Ergebnis 1 bis 5 von 5
  1. 17.09.2012, 22:45 #1
    Joe Kool
    Joe Kool ist offline
    Einsteiger
    Registriert seit
    17.09.2012
    Beiträge
    3

    2.07 BKA / GVU Trojaner

    Hallo liebe Community,

    Ich hab mir heute abend wohl den BKA / GVU-Trojaner eingefangen.
    Der Trojaner hat ein normales Benutzerkonto (ohne Admin-Rechte) befallen. Das Administrator konto von dem ich jetzt poste und von wo ich aus die otl.exe ausgeführt habe, funktioniert noch und scheint nicht oder noch nicht infiziert zu sein.
    Hab otl.exe ausgeführt und die tct-dateien im anhang gepostet.

    Ich hoffe ihr könnt mir bald eine Lösung anbieten.

    besten Dank im Voraus,

    lg
    Joe

    OTL.Txt
    Extras.Txt
  2. 17.09.2012, 23:49 #2
    oldi-40
    oldi-40 ist offline
    Moderator
    Registriert seit
    21.01.2012
    Ort
    Osthessen
    Beiträge
    3.676
    Hallo Joe Kool,

    Fixen mit OTL

    Hiermit fixen wir unnötige oder schädliche Einträge.

    Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).
    • Starte die OTL.exe.
      Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
    • Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:




    Sollten in den Logfiles Benutzernamen anonymisiert worden sein:
    Daran denken, wieder den ursprünglichen Benutzernamen einzufügen!

    Code:
    :OTL
O4 - HKU\S-1-5-21-3609390171-2939500114-1220516274-1000..\Run: [Power2GoExpress] NA File not found
O4 - HKU\S-1-5-21-3609390171-2939500114-1220516274-1002..\Run: [bdntcl] C:\Users\Money Rent\AppData\Roaming\bdntcl.dll ()
O4 - HKU\S-1-5-21-3609390171-2939500114-1220516274-1002..\Run: [TimeDateMUICallback] C:\Users\Money Rent\AppData\Local\Microsoft\Windows\3955\TimeDateMUICallback.exe ()
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-21-3609390171-2939500114-1220516274-1000..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
[2012.09.17 23:15:09 | 004,503,728 | ---- | M] () -- C:\ProgramData\twabt.pad
[2012.09.17 22:07:39 | 004,503,728 | ---- | C] () -- C:\ProgramData\twabt.pad
:Commands
[emptytemp]
    • Schließe alle Programme ink. z. B. Verhaltensüberwachung von Antivirus-Programmen.
    • Klicke auf den Fix Button.
    • Wenn OTL einen Neustart verlangt, bitte zulassen.
    • Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
      Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>


    Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
    Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

    Erstelle ein Log nach dieser Anleitung.
    -Updates nicht vergessen.

    Tschau
  3. 18.09.2012, 07:43 #3
    Joe Kool
    Joe Kool ist offline
    Einsteiger
    Registriert seit
    17.09.2012
    Beiträge
    3
    hallo,

    hab das skript mit otl angewendet. Nach Neustart (von OTL gewünscht) steht folgendes im LOG:

    Code:
    All processes killed
========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-3609390171-2939500114-1220516274-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Power2GoExpress deleted successfully.
Registry key HKEY_USERS\S-1-5-21-3609390171-2939500114-1220516274-1002\Software\Microsoft\Windows\CurrentVersion\Run not found.
C:\Users\Money Rent\AppData\Roaming\bdntcl.dll moved successfully.
Registry key HKEY_USERS\S-1-5-21-3609390171-2939500114-1220516274-1002\Software\Microsoft\Windows\CurrentVersion\Run not found.
C:\Users\Money Rent\AppData\Local\Microsoft\Windows\3955\TimeDateMUICallback.exe moved successfully.
Registry value HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunOnce\\mctadmin deleted successfully.
Registry value HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunOnce\\mctadmin deleted successfully.
Registry value HKEY_USERS\S-1-5-21-3609390171-2939500114-1220516274-1000\Software\Microsoft\Windows\CurrentVersion\RunOnce\\mctadmin deleted successfully.
C:\ProgramData\twabt.pad moved successfully.
File C:\ProgramData\twabt.pad not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: joe
->Temp folder emptied: 34600374 bytes
->Temporary Internet Files folder emptied: 12349133 bytes
->Java cache emptied: 391198 bytes
->FireFox cache emptied: 1059761883 bytes
->Google Chrome cache emptied: 856432 bytes
->Flash cache emptied: 7125 bytes
 
User: Money Rent
->Temp folder emptied: 1174894 bytes
->Temporary Internet Files folder emptied: 7408594 bytes
->Java cache emptied: 213058 bytes
->FireFox cache emptied: 60260563 bytes
->Flash cache emptied: 2005 bytes
 
User: Public
 
User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 124320254 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 52996 bytes
RecycleBin emptied: 1149542222 bytes
 
Total Files Cleaned = 2.337,00 mb
 
 
OTL by OldTimer - Version 3.2.61.5 log created on 09182012_083432

Files\Folders moved on Reboot...
C:\Users\joe\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
C:\Users\joe\AppData\Local\Mozilla\Firefox\Profiles\jbu94nb5.default\Cache\_CACHE_001_ moved successfully.
C:\Users\joe\AppData\Local\Mozilla\Firefox\Profiles\jbu94nb5.default\Cache\_CACHE_002_ moved successfully.
C:\Users\joe\AppData\Local\Mozilla\Firefox\Profiles\jbu94nb5.default\Cache\_CACHE_003_ moved successfully.
C:\Users\joe\AppData\Local\Mozilla\Firefox\Profiles\jbu94nb5.default\Cache\_CACHE_MAP_ moved successfully.
C:\Users\joe\AppData\Local\Mozilla\Firefox\Profiles\jbu94nb5.default\urlclassifier3.sqlite moved successfully.
File\Folder C:\Users\joe\AppData\Local\Mozilla\Firefox\Profiles\jbu94nb5.default\urlclassifier3.sqlite-journal not found!

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
    Was ist als nächstes zu tun?

    danke & lg
    joe
  4. 18.09.2012, 08:24 #4
    Joe Kool
    Joe Kool ist offline
    Einsteiger
    Registriert seit
    17.09.2012
    Beiträge
    3
    Habe jetzt nochmal Malwarebytes Antimalware runtergeladen und einen ausführlichen scan gemacht.
    Er hat noch 2 infizierte Dateien gefunden die ich dann aber auch gleich von dem Tool löschen hab lassen.

    Hier der Log:

    Code:
    Malwarebytes Anti-Malware (Test) 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.09.17.10

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
joe :: JOE-LENOVOLAP [Administrator]

Schutz: Aktiviert

18.09.2012 08:49:06
mbam-log-2012-09-18 (09-17-37).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 364750
Laufzeit: 26 Minute(n), 57 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\_OTL\MovedFiles\09182012_083432\C_Users\Money Rent\AppData\Local\Microsoft\Windows\3955\TimeDateMUICallback.exe (Spyware.Password) -> Keine Aktion durchgeführt.
C:\Users\Money Rent\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk (Trojan.Ransom.Gen) -> Keine Aktion durchgeführt.

(Ende)
    Muss ich jetzt nochwas tun oder ist der Trojaner vollständig entfernt?

    lg & danke nochmal!

    joe
  5. 18.09.2012, 22:24 #5
    oldi-40
    oldi-40 ist offline
    Moderator
    Registriert seit
    21.01.2012
    Ort
    Osthessen
    Beiträge
    3.676
    Hallo Joe Kool,

    Absicherung des Rechners

    Dann mache zur Sicherheit noch einen Komplettscan mit aktualisierten Virendefinitionen mit Deinem Antivirus-Programm. Falls noch Funde gemacht werden, sage mir Bescheid, welche und wo. Ansonsten können wir hier mit einigen Tipps zur Absicherung schließen und ich mache den Thread in ein paar Tagen zu

    Lesenswerte Blogeinträge zum Thema Absicherung

    Malware entfernt? Was nun?
    Wie mache ich mein Windows sicher?
    Wie kann ich mein System in Zukunft von Malware frei halten?
    Wie kann ich prüfen, ob meine Software aktuell ist?
    Mozilla Plugins aktuell? Hier prüfen!
    DNS manipuliert?
    Internet-Explorer reparieren
    Datensicherung

    Bitte die Passwörter ändern

    Tschau
« Vorheriges Thema | Nächstes Thema »

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  

Foren-Regeln

G Data
forum.botfrei.de wird überprüft von der Initiative-S