@SkyFire: Satzzeichen sind keine Rudeltiere..

Halte dich bitte ein bischen zurück und gebe nur dann Hilfe wenn du wirklich weisst was du tust. Das bezweifel ich grade ein bischen.
Generell gilt folgendes: http://www.trojaner-board.de/69603-f...dem-forum.html

@geissi: Ich benötige den vollen Dateipfad hier:

Zitat:

C:\Dokumente und Einstellungen\***\***.exe

Schicke ih mir bitte pern PN zu.
Danach geht es weiter. Alle anderen Hilfestellungen ignoriere bitte vorerst.

Müsste ich dir geschickt haben.
Denke aber, dass das eine Profilnachricht gewesen sein dürfte.

=) jo. War eine Profilnachricht. Ich hab's wieder raus genommen.
Wenn da dein Nachname nicht drinn steht musst du auch nicht unbedingt editieren..



Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Rufe die Seite Virtustotal auf.

* Dort suche über den "Durchsuchen"-Button folgende Datei raus und lade sie durch Druck auf den "Senden der Datei"-Button hoch.

Zitat:

C:\Dokumente und Einstellungen\Markus\Markus.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.


GMER - Rootkit Detection

• Lade GMER von hier
• entpacke es auf den Dektop
• Doppelklicke die gmer.exe
• Der Reiter Rootkit oben ist schon angewählt

• Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
• nach Beendigung des Scan, drücke "Copy"
• nun kannst Du das Ergebnis hier posten
• Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

Ich habe folgende Fragen:
Soll ich nur die Datei
C:\Dokumente und Einstellungen\Markus\Markus.exe
hochladen oder auch andere?
Bei der Datei kommt:

Die Datei wurde bereits analysiert:
MD5: 69492a0890932e58e21626c04efb69f6
First received: 2009.04.11 19:35:04 (CET)
Datum 2009.04.13 17:06:42 (CET) [+1D]
Ergebnisse 10/40
Permalink: analisis/58996bb694b3be5a0f74a18388b56567

Der Permalink führt zu der Website:
http://www.virustotal.com/de/analisis/58996bb694b3be5a0f74a18388b56567

Und eine weitere Frage:
Was soll ich denn eigentlich bei den Meldungen von AntiVir machen?
Soll ich da die Viren immer in die Quarantäne verschieben?

Du solltest nur die eine hochladen, ja.

Bei dir läuft wie vermutet ein Backdoor Trojaner. Der ermöglicht VollZugriff auf deinen Rechner und ist deentsprechend gefährlich. Du solltest deinen Rechner neuaufsetzten um keine ganz bösen Überraschungen zu erleben.

Bereinigung nach einer Kompromitierung

Hinweis: Die Analyse eines Virenscanners ist völlig unzureichend, um Aussagen über das System zu machen, kann aber als Hilfsmittel eingesetzt werden, sofern er von einem sauberen System aus betrieben wird.

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei mit Administrator-Rechten aus.

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck

Zitat:

MBR rootkit code detected !

indiziert, musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Dieses log solltest du hier posten!

Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen.

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV sowie andere AV-Scanner findet nur einen Bruchteil aller infizierten Dateien!

Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!

Ich muss sagen, dass ich glaube, die Überprüfung der alten Datei zu dir geschickt zu haben.
Sie wird in 13 bis 19 Minuten neu überprüft.
Was soll ich jetzt machen?
Ich habe gerade schon GMER laufen.

Hier nun die neue Überprüfung:

Datei Markus.exe empfangen 2009.04.14 18:19:10 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 19/40 (47.5%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 3.
Geschätzte Startzeit ist zwischen 70 und 100 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.04.14 Virus.Win32.Rootkit.CF!IK
AhnLab-V3 5.0.0.2 2009.04.14 Win-Trojan/Agent2.20435.B
AntiVir 7.9.0.143 2009.04.14 TR/Kobcka.HV.4
Antiy-AVL 2.0.3.1 2009.04.14 -
Authentium 5.1.2.4 2009.04.14 -
Avast 4.8.1335.0 2009.04.14 Win32:Rootkit-CF
AVG 8.5.0.285 2009.04.14 Downloader.Small.FQL
BitDefender 7.2 2009.04.14 Trojan.Kobcka.HV
CAT-QuickHeal 10.00 2009.04.14 -
ClamAV 0.94.1 2009.04.14 -
Comodo 1113 2009.04.14 -
DrWeb 4.44.0.09170 2009.04.14 Trojan.DownLoad.33158
eSafe 7.0.17.0 2009.04.13 -
eTrust-Vet 31.6.6455 2009.04.14 -
F-Prot 4.4.4.56 2009.04.14 -
F-Secure 8.0.14470.0 2009.04.14 -
Fortinet 3.117.0.0 2009.04.14 PossibleThreat
GData 19 2009.04.14 Trojan.Kobcka.HV
Ikarus T3.1.1.49.0 2009.04.14 Virus.Win32.Rootkit.CF
K7AntiVirus 7.10.700 2009.04.11 -
Kaspersky 7.0.0.125 2009.04.14 -
McAfee 5584 2009.04.14 -
McAfee+Artemis 5584 2009.04.14 Generic!Artemis
McAfee-GW-Edition 6.7.6 2009.04.14 Trojan.Kobcka.HV.4
Microsoft 1.4502 2009.04.14 -
NOD32 4007 2009.04.14 Win32/TrojanDownloader.Wigon.CA
Norman 6.00.06 2009.04.14 -
nProtect 2009.1.8.0 2009.04.14 -
Panda 10.0.0.14 2009.04.14 Suspicious file
PCTools 4.4.2.0 2009.04.14 -
Prevx1 V2 2009.04.14 High Risk Cloaked Malware
Rising 21.25.14.00 2009.04.14 Trojan.DL.Win32.Nodef.kr
Sophos 4.40.0 2009.04.14 Mal/Pushdo-A
Sunbelt 3.2.1858.2 2009.04.13 -
Symantec 1.4.4.12 2009.04.14 Downloader
TheHacker 6.3.4.0.306 2009.04.12 Trojan/Agent2.hoy
TrendMicro 8.700.0.1004 2009.04.14 -
VBA32 3.12.10.2 2009.04.12 -
ViRobot 2009.4.14.1692 2009.04.14 -
VirusBuster 4.6.5.0 2009.04.14 -
weitere Informationen
File size: 20435 bytes
MD5...: 69492a0890932e58e21626c04efb69f6
SHA1..: 5b43be26ed55ac515c9ef17728d3d50abfd4c356
SHA256: bf49a2d87c50afd26d6d3420eedd633d50c4b12403c3fa1f47943b9b9fec2d62
SHA512: 121781d59fe90f981223c7569901ed636dbcaafe9f687c14e0ec1db3ef68c893
b22de663c21090eecbe2ff5e59bcd052f523e3b132dfe1a7d46df9e322315ce9
ssdeep: 384:1VUAbNOcTwazhhpfY57XoLrbOywc2CsGwYijX/1WEPOn:1K+9dfYxXA+aZEP
1WEPI
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
VXD Driver (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x114c
timedatestamp.....: 0x49df1343 (Fri Apr 10 09:37:07 2009)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x988 0x98c 6.48 9264ba40ea914701e240e2748591c773
.data 0x2000 0x45e 0x460 4.88 56cf267339276447a2da941f557ce9f9
.rsrc 0x3000 0x3dd0 0x3dd3 7.98 045d88849fbe747f1672f04de7bd5227

( 2 imports )
> KERNEL32.dll: CreateThread, ExitProcess, ExitThread, GetLastError, GetModuleHandleA, GetSystemInfo, GetVersionExA, LocalAlloc, WaitForSingleObject
> USER32.dll: BeginPaint, BlockInput, CharUpperA, CreateDialogParamA, CreateWindowExA, DefWindowProcA, DispatchMessageA, EndDialog, EndPaint, FindWindowA, GetAsyncKeyState, GetClassInfoExA, GetMessageA, GetSystemMetrics, GetTopWindow, LoadCursorA, LoadIconA, MessageBoxA, RegisterWindowMessageA, SetDlgItemInt, SetFocus, SetWindowTextA, ShowWindow, TranslateMessage, UpdateWindow

( 0 exports )
RDS...: NSRL Reference Data Set
-
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=C8BD6751D3C1436A4FA30000BB355E00AA76C5A6' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=C8BD6751D3C1436A4FA30000BB355E00AA76C5A6</a>
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=69492a0890932e58e21626c04efb69f6' target='_blank'>http://www.threatexpert.com/report.aspx?md5=69492a0890932e58e21626c04efb69f6</a>

Der Bericht von GMER ist leider zu lang für das Forum mit 134026 Zeichen.
Falls jemand daran interessiert ist, soll er sich melden..

Das kam bei der mbr.exe heraus:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Lade das Gmer-Log bei einem Filehoster hoch (z.B. www.materialordner.de) und poste den Link. Das hier hast du hoffentlich gelesen?

ciao, andreas

Ich habe den Link ziemlich gelesen, ja.
Nun wollte ich aber fragen, was aufgrund meines Logs der mbr.exe Datei zu tun ist.

Lade bitte das Gmer-Log hoch und poste den Link. Das MBR-Log sagt, dass dein MBR sauber ist.

ciao, andreas

Ich lasse gerade nochmal GMER durchlaufen.
Danach lade ich es hoch.

Hier der Link:
http://www.materialordner.de/ccFf7cLfPjbzWzY2q9LzWTKswOwZ5am7.html

Schau selbst: http://www.bitdefender.de/VIRUS-1000...an.kobcka.html

Neuinstallation ist in jedem Fall der schnellere und sicherere Weg.

Poste bitte ein aktuelles HJT-Log.

ciao, andreas