Hallo zusammen,

habe hier den Laptop meiner Tante, der wohl Besuch von diversen unerwünschten Viechern hat.
Habe, dem Leitfaden entsprechend, nur die Programme durchlaufen lassen, aber nix gelöscht. Die Logs finden sich im Anhang. Das GMER Log will sich nicht anhängen lassen, deswegen hier:

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-07-08 22:37:33
Windows 5.1.2600 Service Pack 3 
Running: buxzx9pp.exe


---- Services - GMER 1.0.15 ----

Service  C:\WINDOWS\System32\Drivers\3ff9caf09a5aa14f.sys (*** hidden *** )    [BOOT] 3ff9caf09a5aa14f                             <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg      HKLM\SYSTEM\CurrentControlSet\Services\3ff9caf09a5aa14f@ImagePath     \SystemRoot\System32\Drivers\3ff9caf09a5aa14f.sys
Reg      HKLM\SYSTEM\CurrentControlSet\Services\3ff9caf09a5aa14f@Group         Boot Bus Extender
Reg      HKLM\SYSTEM\CurrentControlSet\Services\3ff9caf09a5aa14f@ErrorControl  0
Reg      HKLM\SYSTEM\CurrentControlSet\Services\3ff9caf09a5aa14f@Type          1
Reg      HKLM\SYSTEM\CurrentControlSet\Services\3ff9caf09a5aa14f@Start         0
Reg      HKLM\SYSTEM\CurrentControlSet\Services\3ff9caf09a5aa14f@Tag           1
Reg      HKLM\SYSTEM\CurrentControlSet\Services\3ff9caf09a5aa14f@DisplayName   ifywymeewb.exe
Reg      HKLM\SYSTEM\ControlSet004\Services\3ff9caf09a5aa14f@ImagePath         \SystemRoot\System32\Drivers\3ff9caf09a5aa14f.sys
Reg      HKLM\SYSTEM\ControlSet004\Services\3ff9caf09a5aa14f@Group             Boot Bus Extender
Reg      HKLM\SYSTEM\ControlSet004\Services\3ff9caf09a5aa14f@ErrorControl      0
Reg      HKLM\SYSTEM\ControlSet004\Services\3ff9caf09a5aa14f@Type              1
Reg      HKLM\SYSTEM\ControlSet004\Services\3ff9caf09a5aa14f@Start             0
Reg      HKLM\SYSTEM\ControlSet004\Services\3ff9caf09a5aa14f@Tag               1
Reg      HKLM\SYSTEM\ControlSet004\Services\3ff9caf09a5aa14f@DisplayName       ifywymeewb.exe

---- EOF - GMER 1.0.15 ----
         

Danke!

Hi,

sofort von einem sauberen Rechner aus alle Passwörter ändern, keinerlei diesbezüglich Aktivitäten von diesem Rechner aus!
Da läuft ein Banker, d.h. wir müssen eigentlich den Rechner platt machen, das hier ist nur eine notdürftige Reinigung.

Alle Funde von MAM bereinigen lassen (falls noch nicht passiert)!

Download von ComboFix auf den Desktop, aber nicht aufrufen (s. u.)
OTL Fix ausführen, offline gehen und CF im abgesicherten Modus (F8 beim Booten) laufen lassen, alle Logs posten..

Fix für OTL:

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKCU..\Run: [ifywymeewb] C:\Dokumente und Einstellungen\Christine\ifywymeewb.exe ()
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
[2012.07.06 10:45:10 | 000,066,896 | ---- | M] () -- C:\WINDOWS\System32\drivers\3ff9caf09a5aa14f.sys
[2012.07.06 10:40:44 | 000,032,768 | ---- | M] () -- C:\Dokumente und Einstellungen\***\ifywymeewb.exe

:Commands
[emptytemp]
[Reboot]
         

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.

Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß!

Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen. Das Log solltest Du unter C:\ComboFix.txt finden...

chris

So, anbei die beiden Logs. Combofix hat sich nach dem Neustart beim Erstellen des Logs aufgehangen, weiß daher nicht, ob das Log vollständig ist.

Avira läuft jedenfalls wieder und die automatische Updatefunktion ist auch wieder aktiviert.

Hi,

das CF-Log ist nicht vollständig, bitte entweder neu posten oder CF noch mal im abgesicherten Modus laufen lassen...

Poste auch ein neues GMER- und OTL-Log...

chris
Ps.: Bin ab morgen 2 Tage unterwegs u. daher schlecht/nicht zu erreichen...

Hi, hier noch das GMER und otl Log. CF wird heute abend nachgereicht, darf jetzt nochmal arbeiten gehen .

Wenn alles wieder ok ist, was kann man machen, um den PC für Nutzer mit sehr beschränkten PC Kenntnissen sicherer zu machen? Was mir als Standardnutzer in den Sinn kommt:

- Nutzerkonto mit eingeschränkten Rechten
- Statt IE Firefox mit Adblock und WOT (und NoScript?)
- ...?

Hi,

komme max. morgen Abend (spät) dazu...

Rechner absichern:

Zusätzlich zu Avira und der Windows-Firewall noch Threadfire-free Herunterladen Kostenlos).
Zum Surfen Firefox mit den PlugIns "WOT" (http://filepony.de/?q=WOT) und
"NoScript" (http://filepony.de/download-noscript//)) verwenden,
einen "Guest"-Account (keine Adminrechte! XP: (Schritt 6: Eingeschränkte Rechte für Viren - Schritt für Schritt: Windows XP absichern - CHIP Online,
Vista/Win7: Windows-7-Anleitung: Benutzerkonten anlegen und verwalten - NETZWELT) anlegen.

chris

Kein Problem, bin froh, dass überhaupt jemand hilft

Vorhin vergessen, die Logs auch tatsächlich anzuhängen...

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-07-09 16:57:58
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-e TOSHIBA_MK6034GSX rev.AH101A
Running: buxzx9pp.exe; Driver: C:\DOKUME~1\***~1\LOKALE~1\Temp\uxtdapow.sys


---- System - GMER 1.0.15 ----

SSDT    F8C8C834                                                                             ZwClose
SSDT    F8C8C7EE                                                                             ZwCreateKey
SSDT    F8C8C83E                                                                             ZwCreateSection
SSDT    F8C8C7E4                                                                             ZwCreateThread
SSDT    F8C8C7F3                                                                             ZwDeleteKey
SSDT    F8C8C7FD                                                                             ZwDeleteValueKey
SSDT    F8C8C82F                                                                             ZwDuplicateObject
SSDT    F8C8C802                                                                             ZwLoadKey
SSDT    F8C8C7D0                                                                             ZwOpenProcess
SSDT    F8C8C7D5                                                                             ZwOpenThread
SSDT    F8C8C857                                                                             ZwQueryValueKey
SSDT    F8C8C80C                                                                             ZwReplaceKey
SSDT    F8C8C848                                                                             ZwRequestWaitReplyPort
SSDT    F8C8C807                                                                             ZwRestoreKey
SSDT    F8C8C843                                                                             ZwSetContextThread
SSDT    F8C8C84D                                                                             ZwSetSecurityObject
SSDT    F8C8C7F8                                                                             ZwSetValueKey
SSDT    F8C8C852                                                                             ZwSystemDebugControl
SSDT    F8C8C7DF                                                                             ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

init    C:\WINDOWS\system32\drivers\tifm21.sys                                               entry point in "init" section [0xF7E58DBF]

---- Devices - GMER 1.0.15 ----

Device  \FileSystem\Cdfs \Cdfs                                                               tfsnifs.sys (Drive Letter Access Component/Sonic Solutions)

---- Registry - GMER 1.0.15 ----

Reg     HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout   15
Reg     HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota      10000
Reg     HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler                    yes
Reg     HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk                   
Reg     HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout   90
Reg     HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota     10000
Reg     HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@RequireSignedAppInit_DLLs  1

---- EOF - GMER 1.0.15 ----
         

Combofix mag irgendwie nicht mehr. Lief jetzt 4,5 Std., wobei der Scan nicht gestartet wurde.

Hi,

ist wieder da...

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code: Alles auswählenAufklappen

ATTFilter

:OTL

DRV - (3ff9caf09a5aa14f) -- C:\WINDOWS\System32\Drivers\3ff9caf09a5aa14f.sys File not found
O4 - HKCU..\Run: [ifywymeewb] C:\Dokumente und Einstellungen\Christine\ifywymeewb.exe File not found

:Commands
[purity]
[emptytemp]
[Reboot]
         

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL

Versuche dann mal ComboFix im normalen Modus zu starten...

Hitman
Lade Dir die passende Version von Hitman runter (32/64Bit), laufen lassen und Log posten.
ACHTUNG: Firewall muss für Hitman geöffnet sein (Zugriff unbedingt erlauben!)
Downloads - SurfRight
Für die Beseitigung kann eine temp. Lizenz (30 Tage) georderter werden (gibt dazu einen Reiter ;o)...

Wenn das nicht hilft, dann werden wir von aussen vorgehen...

chris

Hi,

Combofix läuft auch im normalen Modus nicht.
OTL hatte noch einen Fund. Dabei ist mir aufgefallen, dass ich beim ersten Lauf die *** nicht durch den Benutzernamen ersetzt hatte.
Hier das Log:

Code: Alles auswählenAufklappen

ATTFilter

All processes killed
========== OTL ==========
Service 3ff9caf09a5aa14f stopped successfully!
Service 3ff9caf09a5aa14f deleted successfully!
File  C:\WINDOWS\System32\Drivers\3ff9caf09a5aa14f.sys File not found not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\ifywymeewb deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: All Users
 
User: Christine
->Temp folder emptied: 16384 bytes
->Temporary Internet Files folder emptied: 3178820 bytes
->Flash cache emptied: 434 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33237 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 483 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 3,00 mb
 
 
OTL by OldTimer - Version 3.2.43.1 log created on 07102012_010422

Files\Folders moved on Reboot...
File\Folder C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZX0IQ6H5\imp[1].htm not found!
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\5MAXWAZW\ads[9].htm moved successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2KC8WAQ3\118920-avira-gestoppt-rootkit[2].html moved successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2KC8WAQ3\ads[3].htm moved successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2KC8WAQ3\ads[4].htm moved successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\2CEDBFBC-DBA8-43AA-B1FD-CC8E6316E3E2.dat moved successfully.

Registry entries deleted on Reboot...
         

Hitman hat nix böses gefunden. Ich wiederum finde das Log nicht. C:\Programme\HitmanPro ist leer...

Und noch ein MBAM Log. Weiß nicht, ob beide aus der OTL Quarantäne sind:

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.07.08.06

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Christine :: LAPTOP [Administrator]

Schutz: Deaktiviert

10.07.2012 18:34:35
mbam-log-2012-07-10 (20-12-39).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 272875
Laufzeit: 56 Minute(n), 1 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\Christine\ifywymeewb.exe.vir (Trojan.Phex.THAGen1) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{75D0EE5A-5C57-4245-ABC4-79F22AE2C701}\RP513\A0172716.exe (Trojan.Phex.THAGen1) -> Keine Aktion durchgeführt.

(Ende)
         

Hi,

sieht soweit gut aus...

Wir müssen die Systemwiederherstellung plätten (der zweite Fund)...

Systemwiederherstellung löschen
Vista etc.:
Computer->rechts anklicken->Eingenschaften->Computerschutz->Alle Häkchen an den Festplatten entfernen->Übernehmen->Ok & neue Booten;
Dann das gleiche nur diesmal für das Laufwerk auf dem Windows liegt anhaken->Übernehmen->Erstellen und den Anweisungen folgen

BSI-Faltblattt (https://www.bsi.bund.de/cln_134/ContentBSI/Publikationen/Faltblaetter/F24VirenundCo.html) und dort unter Viren entfernen
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt:

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

Wie verhält sich der Rechner?

chris

Hi!

War mir eigentlich sicher, gepostet zu haben, dass der Link zum BSI-Faltblatt nicht funktioniert.

Hatte nach der Löschung des Systemwiederherstellungspunktes noch ein Windows Update gemacht, woraufhin der Antivir-Schirm wieder geschlossen war. Das hat sich nach einem Neustart aber wieder auf Normalzustand geändert. Hab MBAM und OTL nochmal laufen lassen - ohne Befund. Ansonsten scheint auch alles ok zu sein.

Hi,

Ok, ändere das mal...
Dann wären wir soweit durch...

chris