|
Plagegeister aller Art und deren Bekämpfung: Trojaner in den eigenen Dateien (motgymemixsa.exe)Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
07.09.2012, 11:09 | #1 |
| Trojaner in den eigenen Dateien (motgymemixsa.exe) Hallo, ich habe es geschafft, mir einen Trojaner (schätze ich zumindest) einzufangen. Er befindet sich in meinem Benutzer in den eigenen Dateien in keinem Unterordner und nennt sich motgymemixsa.exe. Im Internet finde ich leider nichts dazu, außer 2 ausländische Seiten. Ich habe verschiedene Virenscanner laufen lassen, keiner hat ihn erkannt. Antivir, Spybot Search & Destroy, Trojan Remover und Spyware Fighter. Wenn ich mit einer Software versuche, den Prozess zu beenden, bekomme ich Bluescreen und der Rechner startet neu. Kann mir irgend jemand helfen? |
07.09.2012, 11:24 | #2 |
/// Malware-holic | Trojaner in den eigenen Dateien (motgymemixsa.exe) hi
__________________Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
ATTFilter activex netsvcs msconfig %SYSTEMDRIVE%\*. %PROGRAMFILES%\*.exe %LOCALAPPDATA%\*.exe %systemroot%\*. /mp /s C:\Windows\system32\*.tsp /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL explorer.exe iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\system32\*.dll /lockedfiles %USERPROFILE%\*.* %USERPROFILE%\Local Settings\Temp\*.exe %USERPROFILE%\Local Settings\Temp\*.dll %USERPROFILE%\Application Data\*.exe HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs CREATERESTOREPOINT
__________________ |
07.09.2012, 12:07 | #3 |
| Trojaner in den eigenen Dateien (motgymemixsa.exe) Danke schon mal.
__________________ |
07.09.2012, 12:14 | #4 |
/// Malware-holic | Trojaner in den eigenen Dateien (motgymemixsa.exe) hi dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user. wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts. • Starte bitte die OTL.exe • Kopiere nun das Folgende in die Textbox. Code:
ATTFilter :OTL O4 - HKCU..\Run: [motgymemixsa] C:\Users\Nadine\motgymemixsa.exe () MsConfig - StartUpReg: motgymemixsa - hkey= - key= - C:\Users\Nadine\motgymemixsa.exe () PRC - [2012.08.29 18:17:45 | 000,035,256 | ---- | M] () -- C:\Users\Nadine\motgymemixsa.exe :Files C:\Users\Nadine\motgymemixsa.exe :Commands [purity] [EMPTYFLASH] [emptytemp] [Reboot] • Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren. starte in den normalen modus. falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang in den Thread posten! Drücke bitte die + E Taste.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
07.09.2012, 16:05 | #5 |
| Trojaner in den eigenen Dateien (motgymemixsa.exe) Die Datei ist immer noch in den eigenen Dateien... Code:
ATTFilter All processes killed ========== OTL ========== Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\motgymemixsa deleted successfully. File C:\Users\Nadine\motgymemixsa.exe not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartUpReg\motgymemixsa\ deleted successfully. Unable to kill active process motgymemixsa.exe! ========== COMMANDS ========== [EMPTYFLASH] User: admin ->Flash cache emptied: 41620 bytes User: All Users User: Default ->Flash cache emptied: 41620 bytes User: Default User ->Flash cache emptied: 0 bytes User: Nadine ->Flash cache emptied: 2834363 bytes User: Public Total Flash Files Cleaned = 3,00 mb [EMPTYTEMP] User: admin ->Temp folder emptied: 289391 bytes ->Temporary Internet Files folder emptied: 281308 bytes ->Flash cache emptied: 0 bytes User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: Nadine ->Temp folder emptied: 1718 bytes ->Temporary Internet Files folder emptied: 13575582 bytes ->Java cache emptied: 5511180 bytes ->FireFox cache emptied: 62062584 bytes ->Google Chrome cache emptied: 6686315 bytes ->Apple Safari cache emptied: 16384 bytes ->Opera cache emptied: 13572773 bytes ->Flash cache emptied: 0 bytes User: Public %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 3814 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 3531584 bytes RecycleBin emptied: 73383 bytes Total Files Cleaned = 101,00 mb OTL by OldTimer - Version 3.2.56.0 log created on 09072012_165007 Files\Folders moved on Reboot... File\Folder C:\Windows\temp\hsperfdata_NADINE-PC$\308 not found! C:\Windows\temp\ffbshn5v.vbt moved successfully. PendingFileRenameOperations files... File C:\Windows\temp\hsperfdata_NADINE-PC$\308 not found! File C:\Windows\temp\ffbshn5v.vbt not found! Registry entries deleted on Reboot... Vorgang erfolgreich abgeschlossen. |
07.09.2012, 16:44 | #6 |
/// Malware-holic | Trojaner in den eigenen Dateien (motgymemixsa.exe) poste mir noch mal ein neues otl log bitte
__________________ --> Trojaner in den eigenen Dateien (motgymemixsa.exe) |
07.09.2012, 21:31 | #7 |
| Trojaner in den eigenen Dateien (motgymemixsa.exe) Diesmal hat es mir keine Extras.txt erstellt... |
08.09.2012, 13:23 | #8 |
| Trojaner in den eigenen Dateien (motgymemixsa.exe) Datei: OTL.zip empfangen Vorgang erfolgreich abgeschlossen. Noch mal ich... Kann es sein, dass sich dieser dämliche Trojaner oder was auch immer das ist, über FlashFXP auf allen Webseiten verbreitet, die ich in meiner Verbindungsliste gespeichert habe? Das wär echt fatal... Bzw. ist es schon... Ich bitte noch einmal um Hilfe... Meine Kunden stehen Kopf... Und ich kann nicht helfen, solange ich diesen dämlichen Trojaner drauf habe... |
09.09.2012, 18:11 | #9 |
| Trojaner in den eigenen Dateien (motgymemixsa.exe) Ich habe jetzt mal mein System "gesäubert" und nicht mehr benötigte Programme deinstalliert. Über Google bin ich auf Malwarebytes gestossen. Das Programm hat den Trojaner erkannt und ich konnte ihn erfolgreich entfernen. Jetzt habe ich zur Sicherheit noch mal mit OTL ein Log erstellt, das lade ich hier hoch und würde mich freuen, wenn das noch mal jemand anschauen könnte. Nur ob jetzt wirklich alles in Ordnung ist. Kann mir jemand sagen, was das jetzt genau war? Vielleicht auch wie das passiert sein kann? Und vor allem - hat das was mit meinen Kundenservern zu tun? |
10.09.2012, 11:27 | #10 |
/// Malware-holic | Trojaner in den eigenen Dateien (motgymemixsa.exe) wer hat was von Malwarebytes geschrieben, dir ist schon klar, dass wir wochenende hatten? wenn dir das nicht schnell genug geht, musst du eben in ein pc geschäft und dort für die geleistete arbeit zahlen. wo ist vor allem das log?
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
10.09.2012, 12:08 | #11 |
| Trojaner in den eigenen Dateien (motgymemixsa.exe) Niemand hat was davon geschrieben. Ich hab einfach gegoogelt. Ich musste was tun, ich hatte wirklich Probleme mit meinen Kunden. Und das Programm hat das Ding eben erkannt, obwohl ich damit nicht gerechnet hatte. Klar weiß ich das ihr Wochenende hattet. Ich hab doch auch keinem einen Vorwurf gemacht? Ich bin froh das ich hier Hilfe bekomme! Bitte nicht falsch auffassen. Die OTL.txt habe ich in meinem Beitrag eingefügt. Eine Extras.txt hat es mir schon beim zweiten Scan nicht mehr erstellt. Weiß nicht warum. Hab ich jetzt was falsch gemacht? |
10.09.2012, 12:11 | #12 |
/// Malware-holic | Trojaner in den eigenen Dateien (motgymemixsa.exe) du sagst doch du hast Malwarebytes genutzt wo ist der bericht
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
10.09.2012, 12:45 | #13 |
| Trojaner in den eigenen Dateien (motgymemixsa.exe) Achso, sorry. Hier: HTML-Code: Malwarebytes Anti-Malware 1.62.0.1300 www.malwarebytes.org Datenbank Version: v2012.09.09.03 Windows 7 Service Pack 1 x86 NTFS (Abgesichertenmodus/Netzwerkfähig) Internet Explorer 9.0.8112.16421 Nadine :: NADINE-PC [Administrator] 09.09.2012 16:11:10 mbam-log-2012-09-09 (16-11-10).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 481455 Laufzeit: 55 Minute(n), 10 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 1 HKCU\Software\Schmidt-Pro (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Registrierungswerte: 2 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|motgymemixsa (Trojan.Obfuscated) -> Daten: C:\Users\Nadine\motgymemixsa.exe -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Regedit32 (Trojan.Agent) -> Daten: C:\Windows\system32\regedit.exe -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 2 C:\Users\Nadine\motgymemixsa.exe (Trojan.Obfuscated) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\Nadine\AppData\Local\{1bc4c94b-384a-3f77-cc28-5f85a84cd1be}\n..vir (Trojan.Dropper.PE4) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) |
10.09.2012, 14:06 | #14 |
/// Malware-holic | Trojaner in den eigenen Dateien (motgymemixsa.exe) hi wenn du den pc für onlinebanking nutzt, lasse es aufgrund des zero access rootkits sperren. da man dieses nicht mit 100 %iger sicherheit entfernen kann: der pc muss neu aufgesetzt und dann abgesichert werden 1. Datenrettung:
ich werde außerdem noch weitere punkte dazu posten. 4. alle Passwörter ändern! 5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen. 6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
11.09.2012, 12:46 | #15 |
| Trojaner in den eigenen Dateien (motgymemixsa.exe) Ich bin wirklich begeistert wie einem hier geholfen wird. Meinen Rechner setze ich am Wochenende neu auf. Wird eh mal wieder Zeit. Danke! |
Themen zu Trojaner in den eigenen Dateien (motgymemixsa.exe) |
antivir, beenden, befindet, benutzer, bluescreen, dateien, interne, internet, motgymemixsa.exe, nennt, nichts, prozess, rechner, remover, scan, scanner, search, seite, software, spybot, spyware, startet, trojaner, verschiedene, virenscan, virenscanner |