Hi,

jetzt wird es interessant, hast Du ein gutes Backup?

Versuche mal diese Dateien online (virustotal) prüfen zu lassen:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS.0\system32\drivers\ovfsthsoidpyvbqhosvdfomipoklnmbyftarlb.sys
C:\WINDOWS.0\system32\ovfsthsiebwwnesrrgxyeymqkfulkriechkbum.dll
C:\WINDOWS.0\system32\ovfsthvlwhgilspybhsiekecwtaewrimihweei.dll
C:\WINDOWS.0\system32\ovfsthrojqudyrktrmhgktpeqiqnmqyawpjkwr.dll
         

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code: Alles auswählenAufklappen

ATTFilter

Drivers to delete:
ovfsthsoidpyvbqhosvdfomipoklnmbyftarlb.sys

Files to delete:
C:\WINDOWS.0\system32\drivers\ovfsthsoidpyvbqhosvdfomipoklnmbyftarlb.sys
C:\WINDOWS.0\system32\ovfsthsiebwwnesrrgxyeymqkfulkriechkbum.dll
C:\WINDOWS.0\system32\ovfsthosltmvfxtunrlervimopexnkpqjgfcfu.dat
C:\WINDOWS.0\system32\ovfsthvlwhgilspybhsiekecwtaewrimihweei.dll
C:\WINDOWS.0\system32\ovfsthrojqudyrktrmhgktpeqiqnmqyawpjkwr.dll
C:\WINDOWS.0\system32\ovfsthwvphlawjwyfvvtvmbpbxnsabflwtpvok.dat
         

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

chris

sorry tut mir leid

@henning:

Erster Beitrag und schon falsch? Wieso postest du hier in MEINEM Thread DEINE Probleme??
Zudem würde ich das HJT Log mal schleunigst überarbeiten, d.h. ALLE Namen etc. rauslöschen!!!

@Chris:

Diese Frage: "Hast du ein gutes Backup?" beunruhigt mich etwas...
Wenn ich das beschrieben ausführe, könnte ich dann Pech haben und das System neu aufziehen müssen?


MfG

Hi,

versuche erst die Dateien zu finden und bei Virustotal prüfen zu lassen (siehe meinen post oben)...

Datensicherung sollte man immer haben... ;o)

chris

Hi,

C:\WINDOWS.0\system32\drivers\ovfsthsoidpyvbqhosvdfomipoklnmbyftarlb.sys
C:\WINDOWS.0\system32\ovfsthsiebwwnesrrgxyeymqkfulkriechkbum.dll
C:\WINDOWS.0\system32\ovfsthvlwhgilspybhsiekecwtaewrimihweei.dll
C:\WINDOWS.0\system32\ovfsthrojqudyrktrmhgktpeqiqnmqyawpjkwr.dll


Alle Dateien nicht gefunden!
Ich habe keine Datei in diesem Ordner mit solangem Namen

ICH habe IMMER eine Datensicherung, mein Vater allerdings... Nunja hoffen wir es wird nicht so schlimm


MfG

oh sorry ich blick hier nicht durch...wo muss ich es denn posten? und welche namen löschen? danke

@Henning...
Ja das ist möglich, und auf der Kiste läuft auch schon was:
O4 - HKCU\..\Run: [uigsiqq] "c:\dokumente und einstellungen\rémy\lokale einstellungen\anwendungsdaten\uigsiqq.exe" uigsiqq

Aktive Links und persönliche Informationen in HJT Log-Files (http://www.trojaner-board.de/22771-a...tml#post171958), sonst darf nicht geholfen werden!

Bitte einen eigenen Thread eröffnen, das passt auch Thematisch nicht zu diesem Thread...
Folgendes auch gleich abarbeiten:
Navilog
Folge folgender Anleitung: http://www.trojaner-board.de/69713-e...navipromo.html
oder
Starte navilog1.exe und installiere die Anwendung, eventuelle Fehlermeldungen Deines
Virescanners sin zu ignorieren (Anwendung erlauben!)
Alle anderen Anwendungen bitte beenden!
Danach sollte navilog automatsich starten, sonst per Doppelklick dem Desktop starten.
Im Sprachmenü bitte English auswählen, ausser Du kannst eine der angegebenen Sprachen ;o)
Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
Während der Suche nichts am Rechner machen, nur auf Programmaufforderung!
Nach dem Durchlauf sollte sich der Editor mit dem Log (fixnavi.txt) öffnen,
Inhalt kopieren und in Thread einfügen.
Das Log findest Du auch im Hauptverzeichnis (z.B.: "C:\").
http://pagesperso-orange.fr/il.mafio...x/Navilog1.exe

chris

@Keks
Das dachte ich mir schon, ist ja sinn und zweck von Rootkits...
Script bitte abfahren...
Logs posten...
chris

okay danke erstmal...dass heisst du bist dir sicher, dass da jemand auf meinen lap top zugriff hat?
tut mir leid, ich bin neu hier....wie eröffne ich einen eigenen tread?

Hi,

Hier ist der Log von Avenger:


Logfile of The Avenger Version 2.0, (c) by Swandog46
h**p://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "ovfsthetaetkyxjolidmdbwqjqasbpxtoerfvm" found!
ImagePath: \systemroot\system32\drivers\ovfsthsoidpyvbqhosvdfomipoklnmbyftarlb.sys
Start Type: 1 (System)

Rootkit scan completed.


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\ovfsthsoidpyvbqhosvdfomipoklnmbyftarlb.sys" not found!
Deletion of driver "ovfsthsoidpyvbqhosvdfomipoklnmbyftarlb.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS.0\system32\drivers\ovfsthsoidpyvbqhosvdfomipoklnmbyftarlb.sys" deleted successfully.
File "C:\WINDOWS.0\system32\ovfsthsiebwwnesrrgxyeymqkfulkriechkbum.dll" deleted successfully.
File "C:\WINDOWS.0\system32\ovfsthosltmvfxtunrlervimopexnkpqjgfcfu.dat" deleted successfully.
File "C:\WINDOWS.0\system32\ovfsthvlwhgilspybhsiekecwtaewrimihweei.dll" deleted successfully.
File "C:\WINDOWS.0\system32\ovfsthrojqudyrktrmhgktpeqiqnmqyawpjkwr.dll" deleted successfully.
File "C:\WINDOWS.0\system32\ovfsthwvphlawjwyfvvtvmbpbxnsabflwtpvok.dat" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

@Henning
http://www.trojaner-board.de/hijacker-hijackthis-logs-posten/
Dann links oben, "Neues Thema"...
Was sonst noch alles drauf ist, wird man dann sehen...

Für die "erste Hilfe" bitte folgendes abarbeiten:
http://www.trojaner-board.de/69886-alle-hilfesuchenden-eroeffnung-themas-beachten.html
(und dann das schon vorgeschlagene "Navilog")...

chris

@Keks
Was macht der Rechner...?
Nachmal bitte MAM drüber und dann noch mal ein HJ-Log...
Mal sehen, ob wir ihn finden:

......RegisterySearch:
Download Registry Search by Bobbi Flekman
<http://virus-protect.org/artikel/tools/regsearch.html>
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

Code: Alles auswählenAufklappen

ATTFilter

ovfsthetaetkyxjolidmdbwqjqasbpxtoerfvm
         

in edit und klicke "Ok".
Notepad wird sich oeffnen - poste den text

chris

Hi,

Ein kleines Problem besteht noch.
Wenn ich diese Registry Search downloaden will, komme ich nicht auf den Link, siondern der Virus (???) leitet mich auf Google.com??


MfG

So habe das Programm nun am andren PC runtergeladen.
Wenn ich diesen Eintrag suche kommt bei mir folgendes Fenster:

"Search completed in 34 Seconds.

No instances of "ovfsthetaetkyxjolidmdbwqjqasbpxtoerfvm" found."


Was heisst das?
und was mich viel mehr interessiert ist, was macht der Virus eigentlich?
Bis jetzt habe ich nur festgestellt, dass er die Links nicht akzeptirt und uns auf andere Suchmaschinen umleitet (z.B.: Google).

MaM läuft gerade drüber.
anschließend werde ich HJT drüber laufen lassen und beide Logs posten


MfG

Hi,

dazu müssen wir zuerst rausbekommen was das war. Lasse das zeitlich letzte Backup von Avenger bei Virustotal prüfen (in dem Zip wo die Treiber/Dlls mit "ovfsthsoidpyvbqhosvdfomipoklnmbyftarlb.sys" sind).

Normalerweise geht der Trojaner hin und leitet alle Suchanfragen auf eigene Seite um... Das wäre umgekehrt und sehr "seltsam"...

Die Interneteinstellungen stimmen noch (DHCP-Server etc.)?
Was steht in der hosts-Datei?

Hosts-File anzeigen:
Lade das Host-file (C:\WINDOWS\system32\drivers\etc\hosts) in einen Texteditor (im Explorer drauf klicken, rechte Maus, senden an -> editor).
Kopiere den Inhalt und poste ihn hier...

Nächste Frage: Wenn Du auf einen Link den Google dir anzeigst klickst, wirst Du dann weitergeleitet?

chris