|
Win32/Trustezeb.C - Verschlüsselungstrojaner 2.0 - seit Mai 2012 - windows 7 Leider habe ich schon zuvor einen Malwarescan gemacht und versucht die infizierten Dateien zu löschen ! Während ich den Scan wiederholte öffnete sich eine Sicherheitswarnung einer Software - Name: ...\AppData\Roamin\Bifrost\server.exe als ich das Fenster schließen wollte wurde der Desktop erneut schwar und der Trojaner aktiv. Nun habe ich im abgesicherten Modus eine Systemwiederherstellung gemacht um das ganze zu wiederholen, denn seltsamerweise kann ich nur so auf das normale Administratorkonto zugreifen. Schließe ich die Meldung über die erfolgreiche systemwiederherstellung wird der PC ebenfalls durch den Trojaner blockiert. Der rechner befindet sich nun in genau diesem Zustand und der malwarecsan ist mal wieder abgeschlossen mit dem gleichen Ergebnis wie schon zuvor. hier mal die Logdatei: Malwarebytes Anti-Malware (Test) 1.65.0.1400 www.malwarebytes.org Datenbank Version: v2012.09.16.12 Windows 7 x86 NTFS Internet Explorer 8.0.7600.16385 JohnGotti :: JOHNGOTTI888 [Administrator] Schutz: Deaktiviert 16.09.2012 23:31:39 mbam-log-2012-09-16 (23-58-33).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 221918 Laufzeit: 9 Minute(n), 42 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 3 HKCR\CLSID\{C689C99E-3A8C-4c87-A79C-C80DC9C81632} (Trojan.Banker) -> Keine Aktion durchgeführt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C689C99E-3A8C-4C87-A79C-C80DC9C81632} (Trojan.Banker) -> Keine Aktion durchgeführt. HKCU\SOFTWARE\Bifrost (Bifrose.Trace) -> Keine Aktion durchgeführt. Infizierte Registrierungswerte: 2 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{9D71D88C-C598-4935-C5D1-43AA4DB90836} (Trojan.Agent) -> Daten: -> Keine Aktion durchgeführt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{9D71D88C-C598-4935-C5D1-43AA4DB90836} (Trojan.Agent) -> Daten: C:\Users\JohnGotti\AppData\Roaming\Bifrost\server.exe -> Keine Aktion durchgeführt. Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 1 C:\Users\JohnGotti\AppData\Roaming\Bifrost (Backdoor.Bifrose) -> Keine Aktion durchgeführt. Infizierte Dateien: 1 C:\Users\JohnGotti\AppData\Roaming\Bifrost\server.exe (Trojan.Agent) -> Keine Aktion durchgeführt. (Ende) Zusätzliche Info: ich habe vor Entdeckung dieser Seite auch schon einen vollständigen Scan ausgeführt mit den gleichen Ergebnissen ! Nach löschen und Neustart hatte ich erneut keinen Zugriff auf das reguläre AdminKonto - bis auf die beiden Fenster Sicherheitswarnung und Systemwiederherstellungsinfo war alles geschlossen ! ich hoffe ich konnte mich einigermaßen an die Forenregeln hatte und danke schonmal im Voraus ! |
Bitte erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen! Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! ESET Online Scanner
Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code: hier steht das Log |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:39 Uhr. |
Copyright ©2000-2025, Trojaner-Board
