Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Trojan.delf in C:\ProgramData\lsass.exe und Trojan. Ransom.Gem. Was tun?

Trojan.delf in C:\ProgramData\lsass.exe und Trojan. Ransom.Gem. Was tun?


Plagegeister aller Art und deren Bekämpfung: Trojan.delf in C:\ProgramData\lsass.exe und Trojan. Ransom.Gem. Was tun?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 16.11.2012, 16:53   #1
wasserpflanz
 
Trojan.delf in C:\ProgramData\lsass.exe und Trojan. Ransom.Gem. Was tun? - Standard

Trojan.delf in C:\ProgramData\lsass.exe und Trojan. Ransom.Gem. Was tun?


Moin moin,

gestern hat mein Laptop mir ein Bild gezeigt, ich solle 100€ zum PV entsperren zahlen (Staatstrojaner?)
Ich habe ihn dann herunter und wieder hoch gefahren. Danach gings wieder, allerdings zeigte Antivir mit folgendes nach Scan:


Avira Free Antivirus
Erstellungsdatum der Reportdatei: Freitag, 16. November 2012 14:00

Es wird nach 4501811 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 Home Premium
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : NEVERMIND-PC

Versionsinformationen:
BUILD.DAT : 12.1.9.1236 40872 Bytes 11.10.2012 15:29:00
AVSCAN.EXE : 12.3.0.48 468256 Bytes 14.11.2012 22:22:21
AVSCAN.DLL : 12.3.0.15 66256 Bytes 08.05.2012 21:20:45
LUKE.DLL : 12.3.0.15 68304 Bytes 08.05.2012 21:20:45
AVSCPLR.DLL : 12.3.0.14 97032 Bytes 08.05.2012 21:20:46
AVREG.DLL : 12.3.0.17 232200 Bytes 10.05.2012 22:22:42
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 10:49:21
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 07:56:15
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 07:56:21
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 19:37:00
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 22:31:58
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 15:45:59
VBASE006.VDF : 7.11.41.250 4902400 Bytes 06.09.2012 20:05:36
VBASE007.VDF : 7.11.45.207 2363904 Bytes 11.10.2012 19:14:19
VBASE008.VDF : 7.11.45.208 2048 Bytes 11.10.2012 19:14:25
VBASE009.VDF : 7.11.45.209 2048 Bytes 11.10.2012 19:14:25
VBASE010.VDF : 7.11.45.210 2048 Bytes 11.10.2012 19:14:25
VBASE011.VDF : 7.11.45.211 2048 Bytes 11.10.2012 19:14:25
VBASE012.VDF : 7.11.45.212 2048 Bytes 11.10.2012 19:14:25
VBASE013.VDF : 7.11.45.213 2048 Bytes 11.10.2012 19:14:25
VBASE014.VDF : 7.11.46.65 220160 Bytes 16.10.2012 19:50:06
VBASE015.VDF : 7.11.46.153 173568 Bytes 18.10.2012 01:11:12
VBASE016.VDF : 7.11.46.223 162304 Bytes 19.10.2012 07:22:57
VBASE017.VDF : 7.11.47.35 126464 Bytes 22.10.2012 18:43:23
VBASE018.VDF : 7.11.47.95 175616 Bytes 24.10.2012 20:03:20
VBASE019.VDF : 7.11.47.177 164352 Bytes 26.10.2012 19:54:18
VBASE020.VDF : 7.11.47.229 143360 Bytes 28.10.2012 19:54:18
VBASE021.VDF : 7.11.48.47 138240 Bytes 30.10.2012 19:54:18
VBASE022.VDF : 7.11.48.135 122880 Bytes 01.11.2012 22:37:23
VBASE023.VDF : 7.11.48.209 142848 Bytes 05.11.2012 06:02:48
VBASE024.VDF : 7.11.48.243 119296 Bytes 05.11.2012 15:17:25
VBASE025.VDF : 7.11.49.47 136704 Bytes 07.11.2012 14:09:09
VBASE026.VDF : 7.11.49.135 194560 Bytes 09.11.2012 18:10:41
VBASE027.VDF : 7.11.49.209 188416 Bytes 12.11.2012 21:09:42
VBASE028.VDF : 7.11.50.27 212992 Bytes 14.11.2012 22:22:20
VBASE029.VDF : 7.11.50.28 2048 Bytes 14.11.2012 22:22:20
VBASE030.VDF : 7.11.50.29 2048 Bytes 14.11.2012 22:22:20
VBASE031.VDF : 7.11.50.62 96768 Bytes 16.11.2012 12:54:11
Engineversion : 8.2.10.202
AEVDF.DLL : 8.1.2.10 102772 Bytes 10.07.2012 14:25:49
AESCRIPT.DLL : 8.1.4.66 463227 Bytes 12.11.2012 21:09:44
AESCN.DLL : 8.1.9.4 131445 Bytes 16.11.2012 12:54:14
AESBX.DLL : 8.2.5.12 606578 Bytes 14.06.2012 22:03:33
AERDL.DLL : 8.2.0.74 643445 Bytes 08.11.2012 14:09:12
AEPACK.DLL : 8.3.0.40 815479 Bytes 12.11.2012 21:09:44
AEOFFICE.DLL : 8.1.2.50 201084 Bytes 06.11.2012 15:17:29
AEHEUR.DLL : 8.1.4.138 5542265 Bytes 16.11.2012 12:54:14
AEHELP.DLL : 8.1.25.2 258423 Bytes 11.10.2012 18:54:26
AEGEN.DLL : 8.1.6.10 438646 Bytes 16.11.2012 12:54:11
AEEXP.DLL : 8.2.0.10 119158 Bytes 06.11.2012 15:17:29
AEEMU.DLL : 8.1.3.2 393587 Bytes 10.07.2012 14:25:48
AECORE.DLL : 8.1.29.2 201079 Bytes 08.11.2012 14:09:10
AEBB.DLL : 8.1.1.4 53619 Bytes 06.11.2012 15:17:26
AVWINLL.DLL : 12.3.0.15 27344 Bytes 08.05.2012 21:20:45
AVPREF.DLL : 12.3.0.32 50720 Bytes 14.11.2012 22:22:20
AVREP.DLL : 12.3.0.15 179208 Bytes 08.05.2012 21:20:46
AVARKT.DLL : 12.3.0.33 209696 Bytes 14.11.2012 22:22:20
AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 08.05.2012 21:20:45
SQLITE3.DLL : 3.7.0.1 398288 Bytes 08.05.2012 21:20:45
AVSMTP.DLL : 12.3.0.32 63480 Bytes 08.08.2012 15:26:05
NETNT.DLL : 12.3.0.15 17104 Bytes 08.05.2012 21:20:45
RCIMAGE.DLL : 12.3.0.31 4444408 Bytes 08.08.2012 15:25:59
RCTEXT.DLL : 12.3.0.32 98848 Bytes 14.11.2012 22:22:20

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files (x86)\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Freitag, 16. November 2012 14:00

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\{6EC2C387-1537-433B-84FE-38ACF9AD381E}\Connection\Name
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Network\{4d36e975-e325-11ce-bfc1-08002be10318}\{2B07FAA1-8217-4E30-B5EC-FD4501E773BB}\Linkage\Bind
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Network\{4d36e975-e325-11ce-bfc1-08002be10318}\{2B07FAA1-8217-4E30-B5EC-FD4501E773BB}\Linkage\Route
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Network\{4d36e975-e325-11ce-bfc1-08002be10318}\{2B07FAA1-8217-4E30-B5EC-FD4501E773BB}\Linkage\Export
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\LanmanServer\Linkage\Bind
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\LanmanServer\Linkage\Route
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\LanmanServer\Linkage\Export
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\LanmanWorkstation\Linkage\Bind
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\LanmanWorkstation\Linkage\Route
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\LanmanWorkstation\Linkage\Export
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\NetBIOS\Linkage\LanaMap
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\NetBIOS\Linkage\Bind
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\NetBIOS\Linkage\Route
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\NetBIOS\Linkage\Export
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\NetBT\Linkage\Bind
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\NetBT\Linkage\Route
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\NetBT\Linkage\Export
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\Smb\Linkage\Bind
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\Smb\Linkage\Route
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\Smb\Linkage\Export
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\TCPIP6\Linkage\Bind
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\TCPIP6\Linkage\Route
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\TCPIP6\Linkage\Export
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\Control\DeviceClasses\{ad498944-762f-11d0-8dcb-00c04fc3358c}\##?#ROOT#*ISATAP#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}\#{830A1F97-0BF6-4640-8B89-EDD171194ABE}
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\{830A1F97-0BF6-4640-8B89-EDD171194ABE}
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\services\iphlpsvc\Parameters\Isatap\{830A1F97-0BF6-4640-8B89-EDD171194ABE}
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\services\iphlpsvc\Teredo\PreviousState\7c-4f-b5-6f-b6-29\TeredoAddress
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\services\TCPIP6\Parameters\Interfaces\{830a1f97-0bf6-4640-8b89-edd171194abe}
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-1751420494-377982950-2906135260-1001\Software\Avira\AntiVir Desktop\profDataStr
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-1751420494-377982950-2906135260-1001\Software\Microsoft\MediaPlayer\Health\{ACF2E8DD-2A3B-4D7A-B589-93C2EB76A6CA}
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'UNS.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemonu.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'LMS.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '92' Modul(e) wurden durchsucht
Durchsuche Prozess 'MobileConnect.exe' - '137' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'wcourier.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'HControlUser.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'DMedia.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMLSvc.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'AsScrPro.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'WDC.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'KBFiltr.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATKOSD.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'HControl.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATKOSD2.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'sensorsrv.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'ALU.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'VMCService.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'DCService.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQSER~1.EXE' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'BBSvc.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'GFNEXSrv.exe' - '10' Modul(e) wurden durchsucht
Durchsuche Prozess 'ASLDRSrv.exe' - '22' Modul(e) wurden durchsucht

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '2680' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <OS>
C:\Program Files (x86)\Steam\SteamApps\common\terraria\dotNetFx40_Full_x86_x64.exe
[WARNUNG] Die Datei konnte nicht gelesen werden!
C:\Users\nevermind\AppData\Local\Mozilla\Firefox\Profiles\d8ks9kkc.default\Cache\0\DE\09007d01
[FUND] Enthält Erkennungsmuster des Exploits EXP/JS.Expack.BA
C:\Users\nevermind\AppData\Local\Temp\jar_cache7687429293551908583.tmp
[0] Archivtyp: ZIP
--> Akiuc.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Kalika.E
--> Bazanas.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Kalika.G
--> Chena.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Kalika.F
--> Hanuka.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/0507.DA
--> Ini.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/0507.CZ
--> Letstat.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Kalika.D
C:\Users\nevermind\AppData\Local\Temp\jar_cache9149163691178150945.tmp
[0] Archivtyp: ZIP
--> Akiuc.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Kalika.E
--> Bazanas.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Kalika.G
--> Chena.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Kalika.F
--> Hanuka.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/0507.DA
--> Ini.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/0507.CZ
--> Letstat.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Kalika.D
C:\Users\nevermind\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\42\3cffd02a-70f19643
[FUND] Ist das Trojanische Pferd TR/Yakes.bccp
Beginne mit der Suche in 'D:\' <DATA>

Beginne mit der Desinfektion:
C:\Users\nevermind\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\42\3cffd02a-70f19643
[FUND] Ist das Trojanische Pferd TR/Yakes.bccp
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5760e557.qua' verschoben!
C:\Users\nevermind\AppData\Local\Temp\jar_cache9149163691178150945.tmp
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Kalika.E
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4fe3caf6.qua' verschoben!
C:\Users\nevermind\AppData\Local\Temp\jar_cache7687429293551908583.tmp
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Kalika.E
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1dbc901e.qua' verschoben!
C:\Users\nevermind\AppData\Local\Mozilla\Firefox\Profiles\d8ks9kkc.default\Cache\0\DE\09007d01
[FUND] Enthält Erkennungsmuster des Exploits EXP/JS.Expack.BA
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7a45df34.qua' verschoben!


Ende des Suchlaufs: Freitag, 16. November 2012 15:14
Benötigte Zeit: 1:12:36 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

38804 Verzeichnisse wurden überprüft
1217080 Dateien wurden geprüft
16 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
4 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
1217064 Dateien ohne Befall
13128 Archive wurden durchsucht
1 Warnungen
34 Hinweise
591634 Objekte wurden beim Rootkitscan durchsucht
30 Versteckte Objekte wurden gefunden


Diese habe ich entfernt und jetzt mit Malwarebytes Anti-Malware folgendes:

Datenbank Version: v2012.11.16.06

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
nevermind :: NEVERMIND-PC [Administrator]

Schutz: Aktiviert

16.11.2012 15:34:26
mbam-log-2012-11-16 (16-41-08).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 410997
Laufzeit: 45 Minute(n), 17 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\ProgramData\lsass.exe (Trojan.Delf) -> Keine Aktion durchgeführt.
C:\Users\nevermind\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk (Trojan.Ransom.Gen) -> Keine Aktion durchgeführt.

(Ende)


Ich weiss nicht so recht was ich jetzt machen soll. Habe das Programm noch offen und die beiden Eindringle nicht entfernt, weil ich irgendwo gelesen hab (finde die Seite nicht mehr), dass ich wegen dem Wiederherstellungspunkt auf Festplatte C nichts löschen soll. *planlos* urks.

Hoffe mir kann jemand helfen.

Gruß Sina

Alt 17.11.2012, 02:33   #2
t'john
/// Helfer-Team
 
Trojan.delf in C:\ProgramData\lsass.exe und Trojan. Ransom.Gem. Was tun? - Standard

Trojan.delf in C:\ProgramData\lsass.exe und Trojan. Ransom.Gem. Was tun?




Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
  • Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting ( posten in mehreren Foren).
  • Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
  • Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
  • Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.


Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

1. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

2. Schritt
Systemscan mit OTL (bebilderte Anleitung)

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)- Doppelklick auf die OTL.exe

  • Vista und Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Wähle Scanne Alle Benuzer
  • Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Minimale Ausgabe
  • Unter Extra Registrierung, wähle bitte Benutze SafeList
  • Klicke nun auf Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.
__________________

__________________
Alt 19.12.2012, 11:25   #3
t'john
/// Helfer-Team
 
Trojan.delf in C:\ProgramData\lsass.exe und Trojan. Ransom.Gem. Was tun? - Standard

Trojan.delf in C:\ProgramData\lsass.exe und Trojan. Ransom.Gem. Was tun?


Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html


Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.
__________________
__________________
Antwort

Themen zu Trojan.delf in C:\ProgramData\lsass.exe und Trojan. Ransom.Gem. Was tun?
.dll, 4d36e972-e325-11ce-bfc1-08002be10318, administrator, antivir, avg, ctfmon.exe, desktop, festplatte, firefox, home, lanmanworkstation, lsass.exe, löschen, malware, malwarebytes, microsoft, modul, mozilla, ntdll.dll, programm, prozesse, registry, scan, server, services.exe, software, staatstrojaner, svchost.exe, teredo, warnung, windows, winlogon.exe, wuauclt.exe


« OTL Scan bei BKA Trojaner | GVU Trojaner »


Ähnliche Themen: Trojan.delf in C:\ProgramData\lsass.exe und Trojan. Ransom.Gem. Was tun?


  1. Mail-Anhang wurde geöffnet 11-suche.xml (Win.Trojan.Agent-516645, Win.Trojan.Delf-12000)
    Log-Analyse und Auswertung - 19.04.2014 (3)
  2. Nach spontanen mbam scan: Trojan.Phex.THAGen6 und Trojan.Ransom.ED
    Log-Analyse und Auswertung - 22.12.2013 (1)
  3. Trojan.Ransom.SUGen/PUM.Hijack.StartMenu/und Trojan Ransom
    Plagegeister aller Art und deren Bekämpfung - 16.04.2013 (2)
  4. Mehrere Trojaner im Temp Ordner (Trojan.Citadel.IE, Trojan.Ransom.CT, Trojan.Zlob)
    Log-Analyse und Auswertung - 14.04.2013 (7)
  5. Trojan.Ransom.ED, Trojan.Agent.ED und Trojan.FakeMS.PRGen auf laptop
    Log-Analyse und Auswertung - 13.04.2013 (9)
  6. Trojan.Ransom.ED, Trojan.Agent.ED, Trojan.FakeMS.PRGen und Bublik b. durch Email erhalten?
    Plagegeister aller Art und deren Bekämpfung - 02.04.2013 (29)
  7. Bublik b.; Trojan.Ransom.ED; Trojan.Agent.ED und Trojan.FakeMS.PRGen in Email?
    Mülltonne - 28.03.2013 (0)
  8. Vista: Trojan.Ransom.Gen; Trojan.0Access; Trojan.Agent; Firewall inaktiv
    Plagegeister aller Art und deren Bekämpfung - 28.03.2013 (3)
  9. BKA-Trojaner u.a. (Trojan.Bublik, Trojan-Ransom.Foreign, Worm.Cridex, Trojan.Yakes)
    Log-Analyse und Auswertung - 17.03.2013 (4)
  10. Trojan.Agent, Trojan.Delf, Trojan.Ransom.Gen
    Plagegeister aller Art und deren Bekämpfung - 12.02.2013 (18)
  11. Exploit.Drop.GS / Trojan.Delf / Trojan.Ransom.Gen
    Log-Analyse und Auswertung - 11.01.2013 (7)
  12. 2 Funde Trojan.Ransom.SUGen Trojan.Ransom
    Plagegeister aller Art und deren Bekämpfung - 10.12.2012 (15)
  13. BKA-Virus, PUM.UserWLoad, Trojan.Delf, Trojan.Ransom.Gen, alles auf einmal
    Log-Analyse und Auswertung - 18.11.2012 (23)
  14. Trojan.Delf in "C:\ProgramData\lsass.exe"
    Log-Analyse und Auswertung - 29.10.2012 (25)
  15. Bei Systemstart Trojaner mit Webcam (lsass.exe / ctfmon.lnk / Trojan.Delf)
    Plagegeister aller Art und deren Bekämpfung - 19.10.2012 (1)
  16. Auf meinem PC: PUM.Disabled.SecurityCenter, Exploit.Drop.GS, Trojan.Delf, Trojan.Ransom.Gen
    Plagegeister aller Art und deren Bekämpfung - 02.10.2012 (29)
  17. SystemProc\lsass.ece | ProgramData\ds32gt32.dll |ProgramData\dskquoto32.dll | uvm.
    Plagegeister aller Art und deren Bekämpfung - 06.06.2010 (10)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Trojan.delf in C:\ProgramData\lsass.exe und Trojan. Ransom.Gem. Was tun? - Moin moin, gestern hat mein Laptop mir ein Bild gezeigt, ich solle 100€ zum PV entsperren zahlen (Staatstrojaner?) Ich habe ihn dann herunter und wieder hoch gefahren. Danach gings wieder, - Trojan.delf in C:\ProgramData\lsass.exe und Trojan. Ransom.Gem. Was tun?...
Archiv
Du betrachtest: Trojan.delf in C:\ProgramData\lsass.exe und Trojan. Ransom.Gem. Was tun? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131