Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Skype Trojaner (https://www.trojaner-board.de/124912-skype-trojaner.html)

Wermut 30.09.2012 13:51
Skype Trojaner
 
Servus,
bin gestern Abend auf einen Trojaner reingefallen, es war dumm und unüberlegt aber es ist nun mal passiert.
Es ist eine .exe welche am Anfang erst einmal den link zu dem Trojaner an alle Skype kontakte schickt (die nachricht lautet irgendwas wie: "hey, sind das nicht deine fotos? *LINK ZU " hxxp://www.sendspace.com/ *"), habe die Verbreitung unterbunden indem ich Direkt offline gegangen bin und alle nachrichten entfernt habe (2 Links sind durchgekommen, habe aber die Kontakte via Handy gewarnt). Unter anderem konnte ich mit dem Trojaner OnBoard Skype nicht Deinstallieren (habe es gelöst indem ich den PC im abgesicherten Modus gestartet habe und die mir unbekannten Objekte aus dem Skype Ordner gelöscht habe, Normal gestartet habe und es dann Deinstalliert habe. Ich weiß nicht wie, aber es hat geholfen). Außerdem haben einige Anti-Trojan/Virus Programme angefangen nur noch Fehlermeldungen auszuspucken (dazu gehören: The Cleaner 2012 und "Trojan Remover"). Programme mit denen ich einen kompletten "Such und Vernichte" lauf erfolgreich geschafft/gemacht habe:
SpyBot S&D
Avira Antivir
AVG Free Antivirus

Malwarebytes läuft atm durch, poste sobald ich davon was neues habe (bisher 7 funde.
Falls irgendjemand der mir helfen kann/will irgendetwas braucht müsst ihrs nur sagen, ich kümmer mich dann so schnell wie möglich drum (werde alle 15 sec den Threat updaten und ihn auf meinem 2nd screen beobachten

Tia
Wermut

PS: Habe gerade noch von einem Freund mit dem gleichen Trojaner die Info bekommen dass seiner jetzt anfängt ihm zu erzählen wie unsicher Windows wäre und versucht ihm irgendeine Kostenpflichtige Analyse auf zu drücken. So weit ist er bei mir noch nicht.

EDIT: Gmer iss durch und ich habe einen reg Eintrag davon bekommen:

Zitat:
Reg HKLM\SYSTEM\CurrentControlSet\Control\Session Manager@PendingFileRenameOperations ???4?????????????4??5&355c47ba&0?4??????????? 0??4??????????????STORAGE\VolumeSnapshot????????N??4??????????????{00000000-0000-0000-0000-000000000000}???????4???????4???4???????4???4??USB\ROOT_HUB20\4&36206eee&0??4??.NT??????5?5?5??USB\VID_8087&PID_0024&REV_0000?USB\VID_8087&PID_0024??? ?USB\Class_09&SubClass_00&Prot_00?USB\Class_09&SubClass_00?USB\Class_09????????N??4?????????D?4???4??? ???????????????????0?0????????(???)?????????????????????7??????????4???????????????????????????????????4?4?;???????????4???4????(??4?????????????4#??? ?4??????????????20101121025037658???????? ??????? ?????????????,??????????4?&????????????????????4????8??4??????????????? ???????/?????3?????????????????????????????????????4?????????????9?9?????????????????????????? ??????????? ????????????????????????????????????????? ????(??????P??????????????????????(??????P??????????????? ???????????\??\USB#ROOT_HUB20#4&36206eee&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}??usbccgp?????\\?\STORAGE#VOLUMESNAPSHOT#HARDDISKVOLUMESNAPSHOT9#{53f5630
EDIT2: Malwarebytes ist durch:


Zitat:
30.09.2012 14:33:30
mbam-log-2012-09-30 (15-40-24).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 457188
Laufzeit: 1 Stunde(n), 6 Minute(n), 42 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 3
C:\$Recycle.Bin\S-1-5-18\$69355226253d6759179e5a3ebece6eb5\U\00000004.@ (Trojan.0Access) -> Keine Aktion durchgeführt.
C:\$Recycle.Bin\S-1-5-18\$69355226253d6759179e5a3ebece6eb5\U\00000008.@ (Trojan.Dropper.BCMiner) -> Keine Aktion durchgeführt.
C:\$Recycle.Bin\S-1-5-18\$69355226253d6759179e5a3ebece6eb5\U\80000064.@ (Trojan.0Access) -> Keine Aktion durchgeführt.

(Ende)

cosinus 01.10.2012 14:07
Zitat:
Keine Aktion durchgeführt.
-> No action taken.
Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! Bitte nachholen falls noch nicht getan!

NICHTS voreilig aus der Quarantäne löschen!

Wermut 01.10.2012 16:34
Ok, hab schon gelesen dass ich nix machen soll solang mir niemand was sagt ;) (kenne mich mit Malwarebytes auch nicht aus, deswegen versuch ich da gar nichts erst :D)

Ty

cosinus 02.10.2012 12:55
Zitat:
(kenne mich mit Malwarebytes auch nicht aus, deswegen versuch ich da gar nichts erst
Genau deswegen haben wir die Anleitungen zu diesen Tools, die sind nicht zur Dekoration da! :D

Hast du die Funde nun entfernt? Wenn ja wo ist das Log dazu? :confused:

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
hier steht das Log

Wermut 02.10.2012 16:55
ahh sry hab vergessen hier zu posten, bin ihn losgeworden... hab gestern abend einen ordner gefunden und dieses mal nicht voreilig gehandelt (wenn man ihn löscht erstellt er im gleichen moment eine kopie von sich irgendwo anders auf dem pc), hab den pc sofort herunter gefahren, im abgesicherten modus gestartet und hab den ordner mit so einem 36x löschen programm gelöscht... dann direkt defragen etc. und hab ihn gerestartet und jetzt geht alles wieder.

ty
Vermouth

cosinus 02.10.2012 20:09
Genau, ich töte etwas und dann stech ich noch 35x auf darauf ein, ist es dann töter als tot? :rofl:

Die anderen Gesellen hast du wohl noch garnicht entdeckt, denn so einfach wie du dir das vorstellst ist der ZeroAccess nicht zu entfernen!


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset



Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
hier steht das Log


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:05 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27