|
GVU Trojaner? Hallo zusammen, ich bin mir ziemlich sicher, dass ich mir gestern einen GVU Trojaner eingefangen habe (können auch noch andere an Bord meines Systems sein...). Ich habe Eure Anleitung soweit ich konnte durchgeführt und hänge Euch die Logs an diesen Text. Bei der Ausführung von GMER ist mein System abgeschmiert (BlueScreen). Ich habe die Problemsignatur von Microsoft auch mal in ein Log gepackt und Euch beigefügt. Wie ich in anderen Threds gelesen habe werde ich jetzt mal einen Vollscan mit Malwarebytes durchführen und dann hier später das Ergebnis posten. Ich hoffe auf Eure Hilfe und sag' schon mal tausend Dank! Cheers, MiXtA |
:hallo: Fixen mit OTL Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).
Code: :OTL
Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen! |
Hallo t'john, anbei noch das Ergebnis von Malewarebytes: Code: Cheers, MiXtA |
Ja, nauerlich! OTL Fix durchfuehren! |
So, t'john, schon mal danke für Deine Hilfe!!! Hier der OLT Logtext: Code: All processes killedCheers, MiXtA |
Sehr gut! :daumenhoc Wie laeuft der Rechner? 1. Schritt Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.danach: 2. Schritt Downloade Dir bitte AdwCleaner auf deinen Desktop.
|
Hey t'john, Rechner scheint ganz gut zu laufen...! Thx schoma! Ich schieb jetzt die beiden Scanner an und poste dann die Logs... Cheers, MiXtA Jo t'john, hier das erste Malwarebytes Log: Code: Malwarebytes Anti-Malware 1.62.0.1300Code: Malwarebytes Anti-Malware 1.62.0.1300Hier das AdwCleaner Log: Code: # AdwCleaner v1.800 - Logfile created 08/02/2012 at 23:12:45Ist mein System nun komplett "sauber"? Wenn ja, wäre das der Hammer, wenn nicht, was könnte ich tun? Tausend Dank an Dich t'john und an die anderen Forenbetreiber!!! Cheers, MiXtA |
Sehr gut! :daumenhoc
danach: Malware-Scan mit Emsisoft Anti-Malware Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm. Lade über Jetzt Updaten die aktuellen Signaturen herunter. Wähle den Freeware-Modus aus. Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers. Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten. Anleitung: http://www.trojaner-board.de/103809-...i-malware.html |
moin t'john, also hier die logdatei von AdwCleaner: Code: # AdwCleaner v1.800 - Logfile created 08/04/2012 at 11:07:35Cheers, MiXtA hey t'john, also der Emsisoft Scanner läuft noch... dauert wahrscheinlich auch noch ne Weile... Ich hab aber noch eine kurze Frage. Der AVIRA Scanner findet immer eine Datei in C:\WINDOWS\system32 namens b4fm.dll Wenn ich die Datei in Quarantäne zu stecken versuchte (vor 5 Tagen und bevor wir zusammen arbeiten! seither nicht mehr!) schmiert Windows ab. Kein anderer Virenscanner bemängelt diese Datei. Kannst Du dazu etwas sagen? Thx! Cheers, MiXtA P.S.: Die Datei wird ADSPY/Agent.223744 genannt... und nun die Ergebnisse von Emisoft: Code: Emsisoft Anti-Malware - Version 6.6Freue mich auf eine Antwort! Thanx und Cheers, MiXtA |
Lade sie bei Virustotal.com hoch und poste den Link zur analyse. |
ich weiß leider nicht, was du meinst |
|
so, hier die Ergebnisse zum b4fm.dll SHA256: 2069fdcd56c4f7bd13e9364f71170dfbab26d2fa5b92e298cb9d7294ea1cb4e0 SHA1: 5512da452b83e23302c07fa843d288d39c63eb32 MD5: f4beda3a2fdf001c38137f3fa52d4fe8 File size: 218.5 KB ( 223744 bytes ) File name: b4fm.dll File type: Win32 DLL Detection ratio: 14 / 41 Analysis date: 2012-08-05 12:04:13 UTC ( 0 Minuten ago ) 0 0 More details Antivirus Result Update AhnLab-V3 Win-Trojan/Burn4free.223744.B 20120803 AntiVir ADSPY/Agent.223744 20120803 Antiy-AVL - 20120803 Avast - 20120803 AVG Generic4.BWU 20120803 BitDefender - 20120803 ByteHero - 20120723 CAT-QuickHeal - 20120803 ClamAV - 20120803 Commtouch - 20120803 Comodo - 20120803 DrWeb - 20120803 Emsisoft Adware.Win32.Agent!A2 20120803 eSafe Win32.ADSPYAgent 20120802 ESET-NOD32 - 20120803 F-Prot - 20120803 F-Secure Adware:W32/Burn4Free 20120803 Fortinet - 20120803 GData - 20120803 Ikarus - 20120803 Jiangmin - 20120803 K7AntiVirus Trojan 20120803 Kaspersky - 20120803 McAfee Generic.dx!ksm 20120803 McAfee-GW-Edition Generic.dx!ksm 20120803 Microsoft - 20120803 Norman - 20120803 nProtect Trojan/W32.Agent.223744.AW 20120803 Panda Adware/Burn4Free 20120803 Rising - 20120803 Sophos Burn4Free 20120803 SUPERAntiSpyware - 20120803 Symantec - 20120803 TheHacker - 20120801 TotalDefense - 20120802 TrendMicro - 20120803 TrendMicro-HouseCall - 20120803 VBA32 - 20120803 VIPRE Trojan.Win32.Generic!BT 20120803 ViRobot - 20120803 VirusBuster Adware.Burn4Free.A 20120803 Comments Votes Additional information ssdeep 6144:dfdwNxyKCqqi3TmK+b/IC30sUOtlWZropomVjcO:dOPjqTKkACkfOAXmlcO TrID UPX compressed Win32 Executable (42.6%) Win32 EXE Yoda's Crypter (37.0%) Win32 Executable Generic (11.8%) Win16/32 Executable Delphi generic (2.8%) Generic Win/DOS Executable (2.7%) F-Prot packer identifier UPX ExifTool MIMEType.................: application/octet-stream Subsystem................: Windows GUI MachineType..............: Intel 386 or later, and compatibles TimeStamp................: 1992:06:20 00:22:17+02:00 FileType.................: Win32 DLL PEType...................: PE32 CodeSize.................: 221184 LinkerVersion............: 2.25 EntryPoint...............: 0x941b0 InitializedDataSize......: 8192 SubsystemVersion.........: 4.0 ImageVersion.............: 0.0 OSVersion................: 4.0 UninitializedDataSize....: 385024 Portable Executable structural information Compilation timedatestamp.....: 1992-06-19 22:22:17 Target machine................: 0x14C (Intel 386 or later processors and compatible processors) Entry point address...........: 0x000941B0 PE Sections...................: Name Virtual Address Virtual Size Raw Size Entropy MD5 UPX0 4096 385024 0 0.00 d41d8cd98f00b204e9800998ecf8427e UPX1 389120 221184 218112 7.92 c9efea36f61cfb029d9289796dbf2eb3 .rsrc 610304 8192 4608 3.66 1daf6cd6d4bf571a7c18194bd510de38 PE Imports....................: [[version.dll]] VerQueryValueA [[winmm.dll]] PlaySoundA [[gdi32.dll]] SaveDC [[shell32.dll]] SHGetMalloc [[KERNEL32.DLL]] LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree [[oleaut32.dll]] VariantCopy [[advapi32.dll]] RegOpenKeyA [[ole32.dll]] IsEqualGUID [[user32.dll]] GetDC [[comctl32.dll]] ImageList_Add PE Exports....................: DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer Symantec Reputation Suspicious.Insight ClamAV PUA Engine Possibly Unwanted Application. While not necessarily malicious, the scanned file presents certain characteristics which depending on the user policies and environment may or may not represent a threat. For full details see: hxxp://www.clamav.net/support/faq/pua. First seen by VirusTotal 2008-03-01 05:23:24 UTC ( 4 Jahre, 5 Monate ago ) Last seen by VirusTotal 2012-08-05 12:04:13 UTC ( 1 Minute ago ) File names (max. 25) b4fm.dll.vir b4fm.dll 5512da452b83e23302c07fa843d288d39c63eb32.bin f4beda3a2fdf001c38137f3fa52d4fe8 b4fm.dl_ file-3270476_dll Hallo t'john, was hältst Du denn von den Ergebnissen des Emsisoft Scanner? System soweit ok? Cheers, MiXtA |
Malware mit Combofix beseitigen Lade Combofix von einem der folgenden Download-Spiegel herunter: BleepingComputer.com - ForoSpyware.com und speichere das Programm auf den Desktop, nicht woanders hin, das ist wichtig! Beachte die ausführliche Original-Anleitung. Zurzeit ist Combofix auf folgenden Windows-Versionen lauffähig:
Vorbereitung und wichtige Hinweise
Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen! |
Moin t'john! so, hier mal das Logfile: Code: ComboFix 12-08-05.02 - Mickster 06.08.2012 18:31:13.1.2 - x86Cheers, MiXtA |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:59 Uhr. |
Copyright ©2000-2025, Trojaner-Board