| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Rogue.MalwareDefense, Rootkit und FreundWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
03.02.2010, 09:42
| #31 |
 |  Rogue.MalwareDefense, Rootkit und Freund Und GMER: GMER 1.0.15.15281 - http://www.gmer.net Rootkit scan 2010-02-03 09:36:13 Windows 5.1.2600 Service Pack 3 Running: fbzisl0v.exe; Driver: C:\DOKUME~1\Tim\LOKALE~1\Temp\kfeyifob.sys ---- System - GMER 1.0.15 ---- SSDT F7BCC39E ZwCreateKey SSDT F7BCC394 ZwCreateThread SSDT F7BCC3A3 ZwDeleteKey SSDT F7BCC3AD ZwDeleteValueKey SSDT F7BCC3B2 ZwLoadKey SSDT F7BCC380 ZwOpenProcess SSDT F7BCC385 ZwOpenThread SSDT F7BCC3BC ZwReplaceKey SSDT F7BCC3B7 ZwRestoreKey SSDT F7BCC3A8 ZwSetValueKey SSDT F7BCC38F ZwTerminateProcess ---- Kernel code sections - GMER 1.0.15 ---- .text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF6D86360, 0x2255BD, 0xE8000020] ---- Devices - GMER 1.0.15 ---- AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) Device \Driver\Cdrom \Device\CdRom0 OsaFsLoc.sys (Filesystem Lock driver/OSA Technologies) AttachedDevice \FileSystem\Fastfat \Fat OsaFsLoc.sys (Filesystem Lock driver/OSA Technologies) AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0014a4fde349 Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0016cfe4e979 Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\0014a4fde349 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\0016cfe4e979 (not active ControlSet) Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{77669FD0-6E68-24CD-3888-E445136BD040} Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{77669FD0-6E68-24CD-3888-E445136BD040}@iajgdfojhmdemnldog 0x6A 0x61 0x70 0x67 ... Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{77669FD0-6E68-24CD-3888-E445136BD040}@hadiagidceabeffl 0x6A 0x61 0x70 0x67 ... Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{D80C83FA-041F-C3F6-575E-D43CAA87FACC} Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{D80C83FA-041F-C3F6-575E-D43CAA87FACC}@nanagnknhhmddbgekdblgnomoknd 0x6A 0x61 0x65 0x64 ... Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{D80C83FA-041F-C3F6-575E-D43CAA87FACC}@mapamiiofnppgmjkdbjimlcbio 0x6A 0x61 0x65 0x64 ... ---- EOF - GMER 1.0.15 ---- |
|
03.02.2010, 10:56
| #32 | |
  | Rogue.MalwareDefense, Rootkit und Freund Hi,
__________________wie hast Du die Files hochgeladen? Den Pfad reinkopiert? Keines der Files ist untersucht worden... Zitat:
Probiere es nocheinmal indem Du die kompletten Pfade in das Eingabefeld von Virustotal.com reinkopierst... Code:
ATTFilter [2006.08.25 07:43:56 | 000,001,024 | RH-- | C] () -- C:\WINDOWS\System32\NTIBUN4.dll
[2006.08.25 07:42:38 | 000,001,024 | RH-- | C] () -- C:\WINDOWS\System32\NTIMPEG2.dll
[2006.08.25 07:42:38 | 000,001,024 | RH-- | C] () -- C:\WINDOWS\System32\NTIMP3.dll
[2006.08.25 07:42:38 | 000,001,024 | RH-- | C] () -- C:\WINDOWS\System32\NTIFCD3.dll
[2006.08.25 07:42:38 | 000,001,024 | RH-- | C] () -- C:\WINDOWS\System32\NTICDMK7.dll
Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet! Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß! Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen. Chris
__________________ |
|
03.02.2010, 13:02
| #33 | |
| | Rogue.MalwareDefense, Rootkit und FreundZitat:
|
|
03.02.2010, 14:13
| #34 |
| | Rogue.MalwareDefense, Rootkit und Freund Hi, ja, ist so. Sonst packe die Files mit einem Zipper zusammen (z.B. Izarc: http://www.izarc.org/), verschlüsselt, Passwort=infected und poste es hier: Fileuplod: http://www.file-upload.net/, hochladen und den Link (mit Löschlink) als "PrivateMail" an mich... chris
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
03.02.2010, 14:26
| #35 |
| | Rogue.MalwareDefense, Rootkit und Freund Du solltest Post haben. |
|
03.02.2010, 14:49
| #36 |
| | Rogue.MalwareDefense, Rootkit und Freund Hi, Analysen laufen, bisher nichts gefunden (Rest siehe pm)... Will den Extensions noch mal auf den Grund gehen:
Code:
ATTFilter :reg
[HKEY_USERS\S-1-5-21-1140580375-1501994220-3611913250-1006\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{D80C83FA-041F-C3F6-575E-D43CAA87FACC}]
[HKEY_USERS\S-1-5-21-1140580375-1501994220-3611913250-1006\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{77669FD0-6E68-24CD-3888-E445136BD040}]
Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert. chris
__________________ --> Rogue.MalwareDefense, Rootkit und Freund Geändert von Chris4You (03.02.2010 um 14:56 Uhr) |
|
03.02.2010, 15:00
| #37 |
| | Rogue.MalwareDefense, Rootkit und Freund Danke für die PM. System immunisiert habe ich mMn nicht (musste erst googlen, was das genau heißt) - ich bin mir aber nich 100%ig sicher! Aber gut, dass die Files sauber sind. Hier das LOG von Systemlook: SystemLook v1.0 by jpshortstuff (11.01.10) Log created at 14:58 on 03/02/2010 by Tim (Administrator - Elevation successful) ========== reg ========== [HKEY_USERS\S-1-5-21-1140580375-1501994220-3611913250-1006\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{D80C83FA-041F-C3F6-575E-D43CAA87FACC}] (Unable to open key - key not found) [HKEY_USERS\S-1-5-21-1140580375-1501994220-3611913250-1006\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{77669FD0-6E68-24CD-3888-E445136BD040}] (Unable to open key - key not found) -=End Of File=- |
|
03.02.2010, 15:03
| #38 |
| | Rogue.MalwareDefense, Rootkit und Freund Hi, verdammt... Lass noch mal GMER laufen, tauchen die Dinger auf dann versuchen wir sie mal wegzuschiessen... Ist kein gutes Zeichen wenn nur der Rookitscanner die findet... chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
03.02.2010, 15:18
| #39 |
| | Rogue.MalwareDefense, Rootkit und Freund Hier ist der GMER Scan! Was machen wir jetzt, bzw, wie versuchen wir sie wegzuschießen? GMER 1.0.15.15281 - http://www.gmer.net Rootkit scan 2010-02-03 15:11:37 Windows 5.1.2600 Service Pack 3 Running: fbzisl0v.exe; Driver: C:\DOKUME~1\Tim\LOKALE~1\Temp\kfeyifob.sys ---- System - GMER 1.0.15 ---- SSDT F7BCD2AE ZwCreateKey SSDT F7BCD2A4 ZwCreateThread SSDT F7BCD2B3 ZwDeleteKey SSDT F7BCD2BD ZwDeleteValueKey SSDT F7BCD2C2 ZwLoadKey SSDT F7BCD290 ZwOpenProcess SSDT F7BCD295 ZwOpenThread SSDT F7BCD2CC ZwReplaceKey SSDT F7BCD2C7 ZwRestoreKey SSDT F7BCD2B8 ZwSetValueKey SSDT F7BCD29F ZwTerminateProcess ---- Kernel code sections - GMER 1.0.15 ---- .text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF6D86360, 0x2255BD, 0xE8000020] ---- Devices - GMER 1.0.15 ---- AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) Device \Driver\Cdrom \Device\CdRom0 OsaFsLoc.sys (Filesystem Lock driver/OSA Technologies) AttachedDevice \FileSystem\Fastfat \Fat OsaFsLoc.sys (Filesystem Lock driver/OSA Technologies) AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0014a4fde349 Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0016cfe4e979 Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\0014a4fde349 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\0016cfe4e979 (not active ControlSet) Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{77669FD0-6E68-24CD-3888-E445136BD040} Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{77669FD0-6E68-24CD-3888-E445136BD040}@iajgdfojhmdemnldog 0x6A 0x61 0x70 0x67 ... Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{77669FD0-6E68-24CD-3888-E445136BD040}@hadiagidceabeffl 0x6A 0x61 0x70 0x67 ... Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{D80C83FA-041F-C3F6-575E-D43CAA87FACC} Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{D80C83FA-041F-C3F6-575E-D43CAA87FACC}@nanagnknhhmddbgekdblgnomoknd 0x6A 0x61 0x65 0x64 ... Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{D80C83FA-041F-C3F6-575E-D43CAA87FACC}@mapamiiofnppgmjkdbjimlcbio 0x6A 0x61 0x65 0x64 ... ---- EOF - GMER 1.0.15 ---- Geändert von Rattle07 (03.02.2010 um 16:11 Uhr) |
|
04.02.2010, 15:53
| #40 |
| | Rogue.MalwareDefense, Rootkit und Freund Hi, bevor wir die Keys in der Reg löschen, Backup der Reg machen: Backup der Registry erstellen mit ERUNT: * Lade Dir ERUNT von folgender Adresse: http://aumha.org/freeware/freeware.php * Wähle die Installationsversion von ERUNT und installiere es auf deutsch * Nach der Installation startet er gleich, alle Auswahlen so lassen * Backup durchführen Anmerkung: Um das Backup der Registry wieder einzuspielen, wechsele per commandline in das Backupverzeichns und starte ERDNT.exe (falls was schief gehen sollte, allerdings nur auf ausdrückliche Anweisung!) Gmer starten (da es u. U. eine generische Exe ist, Namen merken!) Oben links findest du einen Reiter der etwa so aussieht: [quote] >>>> [quote] Klicke den Reiter an und es werden weitere Reiter erscheinen. Wähle den Reiter cmd aus. Dann kopiere bitte in das schwarze obere Feld folgendes rein: Code:
ATTFilter aktuellerNamevonGmer -del reg "HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{77669FD0-6E68-24CD-3888-E445136BD040}"
aktuellerNamevonGmer -del reg "HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{D80C83FA-041F-C3F6-575E-D43CAA87FACC}"
aktuellerNamevonGmer -reboot
Date MAM up und lasse es noch mal laufen... chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
04.02.2010, 16:30
| #41 |
| | Rogue.MalwareDefense, Rootkit und Freund Hi! Hab zunächst das Backup gemacht, um dann wie beschrieben mit GMER weiterzumachen. Habe den Code auch ins obere schwarze Feld bei cmd reinkopiert und dein "aktuellerNamevonGmer" gegen den generierten Namen von GMER eingefügt (bei mir also: fbzisl0v.exe). Nach kurzem warten kam ein Windows-typisches Fehlergeräusch *Plong* und die Meldung "DeleteKey: Das angegebene Modul wurde nicht entfernt". Danach dasselbe ein zweites Mal (wegen der zwei -del reg Befehle nehme ich an) und dann wurde der Bildschirm einfach schwarz und der Rechner lief weiter, um dann nach 5 Minuten zu rebooten (inkl. der Windows typischen Datenträgerüberprüfung, wenn der PC nicht "normal" herunter gefahren wurde - ich hoffe, das war die "normale" Reboot Prozedur von GMER und so gewollt!). Edit: Hatte dabei allerdings auch AntiVir laufen und war im Inet - sollte ich das vielleicht vermeiden, bzw. kann es daran liegen? Geändert von Rattle07 (04.02.2010 um 16:38 Uhr) |
|
04.02.2010, 20:28
| #42 |
| | Rogue.MalwareDefense, Rootkit und Freund Hi, nein, Inet und Antivir sollte das nicht verhindern können... Dann bliebe als letztes der Versuch die Einträge über CF zu "entsorgen"... Mal sehen ob sich einer im Kompetenforum gemeldet hat, der die Dinger kennt... chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
04.02.2010, 20:29
| #43 |
| | Rogue.MalwareDefense, Rootkit und Freund Alles klar! Dann warte ich auf deine Antwort, bzw. CF Anweisungen. |
|
04.02.2010, 20:38
| #44 |
| | Rogue.MalwareDefense, Rootkit und Freund Hi, bisher hat sich keiner gemeldet, hab noch mal nachgefragt... chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
04.02.2010, 20:52
| #45 |
| | Rogue.MalwareDefense, Rootkit und Freund Okay, dann nehme ich an, es heißt abwarten. |
|
| Themen zu Rogue.MalwareDefense, Rootkit und Freund |
| antivir, antivir guard, avira, bho, cdburnerxp, combofix, desktop, excel, firefox, google, helper, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, launch, mozilla, plug-in, realtek, registrierungsschlüssel, registry, rogue.installer.gen, rootkit, rootkit.tdss.gen, rundll, senden, software, system, tdsskiller, windows, windows xp |
Linear-Darstellung
