Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Nach Trojaner Daten beschädigt? (https://www.trojaner-board.de/116163-trojaner-daten-beschaedigt.html)

xxsynteckxx 01.06.2012 12:48
Nach Trojaner Daten beschädigt?
 
Liste der Anhänge anzeigen (Anzahl: 2)
Hallo an alle, :kaffee:

ich selber hab jetzt an dem Problem 2 Tage gesucht und leider nichts gefunden daher meld ich mich bei euch.

Folgendes:
Meine Mutter hatte letzte Woche einen Trojaner via E-mail geöffnet und hat sich daher infiziert. Nach verstärkten Behandlungen ist dieser nun vollständige entfernt. Doch leider sind nun ein ganzer Ordner verändert.

Zuvor hat dieser Trojaner das Email Konter rausgelöscht und Thunderbird beschädigt. Nun zu meinem Problem.

Habe hier verschiedene Ordner mit verschiedenen Datenendungen gehabt z.b.
*.jpg, *.doc, *.tif, *.pdf
Eine Datei hieß Hochzeit.jpg und nun heißt sie "lydpEJejraLQGqgfENdXE" ohne Endung.
Ich habe keine Ahnung wie ich diese Daten wieder herstellen kann, da die Endung dazu schreiben nichts bringt (außer bei MP3 Daten). Hier sind folgende Bilder zum leichteren Verständnis. (siehe Anhang)

Wie soll ich weiter vorgehen?

MFG

xxsynteckxx

markusg 01.06.2012 13:29
hi,
habt ihr die malware entfernt, wenn ja womit? logs posten.
für die zukunft, wenn wieder solche mails rein kommen:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
markusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

xxsynteckxx 02.06.2012 17:05
Vielen Dank für die schnelle Antwort. Werde dir die Mail raussuchen (hoffentlich find ich sie) und deinen Anweisungen folgen. Das wird aber 1 - 2 Tage dauern, da ich wieder bei mir daheim bin und erst um Audienz meiner Mutter bitten muss. :D
Was ich dir aber sagen kann es war einer deutsche Email mit der Mahnung von Ebay, dass ein Betrag von über 700 Euro noch offen steht, und im Anhang die Rechnung zu finden sei.

Da der Rechner nicht mal mehr im abgesicherten Modus richtig funktioniert hat, und Norton 360 ebenso den Trojaner nicht entfernen konnte, habe ich die Initiative ergriffen und Combofix benutzt. Meine Mutter ist bei 1und1 und ruft die Daten mithilfe von Thunderbird ab. Ich habe den Anhang auf Virustotal bereits hochgeladen und wurde sofort erkannt. Aber genaueres wird noch folgen.

Ich werde dich auf dem laufenden halten!

markusg 05.06.2012 17:26
hi
wo ist das combofix log, dieses programm niemals selbst ausführen das kann dem pc schaden

xxsynteckxx 07.06.2012 14:37
Ich werde es dir heute noch zukommen lassen. Aber wenn nicht ich, wer soll es dann ausführen? Ich hatte eigentlich schon fast alle Probleme mit Rechner und kann mir in der Regel immer selbst helfen ohne auf Hilfe anderer zurückgreifen zu müssen.

Aber dieses Problem, dass Daten in nur einem Ordner unbenannt werden und nicht mehr aufmachbar sind ist mir komplett neu. Wie schon gesagt, selbst wenn ich die Endung dahinter (*.jpg; *.tif; *.doc; *.pdf) schreibe, geht nichts.

Hier das Logfile

Combofix Logfile:
Code:
ComboFix 12-05-26.02 - Andrea 26.05.2012  19:08:28.2.4 - x86
Microsoft Windows 7 Ultimate  6.1.7601.1.1252.49.1033.18.2047.1075 [GMT 2:00]
ausgeführt von:: c:\users\Andrea\Desktop\Ripper\ComboFix.exe
AV: Norton 360 *Disabled/Updated* {63DF5164-9100-186D-2187-8DC619EFD8BF}
FW: Norton 360 *Disabled* {5BE4D041-DB6F-1935-0AD8-24F3E73C9FC4}
SP: Norton 360 *Enabled/Updated* {D8BEB080-B73A-17E3-1B37-B6B462689202}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((  Dateien erstellt von 2012-04-26 bis 2012-05-26  ))))))))))))))))))))))))))))))
.
.
2012-05-26 17:14 . 2012-05-26 17:14        --------        d-----w-        c:\users\Public\AppData\Local\temp
2012-05-26 17:14 . 2012-05-26 17:14        --------        d-----w-        c:\users\Default\AppData\Local\temp
2012-05-26 16:56 . 2012-05-26 16:56        --------        d-----w-        C:\found.000
2012-05-11 07:39 . 2012-03-30 10:23        1291632        ----a-w-        c:\windows\system32\drivers\tcpip.sys
2012-05-11 07:39 . 2012-03-31 04:30        1221632        ----a-w-        c:\program files\Windows Journal\NBDoc.DLL
2012-05-11 07:39 . 2012-03-31 04:29        936960        ----a-w-        c:\program files\Common Files\Microsoft Shared\ink\journal.dll
2012-05-11 07:39 . 2012-03-31 04:29        989184        ----a-w-        c:\program files\Windows Journal\JNTFiltr.dll
2012-05-11 07:39 . 2012-03-31 04:29        969216        ----a-w-        c:\program files\Windows Journal\JNWDRV.dll
2012-05-11 07:39 . 2012-03-31 04:39        3968368        ----a-w-        c:\windows\system32\ntkrnlpa.exe
2012-05-11 07:39 . 2012-03-31 04:39        3913072        ----a-w-        c:\windows\system32\ntoskrnl.exe
2012-05-11 07:39 . 2012-03-31 02:36        2343424        ----a-w-        c:\windows\system32\win32k.sys
2012-05-11 07:38 . 2012-03-17 07:27        56176        ----a-w-        c:\windows\system32\drivers\partmgr.sys
2012-05-11 07:38 . 2012-03-03 05:31        1077248        ----a-w-        c:\windows\system32\DWrite.dll
2012-04-28 17:35 . 2012-04-28 17:35        --------        d-----w-        c:\program files\Mozilla Maintenance Service
2012-04-28 17:35 . 2012-04-28 17:35        157352        ----a-w-        c:\program files\Mozilla Firefox\maintenanceservice_installer.exe
2012-04-28 17:35 . 2012-04-28 17:35        129976        ----a-w-        c:\program files\Mozilla Firefox\maintenanceservice.exe
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-03-01 05:46 . 2012-04-12 12:28        19824        ----a-w-        c:\windows\system32\drivers\fs_rec.sys
2012-03-01 05:37 . 2012-04-12 12:28        172544        ----a-w-        c:\windows\system32\wintrust.dll
2012-03-01 05:33 . 2012-04-12 12:28        159232        ----a-w-        c:\windows\system32\imagehlp.dll
2012-03-01 05:29 . 2012-04-12 12:28        5120        ----a-w-        c:\windows\system32\wmi.dll
2012-02-28 01:18 . 2012-04-12 12:42        1799168        ----a-w-        c:\windows\system32\jscript9.dll
2012-02-28 01:11 . 2012-04-12 12:42        1427456        ----a-w-        c:\windows\system32\inetcpl.cpl
2012-02-28 01:11 . 2012-04-12 12:42        1127424        ----a-w-        c:\windows\system32\wininet.dll
2012-02-28 01:03 . 2012-04-12 12:42        2382848        ----a-w-        c:\windows\system32\mshtml.tlb
2012-04-28 17:35 . 2011-08-19 10:44        97208        ----a-w-        c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RESTART_STICKY_NOTES"="c:\windows\System32\StikyNot.exe" [2009-07-14 354304]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IntelliPoint"="c:\program files\Microsoft IntelliPoint\ipoint.exe" [2011-01-07 1797488]
"Acrobat Assistant 7.0"="c:\program files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2005-03-03 483328]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2009-11-02 2508104]
"CanonSolutionMenu"="c:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2007-10-26 652624]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696]
"AdobeAAMUpdater-1.0"="c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2011-03-15 499608]
"SwitchBoard"="c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe" [2010-02-19 517096]
"AdobeCS5.5ServiceManager"="c:\program files\Common Files\Adobe\CS5.5ServiceManager\CS5.5ServiceManager.exe" [2011-01-12 1523360]
.
c:\users\Andrea\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Adobe Gamma.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]
OpenOffice.org 3.3.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\rootrepeal.sys]
@=""
.
[HKLM\~\startupfolder\C:^Users^Andrea^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Adobe Gamma.lnk]
path=c:\users\Andrea\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Gamma.lnk
backup=c:\windows\pss\Adobe Gamma.lnk.Startup
backupExtension=.Startup
.
[HKLM\~\startupfolder\C:^Users^Andrea^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 3.3.lnk]
path=c:\users\Andrea\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.3.lnk
backup=c:\windows\pss\OpenOffice.org 3.3.lnk.Startup
backupExtension=.Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2011-06-06 10:55        937920        ----a-w-        c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeUpdater]
2007-04-04 12:41        970752        ----a-w-        c:\program files\Common Files\Adobe\Updater\AdobeUpdater.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2011-03-21 18:56        1230704        ----a-w-        c:\program files\DivX\DivX Update\DivXUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Philips Device Listener]
2010-05-27 15:52        375296        ----a-w-        c:\program files\Philips\Philips Songbird Resources\Autolauncher\PhilipsDeviceListener.exe
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R3 03186909;03186909; [x]
R3 ASPI;Advanced SCSI Programming Interface Driver;c:\windows\System32\DRIVERS\ASPI32.sys [2002-07-17 84832]
R3 BITCOMET_HELPER_SERVICE;BitComet Disk Boost Service;c:\program files\BitComet\tools\BitCometService.exe [2010-12-28 1296728]
R3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files\Mozilla Maintenance Service\maintenanceservice.exe [2012-04-28 129976]
R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4640000]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [2010-11-20 15872]
R3 rkhdrv40;Rootkit Unhooker Driver; [x]
R3 SwitchBoard;SwitchBoard;c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [2010-02-19 517096]
R3 Synth3dVsc;Synth3dVsc;c:\windows\system32\drivers\synth3dvsc.sys [x]
R3 TsUsbFlt;TsUsbFlt; [x]
S0 SymDS;Symantec Data Store;c:\windows\system32\drivers\N360\0404000.00C\SYMDS.SYS [2010-02-04 328752]
S0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\drivers\N360\0404000.00C\SYMEFA.SYS [2011-08-22 173176]
S1 BHDrvx86;BHDrvx86;c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_4.1.0.32\Definitions\BASHDefs\20120517.001\BHDrvx86.sys [2012-04-02 821880]
S1 ccHP;Symantec Hash Provider;c:\windows\system32\drivers\N360\0404000.00C\ccHPx86.sys [2011-08-04 485512]
S1 IDSVix86;IDSVix86;c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_4.1.0.32\Definitions\IPSDefs\20120525.001\IDSvix86.sys [2012-04-28 368248]
S1 SymIRON;Symantec Iron Driver;c:\windows\system32\drivers\N360\0404000.00C\Ironx86.SYS [2010-04-29 116784]
S1 SYMTDIv;Symantec Vista Network Dispatch Driver;c:\windows\System32\Drivers\N360\0404000.00C\SYMTDIV.SYS [2011-08-22 340088]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [2011-06-06 64952]
S2 N360;Norton 360;c:\program files\Norton 360\Engine\4.4.0.12\ccSvcHst.exe [2011-08-04 126400]
S3 AVMCOWAN;AVM ISDN CoNDIS WAN CAPI Driver;c:\windows\system32\DRIVERS\AVMCOWAN.sys [2009-07-13 64000]
S3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [2012-02-04 106104]
S3 FPCIBASE;AVM FRITZ!Card PCI;c:\windows\system32\DRIVERS\fpcibase.sys [2009-07-13 559104]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2011-01-21 328808]
.
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
IE: An OneNote s&enden - c:\progra~1\MICROS~3\Office14\ONBttnIE.dll/105
IE: Nach Microsoft E&xcel exportieren - c:\progra~1\MICROS~3\Office14\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\users\Andrea\AppData\Roaming\Mozilla\Firefox\Profiles\m1wk3tdc.default\
.
.
------- Dateityp-Verknüpfung -------
.
.bat=REG_SZ       
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
MSConfigStartUp-A0650E44 - c:\users\Andrea\AppData\Roaming\Fpltkrdr\1D1A20C7A0650E441D54.exe
.
.
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\N360]
"ImagePath"="\"c:\program files\Norton 360\Engine\4.4.0.12\ccSvcHst.exe\" /s \"N360\" /m \"c:\program files\Norton 360\Engine\4.4.0.12\diMaster.dll\" /prefetch:1"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\*PNP321c\0000]
@DACL=(02 0000)
"Service"="1302298748"
"ClassGUID"="{4D36E97D-E325-11CE-BFC1-08002BE10318}"
"Class"="System"
"DeviceDesc"="PCI bus"
"Mfg"="Technologies Inc"
"LocationInformation"="on Microsoft ACPI-Compliant System"
"ConfigFlags"=dword:00000000
"Capabilities"=dword:00000000
"ContainerID"="{00000000-0000-0000-FFFF-FFFFFFFFFFFF}"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'Explorer.exe'(3236)
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2012-05-26  19:16:36
ComboFix-quarantined-files.txt  2012-05-26 17:16
ComboFix2.txt  2011-06-28 18:01
.
Vor Suchlauf: 18 Verzeichnis(se), 350.597.304.320 Bytes frei
Nach Suchlauf: 22 Verzeichnis(se), 350.428.807.168 Bytes frei
.
- - End Of File - - AA38B07B655B5DD8278BA7CFCFA6027C
--- --- ---

xxsynteckxx 09.06.2012 13:39
Kann mir wirklich keiner helfen mit meinem Problem? :killpc:


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:36 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27