|
Plagegeister aller Art und deren Bekämpfung: Umleitung auf windowsclick.com , Programme funktionieren nicht etc.Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
19.08.2009, 20:40 | #1 | |
| Umleitung auf windowsclick.com , Programme funktionieren nicht etc. Hab ein ähnliches Problem wie http://www.trojaner-board.de/70996-s...dowsclick.html U.a. funktionieren die Systemwiederherstellung und Malwarebytes' Anti-Malware nicht. Hijackthis-File: Zitat:
|
19.08.2009, 20:41 | #2 | |
| Umleitung auf windowsclick.com , Programme funktionieren nicht etc. GMER - Rootkit Detection
__________________Zitat:
|
20.08.2009, 10:17 | #3 |
| Umleitung auf windowsclick.com , Programme funktionieren nicht etc. Hi,
__________________da läuft ein Rootkit, die "Trusted zones" sind keine, und einige Notify-Einträge sind -äh- interessant ... Daher: Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Achtung Benenne es bereits im Downloadialog auf test.com um! Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/comb...x-benutzt-wird Danach bitte MAM und RSIT: Malwarebytes Antimalware (MAM). Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Fullscan und alles bereinigen lassen! Log posten. RSIT Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. * Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/) * speichere es auf Deinem Desktop. * Starte mit Doppelklick die RSIT.exe. * Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. * Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. * In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". * Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. * Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. * Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. * Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. chris
__________________ |
21.08.2009, 14:47 | #4 | |
| Umleitung auf windowsclick.com , Programme funktionieren nicht etc. Combofix bricht wiederholt gleich nach Start des Scans ab, ein blauer Bildschirm erscheint Problem: Speichern in einen speichergeschützten Bereich geht nicht oder so ähnlich Ich muss den PC neu starten. MAM lässt sich wie oben erwähnt nicht starten. Hier meine RSIT Logs: log.txt (Teil 1) Zitat:
|
21.08.2009, 14:49 | #5 | |
| Umleitung auf windowsclick.com , Programme funktionieren nicht etc. Das Problem besteht übrigens afaik seit 17.8. oder so Teil 2 log.txt Zitat:
|
21.08.2009, 14:52 | #6 | |
| Umleitung auf windowsclick.com , Programme funktionieren nicht etc. info.txt Teil 1 Zitat:
|
21.08.2009, 14:54 | #7 | |
| Umleitung auf windowsclick.com , Programme funktionieren nicht etc. info.txt Teil 2 Zitat:
|
21.08.2009, 15:24 | #8 |
| Umleitung auf windowsclick.com , Programme funktionieren nicht etc. Hi, das kann jetzt gefährlich werden... Teile des Rootkits sind sichtbar, versuche sie mit Avenger zu erwischen, wie der Rest drauf reagiert ist unklar... Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code:
ATTFilter C:\WINDOWS\system32\kusewovi.dll (?Wurm?) C:\WINDOWS\system32\wudepuve.dll
Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code:
ATTFilter Drivers to delete: bqfpmkbcowxftext bqfpmkbcowxftext.sys registry keys to delete: HKEY_LOCAL_MACHINE\software\microsoft\windowsnt\currentversion\winlogon\notify\nnnopOhi HKEY_LOCAL_MACHINE\software\microsoft\windowsnt\currentversion\winlogon\notify\urqQjiGY Files to delete: C:\WINDOWS\tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job C:\WINDOWS\tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job C:\WINDOWS\SYSTEM32\nnnopOhi.dll C:\WINDOWS\SYSTEM32\urqQjiGY.dll C:\WINDOWS\system32\drivers\bqfpmkbcowxftext.sys C:\WINDOWS\system32\UACedobnvcgvk.dll C:\WINDOWS\system32\UACsraxtoiqtk.dll C:\WINDOWS\system32\drivers\hucl.sys C:\WINDOWS\system32\drivers\rynzgk.sys 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code:
ATTFilter O15 - Trusted Zone: *.antimalwareguard.com O15 - Trusted Zone: *.gomyhit.com O15 - Trusted Zone: *.antimalwareguard.com (HKLM) O15 - Trusted Zone: *.gomyhit.com (HKLM) Sophos Antirootkit: Downloade Sophos Antirookit und Scanne Dein gesamtes System, poste das Logfile. Benutzeranleitung (english): http://www.sophos.de/sophos/docs/eng...r_15_umeng.pdf http://www.chip.de/downloads/Sophos-..._21584106.html Chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) Geändert von Chris4You (21.08.2009 um 15:36 Uhr) |
21.08.2009, 15:44 | #9 |
| Umleitung auf windowsclick.com , Programme funktionieren nicht etc. Hm, die beiden dll finde ich nicht trotz "alle Dateien anzeigen" |
21.08.2009, 15:50 | #10 | |
| Umleitung auf windowsclick.com , Programme funktionieren nicht etc. Avenger File: Zitat:
|
21.08.2009, 16:01 | #11 |
| Umleitung auf windowsclick.com , Programme funktionieren nicht etc. MAM geht immernoch nicht (mbam.exe wird, wie vor dem fix, zwar bei den Prozessen im Task-Manager angezeigt, öffnet sicher aber nicht) Bei ComboFix gleiches Problem wie vorher |
21.08.2009, 19:38 | #12 |
| Umleitung auf windowsclick.com , Programme funktionieren nicht etc. Sophos Anti-Rootkit - Download - CHIP Online hat das Problem scheinbar gelöst. Hab nach dem Scan (hat beim mir 1 Stunde gedauert) einfach alles, was ich abhaken konnte, abgehakt und vom Programm bereinigen lassen. (Wie postet man denn da ein Logfile?) Alle Programme funktionieren wieder, ich werde im Netz nicht mehr umgeleitet. Soll ich noch ein Logfile von einem anderen Programm posten? Vielen Dank schonmal. |
22.08.2009, 12:45 | #13 |
| Umleitung auf windowsclick.com , Programme funktionieren nicht etc. Hi, lösche combofix mit Start->ausführen combofix /u, installiere eine neue Version (download wie gehabt) und lass die mal laufen. Was macht MAM, ist es jetzt startfähig, sonst müssen wir noch was tun... Prüfe, od Du das Logfile von Sophos hier findest: Protokolldatei: %TEMP%\sarscan.log (%TEMP% das temporäre Windows-Verzeichnis)... Bitte nochmal ein neues RSIT-Log posten! chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
22.08.2009, 14:09 | #14 | |
| Umleitung auf windowsclick.com , Programme funktionieren nicht etc. MBAM funktioniert hab gestern gescannt (hat ewig gedauert), hat doch einiges gefunden. Das Logfile stammt von vor der Bereinigung (No action taken), ich hab natürlich bereinigen lassen Zitat:
|
22.08.2009, 14:26 | #15 | |
| Umleitung auf windowsclick.com , Programme funktionieren nicht etc. RSIT log.txt Teil 1 Zitat:
Geändert von Michi86 (22.08.2009 um 14:34 Uhr) |
Themen zu Umleitung auf windowsclick.com , Programme funktionieren nicht etc. |
adobe, autorun, avg, avg free, avg security toolbar, bho, bonjour, downloader, e-mail, ebay, einstellungen, explorer, firefox, funktionieren nicht, google, google update, gupdate, hkus\s-1-5-18, hotspot, hotspot shield, internet, internet explorer, locker, logfile, magix, malwarebytes' anti-malware, mozilla, nvidia, pdf, plug-in, problem, programme, rundll, security, server, software, toolbars, tuneup.defrag, windows xp, wireless lan |