Hallo liebe Malwarehelfer!

ich bin ziemlich verzweifelt und ratlos, ich schreibe hier von meinem Zweit PC, denn den HauptPC habe ich von meinem Netzwerk abgetrennt und habe versucht nach der Anleitung FAQ, Links vorzugehen, aber schon das geht nicht:

Nachdem Avira einen Fund meldete, den ich mit "Zugriff verweigern" OK quittierte, passierte folgendes:

Bei Neustart zeigt AVguard kurz TR/Rootkit.gen an, verschwindet dann
Die Windows Firwall ist abgeschaltet, kann nicht eingeschaltet werden (Fehlermeldung, dass der Status wegen eines unbekannten Problemes nicht angezeigt kann)
Avira Full System Scan lässt sich starten, hängt dann
Avira Update hängt nach Start
Malwarebytes lässt sich starten findet mehr als 10 infizierte Dateien, hängt aber wenn ich die Log Datei speichern will oder die markierten Probleme beseitigen lassen will.
Der Windows Taskmanager startet nicht
Selbst Windows Exporer lässt sich nicht starten

Beim System Shutdown hängt der PC, nach reboot kann ich Malwarebytes aber starten

Ich kann also zunächst keine Logs posten und hier veröffentlichen. Ich könnte die Malwarebytesfunde hier eventuell abtippen... Würde das helfen?

Was kann ich tun? RSIT, Malwarebytes und Avenger sind auf dem System vorhanden, ich muss nur drankommen...

Das scheint mir eine harte Nuss zu sein.

BITTE um Hilfe!

Gruss,
Winfried

Hallo,

Was hast du für ein Betriebssystem? 2000, XP, Vista oder Windows 7? 32 oder 64bit?
Kannst du ein HijackThis Logfile machen, oder wird das auch unterdrückt?

Zitat:

Ich kann also zunächst keine Logs posten und hier veröffentlichen. Ich könnte die Malwarebytesfunde hier eventuell abtippen... Würde das helfen?

Das würde im jeden Fall helfen, um hier sinnvoll weiterarbeiten zu können.
Alternativ kannst du auch ein Screenshot (taste "Druck") anfertigen und hier anhängen.

Hallo Julian,

danke für die schnelle Antwort! Etwas Klarstellung:

Betriebssystem ist WinXP-Pro mit allen Updates und Servicepacks.

Screenshot kann ich hier nicht anhängen, weil ich den befallenen PC vom Netz genommen habe und das System kein Dateispeichern zuzulassen scheint (hängt dann und ich muss neu booten).

Momentan läuft nochmal Malwarebytes Full Scan, ich schreibe nachher die Funde ab und stelle sie hier ein: Sind mindestens 14 infizierte Objekte ...

Gruss,
Winfried

Hier sind die 14 Funde von Malwarebytes. Irgendwie scheint das Programm zwischendurch mit dem Scan behindert worden zu sein, jedenfalls zählte der Scan nach ca 84000 Objekten nicht weiter und 1/2 Stunde späte habe ich dann abgebrochen. Hier die bis dahin geloggten Scan Ergebnisse:

Zitat:

Anbieter_______Kategorie_____Objekte
Trojan Dropper Memory Module C:\Windows\system32\spool\printprocs\w32x86\2E.tmp
Trojan Dropper File C:\Windows\system32\spool\printprocs\w32x86\2E.tmp
Trojan Dropper File C:\Dokumente und Einstellungen\HelpAssistant\Lokale Einstellungen\Temp\2D.tmp
Trojan Dropper File C:\Dokumente und Einstellungen\HelpAssistant\Lokale Einstellungen\Temp\31.tmp
Trojan Dropper File C:\Dokumente und Einstellungen\HelpAssistant\Lokale Einstellungen\Temp\FWO.dll
Trojan Dropper File C:\Dokumente und Einstellungen\HelpAssistant\Lokale Einstellungen\Temp\TPfx.dll
Trojan Dropper File C:\Dokumente und Einstellungen\HelpAssistant\Lokale Einstellungen\Temporary Internet Files\Content.IE5\BZBLL882\eH9581be22V0100f070006R76ba8d9f102Tde1a2f72201I0007Kedf71a0330dP000101080[1]
Trojan Dropper File C:\Dokumente und Einstellungen\HelpAssistant\Lokale Einstellungen\Temporary Internet Files\Content.IE5\JEDVT96G\eH9581be22V0100f070006R76ba8d9f102Tde1a2f7c201I0007Kedf71a03318J0f006010[1]
Trojan Dropper File C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Lokale Einstellungen\temp\2D.tmp
Trojan Dropper File C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Lokale Einstellungen\temp\31.tmp
Trojan Dropper File C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Lokale Einstellungen\temp\FWO.dll
Trojan Dropper File C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Lokale Einstellungen\Temp\TPfx.dll
Trojan Dropper File C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP1100\A0088082.dll
Trojan Dropper File C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP1100\A0088088.dll

Was ist damit anzufangen?

Ich habe nochmals versucht, Malwarebytes diese Objekte entfernen zu lassen, es zeigt dann ein "mbam-log2010-03-14 (12-51-37).txt" an, und in einer Dialogbox, dass nicht alle Dateien entfernt werden konnten. Es scheint, als sollten diese Dateien beim nächsten booten gelöscht werden. Wenn ich dann das Log ansehen will, friert der Bildschirm ein, der Zeiger lässt sich noch bewegen, aber nicht mehr auf die Taskleiste. Wenn ich versuche auf die geöffneten Fenster zu clicken, friert der Zeiger auch ein und nichts geht mehr...

Danke und Gruss,
Winfried

Versuch mal den Avenger zu starten:



* Haken wie im Bild setzen, folgendes Script in die Zwischenablage kopieren und mit "Paste from Clipboard" einfügen:

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
C:\Windows\system32\spool\printprocs\w32x86\2E.tmp
C:\Windows\system32\spool\printprocs\w32x86\2E.tmp
C:\Dokumente und Einstellungen\HelpAssistant\Lokale Einstellungen\Temp\2D.tmp
C:\Dokumente und Einstellungen\HelpAssistant\Lokale Einstellungen\Temp\31.tmp
C:\Dokumente und Einstellungen\HelpAssistant\Lokale Einstellungen\Temp\FWO.dll
C:\Dokumente und Einstellungen\HelpAssistant\Lokale Einstellungen\Temp\TPfx.dll
C:\Dokumente und Einstellungen\HelpAssistant\Lokale Einstellungen\Temporary Internet Files\Content.IE5\BZBLL882\eH9581be22V0100f070006R76ba8d9f102Tde1a2f72201I0007Kedf71a0330dP000101080[1]
C:\Dokumente und Einstellungen\HelpAssistant\Lokale Einstellungen\Temporary Internet Files\Content.IE5\JEDVT96G\eH9581be22V0100f070006R76ba8d9f102Tde1a2f7c201I0007Kedf71a03318J0f006010[1]
C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Lokale Einstellungen\temp\2D.tmp
C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Lokale Einstellungen\temp\31.tmp
C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Lokale Einstellungen\temp\FWO.dll
C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Lokale Einstellungen\Temp\TPfx.dll
         

Hast du deinen Namen durch "xxxxxxxxxxxx" ersetzt, oder war das schon?
Wenn es schon so war, einfach so lassen, sonst wieder umändern!

* Alle Programme schließen
* Execute
* Rechner neustarten mit "Yes" bestätigen
* Das erscheinende Logfile (C:\avenger.txt) bitte hier posten.

Dazu solltest du deinen Rechner wieder ans Netz anschließen, da wir evtl. noch ein paar andere Tools brauchen werden.

Hallo Julian,

Danke für den Hinweis! Inzwischen konnte ich mal CCleaner starten und jetzt findet Malwarebytes nur noch die 2 ersten infizierten Objekte. Aber AV Guard fand zusätzlich die Datei 2E.tmp den Trojaner TR/Rootkit.gen wieder.

Habe Avenger gestartet, natürlich ohne Script, ich ahbe ja keines und es gab dann den Reboot bekannt. Windows Einstellungen speichern und herunterfahren dauerte mehrere Minuten.

Nach Neustart kam das Logfile: Avenger 2.0 - No rootkits found!

Im nächsten Moment: AV Guard meldet wieder TR/Rootkit.gen mit "Zugriff verweigern" OK Meldung beendet.

Also habe ich Avenger nochmals gestartet, wie angegeben. Wieder extrem lange Herunterfahrzeit, länger als voriges mal... Diesmal kam kein Log!

Dass die Malware aktiv ist, merke ich daran, dass immer die Firewall ausgeschaltet wird...

Ich hänge den Rechner ungerne ans Netzwerk, weil eventuell andere Rechner (z.B. dieser hier) dann auch gefährdet werden. Lieber lade ich die anderen Tools hier herunter und lasse sie vom Memorystick laufen... OK?

"XXXXXXXX" habe ich nicht im System, sondern im Beitragseditor geändert.

Danke und Gruss,
Winfried