Hallo,
ich habe einwenig das vertrauen in mein system verloren, nachdem ich die letzte Zeit trotz Kaspersky10 bei Kontrollscanns mit malwarbyte immer mal wieder Viren gefunden habe.
Aktuell finden weder malwarbyte noch kaspesky Bedrohungen.

Ich habe einen scan mit Catchme gemacht dabei habe ich zig hundert einträge aus den Messengerverzeichnis bekommen in denen ich die Verläufe speichere, ich kann das unmöglich alles hier reinkopieren ist auch immer im endefekt das gleiche nur eben mit wechselnden Adressen.

Code: Alles auswählenAufklappen

ATTFilter

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-20 16:21:14
Windows 6.0.6002 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0

scanning hidden registry entries ...

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{4135AAE1-55AF-B894-342C-D41E63D851B4}]
"iabfljlfjdbligbkob"=hex:6a,61,61,6b,68,69,63,6e,61,6f,62,62,67,6e,62,68,62,6b,61,61,00,..
"halfalgnhdknkken"=hex:6a,61,61,6b,68,69,63,6e,61,6f,62,62,67,6e,62,68,62,6b,61,61,00,..
"haagdjppphmfmncg"=hex:66,61,64,6b,69,6a,61,6d,61,6d,68,6a,00,f6

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

file zipped: C:\Users\Rupert\AppData\Local\Microsoft\Messenger\spxxxxx.xxxcom\SharingMetadata\adamixxxn73@hotmail.com\DFSR\Staging\CS{5097F963-5456-1F7E-A4CC-7B909CEFF3E5}\01\3723-{5097F963-5456-1F7E-A4CC-7B909CEFF3E5}-v1-{86981EB6-63F2-490C-8CAA-B7E3ED6D8D68}-v3723-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS -> catchme.zip -> {59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS ( 8 bytes ) 
file zipped:
         

Ich habe die Emailadresen mit einigen xxx abgeändert.
Mein Frage ist das ernstzunehmen oder eher harmlos.

Vielen dank und sonnige Inselgrüße
Rupert

Halli hallo.

Bitte deinstalliere Deamon Tools über die Systemsteuerung.
Während der Deinstallation musst du den Rechner neustarten.

Danach downloade dir das Tool hier: http://www.duplexsecure.com/download/SPTDinst-v162-x86.exe
Starte es durch einen Doppelklick. Im anschließenden Dialog wirst du den "Uninstall" Button finden. Betätige diesen um SPTD zu deinstallieren.
Starten den Rechner danach neu.

Räume mit dem CCleaner auf (Punkte 1&2).



GMER - Rootkit Detection

• Lade GMER von hier herunter. (Etwas weiter unten auf der Seite findet sich der Button "Download EXE". Es wird ein zufälliger Dateiname erzeugt.)
• Doppelklicke die zufälligerDateiname.exe
• Der Reiter Rootkit oben ist schon angewählt

• Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
• nach Beendigung des Scan, drücke "Copy"
• nun kannst Du das Ergebnis hier posten

Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei mit Administrator-Rechten aus.

Poste das log!

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck

Zitat:

MBR rootkit code detected !

indiziert und du musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Poste auch diese log!

Hallo,
Wow das ging ja Fix.
Den CCleaner hatte ich gestern schon gemacht.
GMER - Rootkit Detection läuft seit ca 1 stunde und ist noch nicht Fertig, das dauert wohl noch ein bisserl. Sind ca. 1 terrabyte Daten drauf auf mehrern Platten. Da ich auf auch noch mein altes xp hin und wieder verwende habe ich beide Platten zum Durchsuchen angegben.

Zitat:

Bitte deinstalliere Deamon Tools über die Systemsteuerung.
Während der Deinstallation musst du den Rechner neustarten

hm also ich habe weder in der Sytemsteuerung unter Software noch unter Programme im Verzeichnis Daemon Tools gefunden.
Den Rest werde ich erledigen sobald das GMER seine Arbeit verrichtet hat.

Vielen Dank schon mal für die schnelle Reaktion

sonnige Inselgrüße
Rupert

In dem GMER Einstellungen solltest du eigentlich nichts verändern...

Bringt eh nichts wenn GMER ein system durchleuchtet welches in dem Moment garnicht aktiv ist.

Hallo,
ok ich habe dann nochmal von vorne angefangen inkl ccleaner, soweit so gut.
Allerdings bei gmr stürzte mir der Rechner nun 2 mal komplett ab mit Bluescreen. Jetzt beim 3. mal die Windows Meldung

Code: Alles auswählenAufklappen

ATTFilter

es.....exe funktioniert  nicht mehr.
         

\
Device\Hardisk\Shadowcopy1 war die letzte datei die er untersucht hatte.

Die Einstellungen hatte ich alle original so gelassen wie Sie sind.

Ds mbr hatte ich trotzdem noch gemacht aber heir scheint bis dahin alles in ordnung zu sein

Code: Alles auswählenAufklappen

ATTFilter

tealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
         

hatte die GMER datei auch nochmal neu runtergeladen.

Hallo,
ok ich habe dann nochmal von vorne angefangen inkl ccleaner, soweit so gut.
Allerdings bei gmr stürzte mir der Rechner nun 2 mal komplett ab mit Bluescreen. Jetzt beim 3. mal die Windows Meldung

Code: Alles auswählenAufklappen

ATTFilter

es.....exe funktioniert  nicht mehr.
         

\
Device\Hardisk\Shadowcopy1 war die letzte datei die er untersucht hatte.

Die Einstellungen hatte ich alle original so gelassen wie Sie sind.

Ds mbr hatte ich trotzdem noch gemacht aber heir scheint bis dahin alles in ordnung zu sein

Code: Alles auswählenAufklappen

ATTFilter

tealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
         

hatte die GMER datei auch nochmal neu runtergeladen.

Das er nun abschmiert ist kein gutes Zeichen.

Grade der Pfad Hardisk\Shadowcopy1 gefällt mir garnicht.

Erstelle bitte zwei AVZ logs.

Hallo,
hat gedauert aber er ist fertig, hat auch ein paar sachen gefunden, obwohl das meiste wohl harmlos ist,. das Klicktool was da zig mal angezigt wird ist irgendwann vor Jahren bei ebay gekauft worden und liegt da wohl in alten sicherheitskopien vom Emailprogramm. allerdings hate auch noch 2 andere sachen gefunden.

Wollte eben das 2. Log als Anhang schicken, scheint aber zu groß zu sein, wo kann ich das hinschicken?.

sonnige Inselgrüße

Rupert
Ps nach dem Durchlauf hatte ich den Rechner neu gestartet, daueret ewig Bildschirm blieb schawrz Fehlermeldung das der Explorer nicht mehr funktioniert, nach strg/alt/del und Benutzer neu anmelden ging es dann.
Gefällt mir alles gar nicht.

Da fehlt noch das syssecure.log

Sag mal was für ein Betriebssytem nutzt du eigentlich?

Hallo,
sorry das hatte er wohl nicht genommen hier nochmal der 2 Versuch.
Vista 32bit Ultimate AMD Phenóm 9950 QuadCore Processor 6 Gb Ram
Service Pack2

Die Datei, die Sie anhängen möchten, ist zu groß. Die maximale Dateigröße für diesen Dateityp beträgt 48,8 KB. Ihre Datei ist 51,4 KB groß.

Ich kann Sie bei mir auf nen server legen zum Download aaber dann müsste ich die Url Posten ich denke das mag man hier sicher nicht.

Poste die url ruhig. Das passt. Wir müssen das mit der Größe der Anhäge noch anpassen.

Hallo,

so das sollte normal gehen. Wie gesagt bei dem komischen klicktool mache ich mir keine grossen Sorgen, da weiß ich auch woher es kommt.
Bei dem der in dem Programm von dem Hexeditor liegt habe ich keine Ahnung das Programm hatte ein Bekannter installiert der mir mal bei der Webseite was gemacht hatte, der muss dann wohl über seinen usb stick gekommen sein.
Bei dem 3. habe ich gar keine ahnung wie und woher der kommt.


http://www.mallorca-spezial.info/Temp/virusinfo_syscure.zip

sonnige Mallorca Grüße

Rupert

Irgendwas ist das schief gelaufen.

Jetzt habe ich hier zweimal das sysinfo.log vorliegen.

Guck bitte nochmal ganz genau in die Anleitung und stelle mir beide logs zur Verfügung.

Am besten löscht du alle logs nochmal komplett von der platte und erstellst sie neu.

Bevor du die logs neuerstellst deinstalliere bitte Sun Java. Am besten geht das über die Systemsteuerung. Deinstalliere alles was mit SUN oder Java zu tun hat.

Lasse danach dieses Tool laufen: http://raproducts.org/javara.html und entferne damit alle Reste.

Danach befolge die AVZ Anleitung von Anfang an.

Hallo,
ich habe jetzt die infizierten Daten gelöscht und AVZ findet derzeit auch nichts, aber so ganz raue ich der Geschichte immer noch nicht.

WAS hast du wie gelöscht????

Jetzt mach' keinen Schieß!

EDIT: Oh man, du hast im Hauptfenster von AVZ den Start Button gedrückt oder?