Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   BKA Trojaner win7 pro 64 Bit (https://www.trojaner-board.de/103860-bka-trojaner-win7-pro-64-bit.html)

blök 05.10.2011 14:53

BKA Trojaner win7 pro 64 Bit
 
Hallo zusammen,

ein vermeintliches Hdd-Rettungstool hat mir wohl das Virus ins System geladenhttp://www.trojaner-board.de/images/smilies/pfeiff.gif. Es äußerte sich folgendermassen:

nach dem Windows start erschien eine Benutzermaske mit dem ungfähren Inhalt ich solle 100€ Strafe überweisen wegen angeblicher illegaler Machenschaften. Ein Link war auf der GUI anklikbar über den man wohl das Geld hätte überweisen können.

Daraufhin habe ich an einem anderen PC eine Sophos Live Disc erstellt, von dieser gebootet und diese drei infizierte dateien (unter anderem im TEMP Verzeichnis) löschen lassen, woraufhin mein Pc wieder einwandfrei funktioniert.
Da ich aber in nächster Zeit das System neu und sauber aufsetzen wollte wäre es super wenn jemand nachsehen könnte ob noch Viren-Reste vorhanden sind, obwohl ich keine Daten von extremem Wert habe.hxxp://www.trojaner-board.de/images/smilies/dankeschoen.gif

markusg 05.10.2011 14:58

hast du das tool noch welches das problem verursacht haben könnte?
falls ja,
File-Upload.net - Ihr kostenloser File Hoster!
lade es dort hoch und sende es mir als private nachicht, nicht hier im forum posten.
falls du den link hast, ebenfalls als private nachicht bitte.

blök 05.10.2011 15:38

Nein leider nicht. Ich hatte aufgrund eines wohl defekten chips probleme mit der Festplattenverschlüsselung bei einem notebook. Das Programm sollte die Festplatte analysieren und feststellen ob sie zu retten ist. Dazu musste ich das Programm (das ich mit Sophos vorher überprüft hatte) als Administrator ausführen und den Router Firewall deaktivieren, damit es Verbindung zu irgendeinem Server aufnehmen konnte.
Das war ziemlich dumm von mir allerdings dem Zeitdruck geschuldet einen Laptop für meine Schwester herzurichten.

markusg 05.10.2011 15:40

jo, die info nützt mir leider nicht, trotzdem danke :-)
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

blök 06.10.2011 18:18

Hallo,
nachdem ich gestern unter Benutzung von ComboFix die Fehlermeldung: ""\MicroLab\SearchEngin\" kann syntaktisch an dieser Stelle nicht verarbeitet werden." hatte, hat heute das "log-erstellen" funktioniert.

Mein trojaner könnte eventuell auch von einer gefakten , soweit ich mich erinnere 36 MB großen, Avira free personal version stammen.
Das sagt Sophos dazu:

Mal/FakeAV-CN, Mal/FakeAV-CN, Mal/Encpk-LZ, Mal/FakeAV-CN, Mal/FakeAV-CN
F:\Downloads\avira_antivir_personal_de.exe.part [versteckt]

leider kann ich auf die datei nicht zugreifen, auch nicht über die konsole. Vielleich ist sie ein Artefakt in Sophos.

Hier meine Log Datei von Combo fix:
Combofix Logfile:
Code:

ComboFix 11-10-06.03 - Laertes 06.10.2011  19:00:27.1.6 - x64
Microsoft Windows 7 Professional  6.1.7601.1.1252.49.1031.18.8190.6665 [GMT 2:00]
ausgeführt von:: c:\users\Laertes\Desktop\ComboFix.exe
AV: Sophos Anti-Virus *Disabled/Updated* {65FBD860-96D8-75EF-C7ED-7BE27E6C498A}
SP: Sophos Anti-Virus *Disabled/Updated* {DE9A3984-B0E2-7A61-FD5D-409005EB0337}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Odysseus\AppData\Roaming\1180648259.exe
c:\users\Odysseus\AppData\Roaming\975639139.exe
c:\users\Odysseus\AppData\Roaming\Help\coredb\storage
.
.
(((((((((((((((((((((((  Dateien erstellt von 2011-09-06 bis 2011-10-06  ))))))))))))))))))))))))))))))
.
.
2011-10-06 17:02 . 2011-10-06 17:02        --------        d-----w-        c:\users\Odysseus\AppData\Local\temp
2011-10-06 17:02 . 2011-10-06 17:02        --------        d-----w-        c:\users\Default\AppData\Local\temp
2011-10-06 16:17 . 2011-10-06 16:17        69000        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{D542B0EA-B21C-4341-A5BC-D7A04E171C3E}\offreg.dll
2011-10-04 07:57 . 2011-09-13 00:26        9049936        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{D542B0EA-B21C-4341-A5BC-D7A04E171C3E}\mpengine.dll
2011-10-02 08:57 . 2011-10-02 08:57        --------        d-----w-        c:\program files (x86)\AMD APP
2011-10-02 08:56 . 2011-10-02 08:56        --------        d-----w-        c:\programdata\ATI
2011-10-02 08:41 . 2011-10-02 08:41        --------        d-----w-        c:\program files\ATI Technologies
2011-09-20 13:19 . 2011-09-20 13:19        --------        d-----w-        c:\program files (x86)\ADLSoft UnCompressor
2011-09-20 08:48 . 2011-09-20 08:48        --------        d-----w-        c:\program files (x86)\CrystalDiskInfo
2011-09-14 09:47 . 2011-09-14 09:47        60416        ----a-w-        c:\windows\system32\OVDecode64.dll
2011-09-14 09:47 . 2011-09-14 09:47        53760        ----a-w-        c:\windows\SysWow64\OVDecode.dll
2011-09-14 09:47 . 2011-09-14 09:47        16652288        ----a-w-        c:\windows\system32\amdocl64.dll
2011-09-14 09:46 . 2011-09-14 09:46        13625856        ----a-w-        c:\windows\SysWow64\amdocl.dll
2011-09-14 09:38 . 2011-09-14 09:38        44032        ----a-w-        c:\windows\system32\amdoclcl64.dll
2011-09-14 09:38 . 2011-09-14 09:38        37376        ----a-w-        c:\windows\SysWow64\amdoclcl.dll
2011-09-09 16:10 . 2011-09-09 16:10        10704        ----a-w-        c:\windows\SysWow64\vpncategories.dll
2011-09-09 16:10 . 2011-09-09 16:10        33232        ----a-w-        c:\windows\SysWow64\vpnevents.dll
2011-09-09 15:59 . 2011-09-09 15:59        106408        ----a-r-        c:\windows\system32\drivers\acsock64.sys
2011-09-09 12:51 . 2011-09-09 12:51        --------        d-----w-        c:\users\Odysseus\AppData\Local\Ilivid Player
2011-09-09 12:41 . 2011-09-09 12:52        --------        d-----w-        c:\program files (x86)\iLivid
2011-09-09 12:39 . 2011-09-09 12:39        --------        d-----w-        c:\users\Laertes\AppData\Local\PackageAware
2011-09-08 18:27 . 2011-09-08 18:27        10203648        ----a-w-        c:\windows\system32\drivers\atikmdag.sys
2011-09-08 17:59 . 2011-09-08 17:59        24229376        ----a-w-        c:\windows\system32\atio6axx.dll
2011-09-08 17:39 . 2011-09-08 17:39        18534912        ----a-w-        c:\windows\SysWow64\atioglxx.dll
2011-09-08 17:34 . 2011-09-08 17:34        151552        ----a-w-        c:\windows\system32\atiapfxx.exe
2011-09-08 17:30 . 2011-09-08 17:30        486912        ----a-w-        c:\windows\system32\atieclxx.exe
2011-09-08 17:29 . 2011-09-08 17:29        204288        ----a-w-        c:\windows\system32\atiesrxx.exe
2011-09-08 17:28 . 2011-09-08 17:28        120320        ----a-w-        c:\windows\system32\atitmm64.dll
2011-09-08 17:28 . 2011-09-08 17:28        356352        ----a-w-        c:\windows\SysWow64\atipdlxx.dll
2011-09-08 17:28 . 2011-09-08 17:28        278528        ----a-w-        c:\windows\SysWow64\Oemdspif.dll
2011-09-08 17:28 . 2011-09-08 17:28        21504        ----a-w-        c:\windows\system32\atimuixx.dll
2011-09-08 17:28 . 2011-09-08 17:28        59392        ----a-w-        c:\windows\system32\atiedu64.dll
2011-09-08 17:28 . 2011-09-08 17:28        43520        ----a-w-        c:\windows\SysWow64\ati2edxx.dll
2011-09-08 17:18 . 2011-09-08 17:18        1113088        ----a-w-        c:\windows\system32\atiumd6v.dll
2011-09-08 17:18 . 2011-09-08 17:18        1828864        ----a-w-        c:\windows\SysWow64\atiumdmv.dll
2011-09-08 17:09 . 2011-09-08 17:09        51200        ----a-w-        c:\windows\system32\aticalrt64.dll
2011-09-08 17:09 . 2011-09-08 17:09        46080        ----a-w-        c:\windows\SysWow64\aticalrt.dll
2011-09-08 17:09 . 2011-09-08 17:09        44544        ----a-w-        c:\windows\system32\aticalcl64.dll
2011-09-08 17:09 . 2011-09-08 17:09        44032        ----a-w-        c:\windows\SysWow64\aticalcl.dll
2011-09-08 17:09 . 2011-09-08 17:09        8723456        ----a-w-        c:\windows\system32\aticaldd64.dll
2011-09-08 17:05 . 2011-09-08 17:05        7331840        ----a-w-        c:\windows\SysWow64\aticaldd.dll
2011-09-08 16:53 . 2011-09-08 16:53        270336        ----a-w-        c:\windows\SysWow64\atiadlxy.dll
2011-09-08 16:52 . 2011-09-08 16:52        15360        ----a-w-        c:\windows\system32\atig6pxx.dll
2011-09-08 16:52 . 2011-09-08 16:52        13312        ----a-w-        c:\windows\SysWow64\atiglpxx.dll
2011-09-08 16:52 . 2011-09-08 16:52        13312        ----a-w-        c:\windows\system32\atiglpxx.dll
2011-09-08 16:52 . 2011-09-08 16:52        39936        ----a-w-        c:\windows\system32\atig6txx.dll
2011-09-08 16:52 . 2011-09-08 16:52        32768        ----a-w-        c:\windows\SysWow64\atigktxx.dll
2011-09-08 16:52 . 2011-09-08 16:52        310784        ----a-w-        c:\windows\system32\drivers\atikmpag.sys
2011-09-08 16:51 . 2011-09-08 16:51        53248        ----a-w-        c:\windows\system32\drivers\ati2erec.dll
2011-09-08 16:51 . 2011-09-08 16:51        54784        ----a-w-        c:\windows\system32\atimpc64.dll
2011-09-08 16:51 . 2011-09-08 16:51        54784        ----a-w-        c:\windows\system32\amdpcom64.dll
2011-09-08 16:50 . 2011-09-08 16:50        53760        ----a-w-        c:\windows\SysWow64\atimpc32.dll
2011-09-08 16:50 . 2011-09-08 16:50        53760        ----a-w-        c:\windows\SysWow64\amdpcom32.dll
2011-09-07 07:50 . 2011-09-07 07:50        --------        d-----w-        c:\users\Laertes\AppData\Roaming\Apple Computer
2011-09-07 07:10 . 2011-09-07 14:00        --------        d-----w-        C:\Temp
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-10-05 19:58 . 2011-04-10 11:23        144672        ----a-w-        c:\windows\system32\drivers\savonaccess.sys
2011-09-26 07:46 . 2011-05-15 15:51        404640        ----a-w-        c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2011-09-09 16:00 . 2010-11-15 19:19        26536        ----a-w-        c:\windows\system32\drivers\vpnva64.sys
2011-09-08 17:34 . 2011-07-28 21:40        732672        ----a-w-        c:\windows\SysWow64\aticfx32.dll
2011-09-08 17:32 . 2011-07-28 21:39        862720        ----a-w-        c:\windows\system32\aticfx64.dll
2011-09-08 17:30 . 2011-07-28 21:36        466944        ----a-w-        c:\windows\system32\ATIDEMGX.dll
2011-09-08 17:28 . 2011-07-28 21:34        423424        ----a-w-        c:\windows\system32\atipdl64.dll
2011-09-08 17:24 . 2011-07-28 21:30        4204032        ----a-w-        c:\windows\SysWow64\atidxx32.dll
2011-09-08 17:18 . 2011-07-28 21:11        3888640        ----a-w-        c:\windows\system32\atiumd6a.dll
2011-09-08 17:16 . 2011-07-28 21:20        4944896        ----a-w-        c:\windows\system32\atidxx64.dll
2011-09-08 17:08 . 2011-07-28 21:03        4064768        ----a-w-        c:\windows\SysWow64\atiumdva.dll
2011-09-08 17:05 . 2011-07-28 21:09        4289024        ----a-w-        c:\windows\SysWow64\atiumdag.dll
2011-09-08 17:00 . 2011-07-28 21:02        5428736        ----a-w-        c:\windows\system32\atiumd64.dll
2011-09-08 16:59 . 2011-07-28 21:01        58880        ----a-w-        c:\windows\system32\coinst.dll
2011-09-08 16:53 . 2011-07-28 20:54        381952        ----a-w-        c:\windows\system32\atiadlxx.dll
2011-09-08 16:52 . 2011-07-28 20:53        40960        ----a-w-        c:\windows\system32\atiuxp64.dll
2011-09-08 16:51 . 2011-07-28 20:53        31744        ----a-w-        c:\windows\SysWow64\atiuxpag.dll
2011-09-08 16:51 . 2011-07-28 20:53        38912        ----a-w-        c:\windows\system32\atiu9p64.dll
2011-09-08 16:51 . 2011-07-28 20:53        29184        ----a-w-        c:\windows\SysWow64\atiu9pag.dll
2011-08-22 07:21 . 2011-08-22 07:21        178800        ----a-w-        c:\windows\SysWow64\CmdLineExt_x64.dll
2011-08-18 12:31 . 2011-04-11 15:24        419840        ----a-w-        c:\windows\system32\wrap_oal.dll
2011-08-18 12:31 . 2011-04-11 15:24        111616        ----a-w-        c:\windows\system32\OpenAL32.dll
2011-08-18 12:31 . 2011-04-11 15:24        413696        ----a-w-        c:\windows\SysWow64\wrap_oal.dll
2011-08-18 12:31 . 2011-04-11 15:24        102400        ----a-w-        c:\windows\SysWow64\OpenAL32.dll
2011-07-22 05:42 . 2011-08-10 06:37        2303488        ----a-w-        c:\windows\system32\jscript9.dll
2011-07-22 05:36 . 2011-08-10 06:37        1389056        ----a-w-        c:\windows\system32\wininet.dll
2011-07-22 05:32 . 2011-08-10 06:37        2382848        ----a-w-        c:\windows\system32\mshtml.tlb
2011-07-22 02:54 . 2011-08-10 06:37        1797632        ----a-w-        c:\windows\SysWow64\jscript9.dll
2011-07-22 02:48 . 2011-08-10 06:37        1126912        ----a-w-        c:\windows\SysWow64\wininet.dll
2011-07-22 02:44 . 2011-08-10 06:37        2382848        ----a-w-        c:\windows\SysWow64\mshtml.tlb
2011-07-16 05:41 . 2011-08-10 06:28        362496        ----a-w-        c:\windows\system32\wow64win.dll
2011-07-16 05:41 . 2011-08-10 06:28        243200        ----a-w-        c:\windows\system32\wow64.dll
2011-07-16 05:41 . 2011-08-10 06:28        13312        ----a-w-        c:\windows\system32\wow64cpu.dll
2011-07-16 05:39 . 2011-08-10 06:28        16384        ----a-w-        c:\windows\system32\ntvdm64.dll
2011-07-16 05:37 . 2011-08-10 06:28        421888        ----a-w-        c:\windows\system32\KernelBase.dll
2011-07-16 05:21 . 2011-08-10 06:28        4608        ---ha-w-        c:\windows\system32\api-ms-win-core-threadpool-l1-1-0.dll
2011-07-16 05:21 . 2011-08-10 06:28        4096        ---ha-w-        c:\windows\system32\api-ms-win-core-sysinfo-l1-1-0.dll
2011-07-16 05:21 . 2011-08-10 06:28        4096        ---ha-w-        c:\windows\system32\api-ms-win-core-synch-l1-1-0.dll
2011-07-16 05:21 . 2011-08-10 06:28        6144        ---ha-w-        c:\windows\system32\api-ms-win-security-base-l1-1-0.dll
2011-07-16 05:21 . 2011-08-10 06:28        3584        ---ha-w-        c:\windows\system32\api-ms-win-core-rtlsupport-l1-1-0.dll
2011-07-16 05:21 . 2011-08-10 06:28        3072        ---ha-w-        c:\windows\system32\api-ms-win-core-xstate-l1-1-0.dll
2011-07-16 05:21 . 2011-08-10 06:28        3072        ---ha-w-        c:\windows\system32\api-ms-win-core-util-l1-1-0.dll
2011-07-16 05:21 . 2011-08-10 06:28        3072        ---ha-w-        c:\windows\system32\api-ms-win-core-string-l1-1-0.dll
2011-07-16 05:21 . 2011-08-10 06:28        4608        ---ha-w-        c:\windows\system32\api-ms-win-core-processthreads-l1-1-0.dll
2011-07-16 05:21 . 2011-08-10 06:28        4096        ---ha-w-        c:\windows\system32\api-ms-win-core-localregistry-l1-1-0.dll
2011-07-16 05:21 . 2011-08-10 06:28        4096        ---ha-w-        c:\windows\system32\api-ms-win-core-localization-l1-1-0.dll
2011-07-16 05:21 . 2011-08-10 06:28        3584        ---ha-w-        c:\windows\system32\api-ms-win-core-processenvironment-l1-1-0.dll
2011-07-16 05:21 . 2011-08-10 06:28        3584        ---ha-w-        c:\windows\system32\api-ms-win-core-namedpipe-l1-1-0.dll
2011-07-16 05:21 . 2011-08-10 06:28        3584        ---ha-w-        c:\windows\system32\api-ms-win-core-misc-l1-1-0.dll
2011-07-16 05:21 . 2011-08-10 06:28        3584        ---ha-w-        c:\windows\system32\api-ms-win-core-memory-l1-1-0.dll
2011-07-16 05:21 . 2011-08-10 06:28        3584        ---ha-w-        c:\windows\system32\api-ms-win-core-libraryloader-l1-1-0.dll
2011-07-16 05:21 . 2011-08-10 06:28        3072        ---ha-w-        c:\windows\system32\api-ms-win-core-profile-l1-1-0.dll
2011-07-16 05:21 . 2011-08-10 06:28        3072        ---ha-w-        c:\windows\system32\api-ms-win-core-io-l1-1-0.dll
2011-07-16 05:21 . 2011-08-10 06:28        3072        ---ha-w-        c:\windows\system32\api-ms-win-core-interlocked-l1-1-0.dll
2011-07-16 05:21 . 2011-08-10 06:28        5120        ---ha-w-        c:\windows\system32\api-ms-win-core-file-l1-1-0.dll
2011-07-16 05:21 . 2011-08-10 06:28        3584        ---ha-w-        c:\windows\system32\api-ms-win-core-heap-l1-1-0.dll
2011-07-16 05:21 . 2011-08-10 06:28        3072        ---ha-w-        c:\windows\system32\api-ms-win-core-handle-l1-1-0.dll
2011-07-16 05:21 . 2011-08-10 06:28        3072        ---ha-w-        c:\windows\system32\api-ms-win-core-fibers-l1-1-0.dll
2011-07-16 05:21 . 2011-08-10 06:28        3072        ---ha-w-        c:\windows\system32\api-ms-win-core-errorhandling-l1-1-0.dll
2011-07-16 05:21 . 2011-08-10 06:28        3072        ---ha-w-        c:\windows\system32\api-ms-win-core-delayload-l1-1-0.dll
2011-07-16 05:21 . 2011-08-10 06:28        3072        ---ha-w-        c:\windows\system32\api-ms-win-core-debug-l1-1-0.dll
2011-07-16 05:21 . 2011-08-10 06:28        3072        ---ha-w-        c:\windows\system32\api-ms-win-core-datetime-l1-1-0.dll
2011-07-16 05:21 . 2011-08-10 06:28        3072        ---ha-w-        c:\windows\system32\api-ms-win-core-console-l1-1-0.dll
2011-07-16 04:29 . 2011-08-10 06:28        14336        ----a-w-        c:\windows\SysWow64\ntvdm64.dll
2011-07-16 04:26 . 2011-08-10 06:28        44032        ----a-w-        c:\windows\apppatch\acwow64.dll
2011-07-16 04:25 . 2011-08-10 06:28        25600        ----a-w-        c:\windows\SysWow64\setup16.exe
2011-07-16 04:24 . 2011-08-10 06:28        5120        ----a-w-        c:\windows\SysWow64\wow32.dll
2011-07-16 04:24 . 2011-08-10 06:28        272384        ----a-w-        c:\windows\SysWow64\KernelBase.dll
2011-07-16 04:15 . 2011-08-10 06:28        4096        ---ha-w-        c:\windows\SysWow64\api-ms-win-core-sysinfo-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 06:28        4096        ---ha-w-        c:\windows\SysWow64\api-ms-win-core-synch-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 06:28        3072        ---ha-w-        c:\windows\SysWow64\api-ms-win-core-string-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 06:28        5120        ---ha-w-        c:\windows\SysWow64\api-ms-win-core-file-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 06:28        4608        ---ha-w-        c:\windows\SysWow64\api-ms-win-core-processthreads-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 06:28        4096        ---ha-w-        c:\windows\SysWow64\api-ms-win-core-misc-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 06:28        4096        ---ha-w-        c:\windows\SysWow64\api-ms-win-core-localregistry-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 06:28        4096        ---ha-w-        c:\windows\SysWow64\api-ms-win-core-localization-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 06:28        3584        ---ha-w-        c:\windows\SysWow64\api-ms-win-core-processenvironment-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 06:28        3584        ---ha-w-        c:\windows\SysWow64\api-ms-win-core-namedpipe-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 06:28        3584        ---ha-w-        c:\windows\SysWow64\api-ms-win-core-memory-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 06:28        3584        ---ha-w-        c:\windows\SysWow64\api-ms-win-core-libraryloader-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 06:28        3584        ---ha-w-        c:\windows\SysWow64\api-ms-win-core-interlocked-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 06:28        3584        ---ha-w-        c:\windows\SysWow64\api-ms-win-core-heap-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 06:28        3072        ---ha-w-        c:\windows\SysWow64\api-ms-win-core-rtlsupport-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 06:28        3072        ---ha-w-        c:\windows\SysWow64\api-ms-win-core-profile-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 06:28        3072        ---ha-w-        c:\windows\SysWow64\api-ms-win-core-io-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 06:28        3072        ---ha-w-        c:\windows\SysWow64\api-ms-win-core-handle-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 06:28        3072        ---ha-w-        c:\windows\SysWow64\api-ms-win-core-fibers-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 06:28        3072        ---ha-w-        c:\windows\SysWow64\api-ms-win-core-errorhandling-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 06:28        3072        ---ha-w-        c:\windows\SysWow64\api-ms-win-core-delayload-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 06:28        3072        ---ha-w-        c:\windows\SysWow64\api-ms-win-core-debug-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 06:28        3072        ---ha-w-        c:\windows\SysWow64\api-ms-win-core-datetime-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 06:28        3072        ---ha-w-        c:\windows\SysWow64\api-ms-win-core-console-l1-1-0.dll
2011-07-16 02:21 . 2011-08-10 06:28        7680        ----a-w-        c:\windows\SysWow64\instnm.exe
2011-07-16 02:21 . 2011-08-10 06:28        2048        ----a-w-        c:\windows\SysWow64\user.exe
2011-07-16 02:17 . 2011-08-10 06:28        6144        ---ha-w-        c:\windows\SysWow64\api-ms-win-security-base-l1-1-0.dll
2011-07-16 02:17 . 2011-08-10 06:28        4608        ---ha-w-        c:\windows\SysWow64\api-ms-win-core-threadpool-l1-1-0.dll
2011-07-16 02:17 . 2011-08-10 06:28        3584        ---ha-w-        c:\windows\SysWow64\api-ms-win-core-xstate-l1-1-0.dll
2011-07-16 02:17 . 2011-08-10 06:28        3072        ---ha-w-        c:\windows\SysWow64\api-ms-win-core-util-l1-1-0.dll
2011-07-09 05:26 . 2011-08-24 06:47        2048        ----a-w-        c:\windows\system32\tzres.dll
2011-07-09 04:29 . 2011-08-24 06:47        2048        ----a-w-        c:\windows\SysWow64\tzres.dll
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"Sophos AutoUpdate Monitor"="d:\program files (x86)\Sophos\AutoUpdate\almon.exe" [2011-06-02 494616]
"NUSB3MON"="d:\program files (x86)\NEC Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe" [2010-01-22 106496]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]
"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2010-11-29 421888]
"iTunesHelper"="d:\program files (x86)\iTunes\iTunesHelper.exe" [2011-07-19 421736]
"StartCCC"="d:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2011-09-08 343168]
"Cisco AnyConnect Secure Mobility Agent for Windows"="c:\program files (x86)\Cisco\Cisco AnyConnect Secure Mobility Client\vpnui.exe" [2011-09-09 523216]
.
c:\users\Odysseus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.3.lnk - d:\program files (x86)\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
c:\users\Laertes\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.3.lnk - d:\program files (x86)\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=d:\progra~1\Sophos\SOPHOS~1\sophos_detoured.dll
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute        REG_MULTI_SZ          autocheck autochk *\0SophosBootTasks
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SAVService]
@="service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SophosAntiVirus]
"DisableMonitoring"=dword:00000001
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 SAVCleanupService;Sophos Cleanup Service;d:\program files (x86)\Sophos\Sophos Anti-Virus\SAVCleanupService.exe [2011-06-02 106520]
R3 GPCIDrv;GPCIDrv;d:\program files (x86)\GIGABYTE\EasyBoost\GPCIDrv64.sys [x]
R3 sdcfilter;sdcfilter;c:\windows\system32\DRIVERS\sdcfilter.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [x]
R4 SophosBootDriver;SophosBootDriver;c:\windows\system32\DRIVERS\SophosBootDriver.sys [x]
S0 amd_sata;amd_sata;c:\windows\system32\DRIVERS\amd_sata.sys [x]
S0 amd_xata;amd_xata;c:\windows\system32\DRIVERS\amd_xata.sys [x]
S1 SAVOnAccess;SAVOnAccess;c:\windows\system32\DRIVERS\savonaccess.sys [x]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2011-06-06 64952]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x]
S2 AMD FUEL Service;AMD FUEL Service;d:\program files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe [2011-09-08 361984]
S2 AODDriver4.01;AODDriver4.01;d:\program files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys [2011-06-24 55424]
S2 SAVAdminService;Sophos Anti-Virus Statusreporter;d:\program files (x86)\Sophos\Sophos Anti-Virus\SAVAdminService.exe [2011-10-05 167960]
S2 SAVService;Sophos Anti-Virus;d:\program files (x86)\Sophos\Sophos Anti-Virus\SavService.exe [2011-06-02 99864]
S2 swi_service;Sophos Web Intelligence Service;d:\program files (x86)\Sophos\Sophos Anti-Virus\Web Intelligence\swi_service.exe [2011-10-05 1543704]
S2 vpnagent;Cisco AnyConnect Secure Mobility Agent;c:\program files (x86)\Cisco\Cisco AnyConnect Secure Mobility Client\vpnagent.exe [2011-09-09 475088]
S3 acsock;acsock;c:\windows\system32\DRIVERS\acsock64.sys [x]
S3 amdiox64;AMD IO Driver;c:\windows\system32\DRIVERS\amdiox64.sys [x]
S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atikmdag.sys [x]
S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [x]
S3 AtiHDAudioService;AMD Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdW76.sys [x]
S3 cmudaxp;ASUS Xonar Essence STX Audio Interface;c:\windows\system32\drivers\cmudaxp.sys [x]
S3 nusb3hub;NEC Electronics USB 3.0 Hub Driver;c:\windows\system32\DRIVERS\nusb3hub.sys [x]
S3 nusb3xhc;NEC Electronics USB 3.0 Host Controller Driver;c:\windows\system32\DRIVERS\nusb3xhc.sys [x]
S3 usbfilter;AMD USB Filter Driver;c:\windows\system32\DRIVERS\usbfilter.sys [x]
S3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [x]
S3 VMfilt;VMfilt;c:\windows\system32\drivers\VMfilt64.sys [x]
S3 yukonw7;NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller;c:\windows\system32\DRIVERS\yk62x64.sys [x]
.
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Cmaudio8788"="c:\windows\Syswow64\cmicnfgp.dll" [2011-05-12 8769536]
"Cmaudio8788GX"="c:\windows\syswow64\HsMgr.exe" [2008-07-11 200704]
"Cmaudio8788GX64"="c:\windows\system\HsMgr64.exe" [2008-07-11 282112]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x1
"AppInit_DLLs"=d:\progra~1\Sophos\SOPHOS~1\sophos_detoured_x64.dll
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
mLocal Page = c:\windows\SysWOW64\blank.htm
LSP: c:\programdata\Sophos Web Intelligence\swi_lsp.dll
TCP: DhcpNameServer = 192.168.2.1
DPF: {55963676-2F5E-4BAF-AC28-CF26AA587566} - hxxps://asa04.lrz.de/CACHE/stc/1/binaries/vpnweb.cab
FF - ProfilePath - c:\users\Laertes\AppData\Roaming\Mozilla\Firefox\Profiles\uawu7gcy.default\
FF - prefs.js: browser.search.selectedEngine - Bing
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1572467957-3373370344-1634859198-500\Software\Microsoft\Internet Explorer\ApprovedExtensionsMigration]
@Denied: (2) (Administrator)
"Timestamp"=hex:fa,5c,a8,90,6e,f7,cb,01
.
[HKEY_USERS\S-1-5-21-1572467957-3373370344-1634859198-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
  d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,e0,b6,70,00,b2,d8,cf,4c,b4,fc,e8,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
  d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,e0,b6,70,00,b2,d8,cf,4c,b4,fc,e8,\
.
[HKEY_USERS\S-1-5-21-1572467957-3373370344-1634859198-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.eml\UserChoice]
@Denied: (2) (Administrator)
"Progid"="ThunderbirdEML"
.
[HKEY_USERS\S-1-5-21-1572467957-3373370344-1634859198-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.htm\UserChoice]
@Denied: (2) (Administrator)
"Progid"="FirefoxHTML"
.
[HKEY_USERS\S-1-5-21-1572467957-3373370344-1634859198-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.html\UserChoice]
@Denied: (2) (Administrator)
"Progid"="FirefoxHTML"
.
[HKEY_USERS\S-1-5-21-1572467957-3373370344-1634859198-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.shtml\UserChoice]
@Denied: (2) (Administrator)
"Progid"="FirefoxHTML"
.
[HKEY_USERS\S-1-5-21-1572467957-3373370344-1634859198-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.wdseml\UserChoice]
@Denied: (2) (Administrator)
"Progid"="ThunderbirdEML"
.
[HKEY_USERS\S-1-5-21-1572467957-3373370344-1634859198-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xht\UserChoice]
@Denied: (2) (Administrator)
"Progid"="FirefoxHTML"
.
[HKEY_USERS\S-1-5-21-1572467957-3373370344-1634859198-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xhtml\UserChoice]
@Denied: (2) (Administrator)
"Progid"="FirefoxHTML"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2011-10-06  19:03:48
ComboFix-quarantined-files.txt  2011-10-06 17:03
.
Vor Suchlauf: 8 Verzeichnis(se), 17.880.645.632 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 18.773.082.112 Bytes frei
.
- - End Of File - - 571EF2A5C10B2C25990CCEA30F2B2430

--- --- ---

markusg 06.10.2011 18:24

hi, öffne mal computer, c: qoobox, rechtsklick quarantain, mit winrar oder zip packen, hochladen:
folge dem link, und lade das archiv im upload channel hoch
http://www.trojaner-board.de/54791-a...ner-board.html
hast du den link noch, wo du die avira version laden wolltest, dann bitte als private nachicht an mich.

blök 06.10.2011 18:43

Hallo,
dafür bin ich wohl zu blöd oder das verzeichnis qoobox existiert bei mir nicht. Windows konsole kann das Verzeichnis auch nicht finden. Mit linux kann ich übrigens auch nicht die "fake av-datei" sehen und der Sophos "infected" order ist auch leer.:glaskugel::glaskugel2:

markusg 06.10.2011 18:47

lade unhide:
http://filepony.de/download-unhide/
doppelklicken, dateien werden sichtbar

der ordner qoobox liegt direkt auf c:
sollte nach unhide auf jeden fall sichtbar sein

blök 06.10.2011 19:20

Liste der Anhänge anzeigen (Anzahl: 1)
Hallo,
unhide hat nichts zu Tage gefördert:killpc:, auch nicht mit abgeschaltetem Sophos.
Solltest Du Interesse an den Sophos-Logfiles von meiner Sophos Boot CD Lösch-Session haben, kann ich Dir die auch posten oder schicken. Das untere Bild zeigt mein Laufwerk C mit den Logfiles(oben):

markusg 06.10.2011 19:24

du hast doch windows ganz normal gebootet oder. wenn du jetzt auf computer, bzw arbeitsplatz klickst
und dort das laufwerk c: öffnest muss dort ein ordner qoobox sein, sollte ja nicht so viele einträge mit q geben, bzw die mit q beginnen

blök 06.10.2011 20:05

Hallo,
ich hab die datei hochgeladen. qoobox wurde wohl gelöscht als ich combofix deinstalliert hab:pfeiff:.

markusg 06.10.2011 20:11

ja, super, hab ich was von deinstalieren geschrieben?
ich hab die malware daraus zur analyse benötigt, da ich dir jetzt auch nciht sagen kann was genau gelöscht wurde, müssen wir trotzdem zur sicherheit klären, machst du onlinebanking einkäufe oder sonst was wichtiges mit dem pc?

blök 06.10.2011 20:47

hallo,

mir war nicht klar, dass combofix mehr macht als eine log-datei zu schreiben.

Ich mach sowohl onlinebanking, als auch onlineshopping, wobei ich mich seitdem nicht mehr auf diesem rechner bei der Bank angemeldet habe.
Allerdings hab ich online mit kreditkarte eingekauft aber wohl keine Kreditkartennummer eingegeben.

Sophos hatte diese drei files gefunden und gelöscht:

>>> Virus 'Mal/EncPk-AAT' found in file /mnt/sda1/Users/Odysseus/AppData/Local/Temp/0.3472579573876027.exe
>>> Virus 'Mal/EncPk-AAT' found in file /mnt/sda1/Users/Odysseus/AppData/Local/Temp/jar_cache6280521374959359570.tmp
>>> Virus 'Mal/EncPk-AAT' found in file /mnt/sda1/Users/Odysseus/AppData/Roaming/0.3472579573876027.exe

markusg 07.10.2011 09:57

also, für mich siehts danach aus als hast du ne malware die bank daten stiehlt.
deswegen, bank anrufen, sperren lassen.
dann daten sichern, wie bilder filme etc.
dann pc neu aufsetzen.
falls anleitung nötig bekommst du sie.
dann gebe ich dir ne anleitung wie man das system vernünftig absichert.

blök 07.10.2011 18:28

Hallo,
:dankeschoen:
seit dem Virenbefall hab ich von dem Computer aus nicht mehr ins onlinebanking eingeloggt (da sind auch keine bankdaten gespeichert) und es wurde auch nichts dubioses abgebucht. Ich hab auch keine Kreditkarteninformationen eingegeben. Aber natürlich werde ich wachsam bleiben.:aufsmaul:
Neu aufsetzen wollte ich den Pc eh. Deshalb würde es mich natürlich brennend interessieren, wenn Du mir sagen könntest, wie ich meine Daten auf den "frischen (mit partedmagic secure erasten)" pc "rüberbekomm" ohne ihn zu kompromittieren und wie infektiös die viren sind.
Nochmals vielen Dank.
P.S.:Es kann gut sein, dass der bka -trojaner nur meine kontodaten wollte, als er mich "überreden" wollte 100€ zu zahlen oder zu überweisen
:dankeschoen:.


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:37 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131