Guten Morgen nochmal

Werde jetzt Malwarebytes starten (nach erfolgreichem download) und dann die anderen nochmal scannen lassen.

Komisch ist aber auch; Ich habe 3 Dateien im Papierkorb auf d. Desktop. Ordneroption besagt versteckte Datein sind sichtbar. Diese 3 Dateien aber nicht. Beim Versuch den Papierkorb zu leeren kommt folgende Meldung:
Dc12 kann nicht gelöscht werden ... stellen sie sicher das der datenträger nicht voll ist oder die datei gerade verwendet wird .. (so ähnlich.. )

Bitte! Ich wäre echt ganz arg dankbar wenn sich jemand meine logs mal anschauen könnte und vielleicht weiß was zu tun ist Wie schon geschrieben, System ist ganz neu aufgesetzt un formatiert
MfG

Hi,

moment...

Es wird ein MBR-Rootkit gemeldet...

Zusätzlich: MBR-Rootkitscanner
Lade den MBR-Rootkitscanner von GMER auf Deine Bootplatte:
http://www2.gmer.net/mbr/mbr.exe
Merke Dir das Verzeichnis wo Du ihn runtergeladen hast;
Start->Ausführen->cmd
Wechsle in das Verzeichnis des Downloads und starte durch Eingabe
von mbr das Programm...

Das Ergebnis sollte so aussehen:

Zitat:

D:\Downloads>mbr
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

In dem Verzeichnis wo mbr.exe liegt findest Du das Log,
poste es im Thread;

Here we go:
Aus dem HJ-Log kommt noch das hier raus:

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\msnjgrac.dll
C:\Dokumente und Einstellungen\***\Desktop\SpywareTerminatorSetup.exe
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code: Alles auswählenAufklappen

ATTFilter

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|myizzo
 
Files to delete:
C:\WINDOWS\system32\msnjgrac.dll
C:\DOKUME~1\***~1\LOKALE~1\Temp\is-L0KIS.tmp\SpywareTerminatorSetup.tmp

Folders to delete:
C:\DOKUME~1\***~1\LOKALE~1\Temp
         

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Code: Alles auswählenAufklappen

ATTFilter

O4 - HKLM\..\Run: [myizzo] RUNDLL32.EXE C:\WINDOWS\system32\msnjgrac.dll,w
         

Versuche dann noch mal Combofix, benenne Ihn bereits im Downloaddialog auf z.B. test.exe um (ev. abgesicherter Modus mit Netzwerkunterstützung)...
Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.

Chris

Morgen
und danke!

Hat geklappt mit GMER bis jetzt. Hier die Log:

Zitat:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x88c24020
NDIS: NVIDIA nForce 10/100/1000 Mbps Ethernet -> SendCompleteHandler -> 0x88c608d0
Warning: possible MBR rootkit infection !
copy of MBR has been found in sector 0x025429800
malicious code @ sector 0x025429803 !
PE file found in sector at 0x025429819 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.

Jetzt Verknüpfung erstellen und mit Startparameter starten o. per Konsole oder ganz anders... ?
Grüße

Hi,

bitte den Rest vom Posting (s. oben) ebenfalls noch abarbeiten...

Start->Ausführen cmd eingeben.
Dann in das Verzeichnis wo Du die mbr.exe abgelegt hast hinnavigieren (oder vorher die EXE in ein geeignetes Verzeichnis kopieren), dann wie angegeben mbr -f eingeben...

Ein ACPI-Treiber, das wird lustig, unbedingt Combofix (wäre das Beste) oder GMER laufen lassen ev. verdacht auf TDSS V3...

chris

Hi,

wa mir zusätzlich Sorgen macht, bei den Meldungen von Bullgard sind jede Menge Windowsfiles enthalten, das sieht nach einem Fileinfector (Sality) aus,
dann muss der Rechner platt gemacht werden...

Meldet MAM (AntiMaleWareBytes) schon was...

Für den Fileinfector Dr. Web/Cureit:
Cureit
http://www.trojaner-board.de/59299-a...eb-cureit.html

chris
Ps.: Es ist zwar noch nicht Ostern, aber ich finde Sohnemann sollte lange Ohren bekommen ;o)

Virustotal klappt nicht. Egal wie, ich kann die Seite nicht aufrufen

Bei Neustart hatte ich unzählige Prozesse (svchost, av_md, reader_s, 7.. tmp.exe)

Avenger und Hijack Logs hier:

Zitat:

Logfile of The Avenger Version 2.0, (c) by Swandog46
h**p://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\msnjgrac.dll" deleted successfully.

Error: could not open file "C:\DOKUME~1\***~1\LOKALE~1\Temp\is-L0KIS.tmp\SpywareTerminatorSetup.tmp"
Deletion of file "C:\DOKUME~1\***~1\LOKALE~1\Temp\is-L0KIS.tmp\SpywareTerminatorSetup.tmp" failed!
Status: 0xc0000033 (STATUS_OBJECT_NAME_INVALID)
--> an object cannot have this name


Error: could not open folder "C:\DOKUME~1\***~1\LOKALE~1\Temp"
Deletion of folder "C:\DOKUME~1\***~1\LOKALE~1\Temp" failed!
Status: 0xc0000033 (STATUS_OBJECT_NAME_INVALID)
--> an object cannot have this name

Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|myizzo" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

warte ich habe die sternchen nicht weg gemacht, also nochmal avenger + die anderen

Hier erstmal die HJTlog:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:57:49, on 02.12.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\BullGuard Ltd\BullGuard Gamer's Edition\BullGuardUpdate.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [19163] C:\WINDOWS\system32\7.tmp.exe
O4 - HKLM\..\Run: [av_md] C:\WINDOWS\system32\av_md.exe
O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKLM\..\RunOnce: [Cleanup] C:\cleanup.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BullGuard] "C:\Programme\BullGuard Ltd\BullGuard Gamer's Edition\bullguard.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [googletalk] "C:\Programme\Google\Google Talk\googletalk.exe" /autostart
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [av_md] C:\Dokumente und Einstellungen\**\av_md.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [av_md] C:\Dokumente und Einstellungen\**\av_md.exe (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1259643722046
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: BullGuard LiveUpdate (BgLiveSvc) - BullGuard Ltd. - C:\Programme\BullGuard Ltd\BullGuard Gamer's Edition\BullGuardUpdate.exe
O23 - Service: BGRaSvc - BullGuard Ltd. - C:\Programme\BullGuard Ltd\BullGuard Gamer's Edition\support\bgrasvc.exe
O23 - Service: BullGuard Gaming Service (BsGaming) - BullGuard Software - C:\Programme\BullGuard Ltd\BullGuard Gamer's Edition\BsGaming.exe
O23 - Service: COM+-Systemanwendung (COMSysApp) - Unknown owner - C:\WINDOWS\System32\dllhost.exe (file missing)
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\WINDOWS\system32\nvsvc32.exe (file missing)
O23 - Service: MS Software Shadow Copy Provider (SwPrv) - Unknown owner - C:\WINDOWS\System32\dllhost.exe (file missing)

--
End of file - 5996 bytes
         

Files fixen ist nicht möglich, bekomme dann sofort ganz viele neue svchoste.exe die eine Auslatung von 100% verursachen. Mit Mühe und Not habe ich die im Taskmanager beendet

Code: Alles auswählenAufklappen

ATTFilter

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, h**p://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x88c25020
NDIS: NVIDIA nForce 10/100/1000 Mbps Ethernet  -> SendCompleteHandler -> 0x88c618d0
Warning: possible MBR rootkit infection !
user & kernel MBR OK 
copy of MBR has been found in sector 0x025429800 
malicious code @ sector 0x025429803 !
PE file found in sector at 0x025429819 !
Use "Recovery Console" command "fixmbr" to clear infection !
         

Und jetzt versuche ich auch nochmal GMER und oder combofix drauf zu bekommen.
Ist es eigentlich richtig, das Rootkits nich agieren können, wenn man etwas von CD aus starten? Wäre dies eine Möglichkeit Combofix drauf zu bekommen?

Hi,

habe mir gerade einen Kaffee eingeworfen...

Ja, von CD booten hindert die netten Tierchen vom Starten...
Wenn CF bzw. Gmer nicht klappt (was hat Antimalewarebytes gemeldet), dann basteln wir uns an einem sauberen Rechner eine Boot-CD (hast du eine XP-Boot-CD?)

Wenn Du aber erst kürzlich den Rechner neu aufgesetzt (s. http://www.trojaner-board.de/51262-a...sicherung.html) hast, was hindert Dich daran es noch mal zu tun (bevor wir uns hier den Wolf scannen)?

Wichtig dabei ist, das die komplette Festplatte wirklich formatiert wird und der Bootsector neu geschrieben wird. Bevor du dann online gehst, die DNS-Einstellungen kontrollieren (nicht das Du gleich wieder auf einer verseuchten Seite landest...

BootCd erstellen:
Antivir, Rescue-CD
http://www.avira.de/de/support/support_downloads.html
Dort bitte das Rescue System sowie das update
dazu runterladen. Beim Start der Anwendung leere CD in den Brenner,
CD brennen lassen. Zweite CD brennen mit dem ausgepackten Update.
Von CD booten (Einstellung im BIOS vornehmen)...
http://www.pcwelt.de/start/sicherhei...s/news/149200/

Boote aber zuerst von der XP-CD in die Rettungskonsole und führe dort dann fixmbr aus (wie von GMER empfohlen).

Dann XP-CD raus, Avira-CD rein, von CD booten und avira scannen lassen...

chris

Hallo,
danke für Deine Hilfe
ich habe jetzt das System wieder neu aufgesetzt, gab keine andere Möglichkeit. Da egal welches Programm ich geöffnet habe (Malwarebyte, Bullguard etc) bekam ich dann sofort 3 XXXordner auf dem Desktop.

Also alles platt gemacht und den mit infizierten USB Stick gleich mitentsorgt.
Nun habe ich alle meine wichtigen Dateien (Bilder usw) auf einer externen Festplatte und bin mir nicht sicher ob diese vielleicht auch infinziert ist.
Habe das System ja jetzt innerhalb von 3Tagen 2mal neu aufgesetzt.
Wie komme ich jetzt sicher an meine Dateien von der externen Platte ran?

achja.. dem Sohnemann wurden erstmal die Löffel lang gezogen, natürlich nur wörtlich und er hat zugegeben irgend etwas gedownloadet zu haben da er zu faul war auf sein zimmer hoch zu gehen das soll mal einer verstehen. Sicherheitshalber habe ich alle PCs im Netzwerk neu aufgesetzt.

DANKE nochmal und eine schöne Woche inklusive Wochenende wünsche ich

grüße