Hallo Ihr Cracks,

bisher konnte ich alle Infektionen dank dieses Superboards nur durch nachlesen reparieren. Danke. Aber heute hat eine Freundin mir ein System gezeigt, wo ich mit nicht ohne Hilfe dran will. Der Rechner kommt aus der Schweiz, als letztes wollte der Admin Kapersky Anti Virus installieren, bricht jedesmal mit Fatalem Error ab. Dann hat er Malwarebytes und Emisoft Anti malware installiert, dabei wurden wohl einige Funde gemacht, danach hat er aber beide Programme wieder deinstalliert, versucht Kaspersky zu instalieren > Fateler Error.

Ich habe jetzt einen Quickscan mit OTL gemacht, Text unten.

Danach GMER gestartet, bringt aber nur Fehlermeldungen:
1. ....\system32\config\system
Das System kann di angegebene Datei nicht finden.

2. .....users\admin\nt.user.dat
der Prozess kann nicht zugreifen, da von einem anderen Prozess benutzt.

Wie kann ich jetzt weitere Info ziehen?
Im Voraus vielen Dank.

Hallo Cracks,

nachdem ich GMER starten konnte, hier das Log:

GMER Logfile:

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-08-15 08:56:46
Windows 6.1.7601 Service Pack 1 
Running: q9vqxdem.exe


---- Services - GMER 1.0.15 ----

Service  C:\SystemRoot\System32\Drivers\ea457e6e44a65518.sys (*** hidden *** )  [BOOT] ea457e6e44a65518                             <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg      HKLM\SYSTEM\CurrentControlSet\services\ea457e6e44a65518@ImagePath      \SystemRoot\System32\Drivers\ea457e6e44a65518.sys
Reg      HKLM\SYSTEM\CurrentControlSet\services\ea457e6e44a65518@Group          Boot Bus Extender
Reg      HKLM\SYSTEM\CurrentControlSet\services\ea457e6e44a65518@ErrorControl   0
Reg      HKLM\SYSTEM\CurrentControlSet\services\ea457e6e44a65518@Type           1
Reg      HKLM\SYSTEM\CurrentControlSet\services\ea457e6e44a65518@Start          0
Reg      HKLM\SYSTEM\CurrentControlSet\services\ea457e6e44a65518@Tag            1
Reg      HKLM\SYSTEM\CurrentControlSet\services\ea457e6e44a65518@DisplayName    lapqeteazore.exe
Reg      HKLM\SYSTEM\ControlSet002\services\ea457e6e44a65518@ImagePath          \SystemRoot\System32\Drivers\ea457e6e44a65518.sys
Reg      HKLM\SYSTEM\ControlSet002\services\ea457e6e44a65518@Group              Boot Bus Extender
Reg      HKLM\SYSTEM\ControlSet002\services\ea457e6e44a65518@ErrorControl       0
Reg      HKLM\SYSTEM\ControlSet002\services\ea457e6e44a65518@Type               1
Reg      HKLM\SYSTEM\ControlSet002\services\ea457e6e44a65518@Start              0
Reg      HKLM\SYSTEM\ControlSet002\services\ea457e6e44a65518@Tag                1
Reg      HKLM\SYSTEM\ControlSet002\services\ea457e6e44a65518@DisplayName        lapqeteazore.exe

---- EOF - GMER 1.0.15 ----
         

--- --- ---


Für eine Antwort bin ich dankbar.
hilab

Hallo Cracks,
habe jetzt mal aswMBR scannen lassen, hier das LOG:

Code: Alles auswählenAufklappen

ATTFilter

 aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-08-15 09:13:42
-----------------------------
09:13:42.851    OS Version: Windows x64 6.1.7601 Service Pack 1
09:13:42.851    Number of processors: 12 586 0x2C02
09:13:42.851    ComputerName: xxxx  UserName: xxxx
09:13:42.991    Initialze error C0000001 - driver not loaded
09:13:51.068    Service scanning
09:13:51.863    Service ea457e6e44a65518 C:\Windows\System32\Drivers\ea457e6e44a65518.sys **HIDDEN**
09:13:52.238    Service MSICDSetup D:\CDriver64.sys **LOCKED** 21
09:13:53.595    Modules scanning
09:13:53.595    Disk 0 trace - called modules:
09:13:53.595    
09:13:53.595    Scan finished successfully
09:14:45.247    The log file has been saved successfully to "H:\aswMBRLog.txt"
         

Warum wurde der Treiber nicht geladen, und trotzdem etwas gefunden?

Danke im Voraus
hilab

Zitat:

Dann hat er Malwarebytes und Emisoft Anti malware installiert, dabei wurden wohl einige Funde gemacht, danach hat er aber beide Programme wieder deinstalliert,

Sind die Logs noch da?

Schau mal nach ob die Logs noch hier zu sehen sind in Form von Textdateien. Damit du die Ordner auch siehst das hier VORHER umsetzen!! => http://www.trojaner-board.de/59624-a...-sichtbar.html

Hauptlogs nach Scans (Quick, Full oder Flash):

• XP:
  C:\Dokumente und Einstellungen\(USER)\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\Logs\mbam-log-yyyy-mm-dd.txt
  
  
• Vista, Windows 7, 2008:
  C:\Users\(USER)\AppData\Roaming\Malwarebytes\Malwarebytes' Anti-Malware\Logs\mbam-log-yyyy-mm-dd.txt

Hallo cosinus,

danke für Deine Antwort. Habe den Rechner nach den Log durchsucht, und eine Emisoft logdatei in dem Dukomentenordner gefunden:

Code: Alles auswählenAufklappen

ATTFilter

 Emsisoft Anti-Malware - Version 6.6
Letztes Update: 10.08.2012 13:09:22

Scan Einstellungen:

Scan Methode: Detail Scan
Objekte: Rootkits, Speicher, Traces, C:\, F:\, G:\
Archiv Scan: An
ADS Scan: An

Scan Beginn:	10.08.2012 13:09:32

C:\Windows\Installer\{b8b4be96-c137-6ce9-e933-0c4ed1107d1c}\U\00000001.@ 	gefunden: Trojan.Crypt.EFC!E2
C:\Users\Admin\AppData\Local\Temp\4302109\bases\arkmon.kdl 	gefunden: Virus.Win32.Malware!E2

Gescannt	858411
Gefunden	2

Scan Ende:	10.08.2012 14:39:04
Scan Zeit:	1:29:32

C:\Users\Admin\AppData\Local\Temp\4302109\bases\arkmon.kdl	Quarantäne Virus.Win32.Malware!E2
C:\Windows\Installer\{b8b4be96-c137-6ce9-e933-0c4ed1107d1c}\U\00000001.@	Quarantäne Trojan.Crypt.EFC!E2

Quarantäne	2
         

und auch einen Malwarebytes Log:

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.10.03

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Admin :: xxxx [Administrator]

Schutz: Deaktiviert

10.08.2012 11:10:24
mbam-log-2012-08-10 (11-10-24).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|F:\|G:\|H:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 581364
Laufzeit: 29 Minute(n), 34 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Regedit32 (Trojan.Agent) -> Daten: C:\Windows\system32\regedit.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Windows\System32\regedit.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

Am Samstag habe mal das TDSS rootkit removing tool über den Rechner laufen lassen: Hier das lange LOG, am Ende stehen 10 Fünde von nichtsignierten Dateien, ich habe nichts gelöscht:

Zu Groß, habs unten angehängt.

Und heute morgen habe ich dann das Sophos Virus Rmoval Tool angeschmissen. Es hat mir ebenfalls die 10 unsignierten Dateien aber auch noch eine Datei mit Zahlenfolge als Namen als Lapqeteazore.exe indetifiziert.

Es gab nur die Wahl zwischen skip und löschen. Da ich bis dahin noch keine Nachricht vom Board hatte, habe ich Sie gelöscht. Es gab in dem Tool keine Möglichkeit ein Log zu sichern.

Habe das Tool dann nochmal laufen lassen, als ich eben kam, meldete er Your Computer is clean; DAS ICH NICHT LACHE.

Ich könnte ja mal Versuchen Kapersky Anti Virus zu Installieren, warte aber jetzt erstmal auf Deine Antwort.

Gruß und Danke
hilab

Log von Sophos und TDSS-Killer fehlen
Bitte keine solchen Tools mehr ohne Absprache benutzen

Hallo Cosinus,

war ein paar Tage offline, danke für die Antwort. Habe dass Log von TDSS-Killer zwar hochgeladen, ist aber scheinbar nicht angekommen. Bin heute nachmittag wahrscheinlich beim Patienten, und schick die Datei dann.

Habe aber noch am Mittwoch kapersky installiert, und es hat ohne Probleme gefunzt. Habe einen Vollscan angeworfen, bin mal gespannt, was da rausgekommen ist. Spannender ist, das Heute eine gespiegelte Maschine aus der Schweiz kommt, auf der noch nicht rumgebastelt wurde. Ich interessiere mich nämlich für die Herkunft der Plagerei.

Werde den Rechner ohne Netz mal booten und dann berichten.
Danke auch für die weitere Hilfe.

hilab

Bei einem Patienten? Ist das ein Büro- bzw. Arztpraxis-PC?