Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
GVU/BKA Trojaner Weisser Bildschirm!

GVU/BKA Trojaner Weisser Bildschirm!


Log-Analyse und Auswertung: GVU/BKA Trojaner Weisser Bildschirm!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 29.07.2013, 22:21   #1
necro666
 
GVU/BKA Trojaner Weisser Bildschirm! - Standard

GVU/BKA Trojaner Weisser Bildschirm!


Hi! habe mir auf meinem Studio-Rechner beim surfen eine Ransom-Ware eingefangen. Irgendein Urheberrechtsverletzungs-Hinweis, nachm Neustart nur noch ein weisser Bildschirm.
Ebenso im abgesicherten Modus.

Booten von OTL-CD geht nicht, auch nach umstellen der Bootsequenz im BIOS. (springt dann wieder ins Windows Startup von der Festplatte --> weisser Bildschirm)

ACHTUNG: die Infektion fand schon vor ca. eineinhalb Monaten statt, das heisst, es handelt sich hier nicht um eine der aktuellen Versionen des Trojaners. (Hatte während des Semester-Finales ohnehin keine Zeit zum Musikmachen, deshalb bis jetzt kein akuter Handlungsbedarf...)

Hier das FRST-log:

Code:
ATTFilter
Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 24-07-2013
Ran by SYSTEM on 26-07-2013 14:13:45
Running from J:\
Windows 7 Ultimate (X64) OS Language: German Standard
Internet Explorer Version 8
Boot Mode: Recovery

The current controlset is ControlSet001
ATTENTION!:=====> FRST is updated to run from normal or Safe mode to produce a full FRST.txt log and an extra Addition.txt log.

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [AdobeAAMUpdater-1.0] - C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe [446392 2012-04-04] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [StartCCC] - "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun [336384 2011-01-26] (Advanced Micro Devices, Inc.)
HKLM-x32\...\Run: [ATICustomerCare] - "C:\Program Files (x86)\ATI\ATICustomerCare\ATICustomerCare.exe" [311296 2010-05-04] (Advanced Micro Devices, Inc.)
HKLM-x32\...\Run: [Adobe ARM] - "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [843712 2012-01-03] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [WinampAgent] - "C:\Program Files (x86)\Winamp\winampa.exe" [74752 2011-12-09] (Nullsoft, Inc.)
HKLM-x32\...\Run: [avgnt] - "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min [348664 2012-08-16] (Avira Operations GmbH & Co. KG)
HKLM-x32\...\Run: [Cisco AnyConnect Secure Mobility Agent for Windows] - "C:\Program Files (x86)\Cisco\Cisco AnyConnect Secure Mobility Client\vpnui.exe" -minimized [527312 2012-01-13] (Cisco Systems, Inc.)
HKLM-x32\...\Run: [APSDaemon] - "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [59240 2012-02-20] (Apple Inc.)
HKLM-x32\...\Run: [QuickTime Task] - "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime [421888 2012-04-18] (Apple Inc.)
HKLM-x32\...\Run: [SwitchBoard] - C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [517096 2010-02-19] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [AdobeCS6ServiceManager] - "C:\Program Files (x86)\Common Files\Adobe\CS6ServiceManager\CS6ServiceManager.exe" -launchedbylogin [1073312 2012-03-09] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [TrayServer] - C:\Program Files (x86)\MAGIX\Movie_Edit_Pro_MX_Plus_Download_Version\TrayServer_en.exe [90112 2008-11-13] (MAGIX AG)
HKLM-x32\...\Run: [SunJavaUpdateSched] - "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" [254696 2011-04-08] (Sun Microsystems, Inc.)
HKU\XXXXXX\...\Run: [DAEMON Tools Lite] - "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun [1305408 2011-01-20] (DT Soft Ltd)
HKU\XXXXXX\...\Run: [AdobeBridge] -  [x]
HKU\XXXXXX\...\Run: [Gadwin PrintScreen] - C:\Program Files (x86)\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash [1842384 2012-05-30] (Gadwin Systems, Inc)
HKU\XXXXXX\...\Winlogon: [Shell] explorer.exe,C:\Users\XXXXX\AppData\Roaming\skype.dat <==== ATTENTION 

==================== Services (Whitelisted) =================

S2 AntiVirSchedulerService; C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [86224 2012-05-08] (Avira Operations GmbH & Co. KG)
S2 AntiVirService; C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [110032 2012-05-08] (Avira Operations GmbH & Co. KG)
S2 WSWNA1100; C:\Program Files (x86)\NETGEAR\WNA1100\WifiSvc.exe [266240 2010-08-04] ()

==================== Drivers (Whitelisted) ====================

S3 61883; C:\Windows\System32\DRIVERS\61883.sys [60288 2009-07-14] (Microsoft Corporation)
S2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [98848 2012-05-08] (Avira GmbH)
S1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [132832 2012-05-08] (Avira GmbH)
S1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [27760 2011-09-16] (Avira GmbH)
S1 dtsoftbus01; C:\Windows\System32\DRIVERS\dtsoftbus01.sys [254528 2011-08-13] (DT Soft Ltd)
S3 ffSaffireLE_1394; C:\Windows\System32\Drivers\ffSaffireLE_1394_x64.sys [189440 2011-02-11] (Archwave AG)
S3 ffSaffireLE_avs; C:\Windows\System32\Drivers\ffSaffireLE_avs_x64.sys [65024 2011-02-11] (Archwave AG)
S3 hwusbdev; C:\Windows\System32\DRIVERS\ewusbdev.sys [114560 2009-07-24] (Huawei Technologies Co., Ltd.)
S3 irsir; C:\Windows\System32\DRIVERS\irsir.sys [27648 2008-01-19] (Microsoft Corporation)
S3 LoopBe30; C:\Windows\System32\drivers\loopbe30.sys [16896 2011-02-26] (nerds.de)
S3 synusb64; C:\Windows\System32\DRIVERS\synusb64.sys [30352 2010-09-17] (Steinberg Media Technologies GmbH)

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-07-26 14:12 - 2013-07-26 14:12 - 00000000 ____D C:\FRST

==================== One Month Modified Files and Folders =======

2013-07-26 14:12 - 2013-07-26 14:12 - 00000000 ____D C:\FRST
2013-07-26 12:53 - 2009-07-14 05:45 - 00014224 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-07-26 12:53 - 2009-07-14 05:45 - 00014224 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-07-26 12:52 - 2013-06-14 17:29 - 00000004 _____ C:\Users\XXXXXX\AppData\Roaming\skype.ini
2013-07-26 12:52 - 2009-07-14 06:08 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2013-07-26 12:51 - 2009-07-14 05:51 - 00116639 _____ C:\Windows\setupact.log

Files to move or delete:
====================
C:\Users\XXXXXX\AppData\Roaming\skype.dat
C:\Users\XXXXXX\AppData\Roaming\skype.ini

==================== Known DLLs (Whitelisted) ================


==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points  =========================

Restore point made on: 2013-06-08 11:25:32

==================== Memory info =========================== 

Percentage of memory in use: 14%
Total physical RAM: 4087.05 MB
Available physical RAM: 3481.54 MB
Total Pagefile: 4085.2 MB
Available Pagefile: 3471.34 MB
Total Virtual: 8192 MB
Available Virtual: 8191.85 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:339.53 GB) (Free:110.67 GB) NTFS (Disk=0 Partition=3)
Drive d: (WIN XP KEEPER) (Fixed) (Total:37.73 GB) (Free:0.98 GB) NTFS (Disk=0 Partition=2)
Drive j: () (Removable) (Total:7.49 GB) (Free:7.46 GB) FAT32 (Disk=4 Partition=1)
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
Drive y: (System-reserviert) (Fixed) (Total:0.1 GB) (Free:0.07 GB) NTFS (Disk=0 Partition=1) ==>[System with boot components (obtained from reading drive)]

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 466 GB) (Disk ID: D8EAD8EA)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=419 GB) - (Type=OF Extended)

========================================================
Disk: 4 (Size: 8 GB) (Disk ID: 3B3E3B3D)
Partition 1: (Not Active) - (Size=8 GB) - (Type=0B)


LastRegBack: 2013-06-11 17:58

==================== End Of Log ============================


Ich bedank mich jetzt schonmal im Voraus, und sicher nicht zum letzten mal

Alt 29.07.2013, 22:48   #2
aharonov
/// TB-Ausbilder
 
GVU/BKA Trojaner Weisser Bildschirm! - Standard

GVU/BKA Trojaner Weisser Bildschirm!


Hi,

startet der Rechner nach folgendem Fix wieder normal?


Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

(Benutzernamen im Fixskript wieder einsetzen!)
Code:
ATTFilter
HKU\XXXXXX\...\Winlogon: [Shell] explorer.exe,C:\Users\XXXXX\AppData\Roaming\skype.dat <==== ATTENTION 
C:\Users\XXXXXX\AppData\Roaming\skype.dat
C:\Users\XXXXXX\AppData\Roaming\skype.ini
Speichere diese bitte als Fixlist.txt auf deinem USB Stick.
  • Starte deinen Rechner erneut in die Reparaturoptionen
  • Starte nun die FRST.exe erneut und klicke den Entfernen Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.
__________________

__________________
Alt 03.08.2013, 00:46   #3
aharonov
/// TB-Ausbilder
 
GVU/BKA Trojaner Weisser Bildschirm! - Standard

GVU/BKA Trojaner Weisser Bildschirm!


Hi,

ich hab schon länger keine Antwort mehr von dir erhalten. Brauchst du weiterhin noch Hilfe?

Wenn ich in den nächsten 24 Stunden nichts von dir höre, gehe ich davon aus, dass sich das Thema erledigt hat und lösche es aus meinen Abos.
__________________
__________________
Alt 12.08.2013, 19:46   #4
aharonov
/// TB-Ausbilder
 
GVU/BKA Trojaner Weisser Bildschirm! - Standard

GVU/BKA Trojaner Weisser Bildschirm!


Fehlende Rückmeldung
Dieses Thema wurde aus meinen Abos gelöscht. Somit bekomme ich keine Benachrichtigung mehr über neue Antworten.
Schreib mir eine PM, falls du das Thema doch wieder fortsetzen möchtest. Dann machen wir hier weiter.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass dein Rechner schon sauber ist.

Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen.
__________________
cheers,
Leo

Antwort

Themen zu GVU/BKA Trojaner Weisser Bildschirm!
.dll, antivir, association, avg, avira, bildschirm, desktop, download, explorer, explorer.exe, farbar, farbar recovery scan tool, festplatte, frst.txt, gvu/bka, microsoft, netgear, neustart, opera, registry, scan, secure, services.exe, surfen, svchost.exe, system, trojaner, windows, winlogon, winlogon.exe


« Windows 7: TR/PSW.Zbot.73728.71; JAVA/Lamar.jyi.31; ADWARE/DomaIQ.24569 eingefangen. wie entfernen? log-dateien angehängt. | Weißer Bildschirm Win7, FRST.txt erstellt, weiteres Vorgehen »


Ähnliche Themen: GVU/BKA Trojaner Weisser Bildschirm!


  1. Vista - weisser Bildschirm nach dem Hochfahren (angeblich BKA-Trojaner)
    Log-Analyse und Auswertung - 15.07.2013 (13)
  2. Weisser Bildschirm/BKA-Trojaner/ OTL.exe für Win-32 Anwendungen
    Plagegeister aller Art und deren Bekämpfung - 21.06.2013 (8)
  3. Weisser Bildschirm nach Anmeldung Windows XP, GVU-Trojaner
    Plagegeister aller Art und deren Bekämpfung - 28.05.2013 (30)
  4. Bundespolizei Trojaner -> Weisser Bildschirm
    Log-Analyse und Auswertung - 27.05.2013 (19)
  5. Gema Trojaner, 72 Stunden Zeit, Weisser Bildschirm Windows XP
    Plagegeister aller Art und deren Bekämpfung - 31.03.2013 (3)
  6. trojaner virus weisser bildschirm GAV
    Log-Analyse und Auswertung - 28.02.2013 (33)
  7. Trojaner Weisser Bildschirm - OTLPE-Log Auswertung
    Log-Analyse und Auswertung - 07.10.2012 (26)
  8. Weisser Bildschirm Trojaner WIN XP: OTL.txt dabei
    Log-Analyse und Auswertung - 13.09.2012 (12)
  9. Weisser Bildschirm Trojaner. Bitte um OTL.txt analysieren
    Log-Analyse und Auswertung - 06.09.2012 (3)
  10. Weisser Bildschirm Trojaner, OTL-Logfile erstellt
    Log-Analyse und Auswertung - 22.08.2012 (9)
  11. Weisser bildschirm Trojaner
    Plagegeister aller Art und deren Bekämpfung - 17.06.2012 (1)
  12. weisser bildschirm please wait until connection is beeing established trojaner
    Plagegeister aller Art und deren Bekämpfung - 18.04.2012 (3)
  13. Weisser Bildschirm "warten sie bis die Verbindung erstellt wurde" Virus Weisser Bildschirm "warten s
    Log-Analyse und Auswertung - 17.04.2012 (13)
  14. Weisser Bildschirm "warten sie bis die Verbindung erstellt wurde" Virus Weisser Bildschirm
    Log-Analyse und Auswertung - 15.04.2012 (1)
  15. weisser bildschirm please wait until connection is beeing established trojaner
    Plagegeister aller Art und deren Bekämpfung - 13.04.2012 (15)
  16. Ständig Weisser Bildschirm nach XP Neustart Vermutung: Trojaner
    Plagegeister aller Art und deren Bekämpfung - 17.03.2012 (1)
  17. Weisser Bildschirm, Trojaner
    Log-Analyse und Auswertung - 06.03.2012 (3)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema GVU/BKA Trojaner Weisser Bildschirm! - Hi! habe mir auf meinem Studio-Rechner beim surfen eine Ransom-Ware eingefangen. Irgendein Urheberrechtsverletzungs-Hinweis, nachm Neustart nur noch ein weisser Bildschirm. Ebenso im abgesicherten Modus. Booten von OTL-CD geht nicht, auch - GVU/BKA Trojaner Weisser Bildschirm!...
Archiv
Du betrachtest: GVU/BKA Trojaner Weisser Bildschirm! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131