Hallo Trojaner-Board Community,

Seit etwa einer Woche habe ich einen vermeintlichen Virus auf meinem System (Laptop, Windows Vista Business SP1, Avira AntiVir PE, CCleaner, Windowsfirewall Aktiv)
Der äußerte sich bisher durch gelegentliches Aufrufen von Werbeseiten mit dem IE, ohne das ich auch nur annähernd etwas gestartet hätte.

Zunächst wollte ich natürlich selber erst mal was herausfinden, leider lassen sich weder AntiMalware noch HijackThis installieren. Bei ersterem folgt nach erfolgreicher Installation ein Windowsfenster mit "Malwarebytes... funktioniert nicht mehr". HJT startet erst gar nicht. Seit ich mir dann die Sunbelt Personal Firewall installiert habe, meldet sich kein Fenster mehr (ich blocke ja auch alle ein/ausgehenden Verbindungen die ich nicht kenne...)

Außerdem findet AntiVir seit etwa 2 Tagen immer die selben Schädlinge:

--> SPR/Tool.Obfuscator.ER.42
--> TR/Spy.Agent.xeq

beide im Ordner C-Windows-System32-Beginnend mit "MSIVX..."
Hochladen bei einem Onlinevirenscanner geht nicht, da ich die Dateien nicht finden kann, trotz entsprechenden Einstellungen in den "Ordneroptionen"

Eventuell hat einer von euch noch einen Tipp zum weiteren Vorgehen. Neu Aufsetzen wäre sicherlich kein Problem, aber die Mühe möchte ich mir nur machen wenn es unbedingt sein muss (Mein Laptop hat eine XP Version samt Treiber mitgeliefert, die würde ich dann bei der Gelegenheit draufspielen...)

Auf alle Antworten freue ich mich, Danke schon mal im Voraus, Viele Grüße

Hedgehog

Hallo und

Zitat:

Neu Aufsetzen wäre sicherlich kein Problem, aber die Mühe möchte ich mir nur machen wenn es unbedingt sein muss

Dann tue es, denn Neuaufsetzen ist immer schneller und sicherer als Säuberung.
http://www.trojaner-board.de/51262-a...sicherung.html

Den hatte ich gerade und wir sind immer noch nicht durch.
http://www.trojaner-board.de/74136-a...ndet-mods.html

Wenn dir der Weg lieber ist, dann fange mit GMER an.

ciao, andreas

Danke Ging ja richtig Fix mit ner Antwort hier

Wie gesagt, Neu aufsetzen würd ich nur wenn nichts anderes mehr geht, mir fehlt grade die Zeit.

Werds heut Abend mal mit GMER probieren

Irgendwie muss das mit HJT doch funktionieren...

Warum die HJT ausser Kraft setzen, leuchtet nicht wirklich ein, der ist dort gar nicht zu sehen.

ciao, andreas

So, hier die Log-File von GMER. Gefunden hat er was.
LINK -->http://rapidshare.com/files/245695782/123.log

Einfachere Frage: Soll ich nach dem selben Prinzip vorgehen wie in dem anderen Fall (den zweiten Link den du mir gesendet hast)??

Grüße und gute Nacht

Schöner Link, nur ich kann da nicht so richtig klicken.

Zitat:

Einfachere Frage: Soll ich nach dem selben Prinzip vorgehen wie in dem anderen Fall (den zweiten Link den du mir gesendet hast)??

Wenn du dir das zutraust, ja, poste sicherheitshalber alle Logs.

ciao, andreas

Zutrauen, das eigentlich schon. Du hast es ja wirklich gut beschieben.
Nur ob ich die Skripte so verwenden kann...

Sorry, keine ahnung warum Rapidshare nicht mitspielen will.
Habs jetzt bei mir auf meinen Webspace bei Funpic hoch geladen.

--> http://tocoolforhell.to.funpic.de/123.log

Und bevor ichs vergesse: Vielen Dank für deine Unterstützung!!

1.) Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code: Alles auswählenAufklappen

ATTFilter

Drivers to delete:
MSIVXserv.sys

Registry keys to delete:
HKLM\SYSTEM\ControlSet003\Services\MSIVXserv.sys

Files to delete:
C:\Windows\System32\drivers\MSIVXpcvbomkbirvhhpxeturiciepcqqgsinb.sys
C:\Windows\System32\MSIVXcount
C:\Windows\System32\MSIVXptkgplqtnqwxprpavcvvtgrmpawryqxi.dll
C:\Windows\System32\MSIVXxsdbddfkoewirtskvmifwcrviovddbrt.dll
         

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

2.) Poste ein neues Gmer-Log.

ciao, andreas

Das meinte GMER:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "MSIVXserv.sys" found!
ImagePath:  \systemroot\system32\drivers\MSIVXpcvbomkbirvhhpxeturiciepcqqgsinb.sys 
Start Type:  4 (Disabled)

Rootkit scan completed.

Driver "MSIVXserv.sys" deleted successfully.
Registry key "HKLM\SYSTEM\ControlSet003\Services\MSIVXserv.sys" deleted successfully.
File "C:\Windows\System32\drivers\MSIVXpcvbomkbirvhhpxeturiciepcqqgsinb.sys" deleted successfully.
File "C:\Windows\System32\MSIVXcount" deleted successfully.
File "C:\Windows\System32\MSIVXptkgplqtnqwxprpavcvvtgrmpawryqxi.dll" deleted successfully.
File "C:\Windows\System32\MSIVXxsdbddfkoewirtskvmifwcrviovddbrt.dll" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
         

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  
  Sollte sich ComboFix nicht starten lassen, dann benenne es um in cofi.exe und versuche es nocheinmal.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

OK, ab heute hab ich wieder Zeit

Hier das GMER Log:
--> http://tocoolforhell.to.funpic.de/gmer 23.6.09.log

Danach hab ich Hopsassa ausgeführt, mit dem oben beschriebenen Script.
Ergebnis:

Zitat:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\MSIVXserv.sys" not found!
Deletion of driver "MSIVXserv.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "HKLM\SYSTEM\ControlSet003\Services\MSIVXserv.sys" not found!
Deletion of registry key "HKLM\SYSTEM\ControlSet003\Services\MSIVXserv.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\Windows\System32\drivers\MSIVXpcvbomkbirvhhpxeturiciepcqqgsinb.sys" not found!
Deletion of file "C:\Windows\System32\drivers\MSIVXpcvbomkbirvhhpxeturiciepcqqgsinb.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\Windows\System32\MSIVXcount" not found!
Deletion of file "C:\Windows\System32\MSIVXcount" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\Windows\System32\MSIVXptkgplqtnqwxprpavcvvtgrmpawryqxi.dll" not found!
Deletion of file "C:\Windows\System32\MSIVXptkgplqtnqwxprpavcvvtgrmpawryqxi.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\Windows\System32\MSIVXxsdbddfkoewirtskvmifwcrviovddbrt.dll" not found!
Deletion of file "C:\Windows\System32\MSIVXxsdbddfkoewirtskvmifwcrviovddbrt.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

Soll ich als nächsten Schritt ComboFix benutzen, oder gibt es Änderungen am Avenger-Script??

Viele Grüße, Hedgehog

Weiter mit Combofix.

Zitat:

oder gibt es Änderungen am Avenger-Script??

Du hast es zweimal laufengelassen.

ciao, andreas

Hier das Protokoll:

http://tocoolforhell.to.funpic.de/Log.txt

Du hast da Software am Laufen, die ich noch nicht gesehen habe.

Was ist das?

Zitat:

c:\programdata\{C79A30AF-08C1-49CF-8F27-526F179A478D}\Traktor Setup.exe
c:\users\Sebi\AppData\Roaming\Microsoft\Installer\{20B1B020-DEAE-48D1-9960-D4C3185D758B}\Foren.exe

Lade die Dateien

Code: Alles auswählenAufklappen

ATTFilter

c:\windows\system32\bmpsap.dll
c:\windows\system32\CmdLineExt.dll
c:\users\Sebi\AppData\Roaming\Microsoft\Installer\{20B1B020-DEAE-48D1-9960-D4C3185D758B}\Foren.exe
c:\programdata\{C79A30AF-08C1-49CF-8F27-526F179A478D}Traktor Setup.exe
         

bitte bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html

ciao, andreas

Vielen Dank für deine Unterstützung, Andreas.
Hast auf jeden Fall was gut bei mir!!!

Alle 4 Dateien hab ich hochgeladen.
"Traktor" ist ne DJ Software, die ich mal Testweise Installiert hab.