Hallo!

habe mir am Wochenende ein Rootkit eingefangen. Bei allem was ich tue, also z.B. einen Ordner/Programm öffnen, erhalte ich immer folgende Fehlermeldung:

"Dateiname" - Ungültiges Bild

globalroot\systemroot\system32\kbiwkmbkfpvsgn.dll ist entweder niht für die Ausführung unter Windows vorgesehen oder enthält einen Fehler. Installieren Sie das Programm mit den Originalinstallationsmedien erneut, oder wenden Sie sich an den Systemadministrator oder Softwarelieferanten, um Unterstützung zu erhalten.

Kaspersky erkennt es zwar, aber desinfizieren bzw. lösche funktioniert nicht. Combofix konnte ich einmal starten, danach schien das Problem auch gelöst zu sein, doch dann fing alles wieder von vorn an. Seitdem kann ich Combofix auch nicht mehr starten.
Mittlerweile komm ich nicht mal mehr ins Internet.
Ich will das System nicht neu aufsetzen.

Ich hoffe, mir kann hier jemand helfen!?
Achj ja, habe Vista Home Premium, 32-bit auf meinem Laptop.

Danke im Voraus
redbomb

Hallo und

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (etx. Platten, SD-Cards, ... mit anklemmen!!
Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

habs leider nicht eher geschafft... hoffe das nützt was:

http://www.file-upload.net/download-1895697/logs.zip.html

Bitte das nächste Mal die Logdateien so belassen wie sie sind. Es gibt keinen Grund, reinen Text als MS-Worddatei abzuspeichern!

Dein System sieht so ziemlich im Eimer aus, bei diesem Patchstand eigentlich kein allzu großes Wunder:

Code: Alles auswählenAufklappen

ATTFilter

Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16609)
         

Hast Du jemals Updates für Windows eingespielt?

Bitte mal den Avenger anwenden

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.


Danach:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code: Alles auswählenAufklappen

ATTFilter

files to delete:
C:\Windows\system32\cmd.execf
c:\windows\system32\inethttpfilter.dll

folders to delete:
C:\32788R22FWJFW
C:\Program Files\EZ Save MHT
         

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.


Dann sehen wir weiter.

Hab vielleicht am Anfang Updates aufgespielt aber habs dann im Laufe der Zeit irgendwie verschwitzt.


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\Windows\system32\cmd.execf" deleted successfully.
File "c:\windows\system32\inethttpfilter.dll" deleted successfully.
Folder "C:\32788R22FWJFW" deleted successfully.
Folder "C:\Program Files\EZ Save MHT" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Okay, probiers wieder mit Combofix. Besorg Dir auf jeden Fall ComboboFix neu, der Link folgt gleich in der Anleitung. ComboFix bitte wieder mit unter Vista mit Rechtsklick => Als Admin ausführen:

Die Anweisungen bitte genau so umsetzen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Wichtig! Bitte die combofix.exe per Rechtsklick, "Ziel speichern unter" unter smss.exe abspeichern!
Besonders hartnäckige Malware erkennt eine combofix.exe und würde sich vor ihr gezielt verstecken!

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die in smss.exe umbenannte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

Ich habe Combofix unter smss.exe auf dem Desktop abgespeichert, aber es will nicht starten. D.h. es erscheint so ein kleines Dialogfeld mit einer Fortschrittsanzeige und danach passiert nix mehr.
Außerdem habe ich noch festgestellt, dass in meinen Netzwerkverbindungen ein Linux Internet Gateway Device drin steht, der da nicht hingehört. Und bei meiner Internetverbindung steht dann da: Verbindung mit nicht identifiziertem Netzwerk (Sitecom)...
Bin kurz davor, den Laptop gegen die Wand zu schmeißen

Da sind noch Reste vom alten Combofix, geh mal auf Start, Ausführen (oder Win-Taste + R) und tipp ein:

combofix /U

Dann mit Enter bestätigen. Versuch dann erneut die umbenannte Combofix Datei zu starten.

Combofix startet jetzt, allerdings tauchen da immer wieder diese Fehlermeldungen "... - Ungültiges Bild" auf. Und wenn ich die nicht bestätige, dann passiert auch nix mehr bei Combofix. Kann ich das irgendwie umgehen?

Wüsste ich jetzt aus dem Stehgreif nicht genau wie. Bestätige die einfach alle mal. Wie wieviele sind das denn?

Guten Morgen!

Das waren Unmengen von Anzeigen. Wie wenn man in ein Bienennest sticht und die wütend werden.
Bin das Rootkit jetzt aber los geworden. Nachdem Combofix nicht funktioniert hat, hab ich mir Sophos Anti-Rootkit runtergeladen, und seitdem habe ich nicht mehr die nervigen Warnmeldungen und es wird auch nix mehr gefunden
Nur mein Internet will noch nicht funktionieren. Es wurde zwar eine Verbindung zu Sitecom hergestellt, aber im Netzwerk- und Freigabecenter steht bloß eine Verbindung bis zu "Nicht identifiziertes Netzwerk", aber nicht weiter ins Internet.
Gestern stand bei mir auch noch ein "Linux Internet Gateway Device" als Netzwerk drin. Hab dann noch etwas recherchiert und daraufhin UPnP im Router deaktiviert. Jetzt steht das Netzwerk nicht mehr da, aber die Verbindung klappt immer noch nicht

Wegen der verbindung: Ich vermute da ist irgendwas falsch an den Netzwerkeinstellungen. Geh mal in die Konsole cmd.exe und führe diesen Befehl aus:

ipconfig /all > c:\ipconfig.txt

Öffne danach die Datei c:\ipconfig.txt und poste den Inhalt hier mit Codetags umschlossen.

internet geht wieder

Habe ipconfig ausgeführt, und habe festgestellt dass beim Standardgateway nichts mehr drin steht und der DNS-Server verstellt war. Hab das geändert und jetzt gehts wieder

Vielen, vielen Dank für deine Hilfe und noch einen schönen Sonntagabend!
Heike

Schön!

Bitte nochmal zur Überprüfung:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.