Liebes Forum,

ich habe das folgende Problem und habe alles, was ich zu dem Thema gefunden habe versucht. Da bei jedem Thread zum ähnlichen Thema nach der Nutzung von rkill und Malwarebytes, den ich in herbert.exe umbenannt habe, immer nach den Logfiles gefragt wurde, habe ich nun alle zusammen gestellt.

Mein Problem:

1. Am 14.09. fing ich mir den Anti Malware Doctor ein. Dank des zweiten Benutzers, der Passwort geschützt ist, konnt ich rkill herunter laden und das system wiederherstellen. Somit war das akute Problem zunächst behoben.

2. Dann begann folgendes:

- immer öfter leitete mein Browser auf die falschen Seiten, wenn ich auf die Ergebnisse von Google geklickt habe. Nach rkill ging es einige Zeit, fing dann aber wieder an.

- es öffnen sich einfach so irgendwelche Seiten in einem neuen Fenster
- sowohl Internet Explorer, als auch Firefox stürzen immer wieder ab, auch Thunderbird
- die Internetverbindung wird immer wieder unterbrochen. Es liegt nicht an meinem W-Lan
- der Rechner wird sehr oft, seeeehr langsam und bleibt hängen

3. am 23.09. kam dann der Microsoft Security Essentials Alert, den ich auch nur mit der Systemwiederherstellung "beheben" konnte. Ich habe danach das kostenlose online Tool Panda Security benutzt.
Die Probleme aus Punkt 2 tauchen immer noch auf.

Auf Rat einiger Foren, habe ich Malewarebytes und Super Anti Spyware auf dem Rechner. Advanced System Care kam mit dem Super Anti Spyware. Was der wirklich bringt weiss ich nicht.

Alle Programme habe ich in der Zwischenzeit mehrmals laufen lassen und entfernte alle infizierten Dateien. (Wohl auch zu viele Teilweise). Aber der Rechner läuft immer noch nicht.

Nun folgende Infos: Ich habe den Rechner gebraucht gekauft. Ich weiss, dass da wohl ziemlich viel hin sein kann, aber ich brauche diesen Rechner noch ca. 6 Monate, weil ich keine Kohle für einen neuen habe. Und ich gebe es gleich zu: Avira ist abgelaufen.

Aus Fehlern sei gelernt und ich werde mir sofort alles nötige besorgen, aber zunächst möchte ich Euch um Hilfe bitten, um diesen Rechner noch irgendwie zum Laufen zu bringen.

Lange Rede kurzer Sinn: Ich bitte Euch sehr, mir zu helfen.

Hier die Dateien: Ich habe alle Schritte befolgt und hoffe, dass ich nicht falsch gemacht habe.

Da ich die defogger Datei nicht im Anhang hochladen kann, warum auch immer, hier direkt:

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 16:10 on 24/09/2010 (***)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...
Unable to read mswex.sys


-=E.O.F=-

Ich bedanke mich im Voraus und hoffe, dass das Ganze irgendwie machbar ist.

Liebe Grüße,
ale

Hi,

auf eigene Gefahr (da ist einiges los auf dem Rechner)...

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet!

Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß!

Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen.

Danach ein neues OTL-Log posten und MAM updaten und laufen lassen!

chris

Hallo!

Vielen Dank für Deine Antwort.

Anbei die Datei von ComboFix und die OTL Datei.


Meinst Du mit MAM den MalwareBytes? Ich lasse den jetzt durchlaufen. Falls ich da was falsch verstanden habe, gib mir doch einfach Bescheid.

Die andere Datei kommt heute Abend, da ich erst heut Abend ausm Büro komme.

Liebe Grüße,
ale

Hi,

wow!

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

c:\windows\system32\drwaavaw.dll
c:\windows\system32\Upgrd.exe
c:\windows\drwavaws.dll
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Fix für OTL:

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Achtung! vergiss nicht die *** gegen den richtigen Pfad auszutauschen! Ev. hat MAM auch schon einiges gefunden und unschädlich gemacht, dann gibt es halt ein paar Fehler ;o)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\UIUSYS.SYS -- (UIUSys)
DRV - [2010.09.24 15:40:46 | 000,068,224 | ---- | M] () [Kernel | Boot | Stopped] -- C:\WINDOWS\system32\drivers\oopuhnpkpjv.sys -- (khqlmxop)
O4 - HKCU..\Run: [{5453699D-9F1F-B249-624D-D82C1A785415}] C:\Dokumente und Einstellungen\***\Anwendungsdaten\Owwuo\ocowi.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 59t4 = C:\DOKUME~1\***-***~1\LOKALE~1\Temp\1biq.exe File not found
[2010.09.24 15:40:46 | 000,068,224 | ---- | M] () -- C:\WINDOWS\System32\drivers\oopuhnpkpjv.sys

:Files
c:\windows\system32\drivers\mswex.sys
c:\windows\upeslxds.dll
c:\dokumente und einstellungen\Administrator\Startmenü\Programme\Autostart\anmef.exe
c:\dokumente und einstellungen\Administrator\Startmenü\Programme\Autostart\ocowl.exe
c:\dokumente und einstellungen\Administrator\Startmenü\Programme\Autostart\pyem.exe
c:\dokumente und einstellungen\Administrator\Startmenü\Programme\Autostart\yzici.exe

:Commands
[emptytemp]
[Reboot]
         

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL

TDSS-Killer
Download und Anweisung unter: Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft?
Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)!
Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe.
Nach dem Start erscheint ein Fenster, dort dann "Start Scan".
Wenn der Scan fertig ist bitte "Report" anwählen. Es öffnet sich ein Fenster, den Text abkopieren und hier posten...

Cureit:
http://www.trojaner-board.de/59299-a...eb-cureit.html
Nach Beendigung des Scans findes Du das Log unter %USERPROFILE%\DoctorWeb\CureIt.log.
Bevor du irgendwelche Aktionen unternimmst, kopiere bitte den Inhalt des Logs und poste ihn.
Die Log Datei ist sehr groß, ca. über 5MB Text. Benutzt einfach die Suche nach "infiziert" und kopiert betreffende Teile heraus, bevor Du sie postet.

Dann bitte nochmal ein OLT-Log und zwar wie folgt:

• Starte bitte die OTL.exe

• Vista/Win7-User mit Rechtsklick "als Administrator starten"

• Kopiere nun den Inhalt in die Textbox

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
mv61xx.sys
/md5stop
c:\windows\system32\drivers\*.sys /lockedfiles
c:\windows\system32\*.dll /lockedfiles
%systemroot%\*. /mp /s
%PROGRAMFILES%\*.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)

• Klicke nun bitte auf den Quick Scan Button

• Klick auf OK

• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Und das was mit dem MBR ebenfalls nicht stimmt:
MBR-Check
Lade Dir http://ad13.geekstogo.com/MBRCheck.exe und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.

• Vista und Win7 User mit Rechtsklick "als Administrator starten"

• Das Tool braucht nur eine Sekunde.

• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste bitte den Inhalt des .txt Dokumentes

chris

Hallo Chris,

anbei alle Dateien. Ich hoffe, dass alles richtig ist.

c:\windows\system32\drwaavaw.dll
File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis:
MD5:
a8412909475b25430c0e2e0b380b3865
Date first seen:
2010-09-20 15:50:57 (UTC)
Date last seen:
2010-09-24 21:53:10 (UTC)
Detection ratio:
3/43

c:\windows\system32\Upgrd.exe


File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis:
MD5:
da67fca724b077642b4a05ae5c954cc3
Date first seen:
2009-02-13 23:39:53 (UTC)
Date last seen:
2010-09-05 02:12:53 (UTC)
Detection ratio:
0/43


c:\windows\drwavaws.dll


File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis:
MD5:
a8412909475b25430c0e2e0b380b3865
Date first seen:
2010-09-20 15:50:57 (UTC)
Date last seen:
2010-09-24 21:53:10 (UTC)
Detection ratio:
3/43

Der Rest der Reihenfolge nach im Anhang.

DrWeb wollte nicht in den Anhang, also hier direkt:

9883161.exe;C:\Dokumente und Einstellungen\***-***\Lokale Einstellungen\Temp;Trojan.PWS.Multi.36;Gelöscht.;
handlerfix70700en00.exe;C:\Dokumente und Einstellungen\***\Anwendungsdaten\B458437C294B443F56BC55E6CFE57374;Trojan.Siggen2.2812;Nicht desinfizierbar.Verschoben.;
ocowi.exe.vir;C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\***\Anwendungsdaten\Owwuo;Trojan.PWS.Panda.509;Gelöscht.;
explorer.exe.vir;C:\Qoobox\Quarantine\C\WINDOWS;Win32.Dat.4;Desinfiziert.;
upeslxds.dll.vir;C:\Qoobox\Quarantine\C\WINDOWS;Trojan.Packed.20961;Nicht desinfizierbar.Verschoben.;
winlogon.exe.vir;C:\Qoobox\Quarantine\C\WINDOWS\system32;Win32.Dat.4;Desinfiziert.;
A0015748.exe;C:\System Volume Information\_restore{612B6270-BA31-4D6B-86BD-75B52F964B50}\RP11;Trojan.Inject.10220;Nicht desinfizierbar.Verschoben.;
A0015896.exe;C:\System Volume Information\_restore{612B6270-BA31-4D6B-86BD-75B52F964B50}\RP11;Trojan.Inject.10220;Nicht desinfizierbar.Verschoben.;
A0015921.exe;C:\System Volume Information\_restore{612B6270-BA31-4D6B-86BD-75B52F964B50}\RP11;Win32.Dat.4;Desinfiziert.;
A0015923.exe;C:\System Volume Information\_restore{612B6270-BA31-4D6B-86BD-75B52F964B50}\RP11;Win32.Dat.4;Desinfiziert.;
A0015924.exe;C:\System Volume Information\_restore{612B6270-BA31-4D6B-86BD-75B52F964B50}\RP11;Trojan.PWS.Panda.509;Gelöscht.;
A0015930.dll;C:\System Volume Information\_restore{612B6270-BA31-4D6B-86BD-75B52F964B50}\RP11;Trojan.Packed.20961;Nicht desinfizierbar.Verschoben.;
A0016957.dll;C:\System Volume Information\_restore{612B6270-BA31-4D6B-86BD-75B52F964B50}\RP11;Trojan.PWS.Grabber.86;Gelöscht.;
A0016958.dll;C:\System Volume Information\_restore{612B6270-BA31-4D6B-86BD-75B52F964B50}\RP11;Trojan.PWS.Grabber.86;Gelöscht.;
A0016959.exe;C:\System Volume Information\_restore{612B6270-BA31-4D6B-86BD-75B52F964B50}\RP11;Trojan.Inject.10220;Nicht desinfizierbar.Verschoben.;
A0016970.exe;C:\System Volume Information\_restore{612B6270-BA31-4D6B-86BD-75B52F964B50}\RP11;Trojan.Siggen2.2812;Nicht desinfizierbar.Verschoben.;
drwavaws.dll;C:\WINDOWS;Trojan.PWS.Grabber.86;Gelöscht.;
anmef.exe;C:\_OTL\MovedFiles\09282010_104758\c_dokumente und einstellungen\Administrator\Startmenü\Programme\Autostart;Trojan.PWS.Panda.509;Gelöscht.;
ocowl.exe;C:\_OTL\MovedFiles\09282010_104758\c_dokumente und einstellungen\Administrator\Startmenü\Programme\Autostart;Trojan.PWS.Panda.509;Gelöscht.;


Vielen Dank für Deine Mühe!

Hi,

TDSS-Rootkit und einiges andere...

Systemwiederherstellung löschen
BSI-Faltblattt (https://www.bsi.bund.de/cln_134/ContentBSI/Publikationen/Faltblaetter/F24VirenundCo.html) und dort unter Viren entfernen
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt:

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

Von einem sauberen Rechner aus sofort alle Passwörter (ebay, amazon etc.) ÄNDERN (Passwortgrabber)!

Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

Superantispyware (SASW):
http://www.trojaner-board.de/51871-a...tispyware.html

und

• Starte bitte die OTL.exe

• Vista/Win7-User mit Rechtsklick "als Administrator starten"

• Kopiere nun den Inhalt in die Textbox

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
mv61xx.sys
/md5stop
c:\windows\system32\drivers\*.sys /lockedfiles
c:\windows\system32\*.dll /lockedfiles
%systemroot%\*. /mp /s
%PROGRAMFILES%\*.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)

• Klicke nun bitte auf den Quick Scan Button

• Klick auf OK

• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

chris