Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Mehrere Trojaner im Temp Ordner (Trojan.Citadel.IE, Trojan.Ransom.CT, Trojan.Zlob)

Mehrere Trojaner im Temp Ordner (Trojan.Citadel.IE, Trojan.Ransom.CT, Trojan.Zlob)


Log-Analyse und Auswertung: Mehrere Trojaner im Temp Ordner (Trojan.Citadel.IE, Trojan.Ransom.CT, Trojan.Zlob)

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

 
Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
Alt 06.04.2013, 02:56   #1
RedXIII
 
Mehrere Trojaner im Temp Ordner (Trojan.Citadel.IE, Trojan.Ransom.CT, Trojan.Zlob) - Standard

Mehrere Trojaner im Temp Ordner (Trojan.Citadel.IE, Trojan.Ransom.CT, Trojan.Zlob)


Moin,

mir sind vor ca. 3 Tagen mehrere .exe Dateien im Taskmanager aufgefallen. Ich hab die 2 Dateien dann bei Virustotal hochgeladen, hier das Ergebnis:

https://www.virustotal.com/de/file/5613fc6e37a806e4e18aadcaab519f26933888b8682a76362a760b8f51514487/analysis/1365182891/

https://www.virustotal.com/de/file/47ce64a58be566891f6714cefbb55bc0d8ee876d1ffe450a252597826448a22a/analysis/1365183017/

Ich hab die Dateien dann mit dem Taskmanager geschlossen und in einen anderen Ordner verschoben, sowie den Registrierungs Eintrag unter
Code:
ATTFilter
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Evtiomeqv"="C:\\Users\\RedXIII\\AppData\\Roaming\\Agezb\\imloi.exe"
gelöscht.


Daraufhin hab ich mit Malwarebytes Anti-Malware einen Quick Scan durchgeführt, hier der Log:

Code:
ATTFilter
Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.04.05.08

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
RedXIII :: REDXIII-PC [Administrator]

05.04.2013 20:46:05
mbam-log-2013-04-05 (20-46-05).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 232130
Laufzeit: 2 Minute(n), 17 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 3
C:\Users\RedXIII\AppData\Local\Temp\tmp18e31d56\234.exe (Trojan.Citadel.IE) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\RedXIII\AppData\Local\Temp\tmp60ac9ac1\233.exe (Trojan.Ransom.CT) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\RedXIII\AppData\Local\Temp\test.exe (Trojan.Zlob) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Als nächstes hab ich wie hier http://www.trojaner-board.de/69886-a...-beachten.html beschrieben alle Punkte abgearbeitet.

Defrogger:
Code:
ATTFilter
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 00:40 on 06/04/2013 (RedXIII)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.
HKCU:DAEMON Tools Lite -> Removed

Checking for services/drivers...
SPTD -> Disabled (Service running -> reboot required)


-=E.O.F=-


Gmer.log
Code:
ATTFilter
GMER 2.1.19163 - hxxp://www.gmer.net
Rootkit scan 2013-04-06 02:12:52
Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 SAMSUNG_HD103SJ rev.1AJ10001 931,51GB
Running: gmer_2.1.19163.exe; Driver: C:\Users\RedXIII\AppData\Local\Temp\pxliqfog.sys


---- User code sections - GMER 2.1 ----

.text  C:\Windows\SysWOW64\PnkBstrA.exe[1552] C:\Windows\SysWOW64\WSOCK32.dll!setsockopt + 322                             0000000074b31a22 2 bytes [B3, 74]
.text  C:\Windows\SysWOW64\PnkBstrA.exe[1552] C:\Windows\SysWOW64\WSOCK32.dll!setsockopt + 496                             0000000074b31ad0 2 bytes [B3, 74]
.text  C:\Windows\SysWOW64\PnkBstrA.exe[1552] C:\Windows\SysWOW64\WSOCK32.dll!setsockopt + 552                             0000000074b31b08 2 bytes [B3, 74]
.text  C:\Windows\SysWOW64\PnkBstrA.exe[1552] C:\Windows\SysWOW64\WSOCK32.dll!setsockopt + 730                             0000000074b31bba 2 bytes [B3, 74]
.text  C:\Windows\SysWOW64\PnkBstrA.exe[1552] C:\Windows\SysWOW64\WSOCK32.dll!setsockopt + 762                             0000000074b31bda 2 bytes [B3, 74]
.text  C:\Windows\SysWOW64\PnkBstrA.exe[1552] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                      0000000077231465 2 bytes [23, 77]
.text  C:\Windows\SysWOW64\PnkBstrA.exe[1552] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                     00000000772314bb 2 bytes [23, 77]
.text  ...                                                                                                                 * 2

---- Registry - GMER 2.1 ----

Reg    HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC                                    
Reg    HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                 C:\Program Files (x86)\DAEMON Tools Lite\
Reg    HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                 0x00 0x00 0x00 0x00 ...
Reg    HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                 0
Reg    HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                              0x15 0x5D 0x08 0x5C ...
Reg    HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001                           
Reg    HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                        0xA0 0x02 0x00 0x00 ...
Reg    HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                     0xDD 0x1C 0xE3 0xF4 ...
Reg    HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0                      
Reg    HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                0x56 0x7E 0x3C 0x85 ...
Reg    HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)                
Reg    HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                     C:\Program Files (x86)\DAEMON Tools Lite\
Reg    HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                     0x00 0x00 0x00 0x00 ...
Reg    HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                     0
Reg    HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                  0x15 0x5D 0x08 0x5C ...
Reg    HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)       
Reg    HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                            0xA0 0x02 0x00 0x00 ...
Reg    HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                         0xDD 0x1C 0xE3 0xF4 ...
Reg    HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)  
Reg    HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                    0x56 0x7E 0x3C 0x85 ...

---- Disk sectors - GMER 2.1 ----

Disk   \Device\Harddisk0\DR0                                                                                               unknown MBR code

---- EOF - GMER 2.1 ----

Die Logs von OTL hab ich in den Anhang gepackt, waren zu groß fürs Forum.

Am PC selber ist mir sonst nix merkwürdiges aufgefallen. Läuft stabil wie immer.
Wie würden die nächsten Schritte aussehen? Kann man noch was retten?

MfG Cedric

 

Themen zu Mehrere Trojaner im Temp Ordner (Trojan.Citadel.IE, Trojan.Ransom.CT, Trojan.Zlob)
.dll, administrator, anti-malware, appdata, autostart, ergebnis, explorer, harddisk, malwarebytes, mehrere trojaner, microsoft, ordner verschoben, registry, required, scan, software, taskmanager, temp, trojan.citadel.ie, trojan.ransom.ct, trojan.zlob, trojaner, virustotal, windows


« PWS:Win32/Zbot.gen!AJ - keine Entfernung über MSE möglich | Firewall - Fehlercode 0x80070424, Windows Upadte und Rootkit »


Ähnliche Themen: Mehrere Trojaner im Temp Ordner (Trojan.Citadel.IE, Trojan.Ransom.CT, Trojan.Zlob)


  1. Mbam findet Trojan.Ransom.ED und PUP.Optional.PerformerSoft.A in C:\Windows\Temp
    Log-Analyse und Auswertung - 01.06.2014 (6)
  2. Trojan-Ransom.Win32.Blocker.cbsn & Trojan-Spy.Win.32.Zbot.nsur eingefangen -.-
    Plagegeister aller Art und deren Bekämpfung - 12.04.2014 (23)
  3. Nach spontanen mbam scan: Trojan.Phex.THAGen6 und Trojan.Ransom.ED
    Log-Analyse und Auswertung - 22.12.2013 (1)
  4. Mehrere Trojaner (trojan.banker, trojan.agent), pup.funmoods
    Log-Analyse und Auswertung - 01.05.2013 (6)
  5. Trojan.Ransom.SUGen/PUM.Hijack.StartMenu/und Trojan Ransom
    Plagegeister aller Art und deren Bekämpfung - 16.04.2013 (2)
  6. Trojan.Ransom.ED, Trojan.Agent.ED und Trojan.FakeMS.PRGen auf laptop
    Log-Analyse und Auswertung - 13.04.2013 (9)
  7. Trojan.Ransom.ED, Trojan.Agent.ED, Trojan.FakeMS.PRGen und Bublik b. durch Email erhalten?
    Plagegeister aller Art und deren Bekämpfung - 02.04.2013 (29)
  8. Bublik b.; Trojan.Ransom.ED; Trojan.Agent.ED und Trojan.FakeMS.PRGen in Email?
    Mülltonne - 28.03.2013 (0)
  9. Vista: Trojan.Ransom.Gen; Trojan.0Access; Trojan.Agent; Firewall inaktiv
    Plagegeister aller Art und deren Bekämpfung - 28.03.2013 (3)
  10. BKA-Trojaner u.a. (Trojan.Bublik, Trojan-Ransom.Foreign, Worm.Cridex, Trojan.Yakes)
    Log-Analyse und Auswertung - 17.03.2013 (4)
  11. Trojan.Agent, Trojan.Delf, Trojan.Ransom.Gen
    Plagegeister aller Art und deren Bekämpfung - 12.02.2013 (18)
  12. Polizei Österreich Trojaner (Trojan.Reveton und Trojan.Ransom)
    Log-Analyse und Auswertung - 22.12.2012 (13)
  13. Trojan.Ransom (C:\Users\****\LOCALS~1\Temp\msxvoh.cmd)
    Plagegeister aller Art und deren Bekämpfung - 25.11.2012 (6)
  14. Fehlermeldung bei Start "temp/install_0_msi.exe", Malewarebyte: Trojan.Agent --> svchosptd.exe & Trojan.Ransom.Gen --> ctfmon.lnk
    Plagegeister aller Art und deren Bekämpfung - 18.10.2012 (10)
  15. Auf meinem PC: PUM.Disabled.SecurityCenter, Exploit.Drop.GS, Trojan.Delf, Trojan.Ransom.Gen
    Plagegeister aller Art und deren Bekämpfung - 02.10.2012 (29)
  16. Wohl mehrere Viren: Rootkit.0Access Trojan.Zaccess Trojan.RansomP.Gen Trojan.Agent bzw. TR/ATRAPS.Gen2
    Plagegeister aller Art und deren Bekämpfung - 25.09.2012 (13)
  17. Mehrere Trojaner Meldungen 'TR/Dldr.Agent.yla' [trojan] 'TR/Dropper.Gen' [trojan]
    Plagegeister aller Art und deren Bekämpfung - 02.03.2009 (19)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Mehrere Trojaner im Temp Ordner (Trojan.Citadel.IE, Trojan.Ransom.CT, Trojan.Zlob) - Moin, mir sind vor ca. 3 Tagen mehrere .exe Dateien im Taskmanager aufgefallen. Ich hab die 2 Dateien dann bei Virustotal hochgeladen, hier das Ergebnis: https://www.virustotal.com/de/file/5613fc6e37a806e4e18aadcaab519f26933888b8682a76362a760b8f51514487/analysis/1365182891/ https://www.virustotal.com/de/file/47ce64a58be566891f6714cefbb55bc0d8ee876d1ffe450a252597826448a22a/analysis/1365183017/ Ich hab die - Mehrere Trojaner im Temp Ordner (Trojan.Citadel.IE, Trojan.Ransom.CT, Trojan.Zlob)...
Archiv
Du betrachtest: Mehrere Trojaner im Temp Ordner (Trojan.Citadel.IE, Trojan.Ransom.CT, Trojan.Zlob) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131