Hallo, hab seit heute Probleme mit Trojanern auf meinem Windows XP-Rechner. Adobe Reader kann keine pdfs mehr öffnen, hängt sich dann auf und nur noch PC ausschalten hilft. Habe zunächst Reader 9 entfernt und ältere Version installiert, aber selbes Problem. Daraufhin mal Sophos Anti-Virus (Version 7.6.8, regelmäßig upgedatet) "Meinen Computer überprüfen" durchlaufen lassen. Daraufhin folgen Meldungen, wonach 7 Dateien unter Quarantäne gestellt wurden. Im Quarantäne-Meanager sieht das dann so aus:
Typ Virus/Spyware, Name Troj/TDSS-X, Details C:\WINDOWS\system32\drivers\UACvkkllrhgnlvppjw.sys [versteckt]
Typ Virus/Spyware, Name Mal/TDSSPack-O, Details C:\WINDOWS\system32\UACniomybltfaimovv.dll [versteckt]
Typ Virus/Spyware, Name Mal/TDSSPack-O, Details C:\WINDOWS\system32\UACftjcbjrgtvplxmq.dll [versteckt]
Typ Virus/Spyware, Name Mal/TDSSPack-L, Details C:\WINDOWS\system32\UACoiohoogyxxmbvgq.dll [versteckt]
Typ Virus/Spyware, Name Mal/TDSSPack-L, Details C:\WINDOWS\system32\UACgscbrfclqgpeicq.dll [versteckt]
Typ Virus/Spyware, Name Mal/TDSSPack-K, Details C:\WINDOWS\system32\UACbrjevrletlwnorn.dll [versteckt]
Typ Virus/Spyware, Name Mal/TDSSPack-K, Details C:\WINDOWS\system32\UACwilbiwaxdwktumv.dll [versteckt]

Und es heißt jeweils unter Maßnahme "Manuelle Entfernung", aber wenn man auf den Link zur Sophos-Internetseite klickt, stürzt der PC ab und es hilft nur ausschalten. Nach dem neustarten sind die dateien dann natürlich nicht in Quarantäne.

Hab hier wo was mit "devmgmt.msc" in Ausführen eingeben gelesen und dann nach Nicht-PnP-Treibern suchen. Habe da aber keine auffälligen gefunden, zumindest keine ,auf die da hingewiesen wurde. Ich erhalte jedenfalls die folgenden:
ACEDRV06
AFD
ArcNet NDIS Protocol Driver
Beep
dmboot
dmload
Fips
Hardlock
HTTP
IP-Netzwerkadressübersetzung
IPSEC-Treiber
ksecdd
mnmdd
mountmgr
NDIS-Benutzermodus-E/A-Protokoll
NDIS-Systemtreiber
NDProxy
NetBios über TCP/IP
Novell InterService-Kommunikationstreiber
Novell NetWare-Ressourcen-Manager
Novell-UNC-Pfadfilter
Null
PartMgr
ParVdm
RAS-IP-ARP-Treiber
RAS-NDIS-TAPI-Treiber
RDPCDD
Secdrv
Standardpaketklassifizierung
TCP/IP-Protokolltreiber
Treiber für automatische RAS-Verbindung
VgaSave
VolSnap

Was muss ich jetzt tun, um den/die Trojaner zu entfernen? Welche Programme sind zu deinstallieren??? Bitte helft mir, ich kenn mich damit leider überhaupt nicht aus

Nachtrag:
Schritt 1 CCleaner läuft durch inkl. Registrierung.
Schritt 2 Malwarebytes' Anti-Malware hängt sich beim Installieren auf, funktioniert auch nicht, wenn ich die exe umbenenne. Im Gegensatz zu dem Problem unten mit Sophos kann ich das Setup allerdings über den Windows Task-Maanger abwerfen.

Was ist zu tun?

Hallo und

Du sparst dir eine Menge Zeit, wenn du den schnellen und sicheren Weg wählst: http://www.trojaner-board.de/51262-a...sicherung.html

Falls du Säuberung vorziehst, dann:

Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code: Alles auswählenAufklappen

ATTFilter

Drivers to delete:
UACd.sys

Registry keys to delete:
HKLM\SYSTEM\ControlSet001\Services\UACd.sys
HKLM\SYSTEM\ControlSet002\Services\UACd.sys
HKLM\SYSTEM\ControlSet003\Services\UACd.sys
HKLM\SYSTEM\ControlSet004\Services\UACd.sys

Files to delete:
C:\WINDOWS\system32\drivers\UACvkkllrhgnlvppjw.sys
C:\WINDOWS\system32\UACniomybltfaimovv.dll
C:\WINDOWS\system32\UACftjcbjrgtvplxmq.dll
C:\WINDOWS\system32\UACoiohoogyxxmbvgq.dll
C:\WINDOWS\system32\UACgscbrfclqgpeicq.dll
C:\WINDOWS\system32\UACbrjevrletlwnorn.dll
C:\WINDOWS\system32\UACwilbiwaxdwktumv.dll
         

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

ciao, andreas

So nachdem ich CCleaner durchlaufen hatte lassen, hab ich nochmals Sophos gestartet. Hat wieder die 7 Dateien erkannt und in Quarantäne verschoben, ist danach aber nicht mehr abgestürzt, wenn man den Link zur Internetseite gehen wollte. Daraufhin hab ich noch Avira Antivir in der hier beschreibenen "aggressiven" Einstellung durchlaufen lassen, hat nichts Negatives gemeldet. Dann hab ich die Dateien im Quarantänemanager von Sophos wieder "entfernt" (war mir nicht sicher, ob er die irgendwohin verschoben hat oder umbenannt hat, solange sie in Quarantäne sind). Und eben dann Hopsassa durchlaufen lassen:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "UACd.sys" deleted successfully.

Error: registry key "HKLM\SYSTEM\ControlSet001\Services\UACd.sys" not found!
Deletion of registry key "HKLM\SYSTEM\ControlSet001\Services\UACd.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Registry key "HKLM\SYSTEM\ControlSet002\Services\UACd.sys" deleted successfully.

Error: registry key "HKLM\SYSTEM\ControlSet003\Services\UACd.sys" not found!
Deletion of registry key "HKLM\SYSTEM\ControlSet003\Services\UACd.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "HKLM\SYSTEM\ControlSet004\Services\UACd.sys" not found!
Deletion of registry key "HKLM\SYSTEM\ControlSet004\Services\UACd.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\system32\drivers\UACvkkllrhgnlvppjw.sys" deleted successfully.
File "C:\WINDOWS\system32\UACniomybltfaimovv.dll" deleted successfully.
File "C:\WINDOWS\system32\UACftjcbjrgtvplxmq.dll" deleted successfully.
File "C:\WINDOWS\system32\UACoiohoogyxxmbvgq.dll" deleted successfully.
File "C:\WINDOWS\system32\UACgscbrfclqgpeicq.dll" deleted successfully.
File "C:\WINDOWS\system32\UACbrjevrletlwnorn.dll" deleted successfully.
File "C:\WINDOWS\system32\UACwilbiwaxdwktumv.dll" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  
  Sollte sich ComboFix nicht starten lassen, dann benenne es um in cofi.exe und versuche es nocheinmal.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Nochmal Sophos gestartet, die Dateien sind offenbar immer noch da und sind niocht gelöscht worden, zumindest findet er wieder dieselben 7...

Neuinstallieren geht leider nicht, das ist ein Arbeitsplatz-Rechner an der Uni, die bekommt man im Rechenzentrum bei uns vorinstalliert mit dem üblichen Windows-Zeugs. Ich könnte natürlich die Daten sichern und am Montag zu denen bringen, aber das wird ne Weile dauern, bis ich ihn wiederseh und in der Zeit kann ich dann nicht arbeiten...

Combofix jetzt trotzdem laufen lassen? Oder nochmal erst das Hopsassa? Und die Dateien in Quarantäne lassen oder nicht?

Tut mir echt leid, dass ich mich so dumm anstelle

Dieben wir doch einfach mal bei den Kollegen vom HJT-Forum.

Zitat:

Ein System zu bereinigen ist unter Umständen aufwändig und mit einiger Arbeit für Dich verbunden. Es ist wichtig, dass Du solange mitarbeitest, bis wir sagen, dass der Rechner "sauber" ist, auch wenn die Symptome eventuell nach den ersten Aktionen verschwunden sein sollten. Dazu gehört auch, keine weiteren Programme zu installieren oder Scans durchzuführen, ausser wenn es hier entsprechend angeordnet wird. Wenn Du dazu bereit bist, arbeite die folgenden Punkte in der angegebenen Reihenfolge ab. Drucke die Anleitungen zur Bereinigung Deines Systems am besten aus. Lese zunächst alles durch und wenn Dir etwas unklar ist, bitte fragen, bevor Du weitermachst.

Wenn Du mit dem Abarbeiten der einzelnen Punkte fertig bist, kontrolliere aufmerksam, ob Du keinen Punkt vergessen und alle angeforderten Logfiles in Code-Tags gepostet hast. Ergänze Deine jeweils letzten Beiträge solange über den "Ändern-Button", bis Dir jemand geantwortet hat. Wichtig: Bitte während unserer Reinigungphase nur Programme installieren, die wir anordnen. Bitte alle Aktionen, die wir anordnen nicht in einem eingeschränkten Userkonto ausführen, sondern vom Hauptuserkonto aus.

ciao, andreas

OK, sorry. Aber beim ersten Mal, wo ich Hopsassa durchlaufen ließ, waren die Dateien nicht mehr in der Quarantäne. War das richtig bzw. hat das überhaupt irgendeine Beduetung? Denn jetzt wären sie leider wieder in der Quarantäne. Also 1) tu ich sie da jetzt raus, starte Hopsassa, poste hier die Meldung und startet dann Combofix (natürlich jetzt ohne irgendetwas dazwischen zu machen)? Oder 2) lass ich sie in der Sophos-Quarantäne drin und starte Hopsassa, poste die Datei und dann Combofix?

Combofix und sonst nix.

ciao, andreas

Startet nicht, auch nicht als cofi.exe.

Kommt eine Fehlermeldung? Öffnet sich ein Fenster? Was genau passiert?

ciao, andreas

Es passiert nichts. Ich doppelklicke auf die Datei, und es öffnet sich kein Fenster, es kommt keine Fehlermeldung, es passiert rein gar nichts.

1.) Systemdetails mit RSIT prüfen

• Lade Random's System Information Tool (RSIT) von random/random herunter,
• speichere es auf Deinem Desktop.
• Starte mit Doppelklick die RSIT.exe.
• Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
• Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
• Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
• Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

2.) GMER - Rootkit Detection

• Lade Trallala von file-upload.net
• Klick auf Download (rechts in der Mitte) und speichere es auf den Desktop
• Doppelklick auf Trallala.exe
• Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
• nach Beendigung des Scan, drücke "Copy"
• nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. Materialordner hoch und poste den Link.
• Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

ciao, andreas

RSIT ist durchgelaufen, zwei txt-Dateien offen, jetzt müsste ich noch schnell wissen, wie ich den Textinhalt hier einbinden kann, damit das nicht ewig lang wird