|
Log-Analyse und Auswertung: Mega-Trojaner | Android-> Windows, Windows-> Android |Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
11.08.2012, 01:10 | #1 |
| Mega-Trojaner | Android-> Windows, Windows-> Android | Hallo Liebes Trojaner-Board Team, ich habe ein fettes Problem, ich versuche es so genau wie möglich zu beschreiben: Erstmal sei gesagt das ich keine Ahnung habe wo ich mir den eingefangen habe, ich bin ein vorsichtiger User und habe bis jetzt noch von keinem vergleichbarem Problem im Internet gelesen, und dieses nutze ich schon sehr lange ;-) Ich weis ja nichtmal um welche Art von Virus es sich handelt, ich habe versucht einen aufmerksamkeitseregenden Titel zu wählen. Malwarebytes meldet mir bei Programmen wie Tor oder Chrome das ein Programm versucht, eine Verbindung zu einem Server aufzubauen, das wird durch Malwarebytes verhindert, allerdings ist Malwarebytes nicht in der Lage diesen Virus zu beseitigen. Ich habe mein System 4mal neuaufgsetzt, immer die Festplatte formatiert, sämtliche Datenträger die ich habe formatiert, mein Handy 4mal auf Werkeinstellungen gebracht und keines der gennanten Geräte miteinander Verbunden ohne Einzeltest, und der ist noch immer da, noch immer meldet mir Malwarebytes das der <wasauchimmer> versucht, seine Verbindung da zum Virus-Server aufzubauen. Das Problem liegt denke ich an meinem Android-Handy, ich habe unter 2.3.4 auf "Telefon löschen" (inkl. SD Karte Löschen) geklickt, und trozdem befindet er sich noch auf meinem Androiden, ich bin mit den Nerven völlig am Ende, er hat mir Bitcoins im Wert von 100€ geraubt, ich weis einfach nichtmehr weiter ich hoffe ihr könnt mir helfen, es ist sogar die Hölle für mich, diesen Thread hier halbwegs informativ zu schreiben, der zerstört mein Leben! Ich habe schon 3 Freunde (eine weibliche Person an der ich sehr interessiert wahr) durch den Virus verloren und ich weis nicht ob der mich in den Suizid treiben will, aber ich denke das hat er sehr sehr bald geschafft! Folgende Datenträger habe ich: - USB-Stick - Externe HD - Android-Handy - Interne HD Ich weis nicht ob der Virus in meinen Email-Account geht und dann irgendwelche Anhänge herunterlädt um sich erneut zu aktivieren. Ich habe einfach keine Ahnung was ich jetzt machen soll, ich habe auch starke Panik-Attacken wegen dieser Vorfälle aber das ist ein anderes Thema. Aber rumheulen bringt jetzt auch nicht viel also versuch ich sachlich zu bleiben. Wenn er Keylogging angeschalten hat, hat er sämtliche Daten von mir, die man nur irgendwie haben kann. (Facebook, Banking, ALLE email accs von mir, Whatsapp, alles alles alles) Ich starte gerade eine VOLLSTÄNDIGE Suche mit Malwarebytes wie oben beschrieben und poste dann die Ergebnisse. Ich hoffe wirklich dass das einem von euch hilft, mir zu helfen, denn endlich loszwerden, in Zukunft werde ich halt noch viel vorsichtiger sein als ich jetzt schon ohnehin bin. Ich garantiere euch wie ein Uhrwerk zu folgen IHR SAGT--> ICH MACHE! Egal was! Er hat mich um sehr wichtige Kontakte und um meine Ersparnisse gebracht, ich hoffe er hat mich nicht als Vicsock verwendet sonst kann ich mich gleich erschießen. die einzigen logs die ich habe: Code:
ATTFilter 2012/08/11 00:07:05 +0200 HOME-PC HOME IP-BLOCK 213.163.65.50 (Type: outgoing, Port: 50332, Process: tor.exe) 2012/08/11 00:07:05 +0200 HOME-PC HOME IP-BLOCK 89.248.172.226 (Type: outgoing, Port: 50334, Process: tor.exe) Code:
ATTFilter 2012/08/10 23:45:56 +0200 HOME-PC HOME MESSAGE Starting protection 2012/08/10 23:46:01 +0200 HOME-PC HOME MESSAGE Protection started successfully 2012/08/10 23:46:04 +0200 HOME-PC HOME MESSAGE Starting IP protection 2012/08/10 23:46:08 +0200 HOME-PC HOME MESSAGE IP Protection started successfully 2012/08/10 23:46:49 +0200 HOME-PC HOME MESSAGE Starting database refresh 2012/08/10 23:46:49 +0200 HOME-PC HOME MESSAGE Stopping IP protection 2012/08/10 23:50:04 +0200 HOME-PC HOME MESSAGE Executing scheduled update: Daily 2012/08/10 23:50:06 +0200 HOME-PC HOME MESSAGE Database already up-to-date 2012/08/10 23:51:13 +0200 HOME-PC HOME MESSAGE IP Protection stopped 2012/08/10 23:51:19 +0200 HOME-PC HOME MESSAGE Database refreshed successfully 2012/08/10 23:51:19 +0200 HOME-PC HOME MESSAGE Starting IP protection 2012/08/10 23:51:25 +0200 HOME-PC HOME MESSAGE IP Protection started successfully |
15.08.2012, 16:58 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Mega-Trojaner | Android-> Windows, Windows-> Android |Code:
ATTFilter 213.163.65.50 (Type: outgoing, Port: 50332, Process: tor.exe) Wie du schon schon erkannt hast tritt das nur auf, wenn du TOR startest und Malwarebytes meldet lediglich eine verdächtige Aktion!
__________________ |
16.08.2012, 12:16 | #3 | |
| Mega-Trojaner | Android-> Windows, Windows-> Android |Zitat:
selbiges passiert bei chrome / skype auch. komisch! was sagste dazu? |
16.08.2012, 12:53 | #4 |
/// Malware-holic | Mega-Trojaner | Android-> Windows, Windows-> Android | ja, malwarebytes blockt die verbindung zum thor proxy, sieht man an der ip, deinstalire das programm und es sollte ruhe sein.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
16.08.2012, 12:59 | #5 | |
| Mega-Trojaner | Android-> Windows, Windows-> Android |Zitat:
selbiges passiert bei chrome / skype auch. komisch! was sagste dazu? edit: Code:
ATTFilter Avira Free Antivirus Erstellungsdatum der Reportdatei: Dienstag, 14. August 2012 20:55 Es wird nach 4093269 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - Free Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows 7 Home Premium Windowsversion : (Service Pack 1) [6.1.7601] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : HOME-PC Versionsinformationen: BUILD.DAT : 12.0.0.1167 40870 Bytes 18.07.2012 19:07:00 AVSCAN.EXE : 12.3.0.33 468472 Bytes 18.07.2012 16:04:24 AVSCAN.DLL : 12.3.0.15 66256 Bytes 18.07.2012 16:04:38 LUKE.DLL : 12.3.0.15 68304 Bytes 18.07.2012 16:04:31 AVSCPLR.DLL : 12.3.0.27 97064 Bytes 18.07.2012 16:04:24 AVREG.DLL : 12.3.0.33 232232 Bytes 18.07.2012 16:04:23 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 23:22:12 VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 23:31:36 VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 09:58:50 VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 22:37:35 VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 16:04:37 VBASE006.VDF : 7.11.34.117 2048 Bytes 29.06.2012 16:04:37 VBASE007.VDF : 7.11.34.118 2048 Bytes 29.06.2012 16:04:37 VBASE008.VDF : 7.11.34.119 2048 Bytes 29.06.2012 16:04:37 VBASE009.VDF : 7.11.34.120 2048 Bytes 29.06.2012 16:04:37 VBASE010.VDF : 7.11.34.121 2048 Bytes 29.06.2012 16:04:37 VBASE011.VDF : 7.11.34.122 2048 Bytes 29.06.2012 16:04:37 VBASE012.VDF : 7.11.34.123 2048 Bytes 29.06.2012 16:04:37 VBASE013.VDF : 7.11.34.124 2048 Bytes 29.06.2012 16:04:37 VBASE014.VDF : 7.11.38.18 2554880 Bytes 30.07.2012 21:46:10 VBASE015.VDF : 7.11.38.70 556032 Bytes 31.07.2012 21:46:11 VBASE016.VDF : 7.11.38.143 171008 Bytes 02.08.2012 21:46:12 VBASE017.VDF : 7.11.38.221 178176 Bytes 06.08.2012 21:46:13 VBASE018.VDF : 7.11.39.37 168448 Bytes 08.08.2012 21:46:13 VBASE019.VDF : 7.11.39.89 131072 Bytes 09.08.2012 21:46:14 VBASE020.VDF : 7.11.39.145 142336 Bytes 11.08.2012 21:46:32 VBASE021.VDF : 7.11.39.146 2048 Bytes 11.08.2012 21:46:32 VBASE022.VDF : 7.11.39.147 2048 Bytes 11.08.2012 21:46:32 VBASE023.VDF : 7.11.39.148 2048 Bytes 11.08.2012 21:46:32 VBASE024.VDF : 7.11.39.149 2048 Bytes 11.08.2012 21:46:32 VBASE025.VDF : 7.11.39.150 2048 Bytes 11.08.2012 21:46:32 VBASE026.VDF : 7.11.39.151 2048 Bytes 11.08.2012 21:46:32 VBASE027.VDF : 7.11.39.152 2048 Bytes 11.08.2012 21:46:32 VBASE028.VDF : 7.11.39.153 2048 Bytes 11.08.2012 21:46:32 VBASE029.VDF : 7.11.39.154 2048 Bytes 11.08.2012 21:46:33 VBASE030.VDF : 7.11.39.155 2048 Bytes 11.08.2012 21:46:33 VBASE031.VDF : 7.11.39.156 2048 Bytes 11.08.2012 21:46:33 Engineversion : 8.2.10.132 AEVDF.DLL : 8.1.2.10 102772 Bytes 10.08.2012 21:46:26 AESCRIPT.DLL : 8.1.4.42 459129 Bytes 10.08.2012 21:46:26 AESCN.DLL : 8.1.8.2 131444 Bytes 16.02.2012 16:11:36 AESBX.DLL : 8.2.5.12 606578 Bytes 18.07.2012 16:04:20 AERDL.DLL : 8.1.9.15 639348 Bytes 20.01.2012 23:21:32 AEPACK.DLL : 8.3.0.24 811381 Bytes 10.08.2012 21:46:25 AEOFFICE.DLL : 8.1.2.42 201083 Bytes 10.08.2012 21:46:24 AEHEUR.DLL : 8.1.4.86 5165429 Bytes 10.08.2012 21:46:23 AEHELP.DLL : 8.1.23.2 258422 Bytes 18.07.2012 16:04:17 AEGEN.DLL : 8.1.5.34 434548 Bytes 10.08.2012 21:46:17 AEEXP.DLL : 8.1.0.74 86387 Bytes 10.08.2012 21:46:26 AEEMU.DLL : 8.1.3.2 393587 Bytes 10.08.2012 21:46:16 AECORE.DLL : 8.1.27.4 201078 Bytes 10.08.2012 21:46:16 AEBB.DLL : 8.1.1.0 53618 Bytes 20.01.2012 23:21:28 AVWINLL.DLL : 12.3.0.15 27344 Bytes 18.07.2012 16:04:25 AVPREF.DLL : 12.3.0.15 51920 Bytes 18.07.2012 16:04:23 AVREP.DLL : 12.3.0.15 179208 Bytes 18.07.2012 16:04:23 AVARKT.DLL : 12.3.0.15 211408 Bytes 18.07.2012 16:04:21 AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 18.07.2012 16:04:22 SQLITE3.DLL : 3.7.0.1 398288 Bytes 18.07.2012 16:04:34 AVSMTP.DLL : 12.3.0.32 63480 Bytes 18.07.2012 16:04:24 NETNT.DLL : 12.3.0.15 17104 Bytes 18.07.2012 16:04:31 RCIMAGE.DLL : 12.3.0.31 4444408 Bytes 18.07.2012 16:04:41 RCTEXT.DLL : 12.3.0.31 100088 Bytes 18.07.2012 16:04:41 Konfiguration für den aktuellen Suchlauf: Job Name..............................: AVGuardAsyncScan Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_50294657\guard_slideup.avp Protokollierung.......................: standard Primäre Aktion........................: reparieren Sekundäre Aktion......................: quarantäne Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: aus Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: aus Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: vollständig Beginn des Suchlaufs: Dienstag, 14. August 2012 20:55 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SDRootAlyzer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SDWelcome.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'pidgin-portable.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PidginPortable.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'tbb-firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'polipo.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'tor.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'vidalia.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'foobar2000.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mbamservice.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SDTray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mbamgui.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SDWSCSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SDUpdSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SDFSSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\Windows\winsxs\Backup\amd64_microsoft-windows-font-truetype-gulim_31bf3856ad364e35_6.1.7600.16385_none_a1815c1476403b50_gulim.ttc_7c526737' C:\Windows\winsxs\Backup\amd64_microsoft-windows-font-truetype-gulim_31bf3856ad364e35_6.1.7600.16385_none_a1815c1476403b50_gulim.ttc_7c526737 [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2011-3402 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e672679.qua' verschoben! Ende des Suchlaufs: Dienstag, 14. August 2012 20:56 Benötigte Zeit: 01:13 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 0 Verzeichnisse wurden überprüft 38 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 37 Dateien ohne Befall 1 Archive wurden durchsucht 0 Warnungen 1 Hinweise |
16.08.2012, 14:07 | #6 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Mega-Trojaner | Android-> Windows, Windows-> Android |Zitat:
Code:
ATTFilter Beginne mit der Suche in 'C:\Windows\winsxs\Backup\amd64_microsoft-windows-font-truetype-gulim_31bf3856ad364e35_6.1.7600.16385_none_a1815c1476403b50_gulim.ttc_7c526737' C:\Windows\winsxs\Backup\amd64_microsoft-windows-font-truetype-gulim_31bf3856ad364e35_6.1.7600.16385_none_a1815c1476403b50_gulim.ttc_7c526737 [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2011-3402 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e672679.qua' versch Merke: Die Ergebnisse eines Virenscanners sind mit Vorsicht zu genießen, nur weil der Scanner kreischt ist das noch lange kein Grund zur Panik - man soltle auch mal offensichtlichs Fehlalarme ertsmal ausschließen, anstatt den Virenscanner als Sprachrohr Gottes zu betrachten
__________________ --> Mega-Trojaner | Android-> Windows, Windows-> Android | |
16.08.2012, 15:53 | #7 |
/// Malware-holic | Mega-Trojaner | Android-> Windows, Windows-> Android | wenn ich mich noch mal kurz einmischen darf, rechtsklick avira schirm, deaktivieren. dann avira, verwaltung, quarantäne. dann wähle den fund, wiederherstellen in, desktop Trojaner-Board Upload Channel dann mal die datei da hochladen, dann können wir sie uns mal angucken danach avira, verwaltung, quarantäne, dann datei wieder hinzufügen.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
17.08.2012, 18:16 | #8 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Mega-Trojaner | Android-> Windows, Windows-> Android | Markus du darfst dich immer einmischen
__________________ Logfiles bitte immer in CODE-Tags posten |
20.08.2012, 10:18 | #9 |
/// Malware-holic | Mega-Trojaner | Android-> Windows, Windows-> Android | zu freundlich. aber da bisher kein upload angekommen ist, kann ich bisher noch nicht 100 %ig sicher sagen obs nen fp ist oder nicht
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
Themen zu Mega-Trojaner | Android-> Windows, Windows-> Android | |
anderes, bitcoins, brauch, code, daten, datenträger, einfach, erneut, festplatte, handy, infos, internet, karte, löschen, nerven, port, problem, programme, server, system, tiere, trojaner-board, update, verbindung, verhindert, virus, werkeinstellungen, whatsapp, windows |