Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   bka trojaner (https://www.trojaner-board.de/99765-bka-trojaner.html)

onkel_joerg 30.05.2011 18:57
bka trojaner
 
wenn ich die Boardregeln richtig verstanden habe, soll ich einen neuen fred eröffnen. Gut
Nun zu meinem Problem.
Wie der Titel schon ahnen lässt, ein fall von BKA Trojaner
zwar nicht ich sondern meine liebe Nachbarin, so dass ich jetzt imme zwischen den wohnungen hin und her sausen muss.
OTLPE habe ich laufen lassen und die beiden Dateien erhalten.
Die müssten jetzt in eine FIX.TXT verarbeitet werden.
da weiss ich aber leider nicht, was ich da be/ver-arbeiten soll
Hiermit bitte ich um Hilfe

Vielen Dank im voraus
Onkel Jörg

markusg 30.05.2011 19:13
hi

na los gehts.
auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort rein:

Code:
:OTL
O20 - HKU\sidny_ON_D Winlogon: Shell - (C:\Users\sidny\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\NWK502F5\calc[1].exe) - D:\Users\sidny\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\NWK502F5\calc[1].exe (trwp)
:Files
D:\Users\sidny\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\NWK502F5\calc[1].exe
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]
dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits in meinem post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.

öffne computer , öffne D: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
http://www.trojaner-board.de/54791-a...ner-board.html

onkel_joerg 30.05.2011 19:19
Das ging ja schnell.
Hast Du das von Hand analysiert, oder gibt es dafür ne Automation?

melde mich wieder, sobald alles ausgeführt.

LG Onkel Jörg

markusg 30.05.2011 19:28
von hand. wir sorgen erst mal dafür das der pc richtig startet und dann mache ich weitere analysen.

onkel_joerg 30.05.2011 19:44
Moved Files.zip ist hochgeladen.
welche nachträglichen Scans empfiehlst Du noch?

LG Onkel Jörg

markusg 30.05.2011 19:50
danke für den upload
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

onkel_joerg 30.05.2011 20:22
So, Combofix ist fertig und hat den Computer neu gestartet. da war dann aber Antivir wieder aktiv und meckerte:
"In der Datei c:\COMBOFIX\handle.cfxxe wurde ein Virus ...bla bla
TR/Crypt.XPACK.Gen..."

markusg 30.05.2011 20:31
poste das combofix log bitte. und mit bla bla fangen wir nicht an, sind ja nicht im kindergarten, bitte die richtigen fundmeldungen, sonst bringt mir das nichts.
:-)

onkel_joerg 30.05.2011 20:44
Entschuldige bitte, aber das bla bla bezog sich auf die Standardmeldung von Avira.
Ich hatte nicht mehr alles im Kopf und dachte, die notwendigen Informationen wären enthalten

hier der Ausschnitt aus dem Log von Avira:
Zitat:
Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\32788R22FWJFW\handle.cfxxe'
C:\32788R22FWJFW\handle.cfxxe
[0] Archivtyp: RSRC
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
--> Object
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ab3499f.qua' verschoben!


Ende des Suchlaufs: Montag, 30. Mai 2011 20:56
Benötigte Zeit: 00:13 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
66 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
65 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise


Die Suchergebnisse werden an den Guard übermittelt.

Das Log von Combofix hänge ich hier noch mal ran
Ich hoffe, jetzt ist alles so, wie es sein soll

LG Onkel Jörg

onkel_joerg 30.05.2011 20:56
So, der alte Mann muss jetzt in seinen Sarg.
Morgen früh um 02.45 Uhr ist die Nacht zuende
Dankeschön erstmal für die schnelle und kompetente Hilfe

LG Onkel Jörg

markusg 31.05.2011 10:09
download malwarebytes:
Malwarebytes : Malwarebytes Anti-Malware is a free download that removes viruses and malware from your computer
instalieren, öffnen, registerkarte aktualisierung, programm updaten.
schalte alle laufenden programme ab, trenne die internetverbindung.
registerkarte scanner, komplett scan, funde entfernen, log posten.

onkel_joerg 07.06.2011 12:21
nach langer Pause melde ich mich wieder.
meine Nachbarin ist zurück aus dem Urlaub
hier das log.
Bitte entschuldige die Verspätung

LG Onkel Jörg

markusg 07.06.2011 12:24
is ja schon n bissel älter kannst du nach update von malwarebytes nen frisches log erstellen? vollständiger scan

onkel_joerg 07.06.2011 12:26
klar, vorhin grad ein scan gemacht

markusg 07.06.2011 13:54
noch probleme mit dem pc?

onkel_joerg 07.06.2011 13:58
der Computer läuft völlig unauffällig.
Avira ist auch zufrieden.
Am Tag der Infektion war Avira 6 Tage out of update, frag mich nicht, warum.
befällt der kleine Mistkerl eigentllich auch Bootsektoren und/oder Partitionstabellen öder ähnliches?

markusg 07.06.2011 15:08
nein, tut er nicht :-)
avira
http://www.trojaner-board.de/54192-a...tellungen.html
avira 10 so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm.
bitte auch unter verwaltung, planer, scan auftrag, darauf achten, das dieser über lokale laufwerke läuft! sonst werden die einstellungen nicht gültig.
den update auftrag auf 1x pro tag einstellen.
und "nachhohlen falls zeit überschritten" auswählen
klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten.



wenn du avira so konfigurierst gibts jeden tag updates.

onkel_joerg 07.06.2011 15:37
Danke für die kompetente Hilfe:dankeschoen:

markusg 07.06.2011 16:00
das avira log mit den einstellungen bitte nicht vergessen zu posten


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:19 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131