Trojaner-Board - Mega-Trojaner | Android-> Windows, Windows-> Android |

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Mega-Trojaner | Android-> Windows, Windows-> Android | (https://www.trojaner-board.de/121783-mega-trojaner-android-windows-windows-android.html)

Mega-Trojaner | Android-> Windows, Windows-> Android |

Hallo Liebes Trojaner-Board Team,
ich habe ein fettes Problem, ich versuche es so genau wie möglich zu beschreiben:

Erstmal sei gesagt das ich keine Ahnung habe wo ich mir den eingefangen habe, ich bin ein vorsichtiger User und habe bis jetzt noch von keinem vergleichbarem Problem im Internet gelesen, und dieses nutze ich schon sehr lange ;-)

Ich weis ja nichtmal um welche Art von Virus es sich handelt, ich habe versucht einen aufmerksamkeitseregenden Titel zu wählen.

Malwarebytes meldet mir bei Programmen wie Tor oder Chrome das ein Programm versucht, eine Verbindung zu einem Server aufzubauen, das wird durch Malwarebytes verhindert, allerdings ist Malwarebytes nicht in der Lage diesen Virus zu beseitigen.

Ich habe mein System 4mal neuaufgsetzt, immer die Festplatte formatiert, sämtliche Datenträger die ich habe formatiert, mein Handy 4mal auf Werkeinstellungen gebracht und keines der gennanten Geräte miteinander Verbunden ohne Einzeltest, und der ist noch immer da, noch immer meldet mir Malwarebytes das der <wasauchimmer> versucht, seine Verbindung da zum Virus-Server aufzubauen.

Das Problem liegt denke ich an meinem Android-Handy, ich habe unter 2.3.4 auf "Telefon löschen" (inkl. SD Karte Löschen) geklickt, und trozdem befindet er sich noch auf meinem Androiden, ich bin mit den Nerven völlig am Ende, er hat mir Bitcoins im Wert von 100€ geraubt, ich weis einfach nichtmehr weiter ich hoffe ihr könnt mir helfen, es ist sogar die Hölle für mich, diesen Thread hier halbwegs informativ zu schreiben, der zerstört mein Leben! Ich habe schon 3 Freunde (eine weibliche Person an der ich sehr interessiert wahr) durch den Virus verloren und ich weis nicht ob der mich in den Suizid treiben will, aber ich denke das hat er sehr sehr bald geschafft! :heulen:

Folgende Datenträger habe ich:

- USB-Stick
- Externe HD
- Android-Handy
- Interne HD

Ich weis nicht ob der Virus in meinen Email-Account geht und dann irgendwelche Anhänge herunterlädt um sich erneut zu aktivieren.
Ich habe einfach keine Ahnung was ich jetzt machen soll, ich habe auch starke Panik-Attacken wegen dieser Vorfälle aber das ist ein anderes Thema.

Aber rumheulen bringt jetzt auch nicht viel also versuch ich sachlich zu bleiben.

Wenn er Keylogging angeschalten hat, hat er sämtliche Daten von mir, die man nur irgendwie haben kann. (Facebook, Banking, ALLE email accs von mir, Whatsapp, alles alles alles)

Ich starte gerade eine VOLLSTÄNDIGE Suche mit Malwarebytes wie oben beschrieben und poste dann die Ergebnisse. Ich hoffe wirklich dass das einem von euch hilft, mir zu helfen, denn endlich loszwerden, in Zukunft werde ich halt noch viel vorsichtiger sein als ich jetzt schon ohnehin bin.

Ich garantiere euch wie ein Uhrwerk zu folgen IHR SAGT--> ICH MACHE! Egal was! Er hat mich um sehr wichtige Kontakte und um meine Ersparnisse gebracht, ich hoffe er hat mich nicht als Vicsock verwendet sonst kann ich mich gleich erschießen. :heulen: :snyper:

die einzigen logs die ich habe:

Code:



2012/08/11 00:07:05 +0200        HOME-PC        HOME        IP-BLOCK        213.163.65.50 (Type: outgoing, Port: 50332, Process: tor.exe)

2012/08/11 00:07:05 +0200        HOME-PC        HOME        IP-BLOCK        89.248.172.226 (Type: outgoing, Port: 50334, Process: tor.exe)

Code:

2012/08/10 23:45:56 +0200        HOME-PC        HOME        MESSAGE        Starting protection

2012/08/10 23:46:01 +0200        HOME-PC        HOME        MESSAGE        Protection started successfully

2012/08/10 23:46:04 +0200        HOME-PC        HOME        MESSAGE        Starting IP protection

2012/08/10 23:46:08 +0200        HOME-PC        HOME        MESSAGE        IP Protection started successfully

2012/08/10 23:46:49 +0200        HOME-PC        HOME        MESSAGE        Starting database refresh

2012/08/10 23:46:49 +0200        HOME-PC        HOME        MESSAGE        Stopping IP protection

2012/08/10 23:50:04 +0200        HOME-PC        HOME        MESSAGE        Executing scheduled update:  Daily

2012/08/10 23:50:06 +0200        HOME-PC        HOME        MESSAGE        Database already up-to-date

2012/08/10 23:51:13 +0200        HOME-PC        HOME        MESSAGE        IP Protection stopped

2012/08/10 23:51:19 +0200        HOME-PC        HOME        MESSAGE        Database refreshed successfully

2012/08/10 23:51:19 +0200        HOME-PC        HOME        MESSAGE        Starting IP protection

2012/08/10 23:51:25 +0200        HOME-PC        HOME        MESSAGE        IP Protection started successfully

Wenn ihr noch irgendwelche Infos braucht bitte darum!

Code:

213.163.65.50 (Type: outgoing, Port: 50332, Process: tor.exe)

Das ist kein Virus!!
Wie du schon schon erkannt hast tritt das nur auf, wenn du TOR startest und Malwarebytes meldet lediglich eine verdächtige Aktion!

Zitat:

Zitat von cosinus (Beitrag 893308)

Code:

213.163.65.50 (Type: outgoing, Port: 50332, Process: tor.exe)

Das ist kein Virus!!
Wie du schon schon erkannt hast tritt das nur auf, wenn du TOR startest und Malwarebytes meldet lediglich eine verdächtige Aktion!

so ein blödsinn! er stoppt ja die verbindung, wie kann sie dann rausgehen?

selbiges passiert bei chrome / skype auch. komisch!
was sagste dazu?

ja, malwarebytes blockt die verbindung zum thor proxy, sieht man an der ip, deinstalire das programm und es sollte ruhe sein.

Zitat:

Zitat von cosinus (Beitrag 893308)

Code:

213.163.65.50 (Type: outgoing, Port: 50332, Process: tor.exe)

Das ist kein Virus!!
Wie du schon schon erkannt hast tritt das nur auf, wenn du TOR startest und Malwarebytes meldet lediglich eine verdächtige Aktion!

so ein blödsinn! er stoppt ja die verbindung, wie kann sie dann rausgehen?

selbiges passiert bei chrome / skype auch. komisch!
was sagste dazu?

edit:

Code:


 
 

Avira Free Antivirus

Erstellungsdatum der Reportdatei: Dienstag, 14. August 2012  20:55
 

Es wird nach 4093269 Virenstämmen gesucht.
 

Das Programm läuft als uneingeschränkte Vollversion.

Online-Dienste stehen zur Verfügung.
 

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus

Seriennummer   : 0000149996-ADJIE-0000001

Plattform      : Windows 7 Home Premium

Windowsversion : (Service Pack 1)  [6.1.7601]

Boot Modus     : Normal gebootet

Benutzername   : SYSTEM

Computername   : HOME-PC
 

Versionsinformationen:

BUILD.DAT      : 12.0.0.1167    40870 Bytes  18.07.2012 19:07:00

AVSCAN.EXE     : 12.3.0.33     468472 Bytes  18.07.2012 16:04:24

AVSCAN.DLL     : 12.3.0.15      66256 Bytes  18.07.2012 16:04:38

LUKE.DLL       : 12.3.0.15      68304 Bytes  18.07.2012 16:04:31

AVSCPLR.DLL    : 12.3.0.27      97064 Bytes  18.07.2012 16:04:24

AVREG.DLL      : 12.3.0.33     232232 Bytes  18.07.2012 16:04:23

VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 18:18:34

VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 23:22:12

VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 23:31:36

VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 09:58:50

VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 22:37:35

VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 16:04:37

VBASE006.VDF   : 7.11.34.117     2048 Bytes  29.06.2012 16:04:37

VBASE007.VDF   : 7.11.34.118     2048 Bytes  29.06.2012 16:04:37

VBASE008.VDF   : 7.11.34.119     2048 Bytes  29.06.2012 16:04:37

VBASE009.VDF   : 7.11.34.120     2048 Bytes  29.06.2012 16:04:37

VBASE010.VDF   : 7.11.34.121     2048 Bytes  29.06.2012 16:04:37

VBASE011.VDF   : 7.11.34.122     2048 Bytes  29.06.2012 16:04:37

VBASE012.VDF   : 7.11.34.123     2048 Bytes  29.06.2012 16:04:37

VBASE013.VDF   : 7.11.34.124     2048 Bytes  29.06.2012 16:04:37

VBASE014.VDF   : 7.11.38.18   2554880 Bytes  30.07.2012 21:46:10

VBASE015.VDF   : 7.11.38.70    556032 Bytes  31.07.2012 21:46:11

VBASE016.VDF   : 7.11.38.143   171008 Bytes  02.08.2012 21:46:12

VBASE017.VDF   : 7.11.38.221   178176 Bytes  06.08.2012 21:46:13

VBASE018.VDF   : 7.11.39.37    168448 Bytes  08.08.2012 21:46:13

VBASE019.VDF   : 7.11.39.89    131072 Bytes  09.08.2012 21:46:14

VBASE020.VDF   : 7.11.39.145   142336 Bytes  11.08.2012 21:46:32

VBASE021.VDF   : 7.11.39.146     2048 Bytes  11.08.2012 21:46:32

VBASE022.VDF   : 7.11.39.147     2048 Bytes  11.08.2012 21:46:32

VBASE023.VDF   : 7.11.39.148     2048 Bytes  11.08.2012 21:46:32

VBASE024.VDF   : 7.11.39.149     2048 Bytes  11.08.2012 21:46:32

VBASE025.VDF   : 7.11.39.150     2048 Bytes  11.08.2012 21:46:32

VBASE026.VDF   : 7.11.39.151     2048 Bytes  11.08.2012 21:46:32

VBASE027.VDF   : 7.11.39.152     2048 Bytes  11.08.2012 21:46:32

VBASE028.VDF   : 7.11.39.153     2048 Bytes  11.08.2012 21:46:32

VBASE029.VDF   : 7.11.39.154     2048 Bytes  11.08.2012 21:46:33

VBASE030.VDF   : 7.11.39.155     2048 Bytes  11.08.2012 21:46:33

VBASE031.VDF   : 7.11.39.156     2048 Bytes  11.08.2012 21:46:33

Engineversion  : 8.2.10.132

AEVDF.DLL      : 8.1.2.10      102772 Bytes  10.08.2012 21:46:26

AESCRIPT.DLL   : 8.1.4.42      459129 Bytes  10.08.2012 21:46:26

AESCN.DLL      : 8.1.8.2       131444 Bytes  16.02.2012 16:11:36

AESBX.DLL      : 8.2.5.12      606578 Bytes  18.07.2012 16:04:20

AERDL.DLL      : 8.1.9.15      639348 Bytes  20.01.2012 23:21:32

AEPACK.DLL     : 8.3.0.24      811381 Bytes  10.08.2012 21:46:25

AEOFFICE.DLL   : 8.1.2.42      201083 Bytes  10.08.2012 21:46:24

AEHEUR.DLL     : 8.1.4.86     5165429 Bytes  10.08.2012 21:46:23

AEHELP.DLL     : 8.1.23.2      258422 Bytes  18.07.2012 16:04:17

AEGEN.DLL      : 8.1.5.34      434548 Bytes  10.08.2012 21:46:17

AEEXP.DLL      : 8.1.0.74       86387 Bytes  10.08.2012 21:46:26

AEEMU.DLL      : 8.1.3.2       393587 Bytes  10.08.2012 21:46:16

AECORE.DLL     : 8.1.27.4      201078 Bytes  10.08.2012 21:46:16

AEBB.DLL       : 8.1.1.0        53618 Bytes  20.01.2012 23:21:28

AVWINLL.DLL    : 12.3.0.15      27344 Bytes  18.07.2012 16:04:25

AVPREF.DLL     : 12.3.0.15      51920 Bytes  18.07.2012 16:04:23

AVREP.DLL      : 12.3.0.15     179208 Bytes  18.07.2012 16:04:23

AVARKT.DLL     : 12.3.0.15     211408 Bytes  18.07.2012 16:04:21

AVEVTLOG.DLL   : 12.3.0.15     169168 Bytes  18.07.2012 16:04:22

SQLITE3.DLL    : 3.7.0.1       398288 Bytes  18.07.2012 16:04:34

AVSMTP.DLL     : 12.3.0.32      63480 Bytes  18.07.2012 16:04:24

NETNT.DLL      : 12.3.0.15      17104 Bytes  18.07.2012 16:04:31

RCIMAGE.DLL    : 12.3.0.31    4444408 Bytes  18.07.2012 16:04:41

RCTEXT.DLL     : 12.3.0.31     100088 Bytes  18.07.2012 16:04:41
 

Konfiguration für den aktuellen Suchlauf:

Job Name..............................: AVGuardAsyncScan

Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_50294657\guard_slideup.avp

Protokollierung.......................: standard

Primäre Aktion........................: reparieren

Sekundäre Aktion......................: quarantäne

Durchsuche Masterbootsektoren.........: ein

Durchsuche Bootsektoren...............: aus

Durchsuche aktive Programme...........: ein

Durchsuche Registrierung..............: aus

Suche nach Rootkits...................: aus

Integritätsprüfung von Systemdateien..: aus

Datei Suchmodus.......................: Alle Dateien

Durchsuche Archive....................: ein

Rekursionstiefe einschränken..........: 20

Archiv Smart Extensions...............: ein

Makrovirenheuristik...................: ein

Dateiheuristik........................: vollständig
 

Beginn des Suchlaufs: Dienstag, 14. August 2012  20:55
 

Der Suchlauf über gestartete Prozesse wird begonnen:

Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'SDRootAlyzer.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'SDWelcome.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'pidgin-portable.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'PidginPortable.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'tbb-firefox.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'polipo.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'tor.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'vidalia.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'foobar2000.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'mbamservice.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'SDTray.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'mbamgui.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'SDWSCSvc.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'SDUpdSvc.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'SDFSSvc.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
 

Der Suchlauf über die ausgewählten Dateien wird begonnen:
 

Beginne mit der Suche in 'C:\Windows\winsxs\Backup\amd64_microsoft-windows-font-truetype-gulim_31bf3856ad364e35_6.1.7600.16385_none_a1815c1476403b50_gulim.ttc_7c526737'

C:\Windows\winsxs\Backup\amd64_microsoft-windows-font-truetype-gulim_31bf3856ad364e35_6.1.7600.16385_none_a1815c1476403b50_gulim.ttc_7c526737

  [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2011-3402

  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e672679.qua' verschoben!
 
 

Ende des Suchlaufs: Dienstag, 14. August 2012  20:56

Benötigte Zeit: 01:13 Minute(n)
 

Der Suchlauf wurde vollständig durchgeführt.
 

      0 Verzeichnisse wurden überprüft

     38 Dateien wurden geprüft

      1 Viren bzw. unerwünschte Programme wurden gefunden

      0 Dateien wurden als verdächtig eingestuft

      0 Dateien wurden gelöscht

      0 Viren bzw. unerwünschte Programme wurden repariert

      1 Dateien wurden in die Quarantäne verschoben

      0 Dateien wurden umbenannt

      0 Dateien konnten nicht durchsucht werden

     37 Dateien ohne Befall

      1 Archive wurden durchsucht

      0 Warnungen

      1 Hinweise

soviel zum thema ich hab kein virus :P

Zitat:

soviel zum thema ich hab kein virus :P

Und was bitte ist an tor.exe ein Virus, wenn es die legitime Datei von TOR ist :balla:

Code:

Beginne mit der Suche in 'C:\Windows\winsxs\Backup\amd64_microsoft-windows-font-truetype-gulim_31bf3856ad364e35_6.1.7600.16385_none_a1815c1476403b50_gulim.ttc_7c526737'

C:\Windows\winsxs\Backup\amd64_microsoft-windows-font-truetype-gulim_31bf3856ad364e35_6.1.7600.16385_none_a1815c1476403b50_gulim.ttc_7c526737

  [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2011-3402

  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e672679.qua' versch

Das sieht mir eher nach einem Fehlalarm aus
Merke: Die Ergebnisse eines Virenscanners sind mit Vorsicht zu genießen, nur weil der Scanner kreischt ist das noch lange kein Grund zur Panik - man soltle auch mal offensichtlichs Fehlalarme ertsmal ausschließen, anstatt den Virenscanner als Sprachrohr Gottes zu betrachten :pfeiff:

wenn ich mich noch mal kurz einmischen darf,
rechtsklick avira schirm, deaktivieren.
dann avira, verwaltung, quarantäne.

dann wähle den fund, wiederherstellen in, desktop
Trojaner-Board Upload Channel
dann mal die datei da hochladen, dann können wir sie uns mal angucken
danach avira, verwaltung, quarantäne, dann datei wieder hinzufügen.

Markus du darfst dich immer einmischen :D

zu freundlich.
aber da bisher kein upload angekommen ist, kann ich bisher noch nicht 100 %ig sicher sagen obs nen fp ist oder nicht