste und sicherste Version des Betriebssystems und der installierten Software nutzen kann. 7. ► der Internet Explorer muss aktualisiert werden! Version 9 ist aktuell... Du kannst gleich den Internet Explorer 9 installieren, um die vorhandene Version von Internet Explorer zu ersetzen:-> Internet Explorer 9 Software wie Betriebssysteme, Browser und E-Mail Clients werden laufend weiterentwickelt. Gleichzeitig arbeiten jedoch auch Hacker daran, ständig neue Sicherheitslücken zu finden und auszunutzen. Was heute noch keine Schlupflücke für Viren und Würmer ist, kann morgen bereits zur Gefahr werden, wenn der entsprechende Schädling programmiert wurde. Das führt dazu, dass es relativ häufig zu Meldungen über neue Sicherheitsanfälligkeiten kommt, auch wenn diese noch nicht durch Hacker entdeckt wurden. Denn selbstverständlich suchen auch Sicherheitsspezialisten nach potenziellen Angriffsmöglichkeiten. Updates der Softwareentwickler sorgen dafür, dass der User immer die aktuellste und sicherste Version des Betriebssystems und der installierten Software nutzen kann. Lesestoff Nr.1:
** Der gesunde Menschenverstand, Windows und Internet-Software sicher konfigurieren ist der beste Weg zur Sicherheit im Webverkehr ist !! Zitat:
► Kann sich auf Dauer eine Menge Datenmüll ansammeln, sich Fehlermeldungen häufen, der PC ist wahrscheinlich nicht mehr so schnell, wie früher:
Wenn Du uns unterstützen möchtest→ Spendekonto gruß kira
__________________ --> trojanerfund "TR/Obfuscate.XZ.4040" |
04.03.2012, 21:52 | #7 |
| trojanerfund "TR/Obfuscate.XZ.4040" nochmals vielen dank für die schnelle und sehr ausführliche hilfe. vg wolf [code] All processes killed ========== OTL ========== HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully! HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page Redirect Cache| /E : value set successfully! HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully! File move failed. D:\autorun.inf scheduled to be moved on reboot. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c8999a90-dbe8-11e0-86ef-806e6f6e6963}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c8999a90-dbe8-11e0-86ef-806e6f6e6963}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c8999a90-dbe8-11e0-86ef-806e6f6e6963}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c8999a90-dbe8-11e0-86ef-806e6f6e6963}\ not found. File C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\menu.hta not found. ========== FILES ========== < ipconfig /flushdns /c > Windows-IP-Konfiguration Der DNS-Aufl”sungscache wurde geleert. C:\Users\wolf\Desktop\Download\cmd.bat deleted successfully. C:\Users\wolf\Desktop\Download\cmd.txt deleted successfully. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Public User: wolf ->Temp folder emptied: 24603743 bytes ->Temporary Internet Files folder emptied: 11996978 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 44131658 bytes ->Flash cache emptied: 689 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32 (64bit) .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 0 bytes %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33170 bytes RecycleBin emptied: 440711 bytes Total Files Cleaned = 77,00 mb OTL by OldTimer - Version 3.2.34.0 log created on 03042012_210949 Files\Folders moved on Reboot... File move failed. D:\autorun.inf scheduled to be moved on reboot. C:\Users\wolf\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully. Registry entries deleted on Reboot... [\code] |
Themen zu trojanerfund "TR/Obfuscate.XZ.4040" |
andere, anderen, anleitung, antivir, beitrag, datei, entfernen, folge, folgende, forum, geeignet, hinweis, löschen, namen, pferd, recycle.bin, report, rojaner gefunden, scan, suche, trojaner, trojaner gefunden, trojaners, trojanische, trojanische pferd, verschoben, virenscan, virenscann |