Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: BKA/GUV Trojaner

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 14.11.2012, 20:57   #1
gotic
 
BKA/GUV Trojaner - Standard

BKA/GUV Trojaner



Hallo,habe mir den Ukash Trojaner GUV eingefangen.
Als erstes habe ich eine Systemwiederherstellung durchgefuert,hat leider nicht lange geholfen.
Im abgesicherten Modus hat er sich auch festgesetzt.
Nach einer suche im Nety bin ich auf OTL gestossen.
Habe mir eine Otlpe/CD gebrannt und laufen lassen.
Jetzt komm ich nicht mehr weiter und brauche HILFE!

Waere fuer eine schnelle Hilfe dankbar.

Ein liebes Danke im vorraus.

Gotic

Alt 14.11.2012, 21:19   #2
ryder
/// TB-Ausbilder
 
BKA/GUV Trojaner - Standard

BKA/GUV Trojaner



-------------
__________________

__________________

Alt 14.11.2012, 21:20   #3
t'john
/// Helfer-Team
 
BKA/GUV Trojaner - Standard

BKA/GUV Trojaner



Fixen mit OTLpe


  • Starte den unbootbaren Computer erneut mit der OTLPE-CD,
  • warte bis der Reatogo-X-Pe-Desktop erscheint und doppelklicke das OTLPE-Icon.



  • Kopiere folgendes Skript in das Textfeld unterhalb von Custom Scans/Fixes:
  • Sollte das mangels Internet-Verbindung nicht möglich sein,
  • kopiere den Text aus der folgenden Code-Box und speichere ihn als Fix.txt auf einen USB-Stick.
  • Schließe den USB-Stick an den Computer an und öffne Fix.txt mit dem Explorer auf dem Reatogo-Desktop.
  • Kopiere den Inhalt von Fix.txt in das Textfeld unterhalb von Custom Scans/Fixes:


Code:
ATTFilter
:OTL
O4 - HKU\Jürgen_ON_C..\Run: [] File not found 
O4 - HKU\LocalService_ON_C..\RunOnce: [mctadmin] File not found 
O4 - HKU\NetworkService_ON_C..\RunOnce: [mctadmin] File not found 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0 
O7 - HKU\Jürgen_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 
O20 - HKU\Jürgen_ON_C Winlogon: Shell - (C:\Users\Jürgen\AppData\Roaming\msconfig.dat) - C:\Users\Jürgen\AppData\Roaming\msconfig.dat () 
[2012/11/11 16:50:22 | 000,000,000 | ---D | C] -- C:\Users\Jürgen\AppData\Roaming\hellomoto 
[2012/09/09 06:47:12 | 004,503,728 | ---- | C] () -- C:\ProgramData\dsgsdgdsgdsgw.pad 
[2012/09/01 03:20:06 | 004,503,728 | ---- | C] () -- C:\ProgramData\nud0repor.pad 
[2012/08/10 16:39:37 | 004,503,728 | ---- | C] () -- C:\ProgramData\00etadpu.pad 
[2012/07/06 16:31:59 | 004,503,728 | ---- | C] () -- C:\ProgramData\go_0molg.pad 
[2012/01/14 17:50:09 | 000,072,551 | ---- | C] () -- C:\Users\Jürgen\AppData\Roaming\msconfig.dat 

[2011/07/09 06:02:26 | 000,000,000 | ---D | M] -- C:\Users\Jürgen\AppData\Roaming\1127419 
[2011/07/09 06:02:26 | 000,000,000 | ---D | M] -- C:\Users\Jürgen\AppData\Roaming\1127840 
[2011/04/10 15:09:25 | 000,000,000 | ---D | M] -- C:\Users\Jürgen\AppData\Roaming\kock 
[2011/04/10 15:12:22 | 000,000,000 | ---D | M] -- C:\Users\Jürgen\AppData\Roaming\UAs 
[2012/08/08 15:23:19 | 000,000,000 | ---D | M] -- C:\ProgramData\boost_interprocess 
:Files
C:\ProgramData\*.exe
C:\ProgramData\*.dll
C:\ProgramData\*.tmp
C:\ProgramData\TEMP
C:\Users\Jürgen\*.tmp
C:\Users\Jürgen\AppData\Local\{*}
C:\Users\Jürgen\AppData\Local\Temp\*.exe
C:\Users\Jürgen\AppData\LocalLow\Sun\Java\Deployment\cache
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
ipconfig /flushdns /c
:Commands
[emptytemp]
         

  • Schließe alle Programme.
  • Klicke auf den Fix Button.
  • Klick auf .
  • Kopiere den Inhalt hier in Code-Tags in Deinen Thread.
    Nachträglich kannst Du das Logfile hier einsehen => C:\OTLpe\MovedFiles\<datum_nummer.log>
  • Teste, ob den Computer nun wieder in den normalen Windows-Modus booten kannst und berichte.
__________________
__________________

Alt 14.11.2012, 22:19   #4
gotic
 
BKA/GUV Trojaner - Standard

BKA/GUV Trojaner



Danke für die sehr schnelle antwort,
Computer lässt sich wieder normal starten(sogar etwas schneller als früher)

wie geht es jetzt weiter?

Alt 15.11.2012, 00:40   #5
t'john
/// Helfer-Team
 
BKA/GUV Trojaner - Standard

BKA/GUV Trojaner



Sehr gut!

Wie laeuft der Rechner?

1. Schritt
Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".
danach:

2. Schritt

Downloade Dir bitte AdwCleaner auf deinen Desktop.

  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Search.
  • Nach Ende des Suchlaufs öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

__________________
Mfg, t'john
Das TB unterstützen

Alt 15.11.2012, 20:04   #6
gotic
 
BKA/GUV Trojaner - Standard

BKA/GUV Trojaner



So habe mit Malware gescannt,habe 3 infizierte Objekte.

Anbei die Dateien.

Alt 15.11.2012, 21:49   #7
t'john
/// Helfer-Team
 
BKA/GUV Trojaner - Standard

BKA/GUV Trojaner



Sehr gut!


  • Schließe alle offenen Programme und Browser.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Delete.
  • Bestätige jeweils mit Ok.
  • Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.




danach:


Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html
__________________
Mfg, t'john
Das TB unterstützen

Alt 16.11.2012, 20:20   #8
gotic
 
BKA/GUV Trojaner - Standard

BKA/GUV Trojaner



Adw ist ausgeführt.Hier die Log Datei

# AdwCleaner v2.007 - Datei am 16/11/2012 um 19:53:27 erstellt
# Aktualisiert am 06/11/2012 von Xplode
# Betriebssystem : Windows 7 Ultimate (64 bits)
# Benutzer : Jürgen - JÜRGEN-PC
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\Jürgen\Downloads\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Datei Gelöscht : C:\Program Files (x86)\Mozilla FireFox\searchplugins\Search_Results.xml
Ordner Gelöscht : C:\Program Files (x86)\AskTBar
Ordner Gelöscht : C:\Users\Jürgen\AppData\Roaming\pdfforge

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\DataMngr
Schlüssel Gelöscht : HKCU\Software\Zugo
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\IMsiDe1egate.Application.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\SearchquMediaBar_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\SearchquMediaBar_RASMANCS
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\SetupDataMngr_Searchqu_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\SetupDataMngr_Searchqu_RASMANCS
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
Schlüssel Gelöscht : HKLM\SOFTWARE\DataMngr
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}

***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16421

Ersetzt : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://klit.startnow.com/?src=startpage&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0& install_country=DE&install_date=20120808&user_guid=0FE20491E8144F449E7C0F5F4731C6E6&machine_id=49d0c84b64b2cbff96aceda271bd0e2e&browser=IE&os=win&os_v ersion=6.1-x64-SP0 --> hxxp://www.google.com
Ersetzt : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page Restore] = hxxp://www.searchnu.com/406 --> hxxp://www.google.com

-\\ Mozilla Firefox v16.0.2 (de)

Profilname : default-1346604733950 [Profil par défaut]
Datei : C:\Users\Jürgen\AppData\Roaming\Mozilla\Firefox\Profiles\ueksihbr.default-1346604733950\prefs.js

[OK] Die Datei ist sauber.

Profilname : default
Datei : C:\Users\sicher ohne S\AppData\Roaming\Mozilla\Firefox\Profiles\ea2of2k0.default\prefs.js

[OK] Die Datei ist sauber.

*************************

AdwCleaner[R1].txt - [3060 octets] - [15/11/2012 19:56:28]
AdwCleaner[R2].txt - [3120 octets] - [16/11/2012 19:53:02]
AdwCleaner[S1].txt - [2811 octets] - [16/11/2012 19:53:27]

########## EOF - C:\AdwCleaner[S1].txt - [2871 octets] ##########

Habe aber ein Problem mit Emsisoft,Download hat funktioniert nur kann ich sie nicht Installieren wegen service pack 1 für Windows 7.
Wo bekomm ich den her?

Alt 16.11.2012, 20:24   #9
t'john
/// Helfer-Team
 
BKA/GUV Trojaner - Standard

BKA/GUV Trojaner



Alles Windows Updates einspielen, inkl. Service Pack!
__________________
Mfg, t'john
Das TB unterstützen

Alt 16.11.2012, 21:08   #10
gotic
 
BKA/GUV Trojaner - Standard

BKA/GUV Trojaner



Habe eine Fehlermeldung:Mit Windows Update kann derzeit nicht nach Updates gesucht werden,da derDienst nicht ausgeführt wird.
Wie bekomm ich dieses Service Pack sonst?

Alt 17.11.2012, 00:08   #11
t'john
/// Helfer-Team
 
BKA/GUV Trojaner - Standard

BKA/GUV Trojaner



Windows Repair Tool (AIO)

  • Downloade Windows repair tool
  • Entpacke das Zip und starte Repair_Windows.exe
  • Klicke auf Start repairs Tab dann: Start

    folgende Punkte auswählen

    Register System Files
    Repair WMI
    Repair Proxy Settings
    Repair Windows Updates
    Set Windows Services To Default Startup



    Auswählen: Restart System When Finished
    Dann Start Button klicken.
__________________
Mfg, t'john
Das TB unterstützen

Alt 17.11.2012, 08:30   #12
gotic
 
BKA/GUV Trojaner - Standard

BKA/GUV Trojaner



So die letzte Log Datei:

Alt 17.11.2012, 15:51   #13
t'john
/// Helfer-Team
 
BKA/GUV Trojaner - Standard

BKA/GUV Trojaner



Scan mit Malwarebytes' Anti-Rootkit
Download: Download - Malwarebytes Anti-Rootkit BETA

Anleitung: Anleitung: Malwarebytes Anti-Rootkit
__________________
Mfg, t'john
Das TB unterstützen

Alt 17.11.2012, 18:33   #14
gotic
 
BKA/GUV Trojaner - Standard

BKA/GUV Trojaner



Muß ich nie etwas löschen oder ändern?
Bin grad beim Scannen Malwarebytes Anti-Rootkit,dauert etwas.

Hier der Scann:
Malwarebytes Anti-Rootkit 1.1.0.1009
www.malwarebytes.org

Database version: v2012.11.17.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Jürgen :: JÜRGEN-PC [administrator]

17.11.2012 19:56:53
mbar-log-2012-11-17 (19-56-53).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken
Scan options disabled: PUP | PUM | P2P
Objects scanned: 28163
Time elapsed: 14 minute(s), 35 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)

Wie Kann ich mich in Zukunft gegen so etwas besser Schützen?

Alt 17.11.2012, 23:51   #15
t'john
/// Helfer-Team
 
BKA/GUV Trojaner - Standard

BKA/GUV Trojaner



Zitat:
Wie Kann ich mich in Zukunft gegen so etwas besser Schützen?
Rechner aktuell halten, dazu schreib ich noch was, wenn wir fertig sind.

Java aktualisieren

Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.
  • Downloade dir bitte die neueste Java-Version von hier
  • Speichere die jxpiinstall.exe
  • Schließe alle laufenden Programme. Speziell deinen Browser.
  • Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 9 ) herunter laden.
  • Wenn die Installation beendet wurde
    Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
  • Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.
Nach dem Neustart
  • Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
  • Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
  • Klicke auf Dateien löschen....
  • Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
  • Klicke erneut OK.


Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html

Danach poste (kopieren und einfuegen) mir, was du hier angezeigt bekommst: PluginCheck



Java deaktivieren

Aufgrund derezeitigen Sicherheitsluecke:

http://www.trojaner-board.de/122961-...ktivieren.html

Danach poste mir (kopieren und einfuegen), was du hier angezeigt bekommst: PluginCheck
__________________
Mfg, t'john
Das TB unterstützen

Antwort

Themen zu BKA/GUV Trojaner
abgesicherte, abgesicherten, abgesicherten modus, brauche, brauche hilfe, ellung, guv-trojaner 2.07, hilfe!, lange, laufe, laufen, modus, nicht mehr, schnelle, schnelle hilfe, suche, systemwiederherstellung, troja, trojane, trojaner, ukash, ukash trojaner




Zum Thema BKA/GUV Trojaner - Hallo,habe mir den Ukash Trojaner GUV eingefangen. Als erstes habe ich eine Systemwiederherstellung durchgefuert,hat leider nicht lange geholfen. Im abgesicherten Modus hat er sich auch festgesetzt. Nach einer suche im - BKA/GUV Trojaner...
Archiv
Du betrachtest: BKA/GUV Trojaner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.