Leute es handelt sich um einen Notfall... Ich muss private Dateien Morgen Mittag abgeben... Und ich hab verschiedene malware drauf...
Verschiedne Trojan Dropper und ein W32 Cryptor ist drauf.

Da ich bisschen erfahrung habe, konnte ich den W32/Crtyptor entfernen(der hat unteranderem warscheinlich diese komische Antivirus-Plus installiert und das Security Center von Microsoft gefälscht.)
hab ihn entfernt durch die Prozesse (rundll32.exe habs in der Registry den Autostart von diesem Antiviurs Plus entfernt, aber die Dateien noch nicht gelöscht wollte den genauen Pfad haben damit ichs mit Avenger machen kann.)
Ausserdem öffnen sich ständig irgendwelche Werbefenster in IE obwohl ich MF als Standard eingerichtet habe

Ich benutze Windows XP SP 3 und als Antivirus -> AVG
Hier log von GMER Clip #GCM

Hier Log von HijackThis sollte eigenltich sauber sein.. Clip #GCO

hier noch DIe LOgDatei von Malwarebytes hab gelöscht alles..

Zitat:

Infizierte Dateien:
C:\duehpow.exe (Trojan.Downloader) -> No action taken.
C:\wtork.exe (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\$h0©K\Lokale Einstellungen\Temp\F2.tmp (Rootkit.TDSS) -> No action taken.
C:\Dokumente und Einstellungen\$h0©K\Lokale Einstellungen\Temp\Setup.tmp (Adware.Agent) -> No action taken.
C:\Dokumente und Einstellungen\$h0©K\Lokale Einstellungen\Temp\Sgj.exe (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\$h0©K\Lokale Einstellungen\Temp\Sgk.exe (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\$h0©K\Lokale Einstellungen\Temp\Sgm.exe (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\$h0©K\Lokale Einstellungen\Temp\Sgn.exe (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\$h0©K\Lokale Einstellungen\Temp\xomaewrcns.tmp (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\$h0©K\Startmenü\Programme\AntiVirus Plus\AntiVirus Plus.lnk (Rogue.AntiVirusPlus) -> No action taken.
C:\Dokumente und Einstellungen\$h0©K\Startmenü\Programme\AntiVirus Plus\EULA.url (Rogue.AntiVirusPlus) -> No action taken.
C:\Programme\win32\klog.dat (Bifrose.Trace) -> No action taken.
C:\Dokumente und Einstellungen\$h0©K\Anwendungsdaten\SystemProc\lsass.exe (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\$h0©K\Anwendungsdaten\avp.ico (Rogue.AntiVirusPlus) -> No action taken.
C:\Dokumente und Einstellungen\$h0©K\Lokale Einstellungen\Temp\XxX.xXx (Malware.Trace) -> No action taken.
C:\Dokumente und Einstellungen\$h0©K\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\AntiVirus Plus.lnk (Rogue.AntiVirusPlus) -> No action taken.
C:\WINDOWS\system32\net.net (Trojan.Agent) -> No action taken.
C:\WINDOWS\msa.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\msacm32.drv (Trojan.Agent) -> No action taken.
C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> No action taken.
C:\WINDOWS\wuasirvy.dll (Trojan.Banker) -> No action taken.

Werde noch nichts mit AVG Löschen
Danke für eure Hilfe!

Hi

lösche sofort alle Sachen mit MAM, die MSA.exe läuft neben der C:\cleanup.exe !

Poste ebenfalls ein neues GMER-Log und ein OTL-Log:

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

* Doppelklick auf die OTL.exe
* Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
* Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
* Unter Extra Registry, wähle bitte Use SafeList
* Klicke nun auf Run Scan links oben
* Wenn der Scan beendet wurde werden 2 Logfiles erstellt
* Poste die Logfiles hier in den Thread.

chris

Hier der OTL LOg -> Clip #GDJ

Hier der OTL Extra Log -> Clip #GDK

Hier der GMER LOG

Zitat:

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2010-01-20 19:04:34
Windows 5.1.2600 Service Pack 3
Running: eurml9t0.exe; Driver: C:\DOKUME~1\$H0K~1\LOKALE~1\Temp\kgeoauob.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \Driver\Tcpip \Device\Ip avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\Tcp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\Udp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\RawIp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)

Device -> \Driver\atapi \Device\Harddisk0\DR0 8A49A856

---- Files - GMER 1.0.15 ----

File C:\WINDOWS\system32\drivers\atapi.sys suspicious modification

---- EOF - GMER 1.0.15 ----

Was soll ich noch machen?... Achja Jedes mla wenn mein PC Startet kommt ein Bluescreen Fehlermeldung Deaktivieren sie Alle AntiVirenProgramm usw..

Ich komm in den C nur mit dem DebugModus Abgesicherterkommt auch nicht mehr rein.

Was soll ich sonst machen?

Hi,

Nachtigall ick hör dir trapsen...

Der atapi-Treiber ist wahrscheinlich infiziert...

Zitat:

File C:\WINDOWS\system32\drivers\atapi.sys suspicious modification

Das ist typisch für eine bestimmte Variante von TDSS (und das ist ein Festplattentreiber (klar, damit
weiss das Teil was gelesen werden und kann sich optimal bei einer Virensuche "ausblenden"))...

Die Bereinigung kann ins Auge gehen, aber ich denke so viel ander Möglichkeiten haben wir nicht...

Prüfe das hier mal:
Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen!
  (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“
  und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\Dokumente und Einstellungen\$h0©K\Lokale Einstellungen\Temp\RarSFX0\autorun.exe ()
C:\VF7HWjPpt.exe
C:\ytlmlfc.exe
C:\horj.exe
C:\VF7HWjPpt.exe
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet!

Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt
werden muß!

Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen.

chris

Kann ich nicht vorher ein backup machen oder soo??
Also diese sachen sind 100% cleaan sind meine Visual Basic Projecte hab Random name undso
C:\VF7HWjPpt.exe
C:\ytlmlfc.exe |CLEAN
C:\horj.exe |
C:\VF7HWjPpt.exe

Die Autorun Datei ist sauber habs gecheckt ist mein Visual Basic die Protable version von mir...
Aber im Temp odner sind komische dateinamen die auf exe enden

jfzllg.exe
utbyxlql6h.exe
ausserdem war da ne xxxyyyzzz.dat datei, hab ich auf txt umbenannt siehe da meine MSN Addy ohne PW allerdings...

SOll ich bevor ich COmboFix voreiligmache HijackThis log machen?
Achja mit AVG hb ich immernoch nichts gelöscht nur mit MalwareBytes.. Ausserdem komm ich immernoch nujr mit dem DebugModus ins Windows sonst kommt nen BLuescreen mit ner Fehlermeldung Deaktivieren sie alle Antiviren Programme Sicherheistsoftware blablab

Hi,

falls Du erstmal CF nicht einsetzen willst, folgendes Vorgehen:
Von XP-CD booten in die Rettungskonsole gehen und dort dann von Hand die atapi.sys ersetzen...

Vorher eine Sicherungskopie der atapi.sys erstellen, damit wir die bei virustotal.com prüfen lassen können...

Per Hand Treiber kopieren (atapi.sys etc.) im ersten Fall wenn die Installations-Dateien auf dem Rechner sind, im zweiten von der xp-boot-cd.

Code: Alles auswählenAufklappen

ATTFilter

expand c:\WINDOWS\ServicePackFiles\i386\atapi.sy_ c:\windows\system32\atapi.sys
oder
expand X:\i386\atapi.sy_ c:\windows\system32\atapi.sys
         

Wobei "X" Dein CD/DVD-Laufwerk ist!

Deine Anfrage wegen Teamspeak. Ich sitze hier hinter einer Firmenfirewall die alle möglichen Ports sperrt und nicht von mir beeinflusst werden kann...

Dr. WEB erkennt in den meisten Fällen TDSS...
http://www.trojaner-board.de/59299-anleitung-drweb-cureit.html

chris

chris

So hab das mit atapi sys gemacht etc.. Alles geklappt komme ins Windows auch ohen den Debugmodus asuführen zu müssen, d.h. er bootet normal.

So jetzt die infizierte atapi sys datei wurde von mir auf Virustotal hochgeladen.
Log - Virustotal

ich werde jetzt nochmal Dr. Web machen.
Und Post editieren

Hi,

die Erkennungsrate ist schon ganz schön "ernüchternd"...
Lass auch GMER noch mal laufen, TDSS-Varianten fallen auch andere Systemtreiber an...

Das Problem beim TDSS ist, er speichert sich das Original in einem eigenen, verschlüsselten Filesystem. Versucht Windows die verseuchte Treiberdatei (also quasi "ihn selbst") zu lesen, so gibt er einfach die nicht infizierte Treiberdatei zurück... Darauf fallen (fast) alle Scanner z. Z. rein...
Gleichzeitig versucht er SW die ihn trotzdem erkennen können zu blocken (Abstürze von GMER etc.)...

Die Änderungen an dem verseuchten Treiber sind nur marginaler Natur...

Mal sehen was Dr. Web noch so ausspuckt...

chris

Dr.Web war sauber(schnell scan)

Hier der GMER - LOG GMER -LOG

Ich bin mir immernoch nicht sicher ob Rootkit weg ist.
Ich hab immer Probleme wenn ich mein PC Neustarte und sich mein Fritz! Wlan Stick N neu verbiden muss braucht der PC laange zeit bis der das Programm initialisiert und er mit dme verbidnen anfangen kann, erst dann wird z.B. auch Windwos Live messenger gestartet...

Hi,

spwh.sys fällt etwas auf, Du hast aber Daemon-tools installiert...
Dann noch der Treiber hier:
C:\Windows\System32\Drivers\axtmugef.SYS
Lass den mal bei Virustotal prüfen...
Das bitte deinstallieren und noch mal ein neues HJ-Log...

Was macht Dr. Web?

chris

Wie gesagt Dr. Web war sauber (schnell Scan)
Was soll ich jetzt genau mit spwh.sys machen.. ?!

Und den Treiber axtmugef.sys Finde ich nicht im drivers Ordner

Neues HJT Log -> Clip #GEX

Hi,

lass die Datei ebenfalls bei Virustotal prüfen.

Dr. Web bitte Fullscan!

Das HJ-Log ist sauber...

chris

ich finde die spwh.sys nirgendwo... hab auch suche gemacht erfolglos...

Dr.Web Scan kann ich erst Morgen bringen, was kann ich bis dahin sonst noch so machen... Vllt kannst du mir mit meinen I-net Prob auch helfen?

WIe gesagt der braucht so lange bis der das Fritz! Programm initialisiert udn sich verbidnen kann und erst danach öffnet sich auch MSN...

Hi,

wie definierst Du lang. Hast du schon versucht die F.-Box zu resetten?

chris

Hat wenig mit der Fritz box zu tun (ein anderer PC hängt am Kabelund der ist natürlich direkt drinne)

Das programm auf meinem PC wird nach ner Minute erst initialisiert obwohl der PC schon hochgefahren ist.

Hier der Dr. Web Log

Hab nur das Wesentliche aufgeschrieben... Die Log Datei war 26 MB groß da war jede einzelne Datei... Und das geht schon voll in die Privatsphäre alles hier zu posten...

Zitat:

=============================================================================
Gesamtsitzungsstatistik
=============================================================================
Gescannt: 266885
Infiziert: 4
Modifikationen: 0
Verdächtig: 2
Adware: 0
Dialer: 0
Scherzprogramme: 0
Riskware: 0
Hacktools: 0
Desinfiziert: 0
Gelöscht: 2
Umbenannt: 0
Verschoben: 2
Ignoriert: 0
Geschwindigkeit:: 8 Kb/s
Dauer:: 01:52:33
=============================================================================


D:\Programme\Steam\steamapps\common\call of duty modern warfare 2\iw4mp.exe wahrscheinlich infiziert mit DLOADER.Trojan - verschoben
D:\Programme\Steam\steamapps\common\call of duty modern warfare 2\iw4sp.exe wahrscheinlich infiziert mit DLOADER.Trojan - verschoben

Dann hab ich noch während des Scan (war am Anfang) hat der Trojan Click und Trojan Fake Alert Gelöscht,

Sicher das Call of Duty .exen Infiziert sind.. sind von der CD installiert und etliche male erflogreich ohne Absturz gespielt