Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Buchungsbestätigung per eMail von booking.com / Trojaner "TR/Injector.qmu" und weitere Malware (https://www.trojaner-board.de/114441-buchungsbestaetigung-per-email-booking-com-trojaner-tr-injector-qmu-malware.html)

Drangi 30.04.2012 11:17
Buchungsbestätigung per eMail von booking.com / Trojaner "TR/Injector.qmu" und weitere Malware
 
Hallo.

Ich habe am 24.04. zwei Buchungsbestätigungen mit Anhang als eMails von booking.com erhalten.

Leider habe ich dieses eine mal nicht nachgedacht (ich überlege schon die Geißelungsart), habe den .zip Anhang einer eMail geöffnet und die Datei ausgeführt. Auf dem Desktop erschien dann ein Icon auf das ich draufklickte. Das Icon verschwand danach sofort und war nicht mehr zu sehen.

Erste Schritte bei der Problembehandlung habe ich schon unternommen.

Leider bin ich absolut unerfahren in diesen Angelegenheiten und alleine nicht fähig mein Problem zu bearbeiten. Habe vor langer Zeit schon mal eine Anfrage gestellt wegen anderen Dingen, aber leider keine Antwort erhalten.
Daher habe ich mir diesmal hoffentlich alles gut durchgelesen und schreibe den Thread wie von Euch gefordert, bitte aber um Nachsicht, wenn trotzdem was falsch sein sollte. Mein Kopf qualmt und ich fühle mich absolut überfordert. Wenn sich jemand meiner annehmen würde wäre ich sehr dankbar! :knuddel:


Problembehandlung (eMail und reale Namen wurden in den Logs nicht gefunden oder unkenntlich gemacht (xxx), leider weis ich nicht wie man Spoiler hier einfügt):

1.)
Erster Scan mit Avira Free, Trojaner und Viren bzw. unerwünschte Programme werden gefunden und in Quarantäne verschoben. Namentlich erwähnt wird der Trojaner TR/Injector.qmu. Da der Scan sehr umfangreich war, passt leider nicht mal die 7 Zip Datei hierher (10,5 Mb). Wenn gewünscht, kann ich den Log aber per eMail oder sonstwie schicken. Hier erstmal das was mir selber aufgefallen ist:

Zitat:
Beginne mit der Desinfektion:
C:\Users\xxx\Desktop\
Details-From-Booking-Com_Reservation-04241284131.zip
[FUND] Ist das Trojanische Pferd TR/Injector.qmu
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '565afb7c.qua' verschoben!
C:\Users\xxx\AppData\Roaming\Thunderbird\Profiles\pq32dvuu.default\ImapMail\mx.xxx.de\
INBOX
[FUND] Ist das Trojanische Pferd TR/Injector.qmu
[WARNUNG] Die Datei wurde ignoriert.


Ende des Suchlaufs: Sonntag, 29. April 2012 16:58
Benötigte Zeit: 2:46:16 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

44550 Verzeichnisse wurden überprüft
1627564 Dateien wurden geprüft
6 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
81 Dateien konnten nicht durchsucht werden
1627477 Dateien ohne Befall
38590 Archive wurden durchsucht
301 Warnungen
413 Hinweise
606134 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

2.)
Malewarebytes installiert, 14 Tage Testversion Pro, vollständige Systemprüfung, mehrere infizierte Dateien gefunden und bereinigt, Pc-Neustart:

Anhang: mbam-log-2012-04-29 (17-23-27)

3.)
defogger runtergeladen und ausgeführt. Bisher nicht auf Re-enabled geklickt, aber letzter Schritt wurde nicht mehr ausgeführt und Fenster ging auch nicht zu.

  • Wenn der Scan beendet wurde ( Finished ), klicke auf OK. (ausgeführt)
  • Defogger fordert gegebenfalls zum Neustart auf. Bestätige dies mit OK.
Zitat:
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 18:50 on 29/04/2012 (xxx)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...

-=E.O.F=-


4.)
DDS runtergeladen und ausgeführt:

DDS.txt (soll ja direkt in den Thread)
Zitat:
DDS (Ver_2011-08-26.01) - NTFSx86
Internet Explorer: 9.0.8112.16421 BrowserJavaVersion: 1.6.0_29
Run by xxx at 19:05:04 on 2012-04-29
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.49.1031.18.3582.2105 [GMT 2:00]
.
AV: Avira Desktop *Enabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Enabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
============== Running Processes ===============
.
C:\Windows\system32\wininit.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Windows\system32\nvvsvc.exe
C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
C:\Windows\system32\svchost.exe -k rpcss
C:\Windows\System32\svchost.exe -k secsvcs
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\system32\svchost.exe -k netsvcs
C:\Windows\system32\svchost.exe -k GPSvcGroup
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe -k LocalService
C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe -k NetworkService
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\NVIDIA Corporation\Display\nvtray.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Windows\system32\svchost.exe -k netsvcs
c:\Program Files\Ocster Backup\bin\backupService-ox.exe
C:\Windows\system32\PnkBstrA.exe
C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted
C:\Program Files\Secunia\PSI\PSIA.exe
c:\Program Files\Ocster Backup\bin\oxHelper.exe
C:\Windows\system32\svchost.exe -k imgsvc
C:\Windows\System32\svchost.exe -k WerSvcGroup
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
C:\Windows\system32\WUDFHost.exe
C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Browny02\Brother\BrStMonW.exe
C:\Program Files\Brother\ControlCenter3\brccMCtl.exe
C:\Program Files\Browny02\BrYNSvc.exe
C:\Program Files\DivX\DivX Update\DivXUpdate.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Secunia\PSI\psi_tray.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\Secunia\PSI\sua.exe
C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
C:\Program Files\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe
C:\Windows\system32\vssvc.exe
C:\Windows\System32\svchost.exe -k swprv
C:\Windows\system32\conime.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Windows\system32\wbem\wmiprvse.exe
.
============== Pseudo HJT Report ===============
.
uURLSearchHooks: H - No File
mURLSearchHooks: H - No File
mURLSearchHooks: H - No File
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: DivX Plus Web Player HTML5 <video>: {326e768d-4182-46fd-9c16-1449a49795f4} - c:\program files\divx\divx plus web player\ie\divxhtml5\DivXHTML5.dll
BHO: Windows Live ID Sign-in Helper: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program files\common files\microsoft shared\windows live\WindowsLiveLogin.dll
BHO: Windows Live Messenger Companion Helper: {9fdde16b-836f-4806-ab1f-1455cbeff289} - c:\program files\windows live\companion\companioncore.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll
TB: {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - No File
TB: {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
uRun: [ehTray.exe] c:\windows\ehome\ehTray.exe
uRun: [ccleaner] "c:\program files\ccleaner\CCleaner.exe" /AUTO
uRun: [WMPNSCFG] c:\program files\windows media player\WMPNSCFG.exe
uRun: [Google Update] "c:\users\xxx\appdata\local\google\update\GoogleUpdate.exe" /c
mRun: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
mRun: [RtHDVCpl] RtHDVCpl.exe
mRun: [avgnt] "c:\program files\avira\antivir desktop\avgnt.exe" /min
mRun: [SunJavaUpdateSched] "c:\program files\common files\java\java update\jusched.exe"
mRun: [ControlCenter3] c:\program files\brother\controlcenter3\brctrcen.exe /autorun
mRun: [BrStsMon00] c:\program files\browny02\brother\BrStMonW.exe /AUTORUN
mRun: [QuickTime Task] "c:\program files\quicktime\QTTask.exe" -atboottime
mRun: [Adobe Reader Speed Launcher] "c:\program files\adobe\reader 9.0\reader\Reader_sl.exe"
mRun: [Adobe ARM] "c:\program files\common files\adobe\arm\1.0\AdobeARM.exe"
mRun: [DivXUpdate] "c:\program files\divx\divx update\DivXUpdate.exe" /CHECKNOW
mRun: [Ocster Backup] "c:\program files\ocster backup\bin\backupClient-ox.exe" --hidden
mRun: [Malwarebytes' Anti-Malware] "c:\program files\malwarebytes' anti-malware\mbamgui.exe" /starttray
StartupFolder: c:\progra~2\micros~1\windows\startm~1\programs\startup\secunia psi tray.lnk - c:\program files\secunia\psi\psi_tray.exe
mPolicies-explorer: BindDirectlyToPropertySetStorage = 0 (0x0)
mPolicies-explorer: NoResolveTrack = 1 (0x1)
mPolicies-explorer: NoFileAssociate = 0 (0x0)
mPolicies-system: EnableUIADesktopToggle = 0 (0x0)
mPolicies-system: NoDispSettingsPage = 0 (0x0)
mPolicies-system: EnableLUA = 0 (0x0)
IE: {59A861EE-32B3-42cd-8CCA-FC130EDF3A44} - c:\programs\partygaming\partygammon\RunBackGammon.exe
IE: {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - c:\program files\icq7.5\ICQ.exe
IE: {0000036B-C524-4050-81A0-243669A86B9F} - {B63DBA5F-523F-4B9C-A43D-65DF1977EAD3} - c:\program files\windows live\companion\companioncore.dll
IE: {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - {5F7B1267-94A9-47F5-98DB-E99415F33AEC} - c:\program files\windows live\writer\WriterBrowserExtension.dll
Trusted Zone: (xxx).com\www (habe den Link ebenfalls unkenntlich gemacht)
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab
DPF: {E4CF4E86-D0DC-4864-8F0E-4F6EA2526334} - hxxps://img.ui-portal.de/webde/smartdrive/activex/gmxnet_osupload_2002.cab
TCP: Interfaces\{DA8E1A3D-8959-4C24-9B3F-BF4325FB7ABF} : NameServer = 62.220.18.8 89.246.64.8
Handler: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - c:\program files\windows live\photo gallery\AlbumDownloadProtocolHandler.dll
Hosts: 127.0.0.1 www.spywareinfo.com
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\users\xxx\appdata\roaming\mozilla\firefox\profiles\bvbi9bhb.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2611275&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.startup.homepage - hxxp://de.yahoo.com/
FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2645238&q=
FF - component: c:\program files\checkpoint\zaforcefield\trustchecker\components\TrustCheckerMozillaPlugin.dll
FF - component: c:\users\xxx\appdata\roaming\mozilla\firefox\profiles\bvbi9bhb.default\extensions\{91da5e8a-3318-4f8c-b67e-5964de3ab546}\components\FFExternalAlert.dll
FF - component: c:\users\xxx\appdata\roaming\mozilla\firefox\profiles\bvbi9bhb.default\extensions\{91da5e8a-3318-4f8c-b67e-5964de3ab546}\components\RadioWMPCore.dll
FF - component: c:\users\xxx\appdata\roaming\mozilla\firefox\profiles\bvbi9bhb.default\extensions\engine@conduit.com\components\RadioWMPCoreGecko19.dll
FF - plugin: c:\program files\adobe\reader 9.0\reader\air\nppdf32.dll
FF - plugin: c:\program files\divx\divx ovs helper\npovshelper.dll
FF - plugin: c:\program files\divx\divx plus web player\npdivx32.dll
FF - plugin: c:\program files\gamespy\comrade\npcomrade.dll
FF - plugin: c:\program files\google\google earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\google\update\1.3.21.111\npGoogleUpdate3.dll
FF - plugin: c:\program files\google\update\1.3.21.53\npGoogleUpdate3.dll
FF - plugin: c:\program files\google\update\1.3.21.57\npGoogleUpdate3.dll
FF - plugin: c:\program files\google\update\1.3.21.65\npGoogleUpdate3.dll
FF - plugin: c:\program files\google\update\1.3.21.69\npGoogleUpdate3.dll
FF - plugin: c:\program files\google\update\1.3.21.79\npGoogleUpdate3.dll
FF - plugin: c:\program files\google\update\1.3.21.99\npGoogleUpdate3.dll
FF - plugin: c:\program files\java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\program files\microsoft silverlight\4.1.10111.0\npctrlui.dll
FF - plugin: c:\program files\mozilla firefox\plugins\npdeployJava1.dll
FF - plugin: c:\program files\nvidia corporation\3d vision\npnv3dv.dll
FF - plugin: c:\program files\nvidia corporation\3d vision\npnv3dvstreaming.dll
FF - plugin: c:\program files\pando networks\media booster\npPandoWebPlugin.dll
FF - plugin: c:\program files\windows live\photo gallery\NPWLPG.dll
FF - plugin: c:\programdata\id software\quakelive\npquakezero.dll
FF - plugin: c:\users\xxx\appdata\local\google\update\1.3.21.111\npGoogleUpdate3.dll
FF - plugin: c:\windows\system32\macromed\flash\NPSWF32_11_2_202_233.dll
.
---- FIREFOX POLICIES ----
FF - user.js: browser.blink_allowed - true
FF - user.js: network.prefetch-next - true
FF - user.js: nglayout.initialpaint.delay - 50
FF - user.js: layout.spellcheckDefault - 1
FF - user.js: browser.urlbar.autoFill - false
FF - user.js: browser.search.openintab - false
FF - user.js: browser.tabs.closeButtons - 1
FF - user.js: browser.tabs.opentabfor.middleclick - true
FF - user.js: browser.tabs.tabMinWidth - 100
FF - user.js: browser.urlbar.hideGoButton - true
.
============= SERVICES / DRIVERS ===============
.
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [2011-10-23 36000]
R2 AntiVirSchedulerService;Avira Planer;c:\program files\avira\antivir desktop\sched.exe [2011-10-23 86224]
R2 AntiVirService;Avira Echtzeit Scanner;c:\program files\avira\antivir desktop\avguard.exe [2011-10-23 110032]
R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2011-10-23 74640]
R2 ezGOSvc;Easybits GO Services for Windows;c:\windows\system32\svchost.exe -k netsvcs [2008-1-21 21504]
R2 FontCache;Windows-Dienst für Schriftartencache;c:\windows\system32\svchost.exe -k LocalServiceAndNoImpersonation [2008-1-21 21504]
R2 MBAMService;MBAMService;c:\program files\malwarebytes' anti-malware\mbamservice.exe [2012-4-29 654408]
R2 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2009-10-20 50704]
R2 nvUpdatusService;NVIDIA Update Service Daemon;c:\program files\nvidia corporation\nvidia updatus\daemonu.exe [2011-8-2 2255464]
R2 ocster_backup;Ocster Backup;c:\program files\ocster backup\bin\backupService-ox.exe [2012-3-22 18888]
R2 Secunia PSI Agent;Secunia PSI Agent;c:\program files\secunia\psi\psia.exe [2011-4-19 993848]
R2 Secunia Update Agent;Secunia Update Agent;c:\program files\secunia\psi\sua.exe [2011-4-19 399416]
R2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files\nvidia corporation\3d vision\nvSCPAPISvr.exe [2011-8-3 379496]
R3 BrYNSvc;BrYNSvc;c:\program files\browny02\BrYNSvc.exe [2011-10-27 245760]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2012-4-29 22344]
R3 PSI;PSI;c:\windows\system32\drivers\psi_mf.sys [2010-9-1 15544]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]
S2 gupdate;Google Update Service (gupdate);c:\program files\google\update\GoogleUpdate.exe [2010-7-17 136176]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\macromed\flash\FlashPlayerUpdateService.exe [2012-4-4 253088]
S3 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr.sys [2011-11-11 39272]
S3 fsssvc;Windows Live Family Safety Service;c:\program files\windows live\family safety\fsssvc.exe [2011-5-13 1492840]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\program files\google\update\GoogleUpdate.exe [2010-7-17 136176]
S3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files\mozilla maintenance service\maintenanceservice.exe [2012-4-26 129976]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\microsoft.net\framework\v4.0.30319\wpf\WPFFontCache_v0400.exe [2010-3-18 753504]
S4 wlcrasvc;Windows Live Mesh remote connections service;c:\program files\windows live\mesh\wlcrasvc.exe [2010-9-22 51040]
.
=============== Created Last 30 ================
.
2012-04-29 15:09:04 -------- d-----w- c:\users\xxx\appdata\roaming\Malwarebytes
2012-04-29 15:08:55 -------- d-----w- c:\programdata\Malwarebytes
2012-04-29 15:08:53 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-04-29 15:08:53 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2012-04-28 23:45:30 56200 ----a-w- c:\programdata\microsoft\windows defender\definition updates\{db625cc8-029c-476b-8b61-4af390c497bf}\offreg.dll
2012-04-27 13:48:38 6734704 ----a-w- c:\programdata\microsoft\windows defender\definition updates\{db625cc8-029c-476b-8b61-4af390c497bf}\mpengine.dll
2012-04-26 01:03:38 -------- d-----w- c:\program files\Mozilla Maintenance Service
2012-04-26 01:03:36 157352 ----a-w- c:\program files\mozilla firefox\maintenanceservice_installer.exe
2012-04-26 01:03:36 129976 ----a-w- c:\program files\mozilla firefox\maintenanceservice.exe
2012-04-16 01:00:49 -------- d-----w- c:\program files\Microsoft CAPICOM 2.1.0.2
2012-04-16 01:00:27 -------- d-----w- c:\program files\MSXML 4.0
2012-04-15 10:36:43 -------- d-----w- c:\users\xxx\appdata\roaming\Zeon
2012-04-15 10:29:45 -------- d-----w- c:\program files\ScanSoft
2012-04-15 09:56:55 -------- d-----w- c:\windows\tessdata
2012-04-12 12:32:56 5120 ----a-w- c:\windows\system32\wmi.dll
2012-04-12 12:32:56 172032 ----a-w- c:\windows\system32\wintrust.dll
2012-04-12 12:32:56 157696 ----a-w- c:\windows\system32\imagehlp.dll
2012-04-12 12:32:56 12800 ----a-w- c:\windows\system32\drivers\fs_rec.sys
2012-04-12 12:32:20 3602816 ----a-w- c:\windows\system32\ntkrnlpa.exe
2012-04-12 12:32:20 3550080 ----a-w- c:\windows\system32\ntoskrnl.exe
2012-04-12 06:00:05 2409784 ----a-w- c:\program files\windows mail\OESpamFilter.dat
2012-04-11 09:53:06 -------- d-----w- c:\users\xxx\appdata\local\PDF24
2012-04-06 10:51:24 -------- d-----w- C:\Casino
2012-04-04 09:22:36 418464 ----a-w- c:\windows\system32\FlashPlayerApp.exe
.
==================== Find3M ====================
.
2012-04-13 20:25:07 70304 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-02-28 01:18:55 1799168 ----a-w- c:\windows\system32\jscript9.dll
2012-02-28 01:11:21 1427456 ----a-w- c:\windows\system32\inetcpl.cpl
2012-02-28 01:11:07 1127424 ----a-w- c:\windows\system32\wininet.dll
2012-02-28 01:03:16 2382848 ----a-w- c:\windows\system32\mshtml.tlb
2012-02-23 08:18:36 237072 ------w- c:\windows\system32\MpSigStub.exe
2012-02-14 15:45:30 219648 ----a-w- c:\windows\system32\d3d10_1core.dll
2012-02-14 15:45:30 160768 ----a-w- c:\windows\system32\d3d10_1.dll
2012-02-13 14:12:08 1172480 ----a-w- c:\windows\system32\d3d10warp.dll
2012-02-13 13:47:57 683008 ----a-w- c:\windows\system32\d2d1.dll
2012-02-13 13:44:40 1068544 ----a-w- c:\windows\system32\DWrite.dll
2012-02-02 15:16:25 2044416 ----a-w- c:\windows\system32\win32k.sys

FINISH: 19:05:29,71


5.)
Alle laufenden Programme und Scanner geschlossen. Da in Schritt 3 defogger-Fenster nicht zu ging, auch dieses Fenster mit Klick aufs rote Kreuz geschlossen.

Gmer ausgeführt, allerdings vergessen Häkchen bei IAT/EAT zu entfernen. Das Logfile ist als Anhang hier dabei.
PC neu gestartet und Gmer erneut mit richtigen Häkchen ausgeführt. Diesmal aber während des Scans abgestürzt mit Bluescreen. Pc hat selbständig neu gebootet. Habe Windows normal starten lassen, nicht abgesichert. Danach erschien folgende Windowsmeldung:

Zitat:
Problemsignatur:
Problemereignisname: BlueScreen
Betriebsystemversion: 6.0.6002.2.2.0.768.3
Gebietsschema-ID: 1031

Zusatzinformationen zum Problem:
BCCode: a
BCP1: 0058182E
BCP2: 00000002
BCP3: 00000001
BCP4: 8269FC88
OS Version: 6_0_6002
Service Pack: 2_0
Product: 768_1

Dateien, die bei der Beschreibung des Problems hilfreich sind:
C:\Windows\Minidump\Mini042912-01.dmp
C:\Users\xxx\AppData\Local\Temp\WER-38313-0.sysdata.xml
C:\Users\xxx\AppData\Local\Temp\WERB74.tmp.version.txt

Lesen Sie unsere Datenschutzrichtlinie:
hxxp://go.microsoft.com/fwlink/?linkid=50163&clcid=0x0407


6.)
PC neugestartet und nochmal Avira ausgeführt, weil erster Bericht hier nicht herpasst. Also alle Einstellungen auf "Standart" gestellt. Gefunden wurde so aber nichts. Auch das Log befindet sich im Anhang.

Anhang: AVSCAN-20120429-205058-A87C9020 neuer


--------


Übrigens befinden sich die ursprünglichen eMails von booking.com noch immer in meinem eMailprogramm.

Geschafft, ich hoffe alles richtig gemacht zu haben und würde mich wirklich sehr freuen, wenn mir jemand hilft.

markusg 30.04.2012 17:34
hi
sind das alle malwarebytes logs?

Drangi 30.04.2012 19:23
Zitat:
Zitat von markusg (Beitrag 822088)
hi
sind das alle malwarebytes logs?
Hallo Markus.

Mehr habe ich nicht gefunden, oder gibt es mehrere logs separat?

Jetzt habe ich verstanden um was es geht, denke ich. Bitte aber auch um Verständnis. Als absoluter Laie kann selbst das nachschauen verschiedener Raiter eines Programmes zum Problem werden, wenn gleichzeitig lauter Dinge passieren, von denen man keine Ahnung hat.

Ich habe noch zwei weitere Logfiles gefunden. Aber wenn ich nicht blind bin, sind das die gleichen. Ich spare mir jetzt auch das xxx dort, Serkan´s gibts viele und das ist ohne der Name des Pc-Einrichters.

Vorab kurz noch: Erst jetzt wird mir eigentlich klar, was für ein Segen Eure Seite ist, also wenn mal wieder ein Problem vorhanden ist... Ein solches Angebot ist nicht als selbstverständlich zu erwarten, um so dankbarer bin ich auch für Hilfe. :)


Code:
2012/04/29 17:10:46 +0200        SERKAN-PC        Serkan        MESSAGE        Executing scheduled update:  Daily
2012/04/29 17:10:46 +0200        SERKAN-PC        Serkan        MESSAGE        Starting protection
2012/04/29 17:10:47 +0200        SERKAN-PC        Serkan        MESSAGE        Database already up-to-date
2012/04/29 17:10:48 +0200        SERKAN-PC        Serkan        MESSAGE        Protection started successfully
2012/04/29 17:10:51 +0200        SERKAN-PC        Serkan        MESSAGE        Starting IP protection
2012/04/29 17:10:52 +0200        SERKAN-PC        Serkan        MESSAGE        IP Protection started successfully
2012/04/29 18:40:58 +0200        SERKAN-PC        Serkan        MESSAGE        Starting protection
2012/04/29 18:41:01 +0200        SERKAN-PC        Serkan        MESSAGE        Protection started successfully
2012/04/29 18:41:04 +0200        SERKAN-PC        Serkan        MESSAGE        Starting IP protection
2012/04/29 18:41:05 +0200        SERKAN-PC        Serkan        MESSAGE        IP Protection started successfully
2012/04/29 19:04:07 +0200        SERKAN-PC        Serkan        IP-BLOCK        89.28.79.34 (Type: incoming, Port: 8)
2012/04/29 19:04:07 +0200        SERKAN-PC        Serkan        IP-BLOCK        89.28.79.34 (Type: incoming, Port: 8)
2012/04/29 19:11:26 +0200        SERKAN-PC        Serkan        MESSAGE        Stopping IP protection
2012/04/29 19:11:27 +0200        SERKAN-PC        Serkan        MESSAGE        IP Protection stopped
2012/04/29 20:27:37 +0200        SERKAN-PC        Serkan        MESSAGE        Starting protection
2012/04/29 20:27:39 +0200        SERKAN-PC        Serkan        MESSAGE        Protection started successfully
2012/04/29 20:27:42 +0200        SERKAN-PC        Serkan        MESSAGE        Starting IP protection
2012/04/29 20:27:43 +0200        SERKAN-PC        Serkan        MESSAGE        IP Protection started successfully
2012/04/29 20:29:12 +0200        SERKAN-PC        Serkan        MESSAGE        Stopping IP protection
2012/04/29 20:29:13 +0200        SERKAN-PC        Serkan        MESSAGE        IP Protection stopped
2012/04/29 20:36:17 +0200        SERKAN-PC        Serkan        MESSAGE        Starting protection
2012/04/29 20:36:19 +0200        SERKAN-PC        Serkan        MESSAGE        Protection started successfully
2012/04/29 20:36:22 +0200        SERKAN-PC        Serkan        MESSAGE        Starting IP protection
2012/04/29 20:36:23 +0200        SERKAN-PC        Serkan        MESSAGE        IP Protection started successfully
Code:
2012/04/29 17:10:46 +0200        SERKAN-PC        Serkan        MESSAGE        Executing scheduled update:  Daily
2012/04/29 17:10:46 +0200        SERKAN-PC        Serkan        MESSAGE        Starting protection
2012/04/29 17:10:47 +0200        SERKAN-PC        Serkan        MESSAGE        Database already up-to-date
2012/04/29 17:10:48 +0200        SERKAN-PC        Serkan        MESSAGE        Protection started successfully
2012/04/29 17:10:51 +0200        SERKAN-PC        Serkan        MESSAGE        Starting IP protection
2012/04/29 17:10:52 +0200        SERKAN-PC        Serkan        MESSAGE        IP Protection started successfully
2012/04/29 18:40:58 +0200        SERKAN-PC        Serkan        MESSAGE        Starting protection
2012/04/29 18:41:01 +0200        SERKAN-PC        Serkan        MESSAGE        Protection started successfully
2012/04/29 18:41:04 +0200        SERKAN-PC        Serkan        MESSAGE        Starting IP protection
2012/04/29 18:41:05 +0200        SERKAN-PC        Serkan        MESSAGE        IP Protection started successfully
2012/04/29 19:04:07 +0200        SERKAN-PC        Serkan        IP-BLOCK        89.28.79.34 (Type: incoming, Port: 8)
2012/04/29 19:04:07 +0200        SERKAN-PC        Serkan        IP-BLOCK        89.28.79.34 (Type: incoming, Port: 8)
2012/04/29 19:11:26 +0200        SERKAN-PC        Serkan        MESSAGE        Stopping IP protection
2012/04/29 19:11:27 +0200        SERKAN-PC        Serkan        MESSAGE        IP Protection stopped
2012/04/29 20:27:37 +0200        SERKAN-PC        Serkan        MESSAGE        Starting protection
2012/04/29 20:27:39 +0200        SERKAN-PC        Serkan        MESSAGE        Protection started successfully
2012/04/29 20:27:42 +0200        SERKAN-PC        Serkan        MESSAGE        Starting IP protection
2012/04/29 20:27:43 +0200        SERKAN-PC        Serkan        MESSAGE        IP Protection started successfully
2012/04/29 20:29:12 +0200        SERKAN-PC        Serkan        MESSAGE        Stopping IP protection
2012/04/29 20:29:13 +0200        SERKAN-PC        Serkan        MESSAGE        IP Protection stopped
2012/04/29 20:36:17 +0200        SERKAN-PC        Serkan        MESSAGE        Starting protection
2012/04/29 20:36:19 +0200        SERKAN-PC        Serkan        MESSAGE        Protection started successfully
2012/04/29 20:36:22 +0200        SERKAN-PC        Serkan        MESSAGE        Starting IP protection
2012/04/29 20:36:23 +0200        SERKAN-PC        Serkan        MESSAGE        IP Protection started successfully

markusg 01.05.2012 11:19
hi,
danke
wenn noch dateien zu entrschlüsseln sind:

mache ein backup deiner wichtigen dateien die verschlüsselt sind
auf ein externes laufwerk
dann entschlüsseln:
http://www.trojaner-board.de/114224-...-unlocker.html
teile mir mit obs geklappt hatt

Drangi 01.05.2012 15:35
Zitat:
Zitat von markusg (Beitrag 822427)
hi,
danke
wenn noch dateien zu entrschlüsseln sind:
Hi Markus,
ich danke dir!!!

Also ich habe nie solche Mails mit solchem Inhalt bekommen, wie sie da in dem Thread abgebildet sind, wenn ich nicht irre.

Den Thread und alle Infos die ich finden konnte zum Thema Verschlüsselung habe ich durch, aber ich finde einfach keine Hinweise darauf, was die Verschlüsselung überhaupt ist, wie sie aussieht und wie ich herausfinde ob bei mir was verschlüsselt ist. Den ersten Beitrag aus dem Thread verstehe ich überhaupt nicht leider. Finde immer auch nur das Programm zum entschlüsseln.

Ich habe nach .wnys, .wxyz, Rechnung.exe und Realtecdriver.exe über die Windowssuche erweitert untersucht, also auch indizierte, versteckte und Systemdateien aber keine davon gefunden.

Avira hat ja in seinem umfangreichen Bericht nicht näher beschrieben von 301 Warnungen, 413 Hinweisen und von 81 nicht durchsuchungsfähige Dateien berichtet. Hat das was damit zu tun?

Zitat:
http://www.trojaner-board.de/114113-...-trojaner.html
Ergo u.U. auch angeschlossene Backuplösungen (Bandlaufwerke, NAS etc)
Dürfte ich demzufolge zb. über Ocsterbackup meinen gratis Freespace dort nutzen und online dort die Daten sichern? (Falls was verschlüsselt ist)

markusg 01.05.2012 17:02
naja, ich würde niemals daten online sichern, wenn sie nicht mit passwort versehen sind, was ist zb wenn jemand die server hackt?

schließe mal alles an, nutze die windows suche und suche nach *.locked

du hast eine solche mail bekommen, die buchungsbestätigung nämlich, es gibt verschiedene variannten. in denen aber immer ein zip oder rar archiv anhängt.

Drangi 01.05.2012 19:20
Okey, das leuchtet ein.

Also ich habe das hier als xml Dateien gefunden:
Code:
Microsoft.DirectX.DirectPlay (1,19mb)
C:\Windows\Microsoft.NET\DirectX for Managed Code\1.0.2902.0

Microsoft.DirectX.Direct3D (829Kb)
C:\Windows\Microsoft.NET\DirectX for Managed Code\1.0.2902.0

Microsoft.DirectX.DirectDraw (738Kb)
C:\Windows\Microsoft.NET\DirectX for Managed Code\1.0.2902.0
Die Suche hatte die maximal einstellbaren Vorgaben, mit versteckten, indizierten und Systemdateien, komprimierte und Systenverzeichnisse.

Ich weis nicht, wie ich diese Dateien öffne um sie zu prüfen bzw. wie ich feststelle ob sie befallen sind.

markusg 02.05.2012 11:51
als du nach
*.locked
gesucht hast, hast du xml dateien gefunden?

Drangi 02.05.2012 13:16
Also ich habe das mit * und .locked so eingegeben und diese drei Dateien wurden angezeigt. Ich habe alle Einstellungen so tief wie möglich gewählt, wenn ich das richtig gemacht habe. Die Suche hat mehr als 30-40 Minuten pro Durchgang gedauert. Darum habe ich beim ersten Durchgang abgebrochen, weil ich dachte das sie sich aufgehängt hat. In der Suche wurde von Windows angezeigt, dass die Ergebnisse nicht alle ins Suchfenster passen, habe versucht die Suche zu speichern, aber ich glaube da war die Suche halt noch nicht abgeschlossen und so schloss ich diesen ersten Durchgang und habe das abgespeicherte wieder gelöscht.

Dort wurden mir aber direkt im Suchfenster schon die drei Dateien angezeigt, die beim zweiten Durchgang auch dabei waren.

markusg 02.05.2012 16:35
na und brauchst du die oder nicht?

Drangi 02.05.2012 16:57
Ich dachte das du mir das vielleicht sagen könntest.

Sind die drei Dateien jetzt befallen, so dass ich davon ein Backup machen muss und dann diese drei mit dem Avira Ransom File Unlocker bearbeiten?

markusg 02.05.2012 17:37
wie heißen die dateien

Drangi 02.05.2012 17:57
Mehr als die genannten drei Microsoftnamen habe ich nicht.

Code:
Microsoft.DirectX.DirectPlay (1,19mb)
C:\Windows\Microsoft.NET\DirectX for Managed Code\1.0.2902.0

Microsoft.DirectX.Direct3D (829Kb)
C:\Windows\Microsoft.NET\DirectX for Managed Code\1.0.2902.0

Microsoft.DirectX.DirectDraw (738Kb)
C:\Windows\Microsoft.NET\DirectX for Managed Code\1.0.2902.0

markusg 02.05.2012 18:27
ne die brauchst du nicht.
kannst du löschen.

Drangi 02.05.2012 20:03
Einfach so löschen? Sind das keine Systemdateien bzw. wichtige Dateien für Directx? Ich habe leider zu lange kein englisch mehr gesprochen, als das mir Google in dem Fall eine Hilfe sein könnte.

In dem Thread steht doch man soll sie dann bearbeiten, das hattest du vorher ja auch geschrieben. Von löschen erfahre ich erst jetzt.

Und wenn ich lösche ist das Problem doch nicht behoben?

Was ist denn mit den Dateien die von Malewarebytes in Quarantäne verschoben sind? Die wurden ja bei der *locked Suche auch nicht angezeigt. Weis aber auch nicht ob die mit dem Trojaner zu tun haben.

Ich habe jetzt die Suche noch mal gemacht, aber ohne intensive Suche. Jetzt sind da scheinbar mehr Dateien. Merkwürdig das er so mehr findet. Die xml Dateien waren auch nicht mehr mit dabei.



Code:
icon_security_locked.tga
C:\Program Files\Steam\Graphics

icon_security_unlocked.tga
C:\Program Files\Steam\Graphics

gamespage_details_achievements_locked.layout
C:\Program Files\Steam\resource\layout

blocked_hit.mp3
C:\Casino\EuroGrand Casino\data\knockout\sounds

blocked.png
C:\Program Files\ICQ7.5\Xtraz\icq\theme\icq_profile\temp\blocked.png

blocked.png
C:\Program Files\ICQ7.5\Xtraz\icq\theme\profile_forms\temp

blocked.png
temp/    ...... mehr wird nicht angezeigt.

blocked.png
temp/    ...... mehr wird nicht angezeigt.

iron_frog_unlocked.wav
C:\ProgramData\Oberon Media\ZumasRevengeAdventure\cached\sounds\new

levels_unlocked.wav
C:\ProgramData\Oberon Media\ZumasRevengeAdventure\cached\sounds\new

new_zone_unlocked.wav
C:\ProgramData\Oberon Media\ZumasRevengeAdventure\cached\sounds\new

unlocked_modes.wav
C:\ProgramData\Oberon Media\ZumasRevengeAdventure\cached\sounds\new

BlockedIcon.png
C:\Riot Games\League of Legends\RADS\projects\lol_air_client\releases\0.0.0.47\deploy\assets\images\buddyIcons

button_locked.mp3
C:\Riot Games\League of Legends\RADS\projects\lol_air_client\releases\0.0.0.47\deploy\assets\sounds

locked.png
basctl/res/      ... mehr wird nicht angezeigt  (Die sind ein paar mal öfter vorhanden)

locked_h.png
basctl/res/      ... mehr wird nicht angezeigt  (Die sind ein paar mal öfter vorhanden)

Windows-Geblocktes Popup.wav (und weitere 11 solche Dateien)
C:\Windows\Media

Windows Pop-up Blocked.wav
C:\Windows\winsxs\x86_microsoft-windows-ie-internetexplorer_31bf3856ad364e35_6.0.6000.17037_none_2d6231791cea1fc3


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:38 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131