Zitat:

Wäre vielleicht ne überlegung wert auf das info.txt file im Tutorial hinzuweisen

• Wenn der Scan beendet ist, werden zwei Logfiles in C:\rsit erstellt und in Deinem Editor geöffnet.
• Bitte poste den Inhalt von C:\rsit\log.txt und >>> C:\rsit\info.txt <<< (wird in die Taskleiste minimiert) in Deinen Thread.

Zitat:

Acronis*True*Image*Home

Warum spielst du nicht einfach ein sauberes Image zurück, ist Minutensache oder läuft es nur um den Rechner auszubremsen.

Zitat:

C:\Programme\TypingMaster\quickphrase\quickphrase.exe

Was'n'das?

1.) Deinstalliere:

• Loaris Trojan Remover 1.1
• Skype™ 3.2
• SuperAntiSpyware
• ThreatExpert Memory Scanner 1.0
• Vuze (Virenschleuder)
• ZoneAlarm Pro

Das Uniblue- und Stardockgelumpe ist mir auch ein Dorn im Auge.

2.) Installiere:

• Die offizielle Skype-Website ? Skype jetzt kostenlos herunterladen für kostenlose Anrufe und Internetanrufe

3.) Lade die Datei

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\svchost.exee
         

bitte bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html
Markiere den Text in der Box, kopiere ihn und füge ihn im Uploadchannel ein.

4.) Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

Driver::
vqaabafw
vsmon
AcrSch2SvcAlerter
ZJPFCH

Registry::
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"=-
"Malwarebytes' Anti-Malware"=-
"ZoneAlarm Client"=-
"MSConfig"=-
"MSxmlHpr"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
"QuickPhrase"=C:\Programme\TypingMaster\quickphrase\quickphrase.exe [2007-08-03 638992]
"Loaris Trojan Remover"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Works Portfolio]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Works Update Detection]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSxmlHpr]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NWEReboot]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PC Suite Tray]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Uniblue RegistryBooster 2009]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Services]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WorksFUD]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\Programme\Vuze\Azureus.exe"=-
"C:\WINDOWS\system32\rundll32.exe"=-
""=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-

Folder::
C:\rsit
C:\Programme\Loaris Trojan Remover
C:\Programme\ThreatExpert Memory Scanner
C:\Dokumente und Einstellungen\Addy\Anwendungsdaten\Azureus

Files::
C:\WINDOWS\system32\RENA699.tmp
c:\windows\system32\zllictbl.dat
c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat

DirLook::
C:\Dokumente und Einstellungen\Addy\Anwendungsdaten\UseNeXT

FileLook::
c:\windows\GPCIDrv.sys
c:\windows\system32\drivers\GVTDrv.sys
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

• Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Den Wald vor lauter Bäu... egal

True Image is wirklich ne gute sache - leider hatte ich die letzten monate Abi Prüfungsstress und dementsprechend alt sind leider auch meine sicherungen.
Hab meinen Pc schwer vernachlässigen müssen

Quickphrase is der rattenschwanz von TypingMaster
Ich mache quickphrase immer dann an wenn ich irgend nen Text in word o.ä. schreibe und wenn ich fertig bin analysiert das programm das ganze und gibt mir dann tipps wie ich meine 10 finger noch schneller bewegen kann.

welche tasten treffe ich überdurchschnittlich oft falsch usw.
ergo
TypingMaster = Programm zum erlernen oder trainieren des 10 Finger systems
Quickphrase = Keyboard monitor



1.) Deinstalliere:

* Loaris Trojan Remover 1.1
* Skype™ 3.2
* SuperAntiSpyware
* ThreatExpert Memory Scanner 1.0
* Vuze (Virenschleuder)
* ZoneAlarm Pro

Gemacht

Aber warum Zone Alarm??? das programm hat mir schon mal den arsch gerettet

Stardock zeugs auf das eingeschränkt was ich benutze

2.) Skype Installiert

3. ) svchost.exee hochgeladen

4.) cofi script vorbereitet ergebniss wird asap gepostet


Gruß Addy =)

Zitat:

Aber warum Zone Alarm??? das programm hat mir schon mal den arsch gerettet

Wie? Bei welcher Aktion genau?

ciao, andreas

Eine verlinkte Webseite (link durch dreiste popup werbung - "fake" schließen button) hat versucht 2 firefox plugins zu modifizieren

Zal hat mich drauf hingewiesen das die webseite das versucht und die aktion blockiert


glaub damals haben knapp ein drittel der benutzer dieses forums ihren pc neu aufgesetzt weil das ding anscheinend echt so bösartig war.
bzw das was firefox dann munter runtergeladen hat
habs selber aber nicht getestet =)

nu denn log ist im anhang.



lg Addy


/edit

btw jede ausführung löscht cofi alle anwendungsdateien für mein Mail Programm "The Bat" - is echt agressiv dieses combofix ^^

Zitat:

jede ausführung löscht cofi alle anwendungsdateien für mein Mail Programm "The Bat" - is echt agressiv dieses combofix

Ja. Der löscht gerne zuviel, genau wie ich. Wir können die Löschungen aber wieder rückgängig machen, falls es nötig ist.

Das Schlimmste ist geschafft, die Rootkits sind tot. Jetzt müssen noch die Sachen, die nachgeladen wurden, entfernt werden, aber bei dir habe ich gar nicht soviel gesehen. Hast du dich frühzeitig gemeldet? Die ersten Schädlinge hatten das Datum von Gestern.

Bezgl. Zonealarm, ok, in dem Fall hat es dich tatsächlich geschützt, das ist aber die absolute Ausnahme. Lass ihn drauf oder installiere dir das zum Schluss wieder. Alternative wäre ein sicherer Browser wie Opera. Weil ihn wenige nutzen ist er nicht auf der Liste der Schädlingsprogrammierer. Lies aber, bevor du wieder installierst das hier.

1.) Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

2.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte.

ciao, andreas

Das die Zone Alarm Firewall keine wirewall an sich ist darüber bin ich informiert ;>

Meine Firewall ist in meiner Fritz box


was ich an Zal mag ist das er mir anzeigt welche programme z.b.
ins internet wollen
auf mein netzwerk zugreifen
sich in die bootliste eintragen wollen
sich selbsts verändert haben

usw =)


--------

hat die hochgeladene svchost.exee irgendwas verdächtiges gehabt?

weil seitdem das rootkit weg ist meldet eset dass hier

05.08.2009 8:58:46 PM Real-time file system protection file D:\System Volume Information\_restore{0F733ED7-1D20-466F-A3D7-9B6EA3FF2599}\RP98\A0026866.exe Win32/PSW.Agent.NMH trojan cleaned by deleting - quarantined NT-AUTORITÄT\SYSTEM Event occurred during an attempt to access the file by the application: C:\WINDOWS\system32\svchost.exe.

05.08.2009 7:20:03 PM Real-time file system protection file C:\System Volume Information\_restore{0F733ED7-1D20-466F-A3D7-9B6EA3FF2599}\RP98\A0026537.dll a variant of Win32/Kryptik.YL trojan cleaned by deleting - quarantined NT-AUTORITÄT\SYSTEM Event occurred on a file modified by the application: C:\WINDOWS\system32\svchost.exe.

05.08.2009 7:19:59 PM Real-time file system protection file C:\System Volume Information\_restore{0F733ED7-1D20-466F-A3D7-9B6EA3FF2599}\RP98\A0026536.sys probably a variant of Win32/Kryptik.TV trojan cleaned by deleting - quarantined NT-AUTORITÄT\SYSTEM Event occurred on a file modified by the application: C:\WINDOWS\system32\svchost.exe.


Der Panda scann läuft immo

lg Addy :>


/edit
Da ich eigentlich was die sicherheit meines rechners angeht recht besorgt bin und normalerweise mindestens jeden monat nen umfangreiches backup mache hat mich das rootkit jetzt echt auf nem kalten fuß erwischt.

Bin nicht der Fan von irgendwelchem Schweinskram free XXX passes usw
oder irgendwelcher torrents. Vuze z.b. habe ich nur benutzt um gesubte anime Serien herunterzuladen die zwar gut sind aber so unbekannt dass sie den spurng aus japan hier nach Deutschland warscheinlich nie schaffen werden
stammt aber alles vom subber meines vertrauens :>

ich habe wirklich keine Ahnung wie ich den ganzen scheiß (unbemerkt) bekommen habe.
Bisher habe ich immer wenn ich infiziert war gewusst dass ich infiziert bin und dementsprechend gegenmaßnahmen einleiten können :>

Aber diesesmal habe ich es nur dadurch bemerkt dass plötzlich jmd zuviel ein passwort kannte...


ich habe mich zwar zügig gemeldet allerding muss die schadsoftware welche mein pw geklaut hat bereits am 3 August(abends) aktiv gewesen sein. Ich habe dieses Passwort schon seit mehr als zwei Monaten(+) nicht mehr benötigt und nur am dritten August 1 mal eingegeben.

am vierten hab ichs dann gemerkt dass mein account hops ist und recherchen begonnen

mfg =)

Zitat:

was ich an Zal mag ist das er mir anzeigt welche programme z.b.
ins internet wollen

Das schafft die Windowsfirewall auch.

Zitat:

auf mein netzwerk zugreifen

Eben nicht, lies dir die Links in meinem Link durch.

Zitat:

hat die hochgeladene svchost.exee irgendwas verdächtiges gehabt?

Alleine der Name ist mehr als verdächtig. Hat sich aber als Textdatei mit dem Inhalt "blubb" herausgestellt. Lösche die Datei.

Zitat:

weil seitdem das rootkit weg ist meldet eset dass hier

Ja, seitdem die Rootkits weg sind, können deine ganzen "Sicherheitsprogramme" wieder arbeiten.

Vor dem Rootkit hat dich weder NOD noch Zonealarm schützen können, denk mal drüber nach.

Solange das Rootkit aktiv war, konnten deine ganzen "Sicherheitsprogramme" überhaupt nicht arbeiten, die waren komplett stillgelegt und völlig wirkungslos.

Du hast dir nicht zufällig etwas heruntergeladen und gestartet, dass den Namen Keygen, Crack, Patch o.ä. hatte?

Lies das hier und denke auch da drüber nach.

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.
Nach Neustart kann sie wieder aktiviert werden.

ciao, andreas

Zitat:

die zwar gut sind aber so unbekannt dass sie den spurng aus japan hier nach Deutschland warscheinlich nie schaffen werden

Das ist ja in Ordnung. Wenn du verantwortungsvoll damit umgehst, kannst du die auch P2P-Software installieren, nur eben niemals Programme laden. Gegen Filme ist, bis auf Urheberrechtsverletzungen, nichts einzuwenden. Trotzdem würde ich immer zuerst DDL versuchen.

Zitat:

Bisher habe ich immer wenn ich infiziert war gewusst dass ich infiziert bin

Passiert das häufiger? Dann machst du einen grundsätzlichen Fehler. Klicke auf die letzten beiden Links in meiner Signatur.

Alleine die Tatsache, dass du dich auf deine "Sicherheitsprogramme" verlässt, zeigt, dass du es noch nicht wirklich verstanden hast.

ciao, andreas