hey,
ich habe scheinbar einen Virus/Trojaner, oder irgendetwas in der art, was hier im forum schon bekannt ist.
allerdings soll man ja immer individuell alles beschreiben und keine lösungen aus anderen threads nehmen.

ich habe windows XP SP3

vorhin bekam ich plötzlich ca 15 Fehlermeldungen. Diese Fehlermeldungen kommen alle 10 - 15 Minuten wieder. ,, Failed to save all the components for the file \\System32\\00003a9e, The file is corrupted or unreadable´´. This error may be caused by a PC hardware problem.

Ich hab mich bei google auf die Suche gemacht und auch relativ viel gefunden.
Ich hab mit unhide.exe erstmal alles wieder sichtbar gemacht.
außerdem befinde ich mich zurzeit im abgesicherten modus, da mir die fehlermeldungen auf die nerven gingen und ich dachte, dass ich so besser gegen die malware angehen kann.
also dateien sind sichtbar, ich hatte auch mit Malwarebytes einen full scan begonnen, aber erstens hat er mir ständig fehlermeldungen gegeben, sodass ich Malwarebytes nicht aktualisieren konnte und zweitens ist er nach 20 min einfach ausgegangen.

nun meine frage, was kann ich tun, dass der rechner so schnell wie möglich wieder funktioniert?

da ich sehe, dass gerade viele leute hier threads eröffnen, werde nochmals versuchen Malwarebytes durchlaufen zu lassen.

ich danke sehr für die hilfe.

lg

ich merke gerade, dass Malwarebytes nur im hintergrund lief.
ich werde den log auf jeden fall speichern. wenn ihr ihn braucht, dann sagt mir bescheid.

Defogger habe ich gestartet und die emulationen deaktiviert.
DDS lief auch durch und ich habe die logs gespeichert.

Log Datei von malwarebytes:

Malwarebytes Anti-Malware (Test) 1.60.1.1000
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: v2012.01.13.04

Windows XP Service Pack 3 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 8.0.6001.18702
Mustermann.Hans :: DDEZ5057 [Administrator]

Schutz: Deaktiviert

14.02.2012 12:28:35
mbam-log-2012-02-14 (13-15-20).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 337263
Laufzeit: 38 Minute(n), 57 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 7
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowControlPanel (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowHelp (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowRun (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Policies\Microsoft\Internet Explorer\control panel|HomePage (PUM.Hijack.HomePageControl) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
D:\System Volume Information\_restore{88ABCDB7-EBEA-4614-B8F3-91162EAED2E5}\RP215\A0025826.exe (PUP.BundleOffer.Downloader.S) -> Keine Aktion durchgeführt.
D:\System Volume Information\_restore{88ABCDB7-EBEA-4614-B8F3-91162EAED2E5}\RP215\A0025827.exe (PUP.BundleOffer.Downloader.S) -> Keine Aktion durchgeführt.

(Ende)

Hi,

alles löschen lassen und en OTL-Log posten...

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe

• Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen

• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output

• Unter Extra Registry, wähle bitte Use SafeList

• Klicke nun auf Run Scan links oben

• Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)

• Poste die Logfiles hier in den Thread

chris

Log entfernt

Logfile extras.txt

Hi,

aufgrund der installierten SW gehe ich mal von einem Geschäftsrechner aus (Citrix, Empirium), das sollte eigentlich der SysAdmin lösen ... ;o)...
Keine Garantie, dass danach noch alles läuft...

Fix für OTL:

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [RhXKiTAQTdkfUsv.exe] D:\Documents and Settings\All Users\Application Data\RhXKiTAQTdkfUsv.exe (Mioft)
[2012.02.14 11:53:46 | 000,000,857 | ---- | M] () -- D:\Documents and Settings\*****\Application Data\Microsoft\Internet Explorer\Quick Launch\System Check.lnk
[2012.02.14 11:53:46 | 000,000,839 | ---- | M] () -- D:\Documents and Settings\*****\Desktop\System Check.lnk
[2012.02.14 11:53:46 | 000,000,304 | ---- | M] () -- D:\Documents and Settings\All Users\Application Data\~CdS1sxccxg3Bdt
[2012.02.14 11:53:46 | 000,000,208 | ---- | M] () -- D:\Documents and Settings\All Users\Application Data\~CdS1sxccxg3Bdtr
[2012.02.14 11:53:06 | 000,000,344 | ---- | M] () -- D:\Documents and Settings\All Users\Application Data\CdS1sxccxg3Bdt
[2012.02.14 11:52:51 | 000,355,840 | ---- | M] (Mioft) -- D:\Documents and Settings\All Users\Application Data\CdS1sxccxg3Bdt.exe
[2012.02.14 11:43:39 | 000,449,024 | ---- | M] (Mioft) -- D:\Documents and Settings\All Users\Application Data\RhXKiTAQTdkfUsv.exe

:Commands
[emptytemp]
[Reboot]
         

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL

Superantispyware (SASW):
http://www.trojaner-board.de/51871-a...tispyware.html

TDSS-Killer
Download und Anweisung unter: Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft?
Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)!
Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe.
Nach dem Start erscheint ein Fenster, dort dann "Start Scan".
Wenn der Scan fertig ist bitte "Report" anwählen. Es öffnet sich ein Fenster, den Text abkopieren und hier posten...

chris

ich hab nun den FIX in OTL eingetragen und durchlaufen lassen.
als es fertig war, kam nur eine meldung zum computer neu starten.

RESULTS:

All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\RhXKiTAQTdkfUsv.exe deleted successfully.
D:\Documents and Settings\All Users\Application Data\RhXKiTAQTdkfUsv.exe moved successfully.
D:\Documents and Settings\*****\Application Data\Microsoft\Internet Explorer\Quick Launch\System Check.lnk moved successfully.
D:\Documents and Settings\*****\Desktop\System Check.lnk moved successfully.
D:\Documents and Settings\All Users\Application Data\~CdS1sxccxg3Bdt moved successfully.
D:\Documents and Settings\All Users\Application Data\~CdS1sxccxg3Bdtr moved successfully.
D:\Documents and Settings\All Users\Application Data\CdS1sxccxg3Bdt moved successfully.
D:\Documents and Settings\All Users\Application Data\CdS1sxccxg3Bdt.exe moved successfully.
File D:\Documents and Settings\All Users\Application Data\RhXKiTAQTdkfUsv.exe not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 669852 bytes
->Temporary Internet Files folder emptied: 1247006 bytes

User: All Users

User: blabla->Temp folder emptied: 36331290 bytes
->Temporary Internet Files folder emptied: 83781 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: E->Temp folder emptied: 46812332 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: ffhhfh->Temp folder emptied: 119190516 bytes
->Temporary Internet Files folder emptied: 39444734 bytes
->Java cache emptied: 2382504 bytes
->FireFox cache emptied: 1092195763 bytes
->Flash cache emptied: 3277476 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: jfhfhjfhfh
->Temp folder emptied: 835780 bytes
->Temporary Internet Files folder emptied: 2116098 bytes
->Flash cache emptied: 3260728 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 49505 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 100788952 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 105661178 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 49554 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 1.483,00 mb


OTL by OldTimer - Version 3.2.31.0 log created on 02142012_140314




naja jedenfalls läuft jetzt der superantispywarescan.
den log davon poste ich, wenn er fertig ist.

viel dank auf jeden fall.

Hi,

das OTL-Log findest Du unter C:\_OTL, bitte posten...

chris

schon geschehen. hatte es doch noch gefunden und meinen letzten beitrag editiert. sry

Tdss logfile

SUPERANTISPAYWARE LOG

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 02/14/2012 at 02:55 PM

Application Version : 5.0.1144

Core Rules Database Version : 8237
Trace Rules Database Version: 6049

Scan type : Complete Scan
Total Scan Time : 00:38:06

Operating System Information
Windows XP Professional 32-bit, Service Pack 3 (Build 5.01.2600)
Administrator

Memory items scanned : 311
Memory threats detected : 0
Registry items scanned : 35108
Registry threats detected : 0
File items scanned : 81066
File threats detected : 17

Trojan.Agent/Gen-Poison
D:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\XENOCODE\SANDBOX\MPPWT\1.02\2010.09.15T11.51\NATIVE\STUBEXE\@SYSTEM@\CMD.EXE
D:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\XENOCODE\SANDBOX\MPPWT\1.02\2010.09.15T11.51\NATIVE\STUBEXE\@SYSTEM@\SECEDIT.EXE
D:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\XENOCODE\SANDBOX\MPPWT\1.02\2010.09.15T11.51\VIRTUAL\STUBEXE\@PROGRAMFILES@\ADMINPASSWORTCHANGE\CUSRMGR.EXE
D:\DOCUMENTS AND SETTINGS\EMPIRUMAGENT3\LOCAL SETTINGS\APPLICATION DATA\XENOCODE\SANDBOX\MPPWT\1.02\2010.09.15T11.51\NATIVE\STUBEXE\@SYSTEM@\CMD.EXE
D:\DOCUMENTS AND SETTINGS\EMPIRUMAGENT3\LOCAL SETTINGS\APPLICATION DATA\XENOCODE\SANDBOX\MPPWT\1.02\2010.09.15T11.51\NATIVE\STUBEXE\@SYSTEM@\SECEDIT.EXE
D:\DOCUMENTS AND SETTINGS\EMPIRUMAGENT3\LOCAL SETTINGS\APPLICATION DATA\XENOCODE\SANDBOX\MPPWT\1.02\2010.09.15T11.51\VIRTUAL\STUBEXE\@PROGRAMFILES@\ADMINPASSWORTCHANGE\CUSRMGR.EXE
D:\DOCUMENTS AND SETTINGS\EWALD.RON\LOCAL SETTINGS\APPLICATION DATA\MPPWT\NATIVE\STUBEXE\@SYSTEM@\CMD.EXE
D:\DOCUMENTS AND SETTINGS\EWALD.RON\LOCAL SETTINGS\APPLICATION DATA\MPPWT\NATIVE\STUBEXE\@SYSTEM@\SECEDIT.EXE
D:\DOCUMENTS AND SETTINGS\EWALD.RON\LOCAL SETTINGS\APPLICATION DATA\XENOCODE\SANDBOX\MPPWT\1.02\2010.09.15T11.51\NATIVE\STUBEXE\@SYSTEM@\CMD.EXE
D:\DOCUMENTS AND SETTINGS\EWALD.RON\LOCAL SETTINGS\APPLICATION DATA\XENOCODE\SANDBOX\MPPWT\1.02\2010.09.15T11.51\NATIVE\STUBEXE\@SYSTEM@\SECEDIT.EXE
D:\DOCUMENTS AND SETTINGS\EWALD.RON\LOCAL SETTINGS\APPLICATION DATA\XENOCODE\SANDBOX\MPPWT\1.02\2010.09.15T11.51\VIRTUAL\STUBEXE\@PROGRAMFILES@\ADMINPASSWORTCHANGE\CUSRMGR.EXE

PotentiallyUnwanted.SoftonicDownloader
D:\SYSTEM VOLUME INFORMATION\_RESTORE{88ABCDB7-EBEA-4614-B8F3-91162EAED2E5}\RP215\A0025826.EXE
D:\SYSTEM VOLUME INFORMATION\_RESTORE{88ABCDB7-EBEA-4614-B8F3-91162EAED2E5}\RP215\A0025827.EXE

Trojan.Agent/Gen-RogueAntiSpy
D:\_OTL\MOVEDFILES\02142012_140314\D_DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\CDS1SXCCXG3BDT.EXE

Trojan.Agent/Gen-FakeAV
D:\_OTL\MOVEDFILES\02142012_140314\D_DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\RHXKITAQTDKFUSV.EXE

Rootkit.Agent/Gen-DNSHack
C:\WXPPINST\NGFIEPROXY\PROXYIEI.EXE
C:\WXPPINST\NGFIEPROXY\STARTIE.EXE

Hi,

alle löschen lassen (Ausnahme siehe unten), was Du in der Sandbox hast musst Du wissen;

Das hier würde ich bei virustotal prüfen lassen:
Dateien Online überprüfen lassen

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\WXPPINST\NGFIEPROXY\PROXYIEI.EXE
C:\WXPPINST\NGFIEPROXY\STARTIE.EXE
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Und dann ggf. löschen lassen; Wenn es allerdings wirklich ein Rookit ist, müssen wir weiter machen...

Systemwiederherstellung löschen
Alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt:

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

Gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html
Den Downloadlink findest Du links oben (GMER - Rootkit Detector and Remover), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. Stürzt GMER ab, bitte im abgesicherten Modus (F8 beim Booten)

chris

verdammt... die beiden dateien:
C:\WXPPINST\NGFIEPROXY\PROXYIEI.EXE
C:\WXPPINST\NGFIEPROXY\STARTIE.EXE

sind scheinbar geflogen.. als ich den scan abgeschlossen habe, hat er gefragt, was ich damit machen will. da stand, dass empfohlen wird sie zu entfernen.
da ich an den log wollte, um ihn zu posten habe ich sie scheinbar entfernt.
ich weiß, dass ich alle dateien, die er als malware gekennzeichnet hat, entfernt habe.


ich kann das GMER leider erst morgen durchlaufen lassen.
bis dahin bleibt der rechner aber aus.
danke für alles. ich melde mich dann mit dem log noch einmal.

Hi,

schau mal in der Quarantäne von SUPERAntiSpyware nach...
Nur aufpassen, dass Du die Teile nach der Wiederherstellung nicht versehentlich ausführst...

Es gibt leider sichere als auch malware mit dem Namen...

chris

also, in antispyware ist die quarantäne leer. er hat sie in einem prozess dahin verschoben und sie dann gelöscht.

hier noch der log von GMER

GMER Logfile: