Hallo,
seit einigen tagen habe ich ein problem mit einem System Fix virus programm.
Soweit habe ich das forum durchstöbert und alles nach anleitung gemacht um diesen zu entfernen, bis zum TDSSKiller, da geht es nicht weiter.

Diese schritte hab ich gemacht:

Rkill,

Malwarebytes Voller scan, hier log:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 911122703

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

01.01.2005 01:46:48
mbam-log-2005-01-01 (01-46-48).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 265705
Laufzeit: 52 Minute(n), 1 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 13

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\Ben\Desktop\Ben\modmii new\ModMii.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Ben\lokale einstellungen\Temp\icreinstall\cnet_setup_3_0_1_2_zip.exe (PUP.Adware.Downloader) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\MSIu100\lokale einstellungen\Temp\xjpbnyoxvphqot.exe.tmp (Rogue.FakeHDD) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\MSIu100\lokale einstellungen\Temp\is1598539481\4562734_setup.dat (PUP.DesktopShark) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\MSIu100\lokale einstellungen\Temp\is1598539481\4609741_setup.dat (PUP.DesktopShark) -> Quarantined and deleted successfully.
c:\system volume information\_restore{9e6243d4-c0c6-4c79-8601-d4440d8bf0ec}\RP312\A0082954.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\system volume information\_restore{9e6243d4-c0c6-4c79-8601-d4440d8bf0ec}\RP312\A0083043.exe (PUP.Keylogger.DesktopShark) -> Quarantined and deleted successfully.
c:\system volume information\_restore{9e6243d4-c0c6-4c79-8601-d4440d8bf0ec}\RP312\A0083055.exe (PUP.DesktopShark) -> Quarantined and deleted successfully.
c:\system volume information\_restore{9e6243d4-c0c6-4c79-8601-d4440d8bf0ec}\RP313\A0083256.exe (PUP.DesktopShark) -> Quarantined and deleted successfully.
c:\system volume information\_restore{9e6243d4-c0c6-4c79-8601-d4440d8bf0ec}\RP340\A0089994.exe (Rogue.FakeHDD) -> Quarantined and deleted successfully.
c:\system volume information\_restore{9e6243d4-c0c6-4c79-8601-d4440d8bf0ec}\RP340\A0089999.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\system volume information\_restore{9e6243d4-c0c6-4c79-8601-d4440d8bf0ec}\RP340\A0090004.exe (PUP.Tool) -> Quarantined and deleted successfully.
d:\Download\cnet2_arpr_zip.exe (PUP.Adware.Downloader) -> Quarantined and deleted successfully.

danach mit SpyHunter scanen lassen, der hatte 165 infizierte Cookies gefunden ( wenn man das so sagen kann)

dann wieder mit Malwarebytes Quickscan, keine datein gefunden.

Zuletzt hab ich einen scan mit OTL durchgeführt, hier log:

anhang

Jetzt weiß ich nicht mehr weiter, TDSSKiller startet einfach nicht, nicht im abgesicherten modus und auch nicht wenn ich die kompatibilität ändere...
Ich bitte um hilfe !

Hi,

Spyhunter würde ich wieder runterschmeissen...
Das sieht ncach rootkit aus...

Fix für OTL:

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKLM..\Run: [jdiNQqhyasYS.exe] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\jdiNQqhyasYS.exe File not found
O4 - Startup: C:\Dokumente und Einstellungen\MSIu100\Startmenü\Programme\Autostart\Socialbox.lnk =  File not found
O4 - HKLM..\Run: [SpyHunter Security Suite] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter4.exe (Enigma Software Group USA, LLC.)


:Commands
[emptytemp]
[Reboot]
         

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL

aswMBR
Von http://filepony.de/download-aswmbr/ die aswMBR.exe runterladen und auf dem Desktop speichern.

• Doppelklick auf die aswMBR.exe.

• Scan-Button anklicken

• Bootsectoren (MBR) etc. werden nun untersucht.....

• Log speichern und im Thread posten

Gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html
Den Downloadlink findest Du links oben (GMER - Rootkit Detector and Remover), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. Stürzt GMER ab, bitte im abgesicherten Modus (F8 beim Booten) probieren!

chris

Ich habe OTL im abgesicherten modus durchlaufen lassen, weil er sich sonst aufgehängt hat, hier log:

All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\jdiNQqhyasYS.exe deleted successfully.
C:\Dokumente und Einstellungen\MSIu100\Startmenü\Programme\Autostart\Socialbox.lnk moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\SpyHunter Security Suite deleted successfully.
C:\Programme\Enigma Software Group\SpyHunter\SpyHunter4.exe moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 592012 bytes
->Temporary Internet Files folder emptied: 160341 bytes
->Flash cache emptied: 57104 bytes

User: All Users

User: Ben
->Temp folder emptied: 4147024 bytes
->Temporary Internet Files folder emptied: 16295705 bytes
->FireFox cache emptied: 109414310 bytes
->Flash cache emptied: 58339 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 56468 bytes

User: Gast
->Temp folder emptied: 947732 bytes
->Temporary Internet Files folder emptied: 279610 bytes
->Flash cache emptied: 56468 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 2072903 bytes
->Java cache emptied: 12 bytes
->Flash cache emptied: 727 bytes

User: MSIu100
->Temp folder emptied: 365175373 bytes
->Temporary Internet Files folder emptied: 19408484 bytes
->Java cache emptied: 13620 bytes
->FireFox cache emptied: 50460126 bytes
->Flash cache emptied: 2899377 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 683720 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2532584 bytes
%systemroot%\System32 .tmp files removed: 2833287 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 85866831 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 633,00 mb


OTL by OldTimer - Version 3.2.31.0 log created on 01022005_200159

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

MBR ist grnicht erst gestartet... auch nich im abgesicherten modus.

Gmer hab ich gleich im abgesicherten laufen lassen, hier log:

GMER Logfile:

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2005-01-02 20:46:09
Windows 5.1.2600 Service Pack 3 
Running: iutpqt3c.exe; Driver: C:\DOKUME~1\MSIu100\LOKALE~1\Temp\uxtdypob.sys


---- Registry - GMER 1.0.15 ----

Reg  HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\0009dd600156 (not active ControlSet)  

---- EOF - GMER 1.0.15 ----
         

--- --- ---


und jetzt ?

danke für die hilfe !!

Hi,

Dein Freun das Rootkit verhinder den Start der Anwendugnen die ihm gefährlich werden könnten...

Probieren wir mal RKILL...

Lade Dir RKILL auf den Desktop (http://download.bleepingcomputer.com/grinler/rkill.exe (exe) oder http://download.bleepingcomputer.com/grinler/rkill.scr (scr))

• Starte durch Doppelklick das Programm, WIN7/Vista-User als Admin ausführen (Rechtsklick und Admin)

• Es öffnet sich ein Consolenfenster, nicht unternehmen

• Nach erfolgreichem Lauf öffnet sich ein Fenster mit einem Log, das abkopieren und hier posten

• Achtung: Falls sich von Scare/Fake-Ware ein Fenster öffnet und die Ausführung verhindern will, das Fenster stehen lassen und RKILL nochmal starten

Dann MBRcheck und TDSS...

Plan B wäre ein Versuch mit Hitmann, bevor wir zum Scannen von außen übergehen...

Hitman
Lade Dir die passende Version von Hitman runter (32/64Bit), laufen lassen und Log posten.
Downloads - SurfRight

chris

Hi,
nach rKil funktionierte MBR und TDSS immer noch nicht, auch nicht im abgesicherten modus.

Ich hab Hitman laufen lassen, ich brauche aber die vollversion um die daten zu löschen und um an einem brauchbaren log zu kommen.

Es hat einige cookies gefunden und auch ein paar programme.

Soll ich die jetzt alle manuel löschen ?

Lg


hab den free key gefunden ^^

also..

ich hab Hitmann durchlaufen lassen und die sachen löschen lassen bzw. ein bootkit ersetzen lassen, danach wurden keine gefählichen komponenten mehr gefunden.

Ich habe auch MBR durchlaufen lassen, hier log:

aswMBR version 0.9.9.1123 Copyright(c) 2011 AVAST Software
Run date: 2011-12-30 12:39:07
-----------------------------
12:39:07.109 OS Version: Windows 5.1.2600 Service Pack 3
12:39:07.109 Number of processors: 2 586 0x1C02
12:39:07.109 ComputerName: SILVA UserName:
12:39:07.437 Initialize success
12:39:27.453 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0
12:39:27.453 Disk 0 Vendor: WDC_WD16 11.0 Size: 152627MB BusType: 3
12:39:27.468 Disk 0 MBR read successfully
12:39:27.468 Disk 0 MBR scan
12:39:27.468 Disk 0 Windows XP default MBR code
12:39:27.484 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 39997 MB offset 63
12:39:27.484 Disk 0 Partition - 00 0F Extended LBA 112619 MB offset 81915435
12:39:27.484 Disk 0 Partition 2 00 07 HPFS/NTFS NTFS 112619 MB offset 81915498
12:39:27.500 Disk 0 scanning sectors +312560640
12:39:27.578 Disk 0 scanning C:\WINDOWS\system32\drivers
12:39:37.078 Service scanning
12:39:38.484 Modules scanning
12:39:43.125 Disk 0 trace - called modules:
12:39:43.156 ntkrnlpa.exe CLASSPNP.SYS disk.sys iaStor.sys hal.dll
12:39:43.703 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8600f678]
12:39:43.718 3 CLASSPNP.SYS[f7633fd7] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-0[0x86581030]
12:39:43.718 Scan finished successfully
12:40:07.000 Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\MSIu100\Desktop\MBR.dat"
12:40:07.046 The log file has been saved successfully to "C:\Dokumente und Einstellungen\MSIu100\Desktop\aswMBR2.txt"


Danach auch noch TDSSKiller, nix gefunden.

Kann ich jetzt davon ausgehen das der virus entfernt wurde ?

Vielen dank für die hilfe !!!!

Hi,

lass noch bitte den killer von der Leine, da auch Treiber infiziert sein können!

Zusätzlich:

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

chris

Also,

ich hab Malware laufen lassen hier log:

Malwarebytes Anti-Malware (Test) 1.60.0.1800
www.malwarebytes.org

Datenbank Version: v2011.12.31.03

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
MSIu100 :: SILVA [Administrator]

Schutz: Aktiviert

31.12.2011 10:28:27
mbam-log-2011-12-31 (10-28-27).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 260497
Laufzeit: 59 Minute(n), 18 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\System Volume Information\_restore{9E6243D4-C0C6-4C79-8601-D4440D8BF0EC}\RP340\A0090005.exe (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\System Volume Information\_restore{9E6243D4-C0C6-4C79-8601-D4440D8BF0EC}\RP340\A0090006.exe (PUP.Adware.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Hi,

Systemwiederherstellung löschen
Vista etc.:
Computer->rechts anklicken->Eingenschaften->Computerschutz->Alle Häkchen an den Festplatten entfernen->Übernehmen->Ok & neue Booten;
Dann das gleiche nur diesmal für das Laufwerk auf dem Windows liegt anhaken->Übernehmen->Erstellen und den Anweisungen folgen

BSI-Faltblattt (https://www.bsi.bund.de/cln_134/Cont...irenundCo.html) und dort unter Viren entfernen
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt:

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

ESET Online Scanner (http://www.eset.com/onlinescan/)

Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
Button "ESET Online Scanner" drücken.
Firefox-User müssen ein zusätzliches Addon (esetsmartinstaller_enu.exe) installieren.
Das Firefox-Addon auf dem Desktop speichern und dann installieren.
IE-User müssen das Installieren eines ActiveX Elements erlauben.
Einen Haken bei "Remove found threads" und "Scan archives" machen.
Start drücken.
Der Scan beginnt automatisch.
Finish drücken.
Browser schließen.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
Logfile hier posten.
Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset
IE-User zusätzlich: mit HJT folgenden Eintrag fixen:
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control)

chris
Mir gefällt die Umleitung nicht (Device\Ide\IAAStorageDevice-0[0x86581030]), Killer und mbrcheck finden nichts, daher:
aswMBR
Von http://filepony.de/download-aswmbr/ die aswMBR.exe runterladen und auf dem Desktop speichern.

• Doppelklick auf die aswMBR.exe.

• Scan-Button anklicken

• Bootsectoren (MBR) etc. werden nun untersucht.....

• Log speichern und im Thread posten