@Sahara

Hi,

eigentlich musst Du einen neuen Thread eröffnen...

Als erstes änderst Du von einem sauberen Rechner aus alle Internetpasswörter (eBay, eMail, Homebanking etc.)!

Bis auf die askbar ist das HJ-Log von RSIT i. O., es gibt allerdings inifizierte Mountpoints:

Zitat:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0099e746-8a9b-11de-8b60-0013ce192c97}]
shell\AutoRun\command - RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe
shell\open\command - RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{39b680a0-6c9a-11de-8b3b-0013ce192c97}]
shell\AutoRun\command - RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe
shell\open\command - RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6084b653-ce09-11de-8ba1-0013ce192c97}]
shell\AutoRun\command - RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe
shell\open\command - RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ac4b8930-a7dc-11de-8b79-0013ce192c97}]
shell\AutoRun\command - RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe
shell\open\command - RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe

Dann ist da noch die stu2.exe die die eigentliche userinit.exe sein sollte (das prüfen wir noch).

Mountpoints entfernen:
Die nachfolgenden Zeilen (ohne code!) abkopieren und in den Windows-Editor(start->Programme->zubehör->edior)
kopieren und auf dem Desktop unter dem Namen "mountpoints.reg" speichern (ohne Anführungszeichen und unbedingt die Endung auf .reg ändern!).

Code: Alles auswählenAufklappen

ATTFilter

REGEDIT4
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{39b680a0-6c9a-11de-8b3b-0013ce192c97}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6084b653-ce09-11de-8ba1-0013ce192c97}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ac4b8930-a7dc-11de-8b79-0013ce192c97}]
         

Dann per Doppelklick ausführen, die Frage nach der Zusammenführung abnicken...

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen!
  (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“
  und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\stu2.exe
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Dr. Web:
http://www.trojaner-board.de/59299-a...eb-cureit.html

Gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html
Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

Und noch ein neues RSIT-Log posten....

chris

hey,
danke schonmal für deine hilfe! das mit den mountpoints habe ich gemacht, und bei virustotal kam folgendes raus (ich hoffe es ist alles wichtige dabei?!):

atei userinit.exe empfangen 2010.01.23 22:09:26 (UTC)
Status: Beendet
Ergebnis: 0/40 (0.00%)
Filter
Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.50 2010.01.23 -
AhnLab-V3 5.0.0.2 2010.01.23 -
AntiVir 7.9.1.146 2010.01.22 -
Antiy-AVL 2.0.3.7 2010.01.22 -
Authentium 5.2.0.5 2010.01.23 -
Avast 4.8.1351.0 2010.01.23 -
AVG 9.0.0.730 2010.01.23 -
BitDefender 7.2 2010.01.23 -
CAT-QuickHeal 10.00 2010.01.22 -
ClamAV 0.94.1 2010.01.22 -
Comodo 3685 2010.01.23 -
DrWeb 5.0.1.12222 2010.01.23 -
eSafe 7.0.17.0 2010.01.21 -
eTrust-Vet 35.2.7255 2010.01.22 -
F-Prot 4.5.1.85 2010.01.23 -
F-Secure 9.0.15370.0 2010.01.23 -
Fortinet 4.0.14.0 2010.01.23 -
GData 19 2010.01.23 -
Ikarus T3.1.1.80.0 2010.01.23 -
Jiangmin 13.0.900 2010.01.23 -
K7AntiVirus 7.10.952 2010.01.22 -
Kaspersky 7.0.0.125 2010.01.23 -
McAfee 5870 2010.01.23 -
McAfee+Artemis 5870 2010.01.23 -
McAfee-GW-Edition 6.8.5 2010.01.23 -
Microsoft 1.5405 2010.01.23 -
NOD32 4800 2010.01.23 -
Norman 6.04.03 2010.01.23 -
nProtect 2009.1.8.0 2010.01.23 -
Panda 10.0.2.2 2010.01.23 -
PCTools 7.0.3.5 2010.01.23 -
Rising 22.31.04.04 2010.01.22 -
Sophos 4.50.0 2010.01.23 -
Sunbelt 3.2.1858.2 2010.01.23 -
Symantec 20091.2.0.41 2010.01.23 -
TheHacker 6.5.0.9.160 2010.01.23 -
TrendMicro 9.120.0.1004 2010.01.23 -
VBA32 3.12.12.1 2010.01.23 -
ViRobot 2010.1.23.2152 2010.01.23 -
VirusBuster 5.0.21.0 2010.01.23 -
weitere Informationen
File size: 25088 bytes
MD5 : d1e53dc57143f2584b1dd53b036c0633
SHA1 : 53f6e0e6130cf9f0177e6d48295ae9d84fb9f8fa
SHA256: 66562aa550338571595975a81654834878c890126c8d513141a9903b72f9943d
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x50E5
timedatestamp.....: 0x41107B78 (Wed Aug 4 08:00:24 2004)
machinetype.......: 0x14C (Intel I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x4DB8 0x4E00 6.01 510e211d12a2f009afb5f7a90cff9783
.data 0x6000 0x14C 0x200 1.86 cbb599f9267bf53209039d14a3574eb1
.rsrc 0x7000 0xCE0 0xE00 3.76 8b4bed593db3a5e5efda36f52c878d12

( 0 imports )


( 0 exports )
TrID : File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
ssdeep: 768:SJDUaxgu5YEVBxkjuv7wbaLa4PU4V4RuIc6:SJHxIEVBvT2aLa4PUe40Ic6
PEiD : -
CWSandbox: Malware Report for ID: 267304
RDS : NSRL Reference Data Set

( Microsoft )

Disc 2438.5: userinit.exeMSDN Disc 2438.7: userinit.exeMSDN Disc 2438.8: userinit.exe

oh. oh. habe versucht, meinen rechner durch die entsprechende änderung in der boot.ini im abgesicherten modus zu starten, und seitdem bekomme ich nur noch die anzeige, dass windows nicht gestarten werden kann und darunter verschieden auswahlmöglichkeiten (3 varianten abgesicherter modus, mit letzter funktionierender konfiguration oder normal starten). egal welche ich auswähle, er fährt nicht hoch und kehrt nur immer wieder zu dieser seite zurück wie kann ich denn jetzt die einstellung in der boot.ini ändern und ihn so wenigstens normal wieder hochfahren??? habe in einem beitrag hier gelesen, dass man dazu irgendwas in dos ändern muss, aber leider ohne genaue beschreibung...

Hi,

äh, Du solltest nicht die userinit.exe sondern die stu2.exe scannen lassen.
Und welche Änderungen hast Du in der Bootini vorgenommen?
Von woher hast Du das?
Änderungen an der Bootini sind gefährlich (sic)...

XP-Boot-CD rein, Reperaturinstallation durchführen, oder:

Boot-CD erstellen:
Am einfachsten geht dies über http://www.ubcd4win.com/, runterladen installieren und dann mit einer XP-CD (Installations-CD bzw. Recovery-CD [das gibt dann allerdings eine Warnung!])die Boot-CD erstellen (natürlich auf einem sauberen System!).
Vorteil dabei ist, dass die "Universal Boot CD für Windows" gleich Virenscanner und Tools an Board hat, mit denen man dann gleich loslegen kann.
Rootkits liegen nach dem Booten von CD "ungeschützt" auf der Platte (da sie ja nicht gestartet wurden) und können dann sehr einfach gesucht u.
gelöscht werden. Ein Remoteregistry-Editor steht ebenfalls zur Verfügung.

Schnellanweisung für XP:
Im Groben sieht das so aus;
UBCD runterladen, installieren, XP-CD auf die Festplatte kopieren (Speicherplatz beachten, es muss daraus dann nochmal eine ISO-Datei erstellt werden).
Erstelle auf Deinem Rechner ein Verzeichnis (C:\XPCD), kopiere dann den gesamten Inhalt der CD da rein (vorher im Explorer einschalten, dass alle versteckten Dateien etc. angezeigt und Systemdateien nicht ausgeblendet werden (damit auch alles kopiert werden kann)).
Ist die gesamte XP-CD kopiert, starte UBCD4WinBuilder.exe (Normalerweise im Verzeichnis C:\ubcd4win zu finden), Copyright etc. abnicken, "Search for Windows installation Files" -> No, im darauffolgenden Fenster "Source" ->C:\XPCD, Outputpath wie Du willst oder einfach so lassen, dann entweder für das spätere Brennen eine ISO-Datei erstellen lassen (dann einen Filenamen bei "Create ISO-Image" eingeben!), oder gleich eine leere DVD rein und direkt brennen lassen. "Custom" leer lassen. Dann Build auswählen... Nochmal MS-Copyright abnicken und es geht los.
Und nach ca. 0,5-1h haben wir eine Bootfertige Not-CD mit allem was man so braucht ;o)...


chris

hey,

ich hatte auch eigentlich die stu2 scannen lassen... komisch.
mein rechner ist ein vaio von sony, daher habe ich leider keine xp-cd, sondern nur eine wiederherstellungs-cd ohne die möglichkeit der reparaturinstallation. ich habe nur leider, wie das ja immer so ist, noch ein paar ungesicherte dateien auf der festplatte, die ich nur sehr ungerne verlieren würde
also muss ich mir jetzt von irgendjemandem eine normale xp-cd besorgen, damit ich eine reparaturinstallation machen kann?!

der link für den abgesicherten modus auf eurer seite mit der anleitung für drweb curit (http://www.trojaner-board.de/59299-a...eb-cureit.html) funktioniert nicht mehr, daher habe ich es gegoogelt wie man bei xp in den abgesicherten modus kommt (hatte nur noch f5 im kopf, und das funktioniert bei xp ja scheinbar nicht). und da habe ich mehrmals den hinweis mit der boot.ini gefunden, z.b. hier:

Zitat:

heise Security - 29.01.04 - Start in den abgesicherten Windows-Modus

da fiel mir dann auch ein, dass mein informatik-prof sowas mal erwähnt hatte, und habe die anweisung dann leider befolgt

ich war auch schon soweit, dass ich meinen rechner lieber zu einem fachmann bringen wollte, aber in unserem kleinen ort hier ist die auswahl nicht so groß und wenn ich das mit den sicherheitskopien von sony erwähnt habe, meinten alle nur sofort da könnten sie dann auch nichts machen. aber mit einer anderen, "normalen" xp-cd müsste das doch gehen, oder?

bin so langsam am verzweifeln...

Hi,

kümmern wir uns erst darum, dass der Rechner wieder startet. Die Änderung in der boot.ini ist permanent, d.h. bevor die nicht wieder zurückeditiert wurde, versucht der Rechner immer in den abgesicherten Modus zu kommen. Und so wie das aussieht, ist der erstmal durch die Malware "blockiert" ->Deadlock...

Versuche beim Booten mit der Taste F8 in den abgesicherten Modus zu kommen (nicht F5!)...

Probiere die Erstellung einer xp-bootdisk wie beschrieben mit ubcd4win, das sollte auch mit einer Recover-Cd gehen (zumindest habe ich das mit einer Medion--Recovery-CD hinbekommen). Das gibt dann zwar eine Warnung, funktioniert aber...

Im übrigen nicht F5 sondern F8:
->http://www.winfaq.de/faq_html/Conten...?h=tip0408.htm

Wenn die Boot-CD läuft müssen wir von ihr booten und die boot.ini kopieren auf boot.ini.bak und sie dann editieren...:

Code: Alles auswählenAufklappen

ATTFilter

[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
         

Ausserdem sicherst Du für den Fall der Fälle dann Deine Daten auf Stick oder USB-Festplatte!

In einer der letzten C't war eine Notfall-CD zum Booten drin...

chris

bin grad beim erstellen der boot-cd, scheint bis jetzt auch alles zu funktionieren. hoffe ich
wie genau gehe ich denn dann mit der cd vor?

Zitat:

Wenn die Boot-CD läuft müssen wir von ihr booten und die boot.ini kopieren auf boot.ini.bak und sie dann editieren

damit und mit dem code weiß ich grad noch nicht soviel anzufangen. oder leg ich einfach die cd ein und der rest erklärt sich von selbst? möcht nur nicht schon wieder voreilig irgendwas vermurksen...

mhm ja nee, zu früh gefreut mit der cd. habe den UBCD4WinBuilder.exe gestartet, bin den anweisungen gefolgt und jetzt hänge ich hier

Zitat:

im darauffolgenden Fenster "Source" ->C:\XPCD

wenn ich bei quelle meinen ordner C:\XPCD angebe (in dem die die kopie meiner "system-sicherheitskopie-cd" auch wirklich drin ist), bekomme ich die meldung

Zitat:

quellordner ungültig (fehler bei der suche nach datei C:\XPCD\i386\layout.inf)

diese datei ist auf meiner recovery-disk überhaupt nicht drauf, dann kann ich sie ja auch nicht in den xpcd-ordner kopiert haben (habe alle versteckten und die system-dateien anzeigen lassen, daran kann es also eigentlich nicht liegen)
hab ich da schon wieder etwas falsch gemacht oder heißt das nun, dass das mit meiner sony system-sicherheitskopie nicht geht? oder einfach nochmal von vorne probieren...?

Hi,

tja, da hat Sony stark gespart, nehmen wir knoppix:
http://www.trojaner-board.de/75619-anleitung-erstellen-einer-knoppix-live-cd.html

Hast du versucht beim Booten F8 zu drücken?

chris

hi,

hab mir eine normale xp-cd besorgen können, jetzt hat es auch funktioniert mit der erstellung der boot-cd
und wie genau gehe ich jetzt damit vor? startet mein rechner dann erstmal wieder normal wenn ich sie reintue?
mir würd es auch völlig reichen, nur eine chance zu bekommen meine daten zu sichern. danach mach ich gerne einmal das c-laufwerk platt und spiele windows komplett neu auf, wenn ich dadurch auch die viren, trojaner und was sich sonst auf meinem rechner zu tummeln scheint los werde. und das automatische hochfahren im abgesicherten modus dadurch dann wieder ausgeschaltet wäre...

was meinst du mit beim booten f8 drücken? soll ich das jetzt bei meinem rechner versuchen oder ob ich es vorher versucht habe, als er noch lief?

ich danke dir auf jeden fall schon vielmals für deine hilfe!

sarah

Hi,

wenn Du jetzt eine normale XP-Boot-Cd hast, kanns Du auch von der direkt starten (im Bios die Bootreihenfolge umstellen, erstes Laufwerk muss das CD/DVD-Laufwerk sein -> http://www.winboard.org/forum/winxp-...anleitung.html).
Dann CD rein ins Laufwerk, von CD booten und Reparaturinstallation durchführen. Dabei bleibt normalerweise SW und Daten erhalten...
Du kannst auch die universalbootcd erstellen und von der Booten, dann kommst Du in ein "mini"-Window mit Virenscanner etc. Dort müsstest Du dann die boot.ini wie beschrieben erst sichern und dann editieren (den "/savemode"-Schalter entfernen). Parallel zum Scann kannst Du dann die Daten sichern...
Nach dem Scann der Festplatte, der Datensicherung und der Änderung der Boot.ini sollte der Rechner wieder normal booten.
(Das wäre die absolut sichere Variante)!

chris

hi,

ich hab das mit der reparaturinstallation von der normalen xp-cd versucht, sah auch zuerst alles ganz gut aus, aber dann kam ein schwarzer bildschirm, mit oben + unten links + unten rechts der schrift "abgesicherter modus". kurz darauf tauchte dann ein fenster auf, dass das setup nicht im abgesicherten modus durchgeführt werden könnte, und man hatte nur die möglichkeit "okay" anzuklicken. wenn man das tat, versuchte er wieder von neuem hochzufahren, kam dann bis zu dem schwarzen fenster mit dem xp-logo, bevor er wieder abbrach und zu dem schwarzen bildschirm mit dem abgesicherten modus zurückkam.
tja, jetzt hab ich den laptop doch zu einem experten gebracht, der versucht mir die wichtigsten daten von der festplatte zu holen und zu speichern (was durch die versuchte reparaturinstallation ja leider anscheinend schwieriger ist als normal, da desktop und eigene dateien woanders hin verschoben wurden). und dann werd ich mal eine komplette systemwiederherstellung machen und hoffen, dass die plagegeister auf meinem rechner nicht überlebt haben... das mit der boot-cd lass ich lieber, denn nochmal in der boot.ini rumzupfuschen trau ich mich nicht mehr. das habe ich jetzt fürs leben gelernt!

also nochmal vielen dank für deine hilfe und die vielen anweisungen!

sarah

Hi,

dann war ich wohl zu ungenau in meinen Ausführungen.
Bei der Reparaturinstallation ist kein abgesicherter Modus notwendig (in dem lässt sich tatsächlich nichts installieren) und es werden normalerweise auch keine eigenen Datein verschoben, sondern es wird nur das Betriebssystem überbügelt, wobei die Registry erhalten bleibt...

chris