Trojaner-Board - Trojaner in den eigenen Dateien (motgymemixsa.exe)

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojaner in den eigenen Dateien (motgymemixsa.exe) (https://www.trojaner-board.de/123659-trojaner-eigenen-dateien-motgymemixsa-exe.html)

cry_baby

07.09.2012 11:09

Trojaner in den eigenen Dateien (motgymemixsa.exe)

Hallo,

ich habe es geschafft, mir einen Trojaner (schätze ich zumindest) einzufangen.

Er befindet sich in meinem Benutzer in den eigenen Dateien in keinem Unterordner und nennt sich motgymemixsa.exe. Im Internet finde ich leider nichts dazu, außer 2 ausländische Seiten.

Ich habe verschiedene Virenscanner laufen lassen, keiner hat ihn erkannt. Antivir, Spybot Search & Destroy, Trojan Remover und Spyware Fighter.

Wenn ich mit einer Software versuche, den Prozess zu beenden, bekomme ich Bluescreen und der Rechner startet neu.

Kann mir irgend jemand helfen?

markusg

07.09.2012 11:24

hi
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die
OTL.exe
.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg
Textbox.

Code:

activex

netsvcs

msconfig

%SYSTEMDRIVE%\*.

%PROGRAMFILES%\*.exe

%LOCALAPPDATA%\*.exe

%systemroot%\*. /mp /s

C:\Windows\system32\*.tsp

/md5start

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

explorer.exe

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\system32\*.dll /lockedfiles

%USERPROFILE%\*.*

%USERPROFILE%\Local Settings\Temp\*.exe

%USERPROFILE%\Local Settings\Temp\*.dll

%USERPROFILE%\Application Data\*.exe

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Kopiere
nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

cry_baby

07.09.2012 12:07

Danke schon mal.

markusg

07.09.2012 12:14

hi

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

Code:

:OTL

O4 - HKCU..\Run: [motgymemixsa] C:\Users\Nadine\motgymemixsa.exe ()

MsConfig - StartUpReg: motgymemixsa - hkey= - key= - C:\Users\Nadine\motgymemixsa.exe ()

PRC - [2012.08.29 18:17:45 | 000,035,256 | ---- | M] () -- C:\Users\Nadine\motgymemixsa.exe

 :Files

C:\Users\Nadine\motgymemixsa.exe

:Commands

[purity]

[EMPTYFLASH] 

[emptytemp]

[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.

Öffne dein Systemlaufwerk ( meistens C: )
Suche nun
folgenden Ordner: _OTL und öffne diesen.
Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
Dies wird eine Movedfiles.zip Datei in _OTL erstellen
Lade diese bitte in unseren Uploadchannel
hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus :)

cry_baby

07.09.2012 16:05

Die Datei ist immer noch in den eigenen Dateien...

Code:

All processes killed

========== OTL ==========

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\motgymemixsa deleted successfully.

File C:\Users\Nadine\motgymemixsa.exe not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartUpReg\motgymemixsa\ deleted successfully.

Unable to kill active process motgymemixsa.exe!

========== COMMANDS ==========

 

[EMPTYFLASH]

 

User: admin

->Flash cache emptied: 41620 bytes

 

User: All Users

 

User: Default

->Flash cache emptied: 41620 bytes

 

User: Default User

->Flash cache emptied: 0 bytes

 

User: Nadine

->Flash cache emptied: 2834363 bytes

 

User: Public

 

Total Flash Files Cleaned = 3,00 mb

 

 

[EMPTYTEMP]

 

User: admin

->Temp folder emptied: 289391 bytes

->Temporary Internet Files folder emptied: 281308 bytes

->Flash cache emptied: 0 bytes

 

User: All Users

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: Nadine

->Temp folder emptied: 1718 bytes

->Temporary Internet Files folder emptied: 13575582 bytes

->Java cache emptied: 5511180 bytes

->FireFox cache emptied: 62062584 bytes

->Google Chrome cache emptied: 6686315 bytes

->Apple Safari cache emptied: 16384 bytes

->Opera cache emptied: 13572773 bytes

->Flash cache emptied: 0 bytes

 

User: Public

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 3814 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 3531584 bytes

RecycleBin emptied: 73383 bytes

 

Total Files Cleaned = 101,00 mb

 

 

OTL by OldTimer - Version 3.2.56.0 log created on 09072012_165007
 

Files\Folders moved on Reboot...

File\Folder C:\Windows\temp\hsperfdata_NADINE-PC$\308 not found!

C:\Windows\temp\ffbshn5v.vbt moved successfully.
 

PendingFileRenameOperations files...

File C:\Windows\temp\hsperfdata_NADINE-PC$\308 not found!

File C:\Windows\temp\ffbshn5v.vbt not found!
 

Registry entries deleted on Reboot...

Datei: MovedFiles.zip_1 empfangen

Vorgang erfolgreich abgeschlossen.

markusg

07.09.2012 16:44

poste mir noch mal ein neues otl log bitte

cry_baby

07.09.2012 21:31

Diesmal hat es mir keine Extras.txt erstellt...

cry_baby

08.09.2012 13:23

Datei: OTL.zip empfangen

Vorgang erfolgreich abgeschlossen.

Noch mal ich... Kann es sein, dass sich dieser dämliche Trojaner oder was auch immer das ist, über FlashFXP auf allen Webseiten verbreitet, die ich in meiner Verbindungsliste gespeichert habe? Das wär echt fatal... Bzw. ist es schon...

Ich bitte noch einmal um Hilfe... Meine Kunden stehen Kopf... Und ich kann nicht helfen, solange ich diesen dämlichen Trojaner drauf habe...

cry_baby

09.09.2012 18:11

Ich habe jetzt mal mein System "gesäubert" und nicht mehr benötigte Programme deinstalliert. Über Google bin ich auf Malwarebytes gestossen. Das Programm hat den Trojaner erkannt und ich konnte ihn erfolgreich entfernen.

Jetzt habe ich zur Sicherheit noch mal mit OTL ein Log erstellt, das lade ich hier hoch und würde mich freuen, wenn das noch mal jemand anschauen könnte. Nur ob jetzt wirklich alles in Ordnung ist.

Kann mir jemand sagen, was das jetzt genau war? Vielleicht auch wie das passiert sein kann? Und vor allem - hat das was mit meinen Kundenservern zu tun?

markusg

10.09.2012 11:27

wer hat was von malwarebytes geschrieben, dir ist schon klar, dass wir wochenende hatten?
wenn dir das nicht schnell genug geht, musst du eben in ein pc geschäft und dort für die geleistete arbeit zahlen.
wo ist vor allem das log?

cry_baby

10.09.2012 12:08

Niemand hat was davon geschrieben. Ich hab einfach gegoogelt. Ich musste was tun, ich hatte wirklich Probleme mit meinen Kunden. Und das Programm hat das Ding eben erkannt, obwohl ich damit nicht gerechnet hatte.

Klar weiß ich das ihr Wochenende hattet. Ich hab doch auch keinem einen Vorwurf gemacht? Ich bin froh das ich hier Hilfe bekomme! Bitte nicht falsch auffassen.

Die OTL.txt habe ich in meinem Beitrag eingefügt. Eine Extras.txt hat es mir schon beim zweiten Scan nicht mehr erstellt. Weiß nicht warum.

Hab ich jetzt was falsch gemacht?

markusg

10.09.2012 12:11

du sagst doch du hast malwarebytes genutzt wo ist der bericht

cry_baby

10.09.2012 12:45

Achso, sorry. Hier:

HTML-Code:

Malwarebytes Anti-Malware 1.62.0.1300

www.malwarebytes.org
 

Datenbank Version: v2012.09.09.03
 

Windows 7 Service Pack 1 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)

Internet Explorer 9.0.8112.16421

Nadine :: NADINE-PC [Administrator]
 

09.09.2012 16:11:10

mbam-log-2012-09-09 (16-11-10).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 481455

Laufzeit: 55 Minute(n), 10 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 1

HKCU\Software\Schmidt-Pro (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

Infizierte Registrierungswerte: 2

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|motgymemixsa (Trojan.Obfuscated) -> Daten: C:\Users\Nadine\motgymemixsa.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Regedit32 (Trojan.Agent) -> Daten: C:\Windows\system32\regedit.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 2

C:\Users\Nadine\motgymemixsa.exe (Trojan.Obfuscated) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Users\Nadine\AppData\Local\{1bc4c94b-384a-3f77-cc28-5f85a84cd1be}\n..vir (Trojan.Dropper.PE4) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

(Ende)

markusg

10.09.2012 14:06

hi
wenn du den pc für onlinebanking nutzt, lasse es aufgrund des zero access rootkits sperren.
da man dieses nicht mit 100 %iger sicherheit entfernen kann:

der pc muss neu aufgesetzt und dann abgesichert werden
1. Datenrettung:

deaktiviere Autorun: http://www.trojaner-board.de/83238-a...sschalten.html
dann sichere Daten auf nen externen datenträger: http://www.trojaner-board.de/82533-d...ted-magic.html
Bilder, Dokumente, Musik Videos (persönliches) http://www.trojaner-board.de/71715-k...iendungen.html

2. Formatieren, Windows neu instalieren:

nutzt du eine Windows CD: http://www.trojaner-board.de/51262-a...sicherung.html
recovery cd oder recovery partition.
falls dies ein fertig pc ist, nenne hersteller + typ.
Keine Windows 7 DVD? http://www.trojaner-board.de/100776-...-download.html

3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
ich werde außerdem noch weitere punkte dazu posten.
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.

cry_baby

11.09.2012 12:46

Ich bin wirklich begeistert wie einem hier geholfen wird. Meinen Rechner setze ich am Wochenende neu auf. Wird eh mal wieder Zeit. Danke!

markusg

11.09.2012 13:26

sorry, hätte gern bessere nachrichten gehabt, aber sieh es positiv, es ist nichts passiert, also von daher ist neu aufsetzen, das kleinere übel, und vor allem ist der pc danach sicherer.

Alle Zeitangaben in WEZ +1. Es ist jetzt 00:10 Uhr.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19