|
Plagegeister aller Art und deren Bekämpfung: Malware nicht löschbar!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
23.10.2008, 06:35 | #16 |
| Malware nicht löschbar! Hi, @schaf: Hast Du das Combofix-script ausgeführt? Und kannst Du mir eine der generierten TMP-Dateien mal zukommen lassen..? chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
24.10.2008, 21:58 | #17 |
| Malware nicht löschbar! combofix hab ich laufenlassen und danach gingen die partitionen wieder! mein rechner rennt wieder wie eh und jeh - teilweise sogar schneller als vorher!
__________________welche der tmp dateien meinst du @ chris? gruß schaf PS: smithy würde glaube ich schon reichen zum entfernen! |
29.10.2008, 21:30 | #18 |
| Malware nicht löschbar! Hallo miteinander ! Dies ist das erste mal das ich mich mit dem thema trojaner und co auseinander setzen muss
__________________Also bitte ich um nachsicht für den fall das ich den einen oder anderen fehler mache. Zur Sache, so wie das aussieht habe ich mir wohl auch dieses dnschanger Problem gefangen, zudem hatte ich auch die hier beschriebenen Probleme mit den resycled ordern und boot.com. Diese habe ich soweit ich das beurteilen kann vom Rechner bekommen , mit viel lesen und Handarbeit. Jedoch bekomme ich dieses DNS Changer Problem laut Spybot Search & destroy und auch Spyware Doctor nicht in den Griff. Da brauche ich Hilfe ! Zudem habe ich heute eine "interessante" Feststellung machen müssen. Ich wollte eine CD Brennen, eine Leere CD war ja noch im Brenner. Bei Zugriff auf die CD meldet sich gleich mein anti Viren Programm ( Trend Micro Internet Security Pro ) Meldung : Infizierte Datei --> autorun.inf Name der Bedrohung : Mal Otorun2 !! Auf der eigentlich leeren CD befinden sich merkwürdiger weise die Dateien : resycled , autorun.inf . und im Ordner noch boot.com Also eines steht fest ! Ich habe diese CD nicht gebrannt ! Wie kann das sein ??? So nun zu den logs Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:12:50, on 29.10.2008 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18000) Boot mode: Normal Running processes: C:\Windows\System32\smss.exe C:\Windows\system32\csrss.exe C:\Windows\system32\wininit.exe C:\Windows\system32\csrss.exe C:\Windows\system32\services.exe C:\Windows\system32\lsass.exe C:\Windows\system32\lsm.exe C:\Windows\system32\svchost.exe C:\Windows\system32\nvvsvc.exe C:\Windows\system32\svchost.exe C:\Windows\System32\svchost.exe C:\Windows\System32\svchost.exe C:\Windows\system32\svchost.exe C:\Windows\system32\winlogon.exe C:\Windows\system32\SLsvc.exe C:\Windows\system32\svchost.exe C:\Windows\system32\svchost.exe C:\Windows\System32\spoolsv.exe C:\Windows\system32\svchost.exe C:\Windows\system32\rundll32.exe C:\Program Files\Trend Micro\BM\TMBMSRV.exe C:\Windows\system32\svchost.exe J:\Nero\Nero8\InCD\InCDsrv.exe C:\Program Files\Mamutu\a2service.exe C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe J:\Nero\Nero8\Nero BackItUp\NBService.exe C:\Windows\system32\svchost.exe C:\Program Files\Trend Micro\TrendSecure\SecurityActivityDashboard\tmarsvc.exe C:\Program Files\Trend Micro\Internet Security\SfCtlCom.exe C:\Windows\system32\svchost.exe C:\Program Files\Trend Micro\Internet Security\TmProxy.exe C:\Windows\system32\SearchIndexer.exe C:\Program Files\Trend Micro\TrendSecure\TISProToolbar\ProToolbarUpdate.exe C:\Windows\system32\taskeng.exe C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Windows\System32\rundll32.exe C:\Windows\System32\rundll32.exe J:\Program Files\Java\jre1.6.0_07\bin\jusched.exe C:\Program Files\Trend Micro\Internet Security\UfSeAgnt.exe C:\Program Files\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Windows\system32\wbem\unsecapp.exe C:\Windows\system32\wbem\wmiprvse.exe C:\Program Files\Trend Micro\TrendSecure\TSCFCommander.exe J:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Trend Micro\TrendSecure\TSCFPlatformCOMSvr.exe C:\Program Files\Trend Micro\TrendSecure\TISProToolbar\PlatformDependent\ProToolbarComm.exe C:\Users\xxxxx\AppData\LocalLow\kdefense\kdfmgr.exe C:\Windows\system32\conime.exe C:\Program Files\Spyware Doctor\pctsAuxs.exe C:\Program Files\Spyware Doctor\pctsSvc.exe C:\Program Files\Spyware Doctor\pctsTray.exe C:\Windows\system32\taskeng.exe C:\Windows\system32\SearchProtocolHost.exe C:\Windows\system32\SearchFilterHost.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe C:\Windows\system32\wbem\wmiprvse.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Trend Micro Toolbar BHO - {43C6D902-A1C5-45c9-91F6-FD9E90337E18} - C:\Program Files\Trend Micro\TrendSecure\TISProToolbar\TSToolbar.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - J:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O3 - Toolbar: Trend Micro Symbolleiste - {CCAC5586-44D7-4c43-B64A-F042461A97D2} - C:\Program Files\Trend Micro\TrendSecure\TISProToolbar\TSToolbar.dll O4 - HKLM\..\Run: [P17RunE] RunDll32 P17RunE.dll,RunDLLEntry O4 - HKLM\..\Run: [TrojanScanner] j:\Program Files\Trojan Remover\Trjscan.exe /boot O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SunJavaUpdateSched] "J:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [UfSeAgnt.exe] "C:\Program Files\Trend Micro\Internet Security\UfSeAgnt.exe" O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe" O4 - HKCU\..\Run: [OE] C:\Program Files\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [OE] C:\Program Files\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [OE] C:\Program Files\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [OE] C:\Program Files\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe (User 'Default user') O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\Program Files\IncrediMail\bin\resources\WebMenuImg.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://J:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O13 - Gopher Prefix: O18 - Protocol: tmtb - {04EAF3FB-4BAC-4B5A-A37D-A1CF210A5A42} - C:\Program Files\Trend Micro\TrendSecure\TISProToolbar\TSToolbar.dll O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Unknown owner - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - J:\Nero\Nero8\InCD\InCDsrv.exe O23 - Service: Mamutu Service (Mamutu) - Emsi Software GmbH - C:\Program Files\Mamutu\a2service.exe O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - J:\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe O23 - Service: Security Activity Dashboard Service - Unknown owner - C:\Program Files\Trend Micro\TrendSecure\SecurityActivityDashboard\tmarsvc.exe O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe O23 - Service: Trend Micro Central Control Component (SfCtlCom) - Trend Micro Inc. - C:\Program Files\Trend Micro\Internet Security\SfCtlCom.exe O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Trend Micro Inc. - C:\Program Files\Trend Micro\BM\TMBMSRV.exe O23 - Service: Trend Micro Proxy Service (TmProxy) - Trend Micro Inc. - C:\Program Files\Trend Micro\Internet Security\TmProxy.exe O23 - Service: UPnPService - Magix AG - C:\Program Files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe -- End of file - 8156 bytes Code:
ATTFilter 27.10.2008 00:37:08:541 Infektion gesperrt Name der Bedrohung - Trojan.DNS_Changer Typ - Registry Value Risiko-Stufe - Hoch Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\SERVICES\TCPIP\PARAMETERS, DhcpNameServer 27.10.2008 00:37:08:543 Infektion gesperrt Name der Bedrohung - Trojan.DNS_Changer Typ - Registry Value Risiko-Stufe - Hoch Infektion - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\SERVICES\TCPIP\PARAMETERS, DhcpNameServer 27.10.2008 00:37:08:557 Infektion gesperrt Name der Bedrohung - Trojan.DNS_Changer Typ - Registry Value Risiko-Stufe - Hoch Infektion - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\SERVICES\TCPIP\PARAMETERS, DhcpNameServer 27.10.2008 00:37:08:590 Infektion gelöscht Name der Bedrohung - Trojan.DNS_Changer Typ - Registry Value Risiko-Stufe - Hoch Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\SERVICES\TCPIP\PARAMETERS, DhcpNameServer 27.10.2008 00:37:08:591 Infektion gelöscht Name der Bedrohung - Trojan.DNS_Changer Typ - Registry Value Risiko-Stufe - Hoch Infektion - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\SERVICES\TCPIP\PARAMETERS, DhcpNameServer 27.10.2008 00:37:08:598 Infektion gelöscht Name der Bedrohung - Trojan.DNS_Changer Typ - Registry Value Risiko-Stufe - Hoch Infektion - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\SERVICES\TCPIP\PARAMETERS, DhcpNameServer Der Rechner läuft soweit normal. Internet normal, nur zu dem zeitpunkt als sich noch oben genannte Dateien auf dem Rechner befanden war das i-net deutlich lahmer. Schon mal im voraus danke für Hilfe und mühe. |
30.10.2008, 13:58 | #19 |
| Malware nicht löschbar! Hi @judaskind, eigentlich musst Du einen neuen Thread eröffnen! : resycled , autorun.inf . und im Ordner noch boot.com Der pflanzt sich darüber weiter, d.h. er dürfte mittlerweile auf allen angeschlossenen Platten, USB-Sticks, USB-Festplatten, gebrannte CD etc. sein. Die müssen alle behandelt/vernichtet (CD) werden, da er automatisch von Windows über die autorun.inf ausgeführt wird... MAM&combofix, danach RSIT: Malwarebytes Antimalware (MAM). Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html Fullscan und alles bereinigen lassen! Log posten. Combofix Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird RSIT Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/ speichere es auf Deinem Desktop. Starte mit Doppelklick die RSIT.exe. Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
31.10.2008, 00:09 | #20 |
| Malware nicht löschbar! @ schaf: Tausend Dank für Deine Anleitung. Bei mir warnte mich Antivir vor folgenden Funden: TR/Patched.CK.56 sowie Dldr.Agent.ahcq.8. Auch bei mir wurden die TMP-Dateien angelegt, die sich nicht löschen ließen. Zwischendurch versuchte die spoolsv.exe Kontakt nach Riga aufzubauen. Das ließ sich nur durch Beenden dieses Prozesses unterbinden. Jedesmal, wenn ich ein Laufwerk im Explorer anklickte, startete die spoolsv.exe, begleitet von mehreren Warnungen des Antivir mit obigen Funden. Auch die alg.exe befand sich dann irgendwann in meinen aktiven Prozessen. Meine Lösung: Nach der einfachen Behandlung im abgesicherten Modus mit Smitfraudfix ("Scan" mit gleichem Ergebnis wie bei Dir, anschließend "Clean" im abgesicherten Modus), hatte sich mein Rechner zwar beim Neustart aufgehängt. Dennoch bin ich nach dem Reset noch einmal in den abgesicherten Modus und ließ dort die ComboFix laufen. Danach hängte sich mein Rechner zwar wieder auf, aber zurück im Normal-Modus sind die TMP-Dateien endlich weg und offensichtlich auch der/die unangenehme(n) Trojaner (oder was auch immer). MAM habe ich nicht erst laufen lassen, weil mir das zu lange dauerte... Allerdings werde ich morgen früh das Ganze nochmals durchchecken. THX again, Gute Nacht. |
02.11.2008, 11:46 | #21 |
| Malware nicht löschbar! [edit] bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann danke GUA [/edit] |
Themen zu Malware nicht löschbar! |
anfänger, avast, avira, avira antivir, confused, dateien, formatieren, heulen, ignorieren, internetseite, logfiles, löschen, malware, malware nicht löschbar, malwarebytes, nicht löschbar, problem, programm, rechner, seite, seiten, serve, tr/agent.6938.a, tr/patched.ck.56, viren, wichtig, wurm |