Hallo Donthackme,

Folgende Schritte habe ich nun unternommen:

1. CCleaner nochmal entsprechend der Anleitung ausgeführt.

2. Mit HijackThis folgenden Eintrag gefixed:

04-HKCU\..\Run: [Epson B40W Series] "C:\WINDOWS\TEMP\E_S49.tmp" \EF "HKCU"

3. Folgende Datei bei Virus Total geprüft:

C:\WINDOWS\system32\nvmctray.dll

Hier wurden keine Ergebnisse gefunden.

4. Nachdem ich beide Fragen mit "nein." beantworten konnte habe ich "trend micro" gelöscht.

Wobei ich mich schon frage, was ich von HijackThis halten soll. Eine Software, die von Windows-Update heruntergeladen wird und als "Software zum entfernen bösartiger Software" deklariert wird, und dann allerdings selbst infizierte Dateien enthält!

5. Ich habe Avira nochmal runtergeladen, auf den Desktop entpackt und die Downloaddatei von avira gelöscht.

6. Dann habe ich rootrepeal.exe heruntergeladen und auf den Desktop extrahiert. Hier gab es allerdings leider wieder ein neues Problem
Beim Versuch, RootRepeal zu starten, trat nur folgender Fehler auf:

"Attempt to read from adress: 0x01167000"

Außerdem erschienen die Dateien "RootRepeal.dmp" und die .txt-Datei "RootRepeal_crash_092509.013146" auf meinem Desktop.

Die .txt-Datei "RootRepeal_crash_092509.013146" hat dabei folgenden Inhalt:

ROOTREPEAL CRASH REPORT
-------------------------
Windows Version: Windows XP SP3
Exception Code: 0xc0000005
Exception Address: 0x004149f4
Attempt to read from address: 0x01167000

Das waren alle Schritte, die ich in der Zwischenzeit unternommen habe. Ich werde übrigens die nächsten Tage nicht posten können. Das heißt aber nicht, dass ich die Geduld oder sogar das Interesse verloren habe. Schließlich möchte ich, dass mein System wieder clean wird und bin über die kompetente Hilfe, die ich hier bekomme sehr froh. Ich bin allerdings die nächsten Tage nicht zu Hause und komme erst am Dienstag wieder. Ich werde aber sobald ich wieder zu Hause bin an dem Problem weiterarbeiten.

Nochmal vielen Dank für deine Hilfe und bis Dienstag

Firutin

Zitat:

Wobei ich mich schon frage, was ich von HijackThis halten soll. Eine Software, die von Windows-Update heruntergeladen wird und als "Software zum entfernen bösartiger Software" deklariert wird, und dann allerdings selbst infizierte Dateien enthält!

"Hijackthis" ist "sauber", es kommt nur vor, das sich Schädlinge als "gute Programme" ausgeben. Sie nennen sich gerne so, damit man sie für nützliche Programme halten soll und sie unentdeckt ihr Werk verrichten können.

Zitat:

Dann habe ich rootrepeal.exe heruntergeladen und auf den Desktop extrahiert. Hier gab es allerdings leider wieder ein neues Problem
Beim Versuch, RootRepeal zu starten, trat nur folgender Fehler auf:
"Attempt to read from adress: 0x01167000"

Hier scheint es, als wollte ein Virus/Malware uns daran hindern, dein System gründlich nach Rootkits zu durchleuchten.

Gehe bitte wie folgt vor:

-Lade dir Sophos Antirootkit auf dein Desktop runter:
Sophos Anti-Rootkit - Download - CHIP Online
-Noch nicht ausführen
-Solltest du Rootrepeal in Frust gelöscht haben , lade es nochmal runter.

-Reboote deine Computer und drücke die F8 Taste
-Gehe in den abgesicherten Modus mit einem Konto das über Administratorrechte verfügt.
-Trenne deinen PC vom Internet
-Deaktiviere deinen Firewall und dein Antivirusprogramm, sollten sie aktiv sein
-Bevor du nun Rootrepeal ausführst, ändere den Namen der exe. Datei in gkls.com (Einmal auf den Namen der Datei klicken, im Kästchen den alten Namen löschen und den neuen reinschreiben)
-Mache einen Scan, wie beschrieben, in meinem letzten Thread.
-Bevor du Sophos Antirootkit installierst, nenne die Installationsdatei um, wie angewiesen.
-Installiere Sophos und führe einen Scan aus.

Hallo Donthackme,

jetzt bin ich wieder da.

Also zuerst habe ich mir die Datei von dem Pfad, den du mir angegeben hast heruntergeladen. Dann habe ich den PC vom Internet getrennt und Virenschutz und Firewall deaktiviert. Danach bin ich in den abgesicherten Modus gegangen. Dann habe ich rootrepeal entsprechend deiner Anweisung umbenant in gkls.com.
Als ich die Datei dann ausführen wollte, kam nur leider wieder die selbe Fehlermeldung wie vorher. Außerdem sind wieder zwei Dateien auf dem Desktop erschienen: gkls.com.dmp und gkls.com_crash_092909.221352, eine .txt-Datei, die wieder den gleichen Inhalt hat wie in meinem letzten Post. Habe ich evtl. irgendetwas falschgemacht? Soll ich rootrepeal nochmal deinstallieren und reinstallieren oder soll ich vorher nochmal evtl. die .dmp- und die .txt-Dateien, die bei den fehlgeschlagenen Startversuchen entstanden sind, löschen?

Viele Grüße

Firutin

Zitat:

Zitat von Firutin

Hallo Donthackme,

jetzt bin ich wieder da.

Schön

Zitat:

Habe ich evtl. irgendetwas falschgemacht?

Nein, alles gut gemacht.

Zitat:

Soll ich rootrepeal nochmal deinstallieren und reinstallieren oder soll ich vorher nochmal evtl. die .dmp- und die .txt-Dateien, die bei den fehlgeschlagenen Startversuchen entstanden sind, löschen?

Ja lösche die, sowohl als auch die Installationsdatei von rootrepeal. (rechte Maustaste/löschen)
Der Scanner ist noch in der Entwicklung, daran kann es liegen.
Mache bitte aber folgendes kleines Experiment, es gibt nämlich Malware, die aktiv gegen Installation von solchen Scannern vorgeht:

Gehe auf Start/Ausführen/schreibe rein: devmgmt.msc Es öffnet sich der Geräte Manager. Gehe jetzt auf "Ansicht" und "Ausgeblendete Geräte anzeigen.
Dann auf "Nicht-PnP-Treiber" Findest du da einen driver mit Namen "TDSSserv.sys"?

Nach einer Woche Pause, kann sich in einem Computer viel ändern...
Deswegen sage mir mal erst, ob du irgendwelche Probleme mit deinem Computer/Internet hast. Läuft er gut? Fällt dir etwas negativ auf?

Lasse mal Sophos drüberlaufen, wie ich in meinem letzten Thread angegeben.
Und einen neuen Scan mit einem "updated" Malwarebytes.
Ist da alles ok, gehe ich davon aus, dass dein System "clean" ist.



gruss
DHM.

Hallo DHM,

habe leider gerade einen Rückschlag erlebt. Aber gut, ich denke, dass das dazu gehört, wenn man Malware bekämpft.

Aber jetzt erst einmal die Schritte die ich unternommen habe:

Ich habe rootrepeal nochmal deinstalliert, reinstalliert, die .dmp- und die .txt-Dateien gelöscht und die Installationsdatei gelöscht, dann rootrepeal wieder in gkls.com umbenannt. Dann habe ich die Verbindung zum Internet getrennt, Antivirus und Firewall deaktiviert und bin in den abgesicherten Modus gegangen. Dennoch konnte ich rootrepeal mit den gleichen Fehlermeldungen nicht ausführen.
Also habe ich deinen Anweisungen entsprechend "TDSSserv.sys" gesucht, konnte den Driver aber nicht finden.

Also habe ich mein Glück mit Sophos versucht. Zuerst habe ich die Installationsdatei in gkls.com umbenannt (dafür musste ich rootrepeal natürlich erst zurück-umbenennen). Sophos hat fast einwandfrei funktioniert. Im abgesicherten Modus kam beim Scan nur folgende Meldung:

"Error: Could not initialize kernel driver memsweep.sys. Please restart and try again.

Der Dienst kann nicht im abgesicherten Modus gestartet werden."

Deswegen habe ich noch einen Scan im normalen Modus gestartet, der dann fehlerfrei funktioniert hat. Keiner der beiden Scans hat Ergebnisse erzielt.

Dann habe ich Malwarebytes' nochmal geupdated und einen Scan durchgeführt. Und hier jetzt der Rückschlag: Malwarebytes' hat 4 infizierte Dateien entdeckt, die ich natürlich behoben habe.

Hier ist das Logfile:

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2873
Windows 5.1.2600 Service Pack 3

30.09.2009 00:49:57
mbam-log-2009-09-30 (00-49-57).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 124488
Laufzeit: 15 minute(s), 7 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\1.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\2.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\3.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\4.tmp (Trojan.Agent) -> Quarantined and deleted successfully.


Daraufhin habe ich nochmal einen Scan im abgesicherten Modus gestartet, der allerdings keine Ergebnisse erzielt hat.

Beim Update von Malwarebytes' ist mir übrigens aufgefallen, dass man unter dem Reiter "Quarantäne" auf den Button "alle löschen" gehen kann. Soll ich das mal machen?

Na ja, wie du in deinen Fußnoten schon sagst: Wenn man Malware bekämpft, ist das wie ein Kampf gegen die Hydra.
In diesem Sinne viele Grüße und nochmal vielen Dank

Firutin

Zitat:

Zitat von Firutin

Hallo DHM,

habe leider gerade einen Rückschlag erlebt. Aber gut, ich denke, dass das dazu gehört, wenn man Malware bekämpft.

Eine Woche Pause, gefällt der Malware. Bevor ein Bereinigungprozess abgeschlossen ist, sollte man auf solche Pausen verzichten.

Zitat:

Ich habe rootrepeal nochmal deinstalliert, reinstalliert, die .dmp- und die .txt-Dateien gelöscht und die Installationsdatei gelöscht, dann rootrepeal wieder in gkls.com umbenannt.

Wie gesagt, Roortepeal und die Installationsdatai einfach mit rechter Maustaste "löschen"

Zitat:

Deswegen habe ich noch einen Scan im normalen Modus gestartet, der dann fehlerfrei funktioniert hat. Keiner der beiden Scans hat Ergebnisse erzielt.

Gut.

Zitat:

Dann habe ich Malwarebytes' nochmal geupdated und einen Scan durchgeführt. Und hier jetzt der Rückschlag: Malwarebytes' hat 4 infizierte Dateien entdeckt, die ich natürlich behoben habe.

Nicht gut.

Zitat:

Beim Update von Malwarebytes' ist mir übrigens aufgefallen, dass man unter dem Reiter "Quarantäne" auf den Button "alle löschen" gehen kann. Soll ich das mal machen?

Ja, die Funde sind tmp. Dateien, die kann man bedenkenlos löschen.
Schwieriger ist das bei Windows Datein, sollten die befallen sein.

Zitat:

Na ja, wie du in deinen Fußnoten schon sagst: Wenn man Malware bekämpft, ist das wie ein Kampf gegen die Hydra.

Du sagst es. Um Erfolg zu haben muss man schnell arbeiten und effektiv, weil sich Malware aus dem Internet "nachladen kann". Virus vebreitet sich und infiziert immer neue Dateien und ein Wurm springt von PC zu PC.

Die Funde von Malwarebytes sagen, dass du ein Trojaner auf deinem PC hattest. Wahrscheinlich war der über längere Zeit aktiv. Wir lassen "jetzt die Hunde los" damit meine ich, wir machen eine Reihe von Kontrollscanns mit guten Antimalware scannern.
Bitte arbeite diese Liste ab:
(Arbeite im Norm. Modus und deine USB Sticks etc...mitscannen)

* CCleaner ausführen, "Cleaner" und "Registry"
*Lade dir SUPERAntiSpyware runter, updaten, ausführen nach der Anleitung
Log posten.
*Mache bitte ein Online Scann mit Panda
FREE ANTIVIRUS online: ActiveScan 2.0 - PANDA SECURITY
*Mache bitte ein Online Scan mit Kaspersky
Kaspersky Lab: Anti-Virus, Internet Security, Mobile Security & Antiviren-Software und Services für Unternehmen
(Internet Explorer)
Fünde,bitte in den Thread kopieren.
*Bitte poste in den Thread ein neues RSIT log.


Bitte beachte:
-Systemwiederherstellung, bis wir den PC sauber haben, nicht benutzen
-Bitte gebe mir die Info, um die ich gebeten habe: Wie läuft dein PC? Langsam? Wie ist die Verbindung zum Internet? Fällt dir irgendetwas negativ auf?
-Und: Hast du dir HijackThis mit "Windows update" runtergeladen?

gruss
DHM.

Hallo DHM,

die neuen Scans haben teilweise sehr lange gedauert, aber ich habe sie durch.

Hier also mein Vorgehen:

1. Ich habe den CCleaner wieder samt Registry ausgeführt.

2. Ich habe einen Scan mit Super Anti Spyware durchgeführt. Dieser hatte einen Fund. Hier das log:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 09/30/2009 at 06:46 PM

Application Version : 4.29.1002

Core Rules Database Version : 4136
Trace Rules Database Version: 2068

Scan type : Complete Scan
Total Scan Time : 00:37:51

Memory items scanned : 511
Memory threats detected : 0
Registry items scanned : 4315
Registry threats detected : 0
File items scanned : 39577
File threats detected : 1

Trojan.Agent/Gen-SoftWin[Virut]
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\LOKALE EINSTELLUNGEN\TEMP\D.EXE


3. Dann habe ich einen Scan mit Panda durchgeführt. Dieser hat richtig lange gedauert, hatte aber keine Funde.

4. Auch der Kapersky Online Scan konnte keine infizierten Dateien finden.

5. Schließlich habe ich noch den RSIT durchlaufen lassen. Die log dazu poste ich im nächsten Post, weil sie ja sehr lang ist.

Außerdem hattest du noch einige Fragen an mich, die ich in meinem letzten Post nicht beantwortet habe:

Die Verbindung zum Internet läuft ohne Auffälligkeiten. Der PC läuft, soweit ich das beurteilen kann, wenn überhaupt nur minimal langsamer als vorher. Ansonsten fällt mir nichts negativ auf.
Was HijackThis angeht: Ich gehe davon aus, dass Windows Update HijackThis heruntergeladen hat, da ich das nicht selbst heruntergeladen habe. Ich kann mir da leider nicht so sicher sein, da Windows Update bei mir zu Hause automatisch abläuft. Aber in der Arbeit hat Windows Update in letzter Zeit eine "Software zum entfernen bösartiger Software" angezeigt, da habe ich mir gedacht, dass es sich da wohl um HijackThis handelt.

Vielen Dank und Viele Grüße

Firutin