|
Plagegeister aller Art und deren Bekämpfung: Infektion mit GVU Trojaner;Trjan.0Accsess,Ransom.Gen,Delf,Dropper.BCMiner,Drop.GsWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
04.10.2012, 15:04 | #1 |
| Infektion mit GVU Trojaner;Trjan.0Accsess,Ransom.Gen,Delf,Dropper.BCMiner,Drop.Gs Hallo mein System war vom GVU Trojaner 2.07 gesperrt. habe darauf mein System mit Malwarebytes gescant und die funde in die Quarantäne verbannt. ( 7x Trojan.0Accsess; 1x Trojan.Ransom.Gen; 1x Trojan.Delf; 1x Trojan.Dropper.BCMiner; 1x Trojan.Drop.GS) danach nochmal mit SUPERAntiSpyware gescant keine Funde außer Track Coockie habe jetzt nochmal mit OTL ein LOG erstellt und hoffe/Bitte um Hilfe ob das system nun auch wieder im reinen ist. OTL.TXT Code:
ATTFilter [2012.04.16 23:45:34 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\MyPhoneExplorer [2010.07.18 23:20:28 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\NationRed [2011.10.04 22:25:23 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\Navigram [2010.12.13 21:32:15 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\OpenOffice.org [2011.07.03 15:15:44 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\Opera [2010.09.21 00:18:46 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\Outlook [2010.05.24 01:08:16 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\PlayFirst [2011.09.28 21:24:06 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\ProtectDISC [2011.08.17 11:41:01 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\Simfy [2010.02.03 19:22:22 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\SoftDMA [2011.10.18 16:22:51 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\SoftGrid Client [2012.08.20 22:15:23 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\TeamViewer [2010.11.18 23:45:44 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\Template [2011.07.22 22:54:14 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\TomTom [2011.10.18 14:33:55 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\TP [2012.05.15 20:02:14 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\Tracker Software [2011.04.03 13:20:30 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\TweakNow RegCleaner 2011 [2010.12.28 00:35:59 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\ViquaSoft [2010.09.03 19:07:51 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\Vodafone [2010.12.27 18:37:04 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\Win7codecs [2012.01.12 19:28:50 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\Windows Live Writer [2012.01.08 15:08:16 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\Wireshark [2012.05.17 19:33:03 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\www.rene-zeidler.de [2010.05.18 18:51:52 | 000,000,000 | ---D | M] -- C:\Users\Kackstelze\AppData\Roaming\ZombieDriver ========== Purity Check ========== ========== Alternate Data Streams ========== @Alternate Data Stream - 98 bytes -> C:\ProgramData\Temp:66BBBB3E @Alternate Data Stream - 153 bytes -> C:\ProgramData\Temp:4D066AD2 @Alternate Data Stream - 146 bytes -> C:\ProgramData\Temp:AB689DEA @Alternate Data Stream - 133 bytes -> C:\ProgramData\Temp:93DE1838 @Alternate Data Stream - 128 bytes -> C:\ProgramData\Temp:ABE89FFE @Alternate Data Stream - 128 bytes -> C:\ProgramData\Temp:444C53BA @Alternate Data Stream - 127 bytes -> C:\ProgramData\Temp:0B9176C0 @Alternate Data Stream - 126 bytes -> C:\ProgramData\Temp:4769CB2A @Alternate Data Stream - 124 bytes -> C:\ProgramData\Temp:E1F04E8D @Alternate Data Stream - 118 bytes -> C:\ProgramData\Temp:4CF61E54 < End of report > Code:
ATTFilter [ System Events ] Error - 04.10.2012 09:08:19 | Computer Name = Kackstelzen-PC | Source = Service Control Manager | ID = 7003 Description = Der Dienst "IKE- und AuthIP IPsec-Schlüsselerstellungsmodule" ist von folgendem Dienst abhängig: BFE. Dieser Dienst ist eventuell nicht installiert. Error - 04.10.2012 09:08:29 | Computer Name = Kackstelzen-PC | Source = Service Control Manager | ID = 7023 Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet: %%1060 Error - 04.10.2012 09:08:39 | Computer Name = Kackstelzen-PC | Source = Service Control Manager | ID = 7000 Description = Der Dienst "ithsgt" wurde aufgrund folgenden Fehlers nicht gestartet: %%577 Error - 04.10.2012 09:08:39 | Computer Name = Kackstelzen-PC | Source = Service Control Manager | ID = 7000 Description = Der Dienst "lilsgt" wurde aufgrund folgenden Fehlers nicht gestartet: %%577 Error - 04.10.2012 09:08:42 | Computer Name = Kackstelzen-PC | Source = Service Control Manager | ID = 7003 Description = Der Dienst "IPsec-Richtlinien-Agent" ist von folgendem Dienst abhängig: BFE. Dieser Dienst ist eventuell nicht installiert. Error - 04.10.2012 09:08:55 | Computer Name = Kackstelzen-PC | Source = Service Control Manager | ID = 7023 Description = Der Dienst "Funktionssuche-Ressourcenveröffentlichung" wurde mit folgendem Fehler beendet: %%-2147024891 Error - 04.10.2012 09:09:33 | Computer Name = Kackstelzen-PC | Source = Service Control Manager | ID = 7001 Description = Der Dienst "Heimnetzgruppen-Anbieter" ist vom Dienst "Funktionssuche-Ressourcenveröffentlichung" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%-2147024891 Error - 04.10.2012 09:09:33 | Computer Name = Kackstelzen-PC | Source = Service Control Manager | ID = 7023 Description = Der Dienst "Funktionssuche-Ressourcenveröffentlichung" wurde mit folgendem Fehler beendet: %%-2147024891 Error - 04.10.2012 09:13:00 | Computer Name = Kackstelzen-PC | Source = Service Control Manager | ID = 7001 Description = Der Dienst "Heimnetzgruppen-Anbieter" ist vom Dienst "Funktionssuche-Ressourcenveröffentlichung" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%-2147024891 Error - 04.10.2012 09:13:00 | Computer Name = Kackstelzen-PC | Source = Service Control Manager | ID = 7023 Description = Der Dienst "Funktionssuche-Ressourcenveröffentlichung" wurde mit folgendem Fehler beendet: %%-2147024891 < End of report > Malewarebytes.TXT Code:
ATTFilter Kackstelze :: KACKSTELZEN-PC [Administrator] 01.10.2012 14:02:50 mbam-log-2012-10-01 (14-02-50).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|F:\|H:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 492244 Laufzeit: 1 Stunde(n), 11 Minute(n), 22 Sekunde(n) Infizierte Speicherprozesse: 1 C:\ProgramData\lsass.exe (Trojan.Delf) -> 1128 -> Löschen bei Neustart. Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 11 C:\$Recycle.Bin\S-1-5-18\$046a3e8063699622ca1ac22cb225dc8f\n (Trojan.0Access) -> Löschen bei Neustart. C:\$Recycle.Bin\S-1-5-18\$046a3e8063699622ca1ac22cb225dc8f\U\00000004.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\$Recycle.Bin\S-1-5-18\$046a3e8063699622ca1ac22cb225dc8f\U\00000008.@ (Trojan.Dropper.BCMiner) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\$Recycle.Bin\S-1-5-18\$046a3e8063699622ca1ac22cb225dc8f\U\000000cb.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\$Recycle.Bin\S-1-5-18\$046a3e8063699622ca1ac22cb225dc8f\U\80000000.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\$Recycle.Bin\S-1-5-18\$046a3e8063699622ca1ac22cb225dc8f\U\80000032.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\$Recycle.Bin\S-1-5-18\$046a3e8063699622ca1ac22cb225dc8f\U\80000064.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\$Recycle.Bin\S-1-5-21-2924732907-1533212913-4135081494-1000\$046a3e8063699622ca1ac22cb225dc8f\n (Trojan.0Access) -> Löschen bei Neustart. C:\Users\Kackstelze\AppData\Local\Temp\WGSDGSDGDSGSD.EXE (Exploit.Drop.GS) -> Löschen bei Neustart. C:\ProgramData\lsass.exe (Trojan.Delf) -> Löschen bei Neustart. C:\Users\Kackstelze\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk (Trojan.Ransom.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Geändert von momoklein (04.10.2012 um 15:18 Uhr) Grund: Maleware bytes log angehängt |
04.10.2012, 15:06 | #2 |
/// Malware-holic | Infektion mit GVU Trojaner;Trjan.0Accsess,Ransom.Gen,Delf,Dropper.BCMiner,Drop.Gs hi
__________________malwarebytes öffnen, berichte, logs mit funden posten.
__________________ |
04.10.2012, 15:33 | #3 |
| Infektion mit GVU Trojaner;Trjan.0Accsess,Ransom.Gen,Delf,Dropper.BCMiner,Drop.Gs da hab ich doch das wichtigste log vergessen sorry.
__________________so alle log´s angehängt. hoffe das war so OK !! |
05.10.2012, 17:26 | #4 |
/// Malware-holic | Infektion mit GVU Trojaner;Trjan.0Accsess,Ransom.Gen,Delf,Dropper.BCMiner,Drop.Gs hi du hast das zero access rootkit. wenn du onlinebanking machst, rufe die bank an, da sie zu hatt, notfall nummer: 116 116 onlinebanking wegen zero access rootkit sperren lassen. da man dieses nicht 100 %ig sicher los wird: der pc muss neu aufgesetzt und dann abgesichert werden 1. Datenrettung:
ich werde außerdem noch weitere punkte dazu posten. 4. alle Passwörter ändern! 5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen. 6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
Themen zu Infektion mit GVU Trojaner;Trjan.0Accsess,Ransom.Gen,Delf,Dropper.BCMiner,Drop.Gs |
00000008.@, appdata, beendet, check, code, computer, control, delf, dienst, fehler, folge, infektion, live, log, malwarebytes, quarantäne, recycle.bin, regcleaner, roaming, service control manager, superantispyware, system, tracker, trojaner, wgsdgsdgdsgsd.exe, win, windows, windows live |