Guten Tag zusammen,

wiedermal ein Virenbefall auf dem Rechner eines Freundes, den ich entfernen soll. Ich sehe zwar schon einige Posts zum Thema, aber da ihr ratet, immer einen eigenen zu erstellen, will ich das auch tun. Aufmerksam wurde mein Bekannter durch eine E-Mail von 1&1 mit dem Hinweis auf Torpig.

PC zeigt einige Auffälligkeiten, die teilweise schon wieder funktionieren: Antivir ausgeschaltet, kein WindowsUpdate möglich, neue Hardware wird nicht erkannt ...

Zuerst habe ich mit TDSS 2 Versuche gestartet. Damit konnte Sinowal.knf entfernt werden; ZAccess.f in serial.sys und PMax.gen in 3700555676:1660972579.exe dagegen auch beim 2. Versuch nicht.

Weiter mit defogger (keine Aufforderung zum Neustart); OTL: nur otl.txt erstellt; Gmer hat sich beim Scan verabschiedet.

Wie geht's jetzt weiter?

Gruß Riddle

Hi,

das kann heiter werden, interessante Kombination...

Fangen wir mit Hitman mal an....
Hitman
Lade Dir die passende Version von Hitman runter (32/64Bit), laufen lassen und Log posten.
Downloads - SurfRight

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet!

Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß!

Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

chris

Hallo Chris,

schön, dass ich Dir so eine interessante Kombination bieten kann ... Mir wär's anders lieber!

Rückfrage zu Hitman: hat (wenn ich richtig gezählt habe) 15 Trojans gefunden, in unterschiedlich wichtigen (System-)Dateien. Soll ich die gleich entfernen/reparieren lassen? Du wolltest ja eigentlich nur die Log. Programm bietet nur Next und Chancel.

Hi,

lass ihn von der Leine...
Das Problem bei den teilen, sie überschreiben dir Systemtreiber... und irgendwann mal den falschen... außerdem hinterlassen sie ein Programm was den gelöschten Rootkit wieder installiert, falls er erwischt wurde...
Daher ist das Ganze ein ziemlich häßliches Spiel (wenn nicht alles auf einmal erwischt wird)...
Direkt danach gleich combofix...

chris

Sieht leider nicht gut aus. Würde dennoch Neuinstallation gerne vermeiden.

Habe offensichtlich beim 1. Durchlauf von Hitman einen Fehler gemacht, da wie in einer Schleife immer wieder eine Meldung der Datenausführungsverhinderung zu WindowsUpdate kam. Daraufhin hatte ich Hitman abgebrochen. Bei einem 2. Start wurde dann zwar weniger gefunden, Screenshot anbei, dafür klappt die Entfernung nicht.

Combofix ist immerhin durchgelaufen. Hitman zeigt momentan nur noch 2 Einträge und zwar die beiden Search*.exe. Wie weiter?

Hi,

Hitman lief vor CF, richtig?
CF hat die Sachen gekillt bzw. wiederhergestellt, lass jetzt hitman nochmal laufen!

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

chris

Zitat:

Hitman lief vor CF, richtig?
CF hat die Sachen gekillt bzw. wiederhergestellt, lass jetzt hitman nochmal laufen!

Hitman lief 1 x vor und 1 x nach CF. Beim Scan danach waren immer noch die beiden Search*.exe, s. Anhang im vorgehenden Post. Das Entfernen gelingt Hitman nicht. Mache jetzt mit mbam weiter.

Hi,

d.h. searchindexer und searchprotokolhost.exe?
Mal sehen ob MAM sie schaft, sonst probieren wir es mit OTL... wenn das allerdings die Droper sind, die den Rootkit wiederherstellen, dann haben wir bereits schon verloren...

Lass die Dateien bei Virustotal.com prüfen wähernd MAM läuft:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

searchindexer.exe
searchprotokolhost.exe
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag

chris

Hier schon mal die Ergebnisse von Virustotal. Mbam scant noch.

Hi,

oha, was die an Libs/Funktion anziehen... die sollte MAM eigentlich finden, ob er sie eleminieren kann ist die andere Sache...

Für den Notfall hier ein CF-Script, was die Entfernung fehlschlägt...

Combofix scripten
Den folgenden Text in den Editor (Start -> Zubehör -> Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop ablegen.
Gib an "Alle Dateien" - Speichern:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

RootKit::
C:\windows\system32\searchindexer.exe
C:\windows\system32\searchprotocolhost.exe

ClearJavaCache::
         

Löscht den Javacache
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.




6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

chris

Mbam.log angehängt. Alle Funde scheinen sich in der Systemwiederherstellung zu befinden. Die beiden Search*Dateien waren allerdings, soweit ich sehe, nicht dabei. Daher habe ich CF mit dem Script gestartet. Allerdings kam CF nicht über die ersten 3 Infozeilen nicht hinaus, der Rechner scheint zu stehen. Und jetzt?

Hi,

Rechner per hand neu booten, wenn sich auch auf der Festplatte nichts mehr tut... hartnäckig...

Cureit aber am Besten gleich von der CD...
Dr. Web-Live-CD
Lade Dir das Abbild (Dr.Web CureIt! —) runter (jeweils die neuste Version, z. Z. http://download.geo.drweb.com/pub/dr...livecd-600.iso) und brenne es auf CD/DVD. Stelle dann im BIOS die Bootreihenfolge um (zuerst von CD booten), boote dann von der erstellten CD und starte Dr. Web Live CD (default). Lass dann alle Festplatten untersuchen...
Bei Funden bitte Name und Pfad notieren, bevor du sie von Dr. Web beseitigen lässt...
Weiter Anweisungen: Dr.Web CureIt! —
Am Besten heute noch, dann kannst Du ihn über Nacht laufen lassen...
chris

Hi Chris,

mache mich gleich ans Werk. Bericht gibt's dann morgen. Möchte mich an dieser Stelle schon einmal für Deine Hilfe bedanken.

Gruß Riddle

PS: Möchte nicht dumm sterben, was ist damit gemeint?

Zitat:

oha, was die an Libs/Funktion anziehen...

Hi,

beide Dateieen gehören zu Windows und werden durch dieses geschützt, sind also nicht einfach austauschbar/löschbar...

chris

Hallo Chris,

melde mich zurück ... Dr. Web hatte Etliches gefunden (Trojan.Starter.1695 und BackDoor.Maxplus.24) und offensichtlich entfernt. Ein 2. Durchlauf heute zeigt keine Funde mehr. Licht am Ende des Tunnels???
Was muss ich jetzt noch prüfen?

Gruß Riddle