| |
| |||||||
Log-Analyse und Auswertung: GVU Trojaner Bundesamt für SicherheitWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
20.08.2012, 21:53
| #1 |
| |  GVU Trojaner Bundesamt für Sicherheit Liebe Leute, ich habe mir oben genannten Trojaner eingefangen. Mit einem zweiten Laptop habe ich mir "Malwarebytes Anti-Maleware" runtergeladen und einen Scan durchgeführt. Das Programm hat Datein gefunden und gelöscht. Hier die Datei die es ausgespuckt hat: Malwarebytes Anti-Malware 1.62.0.1300 www.malwarebytes.org Database version: v2012.08.20.09 Windows XP Service Pack 3 x86 NTFS 20.08.2012 22:30:50 mbam-log-2012-08-20 (22-30-50).txt Scan type: Quick scan Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM Scan options disabled: P2P Objects scanned: 368418 Time elapsed: 18 minute(s), 29 second(s) Memory Processes Detected: 0 (No malicious items detected) Memory Modules Detected: 0 (No malicious items detected) Registry Keys Detected: 7 HKCR\CLSID\{DD31495E-290C-41CF-8C66-7415383F82DE} (Trojan.Banker) -> Quarantined and deleted successfully. HKCR\linkrdr.AIEbho.1 (Trojan.Banker) -> Quarantined and deleted successfully. HKCR\linkrdr.AIEbho (Trojan.Banker) -> Quarantined and deleted successfully. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DD31495E-290C-41CF-8C66-7415383F82DE} (Trojan.Banker) -> Quarantined and deleted successfully. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{DD31495E-290C-41CF-8C66-7415383F82DE} (Trojan.Banker) -> Quarantined and deleted successfully. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\prh (Trojan.Banker) -> Quarantined and deleted successfully. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\tst (Trojan.Banker) -> Quarantined and deleted successfully. Registry Values Detected: 0 (No malicious items detected) Registry Data Items Detected: 0 (No malicious items detected) Folders Detected: 1 C:\WINDOWS.0\system32\xmldm (Stolen.Data) -> Quarantined and deleted successfully. Files Detected: 57 C:\Dokumente und Einstellungen\spups\Lokale Einstellungen\Temp\wpbt0.dll (Trojan.FakeMS) -> Delete on reboot. C:\WINDOWS.0\system32\AcroIEHelpe.txt (Malware.Trace) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\spups\Lokale Einstellungen\Temp\IEPASS.abc (Malware.Trace) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\spups\Lokale Einstellungen\Temp\UuU.uUu (Malware.Trace) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\spups\Lokale Einstellungen\Temp\XxX.xXx (Malware.Trace) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\spups\Startmenü\Programme\Autostart\ctfmon.lnk (Trojan.Ransom.Gen) -> Quarantined and deleted successfully. C:\WINDOWS.0\system32\xmldm\2936_FF_0000000256.key (Stolen.Data) -> Quarantined and deleted successfully. C:\WINDOWS.0\system32\xmldm\3940_FF_0000000257.key (Stolen.Data) -> Quarantined and deleted successfully. C:\WINDOWS.0\system32\xmldm\3940_FF_0000000258.htm (Stolen.Data) -> Quarantined and deleted successfully. C:\WINDOWS.0\system32\xmldm\3940_FF_0000000259.frm (Stolen.Data) -> Quarantined and deleted successfully. C:\WINDOWS.0\system32\xmldm\3940_FF_0000000260.pst (Stolen.Data) -> Quarantined and deleted successfully. C:\WINDOWS.0\system32\xmldm\3940_FF_0000000261.htm (Stolen.Data) -> Quarantined and deleted successfully. C:\WINDOWS.0\system32\xmldm\3940_FF_0000000262.key (Stolen.Data) -> Quarantined and deleted successfully. C:\WINDOWS.0\system32\xmldm\3940_FF_0000000263.pst (Stolen.Data) -> Quarantined and deleted successfully. C:\WINDOWS.0\system32\xmldm\3940_FF_0000000264.htm (Stolen.Data) -> Quarantined and deleted successfully. C:\WINDOWS.0\system32\xmldm\3940_FF_0000000265.key (Stolen.Data) -> Quarantined and deleted successfully. C:\WINDOWS.0\system32\xmldm\3940_FF_0000000266.frm (Stolen.Data) -> Quarantined and deleted successfully. C:\WINDOWS.0\system32\xmldm\3940_FF_0000000267.pst (Stolen.Data) -> Quarantined and deleted successfully. C:\WINDOWS.0\system32\xmldm\3940_FF_0000000268.htm (Stolen.Data) -> Quarantined and deleted successfully. C:\WINDOWS.0\system32\xmldm\3940_FF_0000000269.key (Stolen.Data) -> Quarantined and deleted successfully. C:\WINDOWS.0\system32\xmldm\3940_FF_0000000270.htm (Stolen.Data) -> Quarantined and deleted successfully. C:\WINDOWS.0\system32\xmldm\3940_FF_0000000271.key (Stolen.Data) -> Quarantined and deleted successfully. C:\WINDOWS.0\system32\xmldm\3940_FF_0000000272.htm (Stolen.Data) -> Quarantined and deleted successfully. C:\WINDOWS.0\system32\xmldm\3940_FF_0000000273.key (Stolen.Data) -> Quarantined and deleted successfully. C:\WINDOWS.0\system32\xmldm\3940_FF_0000000274.htm (Stolen.Data) -> Quarantined and deleted successfully. C:\WINDOWS.0\system32\xmldm\3940_FF_0000000275.key (Stolen.Data) -> Quarantined and deleted successfully. C:\WINDOWS.0\system32\xmldm\3940_FF_0000000276.htm (Stolen.Data) -> Quarantined and deleted successfully. C:\WINDOWS.0\system32\xmldm\3940_FF_0000000277.key (Stolen.Data) -> Quarantined and deleted successfully. C:\WINDOWS.0\system32\xmldm\3940_FF_0000000278.htm (Stolen.Data) -> Quarantined and deleted successfully. C:\WINDOWS.0\system32\xmldm\3940_FF_0000000279.key (Stolen.Data) -> Quarantined and deleted successfully. C:\WINDOWS.0\system32\xmldm\3940_FF_0000000280.frm (Stolen.Data) -> Quarantined and deleted successfully. C:\WINDOWS.0\system32\xmldm\3940_FF_0000000281.htm (Stolen.Data) -> Quarantined and deleted successfully. C:\WINDOWS.0\system32\xmldm\3940_FF_0000000282.key (Stolen.Data) -> Quarantined and deleted successfully. C:\WINDOWS.0\system32\xmldm\3940_FF_0000000283.htm (Stolen.Data) -> Quarantined and deleted successfully. C:\WINDOWS.0\system32\xmldm\3940_FF_0000000284.key (Stolen.Data) -> Quarantined and deleted successfully. C:\WINDOWS.0\system32\xmldm\3940_FF_0000000285.htm (Stolen.Data) -> Quarantined and deleted successfully. C:\WINDOWS.0\system32\xmldm\3940_FF_0000000286.key (Stolen.Data) -> Quarantined and deleted successfully. C:\WINDOWS.0\system32\xmldm\3940_FF_0000000287.frm (Stolen.Data) -> Quarantined and deleted successfully. C:\WINDOWS.0\system32\xmldm\3940_FF_0000000288.pst (Stolen.Data) -> Quarantined and deleted successfully. C:\WINDOWS.0\system32\xmldm\3940_FF_0000000289.htm (Stolen.Data) -> Quarantined and deleted successfully. C:\WINDOWS.0\system32\xmldm\3940_FF_0000000290.key (Stolen.Data) -> Quarantined and deleted successfully. C:\WINDOWS.0\system32\xmldm\3940_FF_0000000291.frm (Stolen.Data) -> Quarantined and deleted successfully. C:\WINDOWS.0\system32\xmldm\3940_FF_0000000292.pst (Stolen.Data) -> Quarantined and deleted successfully. C:\WINDOWS.0\system32\xmldm\3940_FF_0000000293.htm (Stolen.Data) -> Quarantined and deleted successfully. C:\WINDOWS.0\system32\xmldm\3940_FF_0000000294.key (Stolen.Data) -> Quarantined and deleted successfully. C:\WINDOWS.0\system32\xmldm\3940_FF_0000000295.htm (Stolen.Data) -> Quarantined and deleted successfully. C:\WINDOWS.0\system32\xmldm\3940_FF_0000000296.key (Stolen.Data) -> Quarantined and deleted successfully. C:\WINDOWS.0\system32\xmldm\3940_FF_0000000297.pst (Stolen.Data) -> Quarantined and deleted successfully. C:\WINDOWS.0\system32\xmldm\3940_FF_0000000298.htm (Stolen.Data) -> Quarantined and deleted successfully. C:\WINDOWS.0\system32\xmldm\3940_FF_0000000299.key (Stolen.Data) -> Quarantined and deleted successfully. C:\WINDOWS.0\system32\xmldm\3940_FF_0000000300.htm (Stolen.Data) -> Quarantined and deleted successfully. C:\WINDOWS.0\system32\xmldm\3940_FF_0000000301.key (Stolen.Data) -> Quarantined and deleted successfully. C:\WINDOWS.0\system32\xmldm\3940_FF_0000000302.htm (Stolen.Data) -> Quarantined and deleted successfully. C:\WINDOWS.0\system32\xmldm\3940_FF_0000000303.key (Stolen.Data) -> Quarantined and deleted successfully. C:\WINDOWS.0\system32\xmldm\3940_FF_0000000304.htm (Stolen.Data) -> Quarantined and deleted successfully. C:\WINDOWS.0\system32\xmldm\3940_FF_0000000305.key (Stolen.Data) -> Quarantined and deleted successfully. C:\WINDOWS.0\system32\xmldm\3940_FF_0000000306.htm (Stolen.Data) -> Quarantined and deleted successfully. (end) Habe ich alles nötige getan? Grüße, Sandra |
|
20.08.2012, 22:39
| #2 |
| /// Helfer-Team  | GVU Trojaner Bundesamt für Sicherheit Schlechte Nachrichten! Du hast mehr als eine schwere Infektion auf Deinem Rechner. http://www.trojaner-board.de/56634-rootkits.html Er ist kompromittiert und ist nicht mehr vertrauenswuerdig. Du solletest von einem sauberen System aus alle deine Passwoerter aendern. Ich empfehle dir dringendst den PC vom Netz zu trennen und neu aufzusetzen. Anleitungen zum Neuaufsetzen (bebildert) > Windows 7 neu aufsetzen > Vista > XP 1. Datenrettung:
2. Formatieren, Windows neu instalieren:
3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html ich werde außerdem noch weitere punkte dazu posten. 4. alle Passwörter ändern! 5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
__________________ |
|
21.08.2012, 12:34
| #3 |
| | GVU Trojaner Bundesamt für Sicherheit Danke für die Antwort!
__________________Das klingt ja nicht so toll! Auf meinem zweiten Netbook habe ich auch das Programm durchlaufen lassen und es hat nichts gefunden. Kann ich dann sicher sein, dass ich mir nichts "rübergeschleppt" habe? Passwörter sind geändert, Daten waren schon gesichert, dann versuche ich mich bald am Neuaufsetzen. Vielen Dank für die Hilfe! Ich habe doch noch ein Problem. Beim Neuaufsetzen führt mein Laptop nicht den Schritt "Partition löschen" als Möglichkeit durch. Wenn ich die Partition ausgewählt habe kommt direkt das kopieren der Installationsdateien und kein Formatieren. Nun habe ich drei Versionen XP nebeneinandern auf dem Laptop und er schaltet einfach aus während der "Geräteeinstellungen". Was mache ich falsch? Geändert von s.nahrhold (21.08.2012 um 13:23 Uhr) |
|
21.08.2012, 15:09
| #4 |
| /// Helfer-Team | GVU Trojaner Bundesamt für Sicherheit Du kannst eine Linux-CD dafuer nutzen die Platte richtig zu loeschen. Umgesetzt werden kann dies vom verwendeten Linux-Notfallstartsystem wie folgt: Im gestarteten Live-System ruft Ihr jetzt in der oberen Taskleiste "Anwendungen", "Zubehör", "Terminal" auf. Tragt in das Terminal von Hand die folgende Zeile ein: Code: sudo dd if=/dev/urandom of=/dev/sda bs=512 count=1 Drückt danach die Enter-Taste. Dass alles erfolgreich lief, seht Ihr, wenn folgende Ausgabe erfolgt ist und der Cursor ohne eine Fehlermeldung zur nächsten Eingabezeile (hier: "ubuntu@ubuntu:~$") gesprungen ist. Beispiel: Code: 1+0 Datensätze ein 1+0 Datensätze aus 512 Bytes (512 B) kopiert, xxx s, xxx kB/s ubuntu@ubuntu:~$ (Hinweis: die "xxx" geben den Wert der Zeit bzw. Geschwindigkeit an, in der dieser Vorgang erfolgte. Er wird in der Regel weit unter einer Sekunde liegen.) Damit wurde der MBR erfolgreich mit Zufallszahlen überschrieben. Bootet danach Ubuntu neu, wenn Ihr das Ergebnis kontrollieren möchtet. So lange Ihr Euch noch in der gleichen Ubuntu-Livesession befindet, in der das Überschreiben das MBR stattfand, ist die bisherige Festplattenaufteilung mit allen Daten noch sicht- und zugreifbar. |
|
21.08.2012, 17:23
| #5 |
| | GVU Trojaner Bundesamt für Sicherheit Danke für die Antwort, aber damit kann ich leider nicht viel anfangen. Ich habe XP und kein Linux. Gibt es dann auch einen Weg? Warum überspringt er das Formatieren? Warum stürzt er beim Installieren ab? Habe ich doch noch was drauf? Oder mache ich etwas falsch? Soll ich ihn lieber zu einem Fachmann bringen? |
|
21.08.2012, 17:37
| #6 |
| /// Helfer-Team | GVU Trojaner Bundesamt für Sicherheit Du sollst den PC mit einer Linux-Live CD sarten und von Linux aus die Platte formatieren. http://www.trojaner-board.de/104195-...anleitung.html Hast du die Partition mal vorher geloescht?
__________________ --> GVU Trojaner Bundesamt für Sicherheit |
|
23.08.2012, 20:02
| #7 |
| | GVU Trojaner Bundesamt für Sicherheit nein, ich habe das noch nie gemacht. |
|
24.08.2012, 01:36
| #8 |
| /// Helfer-Team | GVU Trojaner Bundesamt für Sicherheit Das ist alles einfach. du kannst nichts kaputtmachen. Loesche die Partition und erstelle eine neue. Siehe Anleitung oben. |
|
06.10.2012, 16:12
| #9 |
| /// Helfer-Team | GVU Trojaner Bundesamt für Sicherheit Fehlende Rückmeldung Gibt es Probleme beim Abarbeiten obiger Anleitung? Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen. Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema. http://www.trojaner-board.de/69886-a...-beachten.html Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist. |
|
| Themen zu GVU Trojaner Bundesamt für Sicherheit |
| .dll, anti-malware, autostart, browser, datei, detected, einstellungen, explorer, file, gvu bundesamt, helper, internet, laptop, malwarebytes, microsoft, programm, programme, registry, scan, service pack 3, sicherheit, software, system, system32, temp, trojaner, xmldm |
Linear-Darstellung
