Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojan.Banker, Trojan.0Access, Rootkit.0access in Malwarebytes- Log (https://www.trojaner-board.de/125786-trojan-banker-trojan-0access-rootkit-0access-malwarebytes-log.html)

dave517 17.10.2012 12:33
Trojan.Banker, Trojan.0Access, Rootkit.0access in Malwarebytes- Log
 
Hi zusammen,

ich hab mir vor kurzem ein Virus aus dem Internet gezogen.

Habe jetzt eine Systemwiederherstellung gemacht und dann mit Malwarebyte einen kompletten Suchlauf gemacht. Die Funde habe ich löschen lassen.
Unten seht ihr den Log.
Denkt ihr, es gibt weiteren Handlungsbedarf?




Malwarebytes Anti-Malware 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.10.17.05

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
David :: PC [Administrator]

17.10.2012 12:13:08
mbam-log-2012-10-17 (13-21-17).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 330557
Laufzeit: 1 Stunde(n), 3 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 7
HKCR\CLSID\{C0F1636E-13A8-4C84-BB11-774BE45E1F83} (Trojan.Banker) -> Keine Aktion durchgeführt.
HKCR\linkd.AIEbho.1 (Trojan.Banker) -> Keine Aktion durchgeführt.
HKCR\linkd.AIEbho (Trojan.Banker) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C0F1636E-13A8-4C84-BB11-774BE45E1F83} (Trojan.Banker) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C0F1636E-13A8-4C84-BB11-774BE45E1F83} (Trojan.Banker) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\prh (Trojan.Banker) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\tst (Trojan.Banker) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 3
HKCR\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\RECYCLER\S-1-5-18\$3626b7907f4037bb29cb59f576b1ff67\n.) Gut: (fastprox.dll) -> Keine Aktion durchgeführt.
HKCR\CLSID\{FBEB8A05-BEEE-4442-804E-409D6C4515E9}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\RECYCLER\S-1-5-21-220523388-1614895754-839522115-1003\$3626b7907f4037bb29cb59f576b1ff67\n.) Gut: (shell32.dll) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Hijack.UserInit) -> Bösartig: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\appConf32.exe,) Gut: (userinit.exe) -> Keine Aktion durchgeführt.

Infizierte Verzeichnisse: 1
C:\WINDOWS\system32\xmldm (Stolen.Data) -> Keine Aktion durchgeführt.

Infizierte Dateien: 20
C:\RECYCLER\S-1-5-18\$3626b7907f4037bb29cb59f576b1ff67\U\00000004.@ (Trojan.0Access) -> Keine Aktion durchgeführt.
C:\RECYCLER\S-1-5-18\$3626b7907f4037bb29cb59f576b1ff67\U\00000008.@ (Trojan.Dropper.BCMiner) -> Keine Aktion durchgeführt.
C:\RECYCLER\S-1-5-18\$3626b7907f4037bb29cb59f576b1ff67\U\000000cb.@ (Trojan.0Access) -> Keine Aktion durchgeführt.
C:\RECYCLER\S-1-5-18\$3626b7907f4037bb29cb59f576b1ff67\U\80000000.@ (Trojan.0Access) -> Keine Aktion durchgeführt.
C:\RECYCLER\S-1-5-18\$3626b7907f4037bb29cb59f576b1ff67\U\80000032.@ (Trojan.0Access) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{C0F67E67-23E6-4F80-9879-7BA08A069C14}\RP757\A0089660.ini (Trojan.0access) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{C0F67E67-23E6-4F80-9879-7BA08A069C14}\RP757\A0090197.exe (PUP.OfferBundler.ST) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{C0F67E67-23E6-4F80-9879-7BA08A069C14}\RP757\A0090198.exe (PUP.OfferBundler.ST) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{C0F67E67-23E6-4F80-9879-7BA08A069C14}\RP758\A0091266.ini (Trojan.0access) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{C0F67E67-23E6-4F80-9879-7BA08A069C14}\RP759\A0091307.ini (Trojan.0access) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{C0F67E67-23E6-4F80-9879-7BA08A069C14}\RP759\A0092335.ini (Trojan.0access) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{C0F67E67-23E6-4F80-9879-7BA08A069C14}\RP761\A0092378.ini (Trojan.0access) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{C0F67E67-23E6-4F80-9879-7BA08A069C14}\RP761\A0092397.ini (Trojan.0access) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{C0F67E67-23E6-4F80-9879-7BA08A069C14}\RP761\A0093397.ini (Trojan.0access) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{C0F67E67-23E6-4F80-9879-7BA08A069C14}\RP761\A0094397.ini (Trojan.0access) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{C0F67E67-23E6-4F80-9879-7BA08A069C14}\RP762\A0095448.ini (Trojan.0access) -> Keine Aktion durchgeführt.
C:\WINDOWS\assembly\GAC\Desktop.ini (Rootkit.0access) -> Keine Aktion durchgeführt.
C:\WINDOWS\system32\AcroIEHelpe217.dll (Trojan.Banker) -> Keine Aktion durchgeführt.
C:\WINDOWS\system32\AcroIEHelpe.txt (Malware.Trace) -> Keine Aktion durchgeführt.
C:\Programme\Mozilla Firefox\plugins\npmieze.dll (PUP.LoadTubes) -> Keine Aktion durchgeführt.

(Ende)

Hier ist nochmal der Log nach dem Löschen der Dateien:







Zitat:
Malwarebytes Anti-Malware 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.10.17.05

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
David :: PC [Administrator]

17.10.2012 12:13:08
mbam-log-2012-10-17 (12-13-08).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 330557
Laufzeit: 1 Stunde(n), 3 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 7
HKCR\CLSID\{C0F1636E-13A8-4C84-BB11-774BE45E1F83} (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\linkd.AIEbho.1 (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\linkd.AIEbho (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C0F1636E-13A8-4C84-BB11-774BE45E1F83} (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C0F1636E-13A8-4C84-BB11-774BE45E1F83} (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\prh (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\tst (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 3
HKCR\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\RECYCLER\S-1-5-18\$3626b7907f4037bb29cb59f576b1ff67\n.) Gut: (fastprox.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCR\CLSID\{FBEB8A05-BEEE-4442-804E-409D6C4515E9}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\RECYCLER\S-1-5-21-220523388-1614895754-839522115-1003\$3626b7907f4037bb29cb59f576b1ff67\n.) Gut: (shell32.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Hijack.UserInit) -> Bösartig: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\appConf32.exe,) Gut: (userinit.exe) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 1
C:\WINDOWS\system32\xmldm (Stolen.Data) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 20
C:\System Volume Information\_restore{C0F67E67-23E6-4F80-9879-7BA08A069C14}\RP757\A0090197.exe (PUP.OfferBundler.ST) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{C0F67E67-23E6-4F80-9879-7BA08A069C14}\RP757\A0090198.exe (PUP.OfferBundler.ST) -> Keine Aktion durchgeführt.
C:\Programme\Mozilla Firefox\plugins\npmieze.dll (PUP.LoadTubes) -> Keine Aktion durchgeführt.
C:\RECYCLER\S-1-5-18\$3626b7907f4037bb29cb59f576b1ff67\U\00000004.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\RECYCLER\S-1-5-18\$3626b7907f4037bb29cb59f576b1ff67\U\00000008.@ (Trojan.Dropper.BCMiner) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\RECYCLER\S-1-5-18\$3626b7907f4037bb29cb59f576b1ff67\U\000000cb.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\RECYCLER\S-1-5-18\$3626b7907f4037bb29cb59f576b1ff67\U\80000000.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\RECYCLER\S-1-5-18\$3626b7907f4037bb29cb59f576b1ff67\U\80000032.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{C0F67E67-23E6-4F80-9879-7BA08A069C14}\RP757\A0089660.ini (Trojan.0access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{C0F67E67-23E6-4F80-9879-7BA08A069C14}\RP758\A0091266.ini (Trojan.0access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{C0F67E67-23E6-4F80-9879-7BA08A069C14}\RP759\A0091307.ini (Trojan.0access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{C0F67E67-23E6-4F80-9879-7BA08A069C14}\RP759\A0092335.ini (Trojan.0access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{C0F67E67-23E6-4F80-9879-7BA08A069C14}\RP761\A0092378.ini (Trojan.0access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{C0F67E67-23E6-4F80-9879-7BA08A069C14}\RP761\A0092397.ini (Trojan.0access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{C0F67E67-23E6-4F80-9879-7BA08A069C14}\RP761\A0093397.ini (Trojan.0access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{C0F67E67-23E6-4F80-9879-7BA08A069C14}\RP761\A0094397.ini (Trojan.0access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{C0F67E67-23E6-4F80-9879-7BA08A069C14}\RP762\A0095448.ini (Trojan.0access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\assembly\GAC\Desktop.ini (Rootkit.0access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\system32\AcroIEHelpe217.dll (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\system32\AcroIEHelpe.txt (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Psychotic 17.10.2012 13:06
Machst du von dem Rechner aus online-Banking oder Internet-Zahlungsverkehr wie z.B. Paypal oder Einkäufe?

dave517 17.10.2012 15:39
Nein, mache ich normalerweise nicht.

Heißt das, dass es dann nichts zu befürchten gibt?

Antivir hat jetzt gerade wieder eine Warnung über einen Virus rausgegeben, d.h. er ist immer noch nicht ganz weg.

Psychotic 18.10.2012 06:46
Der kann noch gar nicht weg sein, weil wir noch gar nix dagegen unternommen haben.

Zitat:
C:\WINDOWS\system32\AcroIEHelpe217.dll
Ich frage, weil du einen Trojaner am System hast, der Daten zu finanziellen Transaktionen stiehlt und an seinen Herrn und Meister weiterleitet.

Außerdem ist das relativ bösartige ZeroAccess-Rootkit mit von der Partie. Eine Bereinigung ist möglich, könnte aber längere Zeit dauern und ich kann dir, wie gesagt, keine Garantie geben, dass wir alles finden.

Darum die Frage:

Bereinigung oder Neuinstallation?

Psychotic 22.10.2012 09:32
Hallo, benötigst Du noch weiterhin Hilfe ? Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten. Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist

Psychotic 24.10.2012 15:09
Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomm ich keine Benachrichtigung über neue Antworten.
PM an mich falls Du denoch weiter machen willst.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:51 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131