|
Log-Analyse und Auswertung: Ucash - TrojanerWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
26.04.2012, 12:28 | #1 |
| Ucash - Trojaner Hallo an Alle, gestern ging gar nichts mehr, ich hatte mir einen cash-trojaner eingefangen. Ein guter Geist hatte zufällig die CD aus der Zeitschrift ct. Damit konnten wir das Windows Betriebssystem wieder reaktivieren der viren killer hatte 10 trojaner gefunden und irgendwo eingesperrt. Jetzt würde ich sie gerne wieder loswerden, aber kein Programm traut sich so richtig ran. Was sollich jetzt tun. Hier die Log datei: ESETSmartInstaller@High as downloader log: all ok # version=7 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6583 # api_version=3.0.2 # EOSSerial=5e8addf7cd70d84d931e8b1ce28cd341 # end=stopped # remove_checked=true # archives_checked=false # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2012-04-26 10:09:27 # local_time=2012-04-26 12:09:27 (+0100, Westeuropäische Sommerzeit) # country="Germany" # lang=1033 # osver=5.1.2600 NT Service Pack 3 # compatibility_mode=1792 16777191 100 0 2507164 2507164 0 0 # compatibility_mode=8192 67108863 100 0 452 452 0 0 # scanned=36164 # found=7 # cleaned=7 # scan_time=894 C:\Dokumente und Einstellungen\Internet\Anwendungsdaten\Realtec\Realtecdriver.exe.VIRUS Win32/Trustezeb.A trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C C:\Dokumente und Einstellungen\Internet\Lokale Einstellungen\Temp\vrpkcxigwq.pre.VIRUS Win32/Trustezeb.A trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C C:\Dokumente und Einstellungen\Steffi\Anwendungsdaten\Kqxhlforu\358104B7606162AF6700.exe.VIRUS Win32/Trustezeb.A trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C C:\Dokumente und Einstellungen\Steffi\Anwendungsdaten\Realtec\Realtecdriver.exe.VIRUS Win32/Trustezeb.A trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C C:\Dokumente und Einstellungen\Steffi\Lokale Einstellungen\Temp\aegwjrpffh.pre.VIRUS Win32/Trustezeb.A trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C C:\Dokumente und Einstellungen\Steffi\Lokale Einstellungen\Temp\avaptrrynb.pre.VIRUS Win32/Trustezeb.A trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C C:\Dokumente und Einstellungen\Steffi\Lokale Einstellungen\Temp\vrlnjyuztk.pre.VIRUS Win32/Trustezeb.A trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C ESETSmartInstaller@High as downloader log: all ok # version=7 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6583 # api_version=3.0.2 # EOSSerial=5e8addf7cd70d84d931e8b1ce28cd341 # end=stopped # remove_checked=false # archives_checked=true # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2012-04-26 11:01:36 # local_time=2012-04-26 01:01:36 (+0100, Westeuropäische Sommerzeit) # country="Germany" # lang=1033 # osver=5.1.2600 NT Service Pack 3 # compatibility_mode=1792 16777191 100 0 2508273 2508273 0 0 # compatibility_mode=8192 67108863 100 0 1561 1561 0 0 # scanned=75969 # found=2 # cleaned=0 # scan_time=2915 C:\Dokumente und Einstellungen\Steffi\Lokale Einstellungen\Temp\pnW2M0hl.zip.part.VIRUS Win32/Trustezeb.A trojan (unable to clean) 00000000000000000000000000000000 I C:\WINDOWS\system32\077ACC4E606162AF255E.exe.VIRUS Win32/Trustezeb.A trojan (unable to clean) 00000000000000000000000000000000 I Danke für Eure Hilfe |
26.04.2012, 16:39 | #2 |
/// Malware-holic | Ucash - Trojaner also laut log sind sie in quarantäne, liegt dein problem jetzt bei den verschlüsselten dateien?
__________________hast du dir das über ne mail eingefangen (rechnung) und hast du diese noch?
__________________ |
27.04.2012, 07:45 | #3 |
| Ucash - Trojaner Hallo markusg,
__________________danke für die fixe Antwort. Kann ich die jetzt einfach so löschen und alles ist gut? Ja ich habe die ganze Mail noch bei gmx liegen. Wenn Du mir sagst was ich gefahrlos damit tun soll, kannst Du sie gerne haben. Ich habe leider nur wenig Ahnung und will keinen Schaden machen. Grus jopi Geändert von jopi (27.04.2012 um 08:21 Uhr) |
30.04.2012, 10:18 | #4 |
| Ucash - Trojaner Hallo Marcus, nachden ich mit dem tollen DecryptHelper von Matthias über 7 000 Dateien entlockethabe, ist zweimal der Malwarebyts drüber gelaufen. Bis auf die Profile und Lesezeichen von Firefox und Thunderbird schein alles gut zu sein. Wie geht es jetzt weiter? Anbei die beiden Logs (hoffe das geht so) Danke an alle Helfer Jopi Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.04.29.04 Windows XP Service Pack 3 x86 NTFS Internet Explorer 7.0.5730.11 **************** [Administrator] Schutz: Aktiviert 29.04.2012 20:13:12 mbam-log-2012-04-29 (20-13-12).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 336732 Laufzeit: 1 Stunde(n), 9 Minute(n), 42 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 3 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Realtecdriver (Backdoor.Agent) -> Daten: C:\Dokumente und Einstellungen\****\Anwendungsdaten\Realtec\Realtecdriver.exe -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 1 C:\Dokumente und Einstellungen\****\Eigene Dateien\Downloads\DecryptHelper.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.04.30.03 Windows XP Service Pack 3 x86 NTFS Internet Explorer 7.0.5730.11 ************** [Administrator] Schutz: Aktiviert 30.04.2012 08:11:45 mbam-log-2012-04-30 (08-11-45).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 336243 Laufzeit: 1 Stunde(n), 6 Minute(n), 59 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) |
30.04.2012, 17:47 | #5 |
/// Malware-holic | Ucash - Trojaner hi, du kannst ja noch mal den avira unlocker probieren: mache ein backup deiner wichtigen dateien die verschlüsselt sind auf ein externes laufwerk dann entschlüsseln: http://www.trojaner-board.de/114224-...-unlocker.html teile mir mit obs geklappt hatt
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
30.04.2012, 18:43 | #6 |
| Ucash - Trojaner Hallo Markus, da habe ich mich wohl falsch ausgedrückt. Es ist nichts mehr verschlüsselt. FF und TB greifen nicht auf die Profiles zu, das wird sich wohl reparieren lassen. Oder sagen die Lonfils was anderes? Ich wollte nur wissen, ob ich wieder online gehen kann (auch onlinbanking) oder ob ich noch irgendwelche Schutzmaßnahmen ausführen soll. Alle Passwörter ändern ist vorgesehen. Welchen Virenscanner empfiehlst du; er darf auch was kosten. Gruß Jopi |
01.05.2012, 11:23 | #7 |
/// Malware-holic | Ucash - Trojaner hmm, wenn du onlinebanking machst, würd ich drüber nachdenken das system einmal komplett neu aufzusetzen. und dann das system abzusichern. weist du wie man formatiert? daten sichern ist natürlich möglich
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
01.05.2012, 12:42 | #8 |
| Ucash - Trojaner Danke markusg, Das werde ich dann alles finden, und wir können dieses Thema hier schließen. Euch allen noch mal besten Dank jopi |
01.05.2012, 17:51 | #9 |
/// Malware-holic | Ucash - Trojaner hi, pc absichern: als antimalware programm würde ich emsisoft empfehlen. diese haben für mich den besten schutz kostet aber etwas. http://www.trojaner-board.de/103809-...i-malware.html testversion: Meine Antivirus-Empfehlung: Emsisoft Anti-Malware insbesondere wenn du onlinebanking, einkäufe, sonstige zahlungsabwicklungen oder ähnlich wichtiges, wie zb berufliches machst, also sensible daten zu schützen sind, solltest du in sicherheitssoftware investieren. vor dem aktivieren der lizenz die 30 tage testzeitraum ausnutzen. kostenlos, aber eben nicht ganz so gut wäre avast zu empfehlen. http://www.trojaner-board.de/110895-...antivirus.html sag mir welches du nutzt, dann gebe ich konfigurationshinweise. bitte dein bisheriges av deinstalieren die folgende anleitung ist umfangreich, dass ist mir klar, sie sollte aber umgesetzt werden, da nur dann dein pc sicher ist. stelle so viele fragen wie nötig, ich arbeite gern alles mit dir durch! http://www.trojaner-board.de/96344-a...-rechners.html Starte bitte mit der Passage, Windows Vista und Windows 7 Bitte beginne damit, Windows Updates zu instalieren. Am besten geht dies, wenn du über Start, Suchen gehst, und dort Windows Updates eingibst. Prüfe unter "Einstellungen ändern" dass folgendes ausgewählt ist: - Updates automatisch Instalieren, - Täglich - Uhrzeit wählen - Bitte den gesammten rest anhaken, außer: - detailierte benachichtungen anzeigen, wenn neue Microsoft software verfügbar ist. Klicke jetzt die Schaltfläche "OK" Klicke jetzt "nach Updates suchen". Bitte instaliere zunächst wichtige Updates. Es wird nötig sein, den PC zwischendurch neu zu starten. falls dies der Fall ist, musst du erneut über Start, Suchen, Windows Update aufrufen, auf Updates suchen klicken und die nächsten instalieren. Mache das selbe bitte mit den optionalen Updates. Bitte übernimm den rest so, wie es im Abschnitt windows 7 / Vista zu lesen ist. aus dem Abschnitt xp, bitte den punkt "datenausführungsverhinderung, dep" übernehmen. als browser rate ich dir zu chrome: Installation von Google Chrome für mehrere Nutzerkonten - Google Chrome-Hilfe anleitung lesen bitte falls du nen andern nutzen willst, sags mir dann muss ich teile der nun folgenden anleitung Sandboxie Die devinition einer Sandbox ist hier nachzulesen: Sandbox Kurz gesagt, man kann Programme fast 100 %ig isuliert vom System ausführen. Der Vorteil liegt klar auf der Hand, wenn über den Browser Schadcode eingeschläust wird, kann dieser nicht nach außen dringen. Download Link: Sandboxie Download - Sandboxie 3.68 anleitung: http://www.trojaner-board.de/71542-a...sandboxie.html ausführliche anleitung als pdf, auch abarbeiten: Sandbox Einstellungen | bitte folgende zusatz konfiguration machen: sandboxie control öffnen, menü sandbox anklicken, defauldbox wählen. dort klicke auf sandbox einstellungen. beschrenkungen, bei programm start und internet zugriff schreibe: chrome.exe dann gehe auf anwendungen, webbrowser, chrome. dort aktiviere alles außer gesammten profil ordner freigeben. Wie du evtl. schon gesehen hast, kannst du einige Funktionen nicht nutzen. Dies ist nur in der Vollversion nötig, zu deren Kauf ich dir rate. Du kannst zb unter "Erzwungene Programmstarts" festlegen, dass alle Browser in der Sandbox starten. Ansonsten musst du immer auf "Sandboxed webbrowser" klicken bzw Rechtsklick, in Sandboxie starten. Eine lebenslange Lizenz kostet 30 €, und ist auf allen deinen PC's nutzbar. Weiter mit: Maßnahmen für ALLE Windows-Versionen alles komplett durcharbeiten anmerkung zu file hippo. in den settings zusätzlich auswählen: Run updateChecker when Windows starts Backup Programm: in meiner Anleitung ist bereits ein Backup Programm verlinkt, als Alternative bietet sich auch das Windows eigene Backup Programm an: http://www.trojaner-board.de/82962-w...en-backup.html Dies ist aber leider nur für Windows 7 Nutzer vernünftig nutzbar. Alle Anderen sollten sich aber auf jeden fall auch ein Backup Programm instalieren, denn dies kann unter Umständen sehr wichtig sein, zum Beispiel, wenn die Festplatte einmal kaputt ist. Zum Schluss, die allgemeinen sicherheitstipps beachten, wenn es dich betrifft, den Tipp zum Onlinebanking beachten und alle Passwörter ändern bitte auch lesen, wie mache ich programme für alle sichtbar: Programme für alle Konten nutzbar machen - PCtipp.ch - Praxis & Hilfe surfe jetzt also nur noch im standard nutzer konto und dort in der sandbox. wenn du die kostenlose version nutzt, dann mit klick auf sandboxed web browser, wenn du die bezahlversion hast, kannst du erzwungene programm starts festlegen, dann wird Sandboxie immer gestartet wenn du nen browser aufrufst. wenn du mit der maus über den browser fährst sollte der eingerahmt sein, dann bist du im sandboxed web browser
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
02.05.2012, 21:02 | #10 |
| Ucash - Trojaner Hallo Markusg, vorsichtshalber habe ich noch den Avast-Antivirus rüberlaufen lassen. Der hat eine Fund bei C:\locked-Realtecdriver.exe.yfemp angezeigt.Muss ich mir jetzt Sorgen machen? Eigendlich wollte ich die privaten Daten sichern und morgen mit der Neuinstallation anfangen. Soll ich das tun? Danke jopi |
Themen zu Ucash - Trojaner |
betriebssystem, datei, dokumente, downloader, einstellungen, escan, found, guter, internet, log, lokale, loswerden, nichts, onlinescan, programm, reaktivieren, rojaner gefunden, service, sommerzeit, system32, temp, trojane, trojaner, trojaner gefunden, version, viren, windows, zufällig |