Hallo,

bin am Rechner meiner Tochter (Windows XP, SP3), wo Sie sich Viren eingefangen hat. (Der Rechner hat 2 aktive Konten) Sie meinte im FF beim Zugang auf Facebook... ein Popup schliessen zu wollen, wobei der "schliessen button" eher "etwas ausgeführt hatte" - Leider war Sie auch als Admin unterwegs

Folgendes Verhalten des Rechners konnte ich erkenne:
- diverse Fehlermeldungen beim Starten
- Keine Ordnerinhalte mehr Sichtbar
- Programm Links nicht sichtbar
- FF wird umgeleitet (aber auch IE)
- Bei der Umleitung wollen sich Daten downloaden

Habe bisher versucht, anhand der Trojaner-Themen "leere Ordner", "PUM.HIJACK", oder "Trojan.Fakems", die Viren loszuwerden...jedoch ohne erfolg.
Da die Meisten Threads mit diesen Viren ausser Malwarebytes und OTL, auch weitere Programme benötigen, höre ich hier lieber auf und bitte um Hilfe.

Bisherige Versuche:
1. Malwarebytes Scan durchgeführt und Befall entfernt.
2. Unhide.exe habe ich laufen lassen und die Ordner zeigen wieder Daten. (Die Programm Links und Startmenüs sind jedoch weiterhin leer.)
3. OTL.exe ausgeführt und einige Einträge entfernt. (moved files Log ist im Anhang)

Schätze mal, da FF immer noch auf andere Seiten springt, und dabei auch ein download gespeichert werden soll, sind die Probleme noch vorhanden.
Die Programm Links sind auch noch leer.

Ich lade jetzt die Logs von Malwarebytes und OTL (vor und nachher) und hoffe, dass Ihr mir helfen könnt. Vorab schon mal tausend Dank!

Zitat:

3. OTL.exe ausgeführt und einige Einträge entfernt. (moved files Log ist im Anhang)

Hast du das FixScript selbst erstellt?

Hi Arne,

ja, habe ich. absicht war, die IE und FF settings und Präferenzen zurück zu setzen.
Autoexec.bat und 3 Dateien pro User habe ich ebenfalls verschoben.

Ok, diesen Reg. Eintrag wollte ich nicht löschen, sorry:
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session manager\\BootExecute:autocheck autochk * deleted successfully.

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

Hallo Arne,

leider startet tdsskiller nicht. Es gibt keinerlei Reaktion beim Startversuch.
Avira war deaktiviert (Schirm zu) und alle anderen Programme waren auch aus.

Gruß,
Klaus

Dann bitte jetzt CF ausführen, probier den TDSS-Killer danach nochmal.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo Arne,

Combofix ist nicht ganz so gelaufen wie erwünscht. Und ein Log habe ich auch nicht erhalten ...
Folgendes ist passiert:
1. Aufruf COFI.exe OK
2. Meldung Rootkit gefunden und reboot erfolgte gleich danach
3. Systemeiderherstellungspunkt wurde erstellt
4. Wiederherstell Konsole wurde runtergeladen und eingefügt
5. Rootkit Zeor Access wurde im TCP/IP Stack gefunden
6 Reboot
7. Fertiggestellt Stufe 1, 2, 3, 4 war gerade am laufen und ich bin auf Klo gegangen.
8. Und natürlich komme ich zurück um ein Neustart vorzufinden. Nach der Anmeldung....nichts mehr.

Nun finde ich keine Logdatei, aber im Explorer sieht die Ordnerstruktur wie eine rekursive Kette aus.
Arbeitsplatz
c:
_OTL
Canoscan
CoFI
c:
_OTL
Canoscan
CoFI
c:
_OTL
Canoscan
CoFI
c:
_OTL
Canoscan
CoFI
c:
_OTL
Canoscan
CoFI
Das geht als so weiter.
(Habe das auch mal bei Windows 7 gehabt, wo ein Programm mit den Referencierten Ordnernamen nicht klar gekommen ist.)

Gruß,
Klaus

Starte Windows neu, lösch die alte cofi.exe, lade CF neu als cofi.exe runter und probier es bitte nochmal.

Hallo Arne,

habe CoFI neu geladen, und bin dieses mal nicht auf Klo gegangen....
Die Stufen liefen durch bis 50. Damach gab es ein reboot mir blue screen und dump.
Es wird der Prozess "catchme.sys" angemeckert, wobei das ein Prozess ComboFix ist?

Hier ist der Minidump:

******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

Use !analyze -v to get detailed debugging information.

BugCheck 19, {20, 8895e868, 8895ec80, 1a8300bc}

Unable to load image catchme.sys, Win32 error 0n2
*** WARNING: Unable to verify timestamp for catchme.sys
*** ERROR: Module load completed but symbols could not be loaded for catchme.sys
Probably caused by : catchme.sys ( catchme+10d7 )

Followup: MachineOwner
---------

0: kd> !analyze -v
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

BAD_POOL_HEADER (19)
The pool is already corrupt at the time of the current request.
This may or may not be due to the caller.
The internal pool links must be walked to figure out a possible cause of
the problem, and then special pool applied to the suspect tags or the driver
verifier to a suspect driver.
Arguments:
Arg1: 00000020, a pool block header size is corrupt.
Arg2: 8895e868, The pool entry we were looking for within the page.
Arg3: 8895ec80, The next pool entry.
Arg4: 1a8300bc, (reserved)

Debugging Details:
------------------


BUGCHECK_STR: 0x19_20

POOL_ADDRESS: 8895e868

CUSTOMER_CRASH_COUNT: 3

DEFAULT_BUCKET_ID: DRIVER_FAULT

PROCESS_NAME: catchme.cfxxe

IRP_ADDRESS: 88ea16e0

LAST_CONTROL_TRANSFER: from 8054b583 to 804f9f43

STACK_TEXT:
b330ea54 8054b583 00000019 00000020 8895e868 nt!KeBugCheckEx+0x1b
b330eaa4 804f4c20 8895e870 00000000 88ea1720 nt!ExFreePoolWithTag+0x2a3
b330eafc 804ff853 88ea1720 b330eb48 b330eb3c nt!IopCompleteRequest+0xf4
b330eb4c 806e8ef2 00000000 00000000 b330eb64 nt!KiDeliverApc+0xb3
b330eb4c 806e8ae4 00000000 00000000 b330eb64 hal!HalpApcInterrupt+0xc6
b330ebd4 804fc4f7 88ea1720 88ea16e0 00000000 hal!KeReleaseQueuedSpinLock+0x3c
b330ebf4 804f17f6 88ea1720 88ad5e98 00000000 nt!KeInsertQueueApc+0x6d
b330ec28 ba4110d7 88ad5e98 88f96698 88ea16e0 nt!IopfCompleteRequest+0x1d8
WARNING: Stack unwind information not available. Following frames may be wrong.
b330ec40 ba412fb6 88f327b0 00000000 806e8410 catchme+0x10d7
b330ec64 8058081d 88f327b0 88ea16e0 88ad5e98 catchme+0x2fb6
b330ed00 80579298 000007c4 00000000 00000000 nt!IopXxxControlFile+0x5c5
b330ed34 8054167c 000007c4 00000000 00000000 nt!NtDeviceIoControlFile+0x2a
b330ed34 7c91e514 000007c4 00000000 00000000 nt!KiFastCallEntry+0xfc
0022f438 00000000 00000000 00000000 00000000 0x7c91e514


STACK_COMMAND: kb

FOLLOWUP_IP:
catchme+10d7
ba4110d7 ?? ???

SYMBOL_STACK_INDEX: 8

SYMBOL_NAME: catchme+10d7

FOLLOWUP_NAME: MachineOwner

MODULE_NAME: catchme

IMAGE_NAME: catchme.sys

DEBUG_FLR_IMAGE_TIMESTAMP: 49d3495d

FAILURE_BUCKET_ID: 0x19_20_catchme+10d7

BUCKET_ID: 0x19_20_catchme+10d7

Followup: MachineOwner
---------

(Ich sollte vielleicht noch erwähnen, dass ein Raid 1 mit 2 HD's läuft)
Gruß, Klaus

Oops, die Windows Firewall war beim Combofix noxh aktiv... die muss deaktiv sein, oder?

Edit: An der Firewall liegt es nicht. Habe Combofix nochmal ohne Win Firewall und ohne antivir laufen lassen, jedoch den gleichen Dump beim auto restart erhalten, wo Combofix nach der Stufe 50 Dateien löschen wollte.
Gruß,
Klaus

Also wenn weder CF noch der TDSS-Killer richtig lauen, wirds mit einer Bereinigung sehr schlecht aussehen. Wenn du noch weitermachen willst wird es sehr viel aufwändiger und das lohnt sich meistens nicht.
Wie wärs mit Datensicherung und sauberer Neuinstallation?

Ja, denke die Versuche reichen vorerst.
Obwohl IE und FF laufen nach dem ComboFix trotz Absturz am Ende wieder wie gewohnt.

Vielen Dank für Deine (Eure) Unterstützung!! Hatte gar nicht erwartet, quasi Online Hilfestellung zu erhalten. Das war spitze!

Grüße, Klaus