Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   BKA Trojaner - Win7 64bit (https://www.trojaner-board.de/121771-bka-trojaner-win7-64bit.html)

HerrKurt 10.08.2012 21:22
BKA Trojaner - Win7 64bit
 
Hallo,

erst mal Danke, dass es so hilfsbereite Leute, wie Euch gibt!

Habe mir leider einen BKA-Trojaner eingefangen

Der Trojaner zeigt selbigen Bildschirm wie bei Mara im Thread fotografiert http://www.trojaner-board.de/120701-...-bockiert.html

Finde den Bildschirm nicht auf bka-trojaner.de - kann das System noch im abgesicherten Modus starten

Rechner ist ein Lenovo Notebook ohne CD-Laufwerk

OTL (administrator unter abges. Modus vom Desktop) liefert folgenden Output (s. Anhang)

Vielen Dank für Hilfe und Ideen.

Kurt

markusg 10.08.2012 21:26
hi

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.



Code:
:OTL
O4 - HKCU..\Run: [TapiSysprep] C:\Users\mzb.GERMANY\AppData\Local\Microsoft\Windows\1763\TapiSysprep.exe ()
 :Files
C:\Users\mzb.GERMANY\AppData\Local\Microsoft\Windows\1763
:Commands
[Reboot]


• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!



Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.
  • Öffne dein Systemlaufwerk ( meistens C: )
  • Suche nun
    folgenden Ordner: _OTL und öffne diesen.
  • Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner

  • Dies wird eine Movedfiles.zip Datei in _OTL erstellen
  • Lade diese bitte in unseren Uploadchannel
    hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )
Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus :)
für eine weitere analyse benötige ich mal folgendes.
c:\Users\name\AppData\LocalLow\Sun\Java\Deployment\cache
dort rechtsklick auf den ordner cache, diesen mit winrar oder einem anderen programm packen, und im upload channel hochladen bitte
Trojaner-Board Upload Channel
wenn dies erledigt ist, bittemelden.

öffne malwarebytes, berichte, poste alle logs.

HerrKurt 10.08.2012 21:35
Hallo markusg - erst mal vielen DANK!

habe wieder hochfahren können (Normal-Modus) - allerdings kein Textfenster bekommen?

den _OTL folder habe ich gefunden - lade ich hoch

Danke für Info re Textfenster

Kurt

markusg 10.08.2012 22:22
hi der cache ordner fehlt noch, wobei bei name, dein nutzername einzusetzen ist

HerrKurt 10.08.2012 22:26
Hi,

ist hochgeladen.

Malwarebytes läuft noch - ist aber durch \windows durch und bisher keine infizierten Obj.

Danke

Kurt

markusg 10.08.2012 22:42
wer hatte was von malwarebytes geschrieben?
ich hatte lediglich gesagt, ich möchte alle bisher erstellten berichte sehen :-)
mache bitte das, was hier steht.
danke fürs hochladen, weiter hiermit:
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.
Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

HerrKurt 10.08.2012 23:27
Hi,

Combofix ist zunächst durchgelaufen dann reboot - chkdsk durchgelaufen - dann hochgefahren - dann blaues Fenster mit Info "Bereite Logdatei vor. Starte keine anderen Programme bevor Combofix fertig ist" und jetzt tut sich nichts mehr - das Logfile ist auch noch nicht unter C:\ zu finden?

Hast Du hierfür einen Tipp?

Danke!
Kurt

markusg 10.08.2012 23:29
hmm wie lange wartest du?
wenn es lange ist (über 1 stunde) brichs ab, starte neu, drücke f8 wähle abgesicherter modus mit netzwerk, melde dich in deinem nutzerkonto an und versuchs erneut

HerrKurt 10.08.2012 23:44
hmm, im abgesicherten kriege ich AVG nicht ausgeschaltet - ich versuch es noch mal normal

HerrKurt 11.08.2012 00:05
Hi,

jetzt lief combofix durch.

Siehe bitte Attachment für log.

Danke!

Kurt

HerrKurt 11.08.2012 00:46
So ein Mist,

jetzt ist der Trojaner-Screen schon wieder aufgepoppt - wieder keine Chance auch nicht über Task Mgr. Habe jetzt wieder abgesichert OTL laufen lassen.:headbang:

neue Logs anbei.

Vielen Dank!

HerrKurt 11.08.2012 08:12
Heute morgen konnte ich wieder im normal modus starten - ohne Bildschirmsperre.

Habe jetzt Malware-Antibytes und adwcleaner durchlaufen lassen.

Beide finden nichts

Code:
Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.10.09

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
mzb :: NOTEBOOKSMALLMZ [Administrator]

11.08.2012 07:13:11
mbam-log-2012-08-11 (07-13-11).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|R:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 455547
Laufzeit: 1 Stunde(n), 23 Minute(n), 20 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
Code:
# AdwCleaner v1.703 - Logfile created 08/11/2012 at 08:37:49
# Updated 20/07/2012 by Xplode
# Operating system : Windows 7 Professional Service Pack 1 (64 bits)
# User : mzb - NOTEBOOKSMALLMZ
# Running from : C:\Users\mzb.GERMANY\Desktop\adwCleaner1703.exe
# Option [Search]


***** [Services] *****


***** [Files / Folders] *****


***** [Registry] *****


***** [Registre - GUID] *****


***** [Internet Browsers] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Registry is clean.

-\\ Mozilla Firefox v14.0.1 (de)

*************************

AdwCleaner[R1].txt - [593 octets] - [11/08/2012 08:37:49]

########## EOF - C:\AdwCleaner[R1].txt - [720 octets] ##########
Habe danach mit CCleaner noch etwas aufgeräumt.

Was könnte ich jetzt noch tun?

Danke für Tipps!

Kurt

HerrKurt 11.08.2012 08:41
So - und hier noch mal ein aktueller OTL-Run nach den obigen Aktivitäten aus dem letzten Post

Danke für's draufschauen.

Kurt

HerrKurt 11.08.2012 11:48
Update:

Jetzt habe ich noch ESET laufen lassen - der hat dann 12 Bedrohungen identifiziert und gelöscht

Der erste war wohl der Hauptübeltäter?

Bin ich damit halbwegs sauber?

Kurt

Code:
C:\Users\mzb.GERMANY\AppData\Local\Microsoft\Windows\1763\TapiSysprep.exe        probably a variant of Win32/Kryptik.AJYJ trojan        cleaned by deleting - quarantined
C:\Users\mzb.GERMANY\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\12\e94ed8c-243327c9        Java/Exploit.Agent.NBG trojan        deleted - quarantined
C:\Users\mzb.GERMANY\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\14\45581f8e-698b23f2        a variant of Java/Exploit.CVE-2011-3544.AW trojan        deleted - quarantined
C:\Users\mzb.GERMANY\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\15\679fe84f-5c8c5d38        Java/Exploit.Agent.NAU trojan        deleted - quarantined
C:\Users\mzb.GERMANY\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\36\189106e4-4e9aa11b        multiple threats        deleted - quarantined
C:\Users\mzb.GERMANY\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\39\376cbea7-36437151        a variant of Java/Exploit.CVE-2011-3544.AW trojan        deleted - quarantined
C:\Users\mzb.GERMANY\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\41\487d3a9-5f6e2c6b        Java/Exploit.Agent.NBG trojan        deleted - quarantined
C:\Users\mzb.GERMANY\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\44\472dd92c-129934ad        multiple threats        deleted - quarantined
C:\Users\mzb.GERMANY\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\5\74fd3f05-330d834c        Java/Exploit.Agent.NBG trojan        deleted - quarantined
C:\Users\mzb.GERMANY\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\54\2e97cb76-5f9315f4        Java/Exploit.Agent.NAU trojan        deleted - quarantined
C:\Users\mzb.GERMANY\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\59\29bb91fb-217e35ee        multiple threats        deleted - quarantined
C:\Users\mzb.GERMANY\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\15df03c9-4265f644        Java/Exploit.CVE-2011-3544.BA trojan        deleted - quarantined


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:47 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19