Ergebnis 1 bis 8 von 8
  1. 29.08.2012, 22:18 #1
    orbits
    orbits ist offline
    Einsteiger
    Registriert seit
    29.08.2012
    Beiträge
    4

    GVU Trojaner Befall 2.07

    Hallo,
    ich habe seit heute Mittag einen Trojanerbefall. Das LKA Hannover, die Abt. für Internetkriminalität, hat mir nach freundlicher Auskunft erklärt, hier könne man mir mit diesem Problem weiterhelfen.
    Die OTL und Extras.txt Dateien habe ich schon erstellt.
    Wer kennt sich damit aus?
    Gruß und danke,
    orb
  2. 29.08.2012, 22:35 #2
    oldi-40
    oldi-40 ist offline
    Moderator
    Registriert seit
    21.01.2012
    Ort
    Osthessen
    Beiträge
    3.670
    Hallo orbits,

    Wer kennt sich damit aus?
    Vielleicht die Moderatoren in diesem Forum.

    Poste doch die Logs, dann sehen wir weiter.

    Tschau
  3. 30.08.2012, 19:13 #3
    orbits
    orbits ist offline
    Einsteiger
    Registriert seit
    29.08.2012
    Beiträge
    4

    Logs

    ok, hier mal die Logs

    Danke schon mal für die Hilfe
    Angehängte Dateien Angehängte Dateien
    Geändert von orbits (30.08.2012 um 20:03 Uhr)
  4. 30.08.2012, 21:32 #4
    oldi-40
    oldi-40 ist offline
    Moderator
    Registriert seit
    21.01.2012
    Ort
    Osthessen
    Beiträge
    3.670
    Hallo orbits,

    Fixen mit OTL

    Hiermit fixen wir unnötige oder schädliche Einträge.

    Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).
    • Starte die OTL.exe.
      Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
    • Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:




    Sollten in den Logfiles Benutzernamen anonymisiert worden sein:
    Daran denken, wieder den ursprünglichen Benutzernamen einzufügen!

    Code:
    :OTL
O4 - HKLM..\Run: [] File not found
[2012.08.29 20:43:19 | 004,503,728 | ---- | M] () -- C:\ProgramData\ism_0_llatsni.pad
[2012.08.29 12:32:01 | 000,001,891 | ---- | M] () -- C:\Users\Orb\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
[2012.08.29 12:32:01 | 004,503,728 | ---- | C] () -- C:\ProgramData\ism_0_llatsni.pad
[2012.08.29 12:32:01 | 000,001,891 | ---- | C] () -- C:\Users\Orb\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
@Alternate Data Stream - 146 bytes -> C:\ProgramData\TEMP:53BA2DF6
@Alternate Data Stream - 143 bytes -> C:\ProgramData\TEMP:0BBF232A
@Alternate Data Stream - 126 bytes -> C:\ProgramData\TEMP:206470A5
@Alternate Data Stream - 123 bytes -> C:\ProgramData\TEMP:7AF9CAEB
@Alternate Data Stream - 122 bytes -> C:\ProgramData\TEMP:3C4BD225
@Alternate Data Stream - 118 bytes -> C:\ProgramData\TEMP:C22674B6
@Alternate Data Stream - 110 bytes -> C:\ProgramData\TEMP:60C897F3
@Alternate Data Stream - 108 bytes -> C:\ProgramData\TEMP:12EA4DC9
:Commands
[emptytemp]
    • Schließe alle Programme ink. z. B. Verhaltensüberwachung von Antivirus-Programmen.
    • Klicke auf den Fix Button.
    • Wenn OTL einen Neustart verlangt, bitte zulassen.
    • Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
      Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>


    Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
    Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

    Erstelle ein Log nach dieser Anleitung.
    -Updates nicht vergessen.

    Tschau
  5. 31.08.2012, 19:28 #5
    orbits
    orbits ist offline
    Einsteiger
    Registriert seit
    29.08.2012
    Beiträge
    4
    Code:
    All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
C:\ProgramData\ism_0_llatsni.pad moved successfully.
C:\Users\Orb\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk moved successfully.
File C:\ProgramData\ism_0_llatsni.pad not found.
File C:\Users\Orb\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk not found.
ADS C:\ProgramData\TEMP:53BA2DF6 deleted successfully.
ADS C:\ProgramData\TEMP:0BBF232A deleted successfully.
ADS C:\ProgramData\TEMP:206470A5 deleted successfully.
ADS C:\ProgramData\TEMP:7AF9CAEB deleted successfully.
ADS C:\ProgramData\TEMP:3C4BD225 deleted successfully.
ADS C:\ProgramData\TEMP:C22674B6 deleted successfully.
ADS C:\ProgramData\TEMP:60C897F3 deleted successfully.
ADS C:\ProgramData\TEMP:12EA4DC9 deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Orb
->Temp folder emptied: 817747764 bytes
->Temporary Internet Files folder emptied: 837164739 bytes
->Java cache emptied: 2427204 bytes
->Flash cache emptied: 51935 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 119533469 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50434 bytes
RecycleBin emptied: 702327 bytes
 
Total Files Cleaned = 1.695,00 mb
 
 
OTL by OldTimer - Version 3.2.59.1 log created on 08312012_201800

Files\Folders moved on Reboot...
C:\Users\Orb\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
C:\Users\Orb\AppData\Local\Temp\install_0_msi.exe moved successfully.
C:\Users\Orb\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\AntiPhishing\ED8654D5-B9F0-4DD9-B3E8-F8F560086FDF.dat moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

    Voran die Log. Vielen Dank!

    Die Maleware habe ich auch durchlaufen lassen. Ergebnis: 2 Trojaner ...habe aber leider versehentlich die Logs gelöscht. Habe einen zweiten Durchlauf gemacht, ohne Funde.
    Geändert von orbits (31.08.2012 um 21:20 Uhr)
  6. 31.08.2012, 22:41 #6
    oldi-40
    oldi-40 ist offline
    Moderator
    Registriert seit
    21.01.2012
    Ort
    Osthessen
    Beiträge
    3.670
    Hallo orbits,

    Die Maleware habe ich auch durchlaufen lassen. Ergebnis: 2 Trojaner ...habe aber leider versehentlich die Logs gelöscht.
    Die Logs findest Du normal unter dem Tab < Logdateien >, schaue mal nach.

    Absicherung des Rechners

    Dann mache zur Sicherheit noch einen Komplettscan mit aktualisierten Virendefinitionen mit Deinem Antivirus-Programm. Falls noch Funde gemacht werden, sage mir Bescheid, welche und wo. Ansonsten können wir hier mit einigen Tipps zur Absicherung schließen und ich mache den Thread in ein paar Tagen zu

    Lesenswerte Blogeinträge zum Thema Absicherung

    Malware entfernt? Was nun?
    Wie mache ich mein Windows sicher?
    Wie kann ich mein System in Zukunft von Malware frei halten?
    Wie kann ich prüfen, ob meine Software aktuell ist?
    Mozilla Plugins aktuell? Hier prüfen!
    DNS manipuliert?
    Internet-Explorer reparieren
    Datensicherung

    Tschau
  7. 02.09.2012, 20:40 #7
    orbits
    orbits ist offline
    Einsteiger
    Registriert seit
    29.08.2012
    Beiträge
    4
    Danke, habe noch mal durchlaufen lassen und keine Funde.
    LG
  8. 03.09.2012, 01:52 #8
    oldi-40
    oldi-40 ist offline
    Moderator
    Registriert seit
    21.01.2012
    Ort
    Osthessen
    Beiträge
    3.670
    Hallo orbits,
    Danke, habe noch mal durchlaufen lassen und keine Funde.
    Dann warten wir mal ab.

    Tschau
« Vorheriges Thema | Nächstes Thema »

Stichworte

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  

Foren-Regeln

G Data
forum.botfrei.de wird überprüft von der Initiative-S