Hallo, liebe Liste,

ich versuche gerade, einen (m.E.) Trojaner loszuwerden.

Klappt aber nicht so richtig.

Erkannt wurde er mit AVG (ist das einzige Antivirenprogramm auf dem Rechner).

AVG-Scan --> gifrg.exe mit Trojaner: Pakes.FFA
221[1].exe mit Trojaner: Crypt.VDK
yv8g67.exe mit Trojaner: Crypt.VTL

Auch nach Update auf Version 9.0.819 und auch mit AVG Rescue CD (Version 29.4.2010) (von usb-Stick ausgeführt) nicht zu entfernen.

Auffällig:

in den temp. IE-Dateien wurde folgendes gefunden (obwohl der IE nicht genutzt wurde und vorher alle temp. IE-Dateien gelöscht wurden:

221.exe --> hxxp://91.212.135.124/221.exe
lele.exe --> hxxp://188.165.155.82/limp/lele.exe

Dann bin ich auf Euer tolles Board gestoßen, ich hoffe, ich hab nach Eurer Anleitung gehandelt.

mit CCleaner 2.31.1153

Cleaner --> temp. und andere Dateien gelöscht
Registry --> Registry bereinigt

mit Malwarebytes Anti-Malware 1.46

5 Dateien gefunden --> entfernt --> reboot notwendig

nach reboot sind immer wieder 2 (oder auch 6) Dateien infiziert --> siehe Ende des Posts

mit RSIT die 2 gewünschten Dateien erstellt, editiert und hier als Anhang eingefügt.

Bitte helft, ich kriege den (die) Plagegeister ohne Eure Hilfe nicht los.
Falls ich noch etwas ranschaffen soll, nur zu.

PS: Die infizierten Dateien heißen immer mal wieder anders.


04709.exe (Trojan.Dropper)
160.exe (Trojan.SpamBot)
7510640.exe (Trojan.SpamBot)
296878.exe (Trojan.Dropper)
7087.exe (Trojan.Dropper)
42979.exe (Trojan.Dropper)
524.exe (Trojan.SpamBot)

----
1. Durchlauf:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4113

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

18.05.2010 20:11:24
mbam-log-2010-05-18 (20-11-24).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 120369
Laufzeit: 10 Minute(n), 48 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell (Worm.AutoRun) -> Delete on reboot.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (C:\Dokumente und Einstellungen\***\Anwendungsdaten\lwtwfl.exe,C:\RECYCLER\S-1-5-21-1373317251-6335259254-020780911-3615\yv8g67.exe,C:\Dokumente und Einstellungen\***\csrss.exe,explorer.exe,C:\Dokumente und Einstellungen\***\Anwendungsdaten\gifrg.exe) Good: (Explorer.exe) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\106021.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\333.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\csrss.exe (Trojan.Palevo.Gen.A) -> Quarantined and deleted successfully.




2. Durchlauf:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4113

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

18.05.2010 21:30:15
mbam-log-2010-05-18 (21-30-15).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 26961
Laufzeit: 20 Minute(n), 41 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\7087.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\42979.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\524.exe (Trojan.SpamBot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O30XT96O\412[1].exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q86QGVUR\506a100510[1].exe (Trojan.SpamBot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q86QGVUR\setup95[1].exe (Trojan.Dropper) -> Quarantined and deleted successfully.

Hallo und


Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Hallo, Cosinus (und alle anderen),

vielen Dank für Deine Hilfe.

Nun ist folgendes passiert:

Nach einem (notwendigem) Rechner-Restart
(oder anders: ich habe gestern nacht einen vollständigen Anti-Malware scan machen wollen, heute morgen war dann nur noch der windows-Anmeldebildschirm zu sehen und nichts ging mehr (nicht einmal eine mouse-Bewegung)) konnte ich das Netbook nicht mehr bedienen.

Habe dann versucht, im abgesicherten Modus zu starten. Das ging auch, aber nach kurzer Zeit bootet der Rechner automatisch wieder durch,

mittlerweile hat sich dieser Zustand auch noch auf mein 2. Notebook übertragen, wollte vom ersten im abgesicherten Modus auf eine externe Festplatte Daten schaufeln.

Diese externe Festplatte wird an einem 3. Rechner (mit win2K) als fehlerfrei gemeldet,

nach dem Anstecken dieser HDD an das 2. Notebook bootete das kurz durch und zeigt nun auch o.g. Verhalten.
In einem lichten Moment war es mir aber möglich, OTL auf dem netbook (darum geht es die ganze Zeit) laufen zu lassen.
Logs sind beigefügt.

Kann das sein, dass dieser Trojaner XP-Rechner über ext. HDD lahmlegt, aber an Win2K-Rechnern nichts ausrichten kann und dort nicht erkannt wird?

Wie kriege ich dieses Pferd von meiner ext. HDD wieder 'runter?
Dumm ist nur, dass auf dieser ext. HDD die Images (clonezilla) sowohl für Note- als auch Netbook liegen. So dass ich diese nicht einfach plattmachen kann.

LG
MKr

Läuft das Netbook jetzt garnicht mehr vernünftig? Findest Du zufällig eine autorun.inf auf der ext. Platte? Wenn ja da mal mit notepad reinschauen, viele Autorun Schädlinge nutzen die Autorunfunktion, an für sich ist Windows 2000 auch nicht immun dagegen (Autorun evtl auf allen Laufwerken deaktiviert?)

Auf dem netbook wenn es denn normal bootet bitte anwenden:

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Den unekenntlich gemachten Benutzernamen musst Du wieder den richtigen verwandeln, sonst funktioniert das Script nicht!!

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O20 - HKLM Winlogon: TaskMan - (C:\Dokumente und Einstellungen\***\Anwendungsdaten\lwtwfl.exe) - C:\Dokumente und Einstellungen\***\Anwendungsdaten\lwtwfl.exe ()
O20 - HKCU Winlogon: Shell - (??????DOWS\S) -  File not found
O33 - MountPoints2\##192.168.254.22#e\Shell\AutoRun\command - "" = X:\setuppro.exe -- File not found
O33 - MountPoints2\##192.168.254.22#e\Shell\configure\command - "" = X:\setuppro.exe -- File not found
O33 - MountPoints2\##192.168.254.22#e\Shell\install\command - "" = X:\setuppro.exe -- File not found
O33 - MountPoints2\{24483e6d-2227-11df-b267-002243af0668}\Shell\AutoRun\command - "" = E:\SJELO\\smrcebelo.exe -- File not found
O33 - MountPoints2\{24483e6d-2227-11df-b267-002243af0668}\Shell\open\command - "" = E:\SJELO\\smrcebelo.exe -- File not found
O33 - MountPoints2\{26934b6f-e3f4-11de-b228-002243af0668}\Shell\AutoRun\command - "" = Secret.exe
O33 - MountPoints2\{26934b6f-e3f4-11de-b228-002243af0668}\Shell\explore\Command - "" = Secret.exe
O33 - MountPoints2\{26934b6f-e3f4-11de-b228-002243af0668}\Shell\open\Command - "" = Secret.exe
O33 - MountPoints2\{41b028eb-539e-11df-b2a4-002243af0668}\Shell - "" = AutoRun
O33 - MountPoints2\{41b028eb-539e-11df-b2a4-002243af0668}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{41b028eb-539e-11df-b2a4-002243af0668}\Shell\AutoRun\command - "" = E:\LaunchU3.exe -- File not found
O33 - MountPoints2\{41b028ec-539e-11df-b2a4-002243af0668}\Shell\AutoRun\command - "" = H:\SJELO\\smrcebelo.exe -- File not found
O33 - MountPoints2\{41b028ec-539e-11df-b2a4-002243af0668}\Shell\open\command - "" = H:\SJELO\\smrcebelo.exe -- File not found
O33 - MountPoints2\{5151e45e-67bf-11dd-865e-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{5151e45e-67bf-11dd-865e-806d6172696f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{5151e45e-67bf-11dd-865e-806d6172696f}\Shell\AutoRun\command - "" = F:\setup.exe -- File not found
O33 - MountPoints2\{52c23b52-dc10-11dd-be2f-002243af0668}\Shell\open\command - "" = C:\WINDOWS\Explorer.exe -- [2008.04.14 14:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation)
O33 - MountPoints2\{5f9822f4-65ab-11de-b198-002243af0668}\Shell\AutoRun\command - "" = E:\PStart.exe -- File not found
O33 - MountPoints2\{63bdd360-ddca-11dd-be34-002354797901}\Shell\play\command - "" = C:\Programme\InterVideo\WinDVD\WinDVD.exe -- [2008.05.15 14:03:44 | 000,132,368 | ---- | M] (InterVideo Inc.)
O33 - MountPoints2\{7d036ae2-34f9-11df-b27e-002243af0668}\Shell\AutoRun\command - "" = E:\SJELO\\smrcebelo.exe -- File not found
O33 - MountPoints2\{7d036ae2-34f9-11df-b27e-002243af0668}\Shell\open\command - "" = E:\SJELO\\smrcebelo.exe -- File not found
O33 - MountPoints2\{98a42390-e503-11de-b22b-002243af0668}\Shell\AutoRun\command - "" = E:\Menu.exe -- File not found
O33 - MountPoints2\{a30aa537-e17b-11dd-be3a-002243af0668}\Shell\verb1\command - "" = desktop.exe
O33 - MountPoints2\{c70aca70-ddc2-11dd-be33-002243af0668}\Shell\play\Command - "" = C:\Programme\Windows Media Player\wmplayer.exe -- [2006.11.03 10:56:14 | 000,064,000 | ---- | M] (Microsoft Corporation)
[2010.05.18 15:40:52 | 000,116,736 | RHS- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\lwtwfl.exe
[2010.05.17 10:41:07 | 000,184,320 | ---- | C] () -- C:\SecSNMP.dll
[2010.05.17 10:41:06 | 003,207,168 | ---- | C] () -- C:\Ssres.dll
[2010.05.17 10:41:06 | 000,741,032 | ---- | C] () -- C:\Setup.exe
[2010.05.17 10:41:06 | 000,151,552 | ---- | C] () -- C:\SetAlti.exe
[2010.05.17 10:41:06 | 000,028,618 | ---- | C] () -- C:\Setup.dat
:Commands
[purity]
[emptytemp]
         

Klick dann auf den Button Run Fixes!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Das Netbook hat gerade eine lichte Phase und läßt sich bedienen.

Ich hab wireless ausgeschaltet, evtl. kann jetzt dadurch durch die fehlende Internetverbindung kein Schädling nachgeladen werden.

Ich hab auf der externen Platte heute im Laufe des Tages eine autorun.inf entsorgt (ohne vorher hereingeguckt zu haben).

Auf dem Win2K-Rechner ist die Autostart-Funktionalität abgeschaltet, vielleicht hat das ihn gerettet.

Auf dem Netbook hab ich den Fix laufen lassen,
das Log ist beigefügt.

Auf dem Netbook hat Anti-Malware keinen Fehler mehr gefunden. Das Log erspar ich jetzt Dir.

Wie soll ich weiter vorgehen:

- externe Platten / USB-Sticks auf dem win2k-Rechner mit AVG scannen?
- versuchen, das notebook wieder zum Laufen zu kriegen? Die letzten Daten werden gerade mit xubuntu im life-modus gesichert.
(im abgesicherten Modus starten?) --> hier in diesem thread behandeln oder einen neuen aufmachen?

Danke, Danke, das Netbook ist schon einmal gerettet.

Viele Grüße

Zitat:

Ich hab auf der externen Platte heute im Laufe des Tages eine autorun.inf entsorgt (ohne vorher hereingeguckt zu haben).

Das ist schonmal gut, evtl. kannst Du die ext. Platte über den W2k-Rechner nochmal mit dem Flash Disinfector behandeln, dann kann man die Platte normalerweise wieder gefahrlos woanders anstecken. Du solltest aber unbedingt auch Autorun auf allen anderen Rechnern ausschalten, die Funktion ist sowas von unnütz und gefährlich...

Zitat:

Auf dem Netbook hat Anti-Malware keinen Fehler mehr gefunden. Das Log erspar ich jetzt Dir.

War Malwarebytes auf dem aktuellen Stand? War es ein Vollscan? Poste daher das Log sonst seh ich das nicht.
Mach auch Logs mit GMER und OSAM aufm infizierten Netbook

Hallo,

folgender Stand ist nun erreicht:

- USB-Sticks und ext. HDDs sind mit Flash Disinfector (was sich so alles mit der Zeit ansammelt) gesichert
- wie sieht es in dieser Hinsicht mit den "USB-Laufwerken" von Handys und Kameras aus?

- auf allen Rechnern ist die Autostart-Fkt. über registry-Änderung ausgeschaltet

- auf dem Netbook hab ich GMER und OSAM laufen lassen, Logs sind beigefügt
Malwarebytes-Anti-Malware läuft gerade im Vollscan (Log folgt)
vor dem Start von GMER konnte ich leider den AVG Virenscanner nicht stopen können (auch nicht als Dienst, alles ausgegraut).
Beim Abspeichern des Inhalts des Scans aus der Zwischenablage war der Rechner unwahrscheinlich langsam und ist nicht mehr bedienbar gewesen.
Beim zweiten Mal hat mir M$ (nachdem ich es unbeaufsichtigt hab laufen lassen) mitgeteilt, dass das System nach einem schwerwiegenden Fehler
neu gestartet wurde.

das beim ersten Mal gesehene root-kit-behavior (MBR in 64 Sektoren gespeichert (nur so in der Erinnerung, da la Abspeichern als Log nicht ging)) kam nicht mehr.
Beim dritten Mal scheint mir der Scan viel schneller durchzulaufen,
hat sich aber nach ca. einer Stunde mit einem blue screen verabschiedet. Ich belass das jetzt dabei.

Woran erkenne ich eigentlich, dass GMER den scan beendet hat? Dauert der Scan wirklich immer so eine Stunde (wie auf dem Netbook)? Ist das normal?
Der Scan bleibt ab und an unvermittelt für 'ne Minute stehen, dann geht's erst weiter.
Beim Desktop war ich in gefühlten 10 Minuten durch.

- auf dem Notebook kann ich WinXP nur noch im abgesicherten Modus starten,
ccleaner, Malwarebytes-Anti-Malware, RSIT und OTL sind gelaufen, logs anbei.

- soll ich noch etwas auf dem desktop (win2k) machen, der hatte keine Infizierung, ccleaner & Malwarebytes-Anti-Malware sind dort gelaufen.
Als ich das mit rootkit-like behaivior auf dem Netbook gelesen habe, hab ich auch GMER und osam auf dem Desktop laufen lassen.
So kommt man von einem Rechner auf drei

- auf welchem Rechner soll ich mit der ext. HDD Malwarebytes-Anti-Malware laufen lassen?

- in info.txt ist zu sehen, dass H:\Windows\msagent.exe zu starten ist, das ist die "SW", die gemeinsam mit dem autostart.inf auf die ext. HDD kam.

Viele Grüße aus dem Regen

Das OSAM Log vom Netbook sieht okay aus.
Das lette Malwarebytes Log war zwar mit aktuellen Signaturen, aber kein Vollscan. Ich möchte immer Vollscans sehen aber das machen wir später nochmal...
Auf dem Notebook bitte ausführen (von dem stammt ja auch die letzte angehangene OTL.log):

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Außerdem musst Du den unkenntlich gemachten Benutzernamen wieder in den richtigen verwandeln, sonst funktioniert das Script nicht!!

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O33 - MountPoints2\{a31fee4c-c30f-11dd-9109-001a6b7d0317}\Shell\AutoRun\command - "" = H:\Windows\msagent.exe -- File not found
O33 - MountPoints2\{a31fee4c-c30f-11dd-9109-001a6b7d0317}\Shell\explore\Command - "" = H:\Windows\msagent.exe -- File not found
O33 - MountPoints2\{a31fee4c-c30f-11dd-9109-001a6b7d0317}\Shell\open\Command - "" = H:\Windows\msagent.exe -- File not found
[2010.05.18 15:40:52 | 000,116,736 | RHS- | M] () -- C:\Dokumente und Einstellungen\***.****\Anwendungsdaten\lwtwfl.exe
[2055.12.28 15:02:40 | 000,036,864 | ---- | C] () -- C:\WINDOWS\Algoui.exe
[2010.05.20 11:11:48 | 000,054,016 | ---- | C] () -- C:\WINDOWS\System32\drivers\pnsvibs.sys
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann auf den Button Run Fixes!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.