Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Backdoor.Andromeda-t-mobile mms (https://www.trojaner-board.de/131005-backdoor-andromeda-t-mobile-mms.html)

golomb 13.02.2013 15:41
Backdoor.Andromeda-t-mobile mms
 
Hallo,
habe gestern den mail-anhang - zip datei / inhalt: SDGD90 foto.jpeg.exe - geöffnet und bekam von meinem virenscanner eine alarmmeldung und mein system wurde automatisch gescannt und die exe-datei wurde in den viren-container verschoben.
Da ich mir nicht sicher bin, ob mein system noch befallen ist, hab ich malwarebytes und otl runtergeladen und meinen rechner scannen lassen.
Anbei die 3 logfiles mit der bitte um hilfe.

Danke

cosinus 14.02.2013 12:34
Hallo und :hallo:

Zitat:
Professional Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{AF9AF923-25E8-41FA-95BE-B99D36436C10}: NameServer = 10.154.93.64
Warum bitte eine Professional Edition für Windows? Wer braucht das als Heimanwender?
Ist das rein zufällig ein Büro-/Firmen-PC? Oder ein Uni-Rechner?



Bevor wir uns an die weitere Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.
  • Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.

  • Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.

  • Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!

  • Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!

  • Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.

Bitte nun Logs mit GMER (<<< klick für Anleitung) und MBAR (Anleitung etwas weiter unten) erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim zweiten Mal nicht will, lass es einfach weg und führ nur MBAR aus.

Anleitung MBAR:

Downloade dir bitte Malwarebytes Anti-Rootkit Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
  • Starte bitte die mbar.exe.
  • Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
  • Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
  • Klicke auf den CleanUp Button und erlaube den Neustart.
  • Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
  • Nach dem Neustart starte die mbar.exe erneut.
  • Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.
Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

golomb 14.02.2013 14:23
hallo cosinus,

habe deine nachricht dankend erhalten und nur mit mbar einen scan durchgeführt.

log habe ich beigefügt.

danke für die mühen, ich hoffe, dass jetzt alles wieder ok ist.

cosinus 14.02.2013 14:31
Kannst du bitte meinen Beitrag komplett lesen? Ich hatte ziemlich am Anfang eine Frage gestellt.

Und die Logs postest du bitte alle in CODE-Tags!

Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
  • Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
  • Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
  • Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
  • Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.
http://www.trojaner-board.de/picture...&pictureid=307

golomb 14.02.2013 14:59
ich bin freiberufler und darf in einer bürogemeinschaft einen platz mit rechner nutzen. der rechner gehört aber mir und das betriebssystem hat mir ein freund empfohlen und installiert
(hatte vorher vista drauf)

Code:
Malwarebytes Anti-Rootkit BETA 1.01.0.1020
www.malwarebytes.org

Database version: v2013.02.14.04

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
***** :: C1-ELE-PC [administrator]

14.02.2013 14:07:40
mbar-log-2013-02-14 (14-07-40).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled:
Objects scanned: 27258
Time elapsed: 8 minute(s), 8 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)

cosinus 14.02.2013 15:37
Zitat:
ich bin freiberufler und darf in einer bürogemeinschaft einen platz mit rechner nutzen. der rechner gehört aber mir und das betriebssystem hat mir ein freund empfohlen und installiert
(hatte vorher vista drauf)
Dann muss ich trotzdem mal diesen Hinweis posten:

Firmenrechner werden hier eigentlich nicht bereinigt

Siehe => http://www.trojaner-board.de/108422-...-anfragen.html

Zitat:
3. Grundsätzlich bereinigen wir keine gewerblich genutzten Rechner. Dafür ist die IT Abteilung eurer Firma zuständig.

Bei Kleinunternehmen, welche keinen IT Support haben, machen wir da eine Ausnahme und helfen gerne ( kleine Spende hilft auch uns ).
Voraussetzung: Ihr teilt uns dies in eurer ersten Antwort mit.

Bedenkt jedoch, dass Logfiles viele heikle Informationen enthalten können ( Kundendaten, Bankdaten, etc ) sowie das Malware die Möglichkeit besitzt, diese auszuspähen und zu missbrauchen. Hier legen wir euch ein Formatieren und Neuaufsetzen nahe.
Gelesen und verstanden?

golomb 14.02.2013 15:52
hab ich gelesen und verstanden.
ich bin ein kleinstunternehmen (habe da nicht wirklich drüber nachgedacht) ohne eigene IT-abteilung und bitte um hilfe.

cosinus 14.02.2013 16:06
aswMBR

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe - (aswMBR.exe Anleitung)
    Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
    Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS-Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).




TDSS-Killer

Downloade dir bitte TDSSKiller TDSSKiller.exe und speichere diese Datei auf dem Desktop
  • Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
  • Drücke Start Scan
  • Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
    TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
    Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt
Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

golomb 14.02.2013 17:01
der scan mit dem aswmbr klappt nicht bzw. wird nicht komplett ausgeführt.
es erscheint die meldung "avast rootkit funktioniert nicht mehr, es wird nach einer lösung gesucht" - button abbrechen und das dos-fenster ist weg (avast war gestoppt)

cosinus 14.02.2013 17:11
Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.

golomb 14.02.2013 17:58
hier der 1.log
Code:
aswMBR version 0.9.9.1707 Copyright(c) 2011 AVAST Software
Run date: 2013-02-14 17:32:10
-----------------------------
17:32:10.932    OS Version: Windows 6.1.7601 Service Pack 1
17:32:10.932    Number of processors: 4 586 0xF0B
17:32:10.932    ComputerName: C1-ELE-PC  UserName: *****
17:32:11.696    Initialize success
17:32:11.821    AVAST engine defs: 13021400
17:32:37.077    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0
17:32:37.077    Disk 0 Vendor: WDC_WD5000AAKS-75YGA0 12.01C02 Size: 476940MB BusType: 3
17:32:37.108    Disk 0 MBR read successfully
17:32:37.108    Disk 0 MBR scan
17:32:37.124    Disk 0 Windows 7 default MBR code
17:32:37.124    Disk 0 Partition 1 00    DE Dell Utility Dell 8.0      54 MB offset 63
17:32:37.140    Disk 0 Partition 2 80 (A) 07    HPFS/NTFS NTFS          100 MB offset 112640
17:32:37.155    Disk 0 Partition 3 00    07    HPFS/NTFS NTFS      400000 MB offset 317440
17:32:37.186    Disk 0 Partition 4 00    07    HPFS/NTFS NTFS        76784 MB offset 819517440
17:32:37.186    Disk 0 scanning sectors +976771072
17:32:37.249    Disk 0 scanning C:\Windows\system32\drivers
17:32:47.794    Service scanning
17:33:07.248    Modules scanning
17:33:19.135    Disk 0 trace - called modules:
17:33:19.182    ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys halmacpi.dll ataport.SYS pciide.sys PCIIDEX.SYS atapi.sys
17:33:19.182    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x857d12b0]
17:33:19.197    3 CLASSPNP.SYS[8b60459e] -> nt!IofCallDriver -> [0x860eb3f8]
17:33:19.197    5 ACPI.sys[8b2ab3d4] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-0[0x857e1908]
17:33:19.197    Scan finished successfully
17:36:37.318    Disk 0 MBR has been saved successfully to "D:\Users\*****\Desktop\MBR.dat"
17:36:37.349    The log file has been saved successfully to "D:\Users\*****\Desktop\aswMBR.txt"
TDSS log ist zu groß - wie funktioniert das mit dem archiv?

Der Text, den Sie eingegeben haben, besteht aus 134147 Zeichen und ist damit zu lang. Bitte kürzen Sie den Text auf die maximale Länge von 120000 Zeichen.

Logs bitte als Archiv an den Beitrag anhängen!

cosinus 15.02.2013 00:27
Log zippen und anhängen, siehe http://www.trojaner-board.de/69886-a...tml#post566999

golomb 15.02.2013 12:58
... hier der zip-log:dankeschoen:

cosinus 15.02.2013 13:23
Ist unauffällig. Scheint so als hättest du ziemliches Glück gehabt, weil dein Virenscanner die Datei schon kannte. Sehr oft kommt es aber vor, dass ein Virenscanner den neuen Schädling eben noch nicht kennt


adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen

Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).


Danach eine Kontrolle mit OTL bitte:
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Setze oben mittig den Haken bei Scanne alle Benutzer
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles in CODE-Tags hier in den Thread.

golomb 15.02.2013 15:59
... die adwcleaner-log auch in CODE-Tags senden ?


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:17 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131