Guten Tag zusammen,

wiedermal ein Virenbefall auf dem Rechner eines Freundes, den ich entfernen soll. Ich sehe zwar schon einige Posts zum Thema, aber da ihr ratet, immer einen eigenen zu erstellen, will ich das auch tun. Aufmerksam wurde mein Bekannter durch eine E-Mail von 1&1 mit dem Hinweis auf Torpig.

PC zeigt einige Auffälligkeiten, die teilweise schon wieder funktionieren: Antivir ausgeschaltet, kein WindowsUpdate möglich, neue Hardware wird nicht erkannt ...

Zuerst habe ich mit TDSS 2 Versuche gestartet. Damit konnte Sinowal.knf entfernt werden; ZAccess.f in serial.sys und PMax.gen in 3700555676:1660972579.exe dagegen auch beim 2. Versuch nicht.

Weiter mit defogger (keine Aufforderung zum Neustart); OTL: nur otl.txt erstellt; Gmer hat sich beim Scan verabschiedet.

Wie geht's jetzt weiter?

Gruß Riddle

Hi,

das kann heiter werden, interessante Kombination...

Fangen wir mit Hitman mal an....
Hitman
Lade Dir die passende Version von Hitman runter (32/64Bit), laufen lassen und Log posten.
Downloads - SurfRight

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet!

Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß!

Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

chris

Hallo Chris,

schön, dass ich Dir so eine interessante Kombination bieten kann ... Mir wär's anders lieber!

Rückfrage zu Hitman: hat (wenn ich richtig gezählt habe) 15 Trojans gefunden, in unterschiedlich wichtigen (System-)Dateien. Soll ich die gleich entfernen/reparieren lassen? Du wolltest ja eigentlich nur die Log. Programm bietet nur Next und Chancel.

Hi,

lass ihn von der Leine...
Das Problem bei den teilen, sie überschreiben dir Systemtreiber... und irgendwann mal den falschen... außerdem hinterlassen sie ein Programm was den gelöschten Rootkit wieder installiert, falls er erwischt wurde...
Daher ist das Ganze ein ziemlich häßliches Spiel (wenn nicht alles auf einmal erwischt wird)...
Direkt danach gleich combofix...

chris

Sieht leider nicht gut aus. Würde dennoch Neuinstallation gerne vermeiden.

Habe offensichtlich beim 1. Durchlauf von Hitman einen Fehler gemacht, da wie in einer Schleife immer wieder eine Meldung der Datenausführungsverhinderung zu WindowsUpdate kam. Daraufhin hatte ich Hitman abgebrochen. Bei einem 2. Start wurde dann zwar weniger gefunden, Screenshot anbei, dafür klappt die Entfernung nicht.

Combofix ist immerhin durchgelaufen. Hitman zeigt momentan nur noch 2 Einträge und zwar die beiden Search*.exe. Wie weiter?

Hi,

Hitman lief vor CF, richtig?
CF hat die Sachen gekillt bzw. wiederhergestellt, lass jetzt hitman nochmal laufen!

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

chris