Hallo,

das:

Zitat:

02106838 Trj/Banbra.GIY Virus/Trojan No 1 Yes No C:\Dokumente und Einstellungen\Jennifer\Desktop\Hopsassa.exe

ist ein Fehlalarm.

Nächster Schritt, da ich ein en Rootkit Agent sehe.

http://www.trojaner-board.de/74908-a...t-scanner.html

Lade dir das Tool und führe es laut Anweisung aus, den Bericht postest du in deinen Thread herein.

So, hier mal das GMER logfile:

und nu?
GMER 1.0.15.15020 [2yfv69qr.exe] - http://www.gmer.net
Rootkit scan 2009-08-11 21:09:31
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT F7B12256 ZwCreateKey
SSDT F7B1224C ZwCreateThread
SSDT F7B1225B ZwDeleteKey
SSDT F7B12265 ZwDeleteValueKey
SSDT F7B1226A ZwLoadKey
SSDT F7B12238 ZwOpenProcess
SSDT F7B1223D ZwOpenThread
SSDT F7B12274 ZwReplaceKey
SSDT F7B1226F ZwRestoreKey
SSDT F7B12260 ZwSetValueKey
SSDT \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xEC383DF0]

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume3 snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume4 snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

Okay - Sieht gut aus, keine Rootkits, aber um wirklich sicher zu gehen würde ich dich bitten einen weiteren Scan machen zu lassen

RootkitRevealer scannen lassen

• Lade RootkitRevealer runter und entpacke das Archiv in einen eigenen Ordner, z.B. C:\programme\rootkitrevealer.
• Starte in diesem Ordner RootkitRevealer.exe. Alle anderen Programme schließen.
• Starte durch Klick auf "Scan".
• Wenn der Scan fertig ist das Logfile mit File -> Save abspeichern und hier posten.

hey, mit diesem rootkitrevealer hab ich leider probleme.
er findet ein paar dateien. wenn ich dann aber speichern will, kommt eine fehlermeldung, dass der pfad irgendwie nicht verfügbar ist oder sowas und dann muss das programm beendet werden. ich hab das jetzt schon dreimal gemacht und immer gings schief ich hab jetzt mal einen screenshot vom ergebnis gemacht, aber der ist noch zu hase (bin auf der arbeit). jetzt hab ich mal neu gestartet und vor, es heut abend nochmal zu probieren. meinst du es geht dann? oder weißt du, woran es liegen könnte?

LG

ach ja, was ist denn eigentlich mit den anderen funden aus active scan (abgesehen von hopsassa)? die wurden doch nicht beseitigt, oder? muss ich da irgendwas machen? ...

DANKE!

Poste mal den Screenshot des Resultates, wenn Du wieder zu Hause bist.

Wenn du zu Hause bist lass bitte die beiden Datein:
mhzxtnry.sys und eoky.sys bei VT (www.virustotal.com) hochladen, diese findest du unter
C:\Windows\system32\drivers\mhzxtnry.sys
C:\Windows\system32\drivers\eoky.sys


Die Funde die Panda fand, solltest du entfernen

die beiden mhzxtnry.sys und eoky.sys gehören ja, aber auch zu den funden von active scan, die ich löschen sollte. sind jetzt im papierkorb.
soll ich sie trotzdem bei VT hochladen?

den screenshot hab ich mal angehängt, ich hoffe, das hat geklappt?
wie füge ich den denn sonst einfach hier in den text ein?....
oh mann, ich glaub, ich muss noch vieeeeel lernen

Ja, lad sie bei VT hoch, ich will genauer wissen, was sich dahinter verbirgt.

Das mit den Screenshots passt schon so.


Ich will noch einen letzten Rootkit Scan machen, benutze hierzu das: Avira AntiRootkit Tool - Download - CHIP Online

also hier einmal das VT ergebnis der eoky.sys (ich hoffe, das passt so).
die datei wurde schon analysiert.

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.08.12 -
AhnLab-V3 5.0.0.2 2009.08.12 Win-Trojan/Avenger.61440
AntiVir 7.9.1.1 2009.08.12 -
Antiy-AVL 2.0.3.7 2009.08.12 -
Authentium 5.1.2.4 2009.08.12 -
Avast 4.8.1335.0 2009.08.12 -
AVG 8.5.0.406 2009.08.12 -
BitDefender 7.2 2009.08.12 -
CAT-QuickHeal 10.00 2009.08.12 -
ClamAV 0.94.1 2009.08.12 -
Comodo 1958 2009.08.12 -
DrWeb 5.0.0.12182 2009.08.12 -
eSafe 7.0.17.0 2009.08.11 Win32.Banker
eTrust-Vet 31.6.6673 2009.08.12 -
F-Prot 4.4.4.56 2009.08.12 -
F-Secure 8.0.14470.0 2009.08.12 -
Fortinet 3.120.0.0 2009.08.12 -
GData 19 2009.08.12 -
Ikarus T3.1.1.64.0 2009.08.12 -
Jiangmin 11.0.800 2009.08.12 Hoax.Agent.f
K7AntiVirus 7.10.817 2009.08.12 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2009.08.12 -
McAfee 5707 2009.08.12 -
McAfee+Artemis 5707 2009.08.12 -
McAfee-GW-Edition 6.8.5 2009.08.12 -
Microsoft 1.4903 2009.08.12 -
NOD32 4330 2009.08.12 -
Norman 6.01.09 2009.08.12 W32/Renos.CNZ
nProtect 2009.1.8.0 2009.08.12 Trojan/W32.Agent.61440.JQ
Panda 10.0.0.14 2009.08.12 Rootkit/Agent.LNB
PCTools 4.4.2.0 2009.08.12 -
Prevx 3.0 2009.08.12 High Risk Worm
Rising 21.42.23.00 2009.08.12 -
Sophos 4.44.0 2009.08.12 -
Sunbelt 3.2.1858.2 2009.08.12 -
Symantec 1.4.4.12 2009.08.12 -
TheHacker 6.3.4.3.381 2009.08.11 -
TrendMicro 8.950.0.1094 2009.08.12 -
VBA32 3.12.10.9 2009.08.12 -
ViRobot 2009.8.12.1881 2009.08.12 Hoax..Agent.61440
VirusBuster 4.6.5.0 2009.08.12 -
weitere Informationen
File size: 61440 bytes
MD5 : 589312a3b46721c5a751e4d5222a89be
SHA1 : 3a497d3968a4f6e3c648d196da38e5f98e75ec30
SHA256: 03cbe6df7f5605a3659ffe27a1184a8d9066436a17d7bac9cceb122de74f69ae
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xD394
timedatestamp.....: 0x476B398B (Fri Dec 21 04:56:59 2007)
machinetype.......: 0x14C (Intel I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x400 0xD756 0xD780 5.52 e0dc8fff10e3a7c6343455cd02a67954
.rdata 0xDB80 0x10E 0x180 3.44 d2fd0bc28e070ccc67879e04b7cd5302
.data 0xDD00 0xC0 0x100 0.04 66a415a49d751cb335895306ecfb3389
INIT 0xDE00 0x376 0x380 5.17 79cc3d62ef3ba8053786e08dc9b6cddc
.reloc 0xE180 0xE2C 0xE80 6.60 4f845320301140370066cbceee4c5e4c

( 0 imports )


( 0 exports )

TrID : File type identification
Clipper DOS Executable (33.3%)
Generic Win/DOS Executable (33.0%)
DOS Executable Generic (33.0%)
VXD Driver (0.5%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
ThreatExpert: http://www.threatexpert.com/report.aspx?md5=589312a3b46721c5a751e4d5222a89be
ssdeep: 768:UzNrXvTHr4DU6K5H5VLvDcLugwoMcq5+x7J1uQ9VP:QTG2VrOuN+lJpP
Prevx Info: http://info.prevx.com/aboutprogramtext.asp?PX5=0D0120F6002DA0A9F00500511CA22500289EA8D6
PEiD : -
CWSandbox: http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=589312a3b46721c5a751e4d5222a89be
RDS : NSRL Reference Data Set
-

und das ergebnis der mhzxtnry.sys, die auch schon analysiert wurde:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.08.12 -
AhnLab-V3 5.0.0.2 2009.08.12 Win-Trojan/Avenger.61440
AntiVir 7.9.1.1 2009.08.12 -
Antiy-AVL 2.0.3.7 2009.08.12 -
Authentium 5.1.2.4 2009.08.12 -
Avast 4.8.1335.0 2009.08.12 -
AVG 8.5.0.406 2009.08.12 -
BitDefender 7.2 2009.08.12 -
CAT-QuickHeal 10.00 2009.08.12 -
ClamAV 0.94.1 2009.08.12 -
Comodo 1958 2009.08.12 -
DrWeb 5.0.0.12182 2009.08.12 -
eSafe 7.0.17.0 2009.08.11 Win32.Banker
eTrust-Vet 31.6.6673 2009.08.12 -
F-Prot 4.4.4.56 2009.08.12 -
F-Secure 8.0.14470.0 2009.08.12 -
Fortinet 3.120.0.0 2009.08.12 -
GData 19 2009.08.12 -
Ikarus T3.1.1.64.0 2009.08.12 -
Jiangmin 11.0.800 2009.08.12 Hoax.Agent.f
K7AntiVirus 7.10.817 2009.08.12 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2009.08.12 -
McAfee 5707 2009.08.12 -
McAfee+Artemis 5707 2009.08.12 -
McAfee-GW-Edition 6.8.5 2009.08.12 -
Microsoft 1.4903 2009.08.12 -
NOD32 4330 2009.08.12 -
Norman 6.01.09 2009.08.12 W32/Renos.CNZ
nProtect 2009.1.8.0 2009.08.12 Trojan/W32.Agent.61440.JQ
Panda 10.0.0.14 2009.08.12 Rootkit/Agent.LNB
PCTools 4.4.2.0 2009.08.12 -
Prevx 3.0 2009.08.12 High Risk Worm
Rising 21.42.23.00 2009.08.12 -
Sophos 4.44.0 2009.08.12 -
Sunbelt 3.2.1858.2 2009.08.12 -
Symantec 1.4.4.12 2009.08.12 -
TheHacker 6.3.4.3.381 2009.08.11 -
TrendMicro 8.950.0.1094 2009.08.12 -
VBA32 3.12.10.9 2009.08.12 -
ViRobot 2009.8.12.1881 2009.08.12 Hoax..Agent.61440
VirusBuster 4.6.5.0 2009.08.12 -
weitere Informationen
File size: 61440 bytes
MD5 : 589312a3b46721c5a751e4d5222a89be
SHA1 : 3a497d3968a4f6e3c648d196da38e5f98e75ec30
SHA256: 03cbe6df7f5605a3659ffe27a1184a8d9066436a17d7bac9cceb122de74f69ae
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xD394
timedatestamp.....: 0x476B398B (Fri Dec 21 04:56:59 2007)
machinetype.......: 0x14C (Intel I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x400 0xD756 0xD780 5.52 e0dc8fff10e3a7c6343455cd02a67954
.rdata 0xDB80 0x10E 0x180 3.44 d2fd0bc28e070ccc67879e04b7cd5302
.data 0xDD00 0xC0 0x100 0.04 66a415a49d751cb335895306ecfb3389
INIT 0xDE00 0x376 0x380 5.17 79cc3d62ef3ba8053786e08dc9b6cddc
.reloc 0xE180 0xE2C 0xE80 6.60 4f845320301140370066cbceee4c5e4c

( 0 imports )


( 0 exports )

TrID : File type identification
Clipper DOS Executable (33.3%)
Generic Win/DOS Executable (33.0%)
DOS Executable Generic (33.0%)
VXD Driver (0.5%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
ThreatExpert: http://www.threatexpert.com/report.aspx?md5=589312a3b46721c5a751e4d5222a89be
ssdeep: 768:UzNrXvTHr4DU6K5H5VLvDcLugwoMcq5+x7J1uQ9VP:QTG2VrOuN+lJpP
Prevx Info: http://info.prevx.com/aboutprogramtext.asp?PX5=0D0120F6002DA0A9F00500511CA22500289EA8D6
PEiD : -
CWSandbox: http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=589312a3b46721c5a751e4d5222a89be
RDS : NSRL Reference Data Set
-

kann ich die beiden dateien jetzt löschen oder soll ich sie behalten? der neue scan von avira ist in arbeit

habe die beiden dateien auf dem desktop jetzt und auch von dort aus zu VT hochgeladen.

auf einmal kann ich den ordner eigene dateien auf dem desktop nicht mehr öffnen: "die sicherheitseinstellungen lassen das nicht zu", sagt er

was sind denn deine erkenntnisse aus dem screenshot eigentlich?

bei dem avira ding klicke ich auf start scan und es kommt sofort die meldung "scan task finished. no hidden objects detected!"
ist das gut?
und jetzt?

Führe das aus, es sollte auch das Problem mit dem Ordner Zugriff beheben.


Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  
  Sollte sich ComboFix nicht starten lassen, dann benenne es um in cofi.exe und versuche es nocheinmal.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

okay, cleaner ist ausgeführt. combofix wollt ich grad machen. leider motzt er dass antivir noch läuft. das kann ich aber nicht beenden, nur den guard deaktivieren, aber das reicht scheinbar nicht... was jetzt?

was sagen dir denn die beiden ergebnisse von VT? kann ich die dateien löschen?