Guten Morgen Team und User des Trojaner-Board. Ich hab mich bei Euch registriert weil ich einfach am Ende bin und nicht mehr weiter weiß. Das Problem wie ihr dem Topic entnehmen könnt ist glaube ein sehr tiefgreifendes in meinem System. Seit nun mehr 3 Tagen kämpfe ich mit diesem Virus rum. Vorweg, alle Temporären damaligen Ordner(User Temp und Windows Temp Verzeichnisse) liegen auf c:\Temp hab ich so erstellt, der besseren Übersicht. Am 29.05 hat mein Virenprogramm Alarm geschlagen und mir zum ersten Mal den Trojan.Alemod angezeigt in dem neuen Temp Ordner siehe Anhang.

Das Problem an diesem Virus war das Symantec zwar angegeben hat ihn bereinigt zu haben aber dem war nicht so. Der Virus hatte sich in einen Unbekannten Speicherbereich geschrieben und immer wieder Alarm ausgelöst. Es wurde eine 2. explorer.exe erstellt die nicht zu killen war über den Taskmanager. Sämtliche Programme haben sich auf gehangen oder nicht mehr gearbeitet beim Zugriff auf diesen Ordner um die Dateien zu Speichern. Also hab ich kurzer Hand Not ausgemacht, also Power Knopf gedrückt gehalten. Somit wird nichts gespeichert. Dann hab ich mir auch keine weiteren Gedanken mehr darüber gemacht. Paar Tools drüber laufen lassen und sogar Avira Free installiert. Alles sauber laut der Programme.

Am gestrigen Abend dann wieder dieser Virus mit genau den gleichen Anzeichen. In den Unbekannten Speicher geschrieben und sich im Temp Ordner mit 3 Dateien eingenistet. Von da aus wollte er ins Avira Verzeichnis was Symantec nicht zugelassen hat. Aber selber den Virus löschen war gescheitert. Es waren 3 Dateien 2 wurden isoliert die andere nicht. Auch hier blieb nur noch der Not aus Knopf übrig. Da sich der Virus auch hier wieder eine explorer.exe erstellt hat die nicht zu beenden ging. Weder mit dem Taskmanager noch mit Unlocker und beim Versuch die Dateien zu löschen hing alles. Nach dem ich mich hier gereggt und Eure Anleitung befolgt hab tippsel ich so vor mich hin. Aber mit einem beunruhigenden Gefühl weil schon Punkt 1 nicht ging.

Kommen wir mal zu dem Punkt 1 - das Tool Defrogger

Das Tool hab ich angeschmissen ohne Netzwerk und Internet und alle Virenprogramme deaktiviert für diese Zeit.
Nach 2 Sekunden war er fertig und hat auch ein Log Datei erstellt auf dem Desktop nur das Tool wollte keinen Neustart. Also hab ich von Hand neu gestartet.

Hier der Inhalt der Logdatei

Code: Alles auswählenAufklappen

ATTFilter

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 08:50 on 01/06/2011 (Marcel)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-
         

Das fängt ja schon gut an dachte ich mir so. Punk 1 geht schon nicht wie soll das weiter gehen? Naja schauen wa Mal.

Der Punkt 2 dann war etwas besser aber auch nicht so das richtige.
Hab mir das OTL Tool geladen und nach Anleitung ausgeführt und vorher alle Virenprogramme und Firewalls deaktiviert und ohne Netzwerk und Internetverbindung ausgeführt. Den vorgegebenen Inhalt in das Programm kopiert und nach dem starten hat er kurz gehangen und einige Sachen entfernt.
Wie z.B.
activex
netsvcs
msconfig

Die beiden Dateien wurden auf dem Desktop erstellt. Alles wieder aktiviert und hier getippselt. Mit einmal war die Extra Datei vom Desktop verschwunden. Ich hatte vorher noch ein Logfile erstellt und mir diese bevor ich Online ging gesichert auf nen Stick. Diese liegen nun im Anhang und noch einige andere Logfiles vom System zur weiteren Auswertung. Dann hab ich ohne Internet und Netzwerkverbindung ein Logfile von HighJackthis erstellt und es ebenfalls gezipt und hochgeladen. Es ist im Anhang zu finden. Momentan ist Ruhe aber irgendwas Gravierendes stimmt nicht mit meinem System.

Ich hoffe ich hab alles richtig befolgt um eine reibungslose Auswertung und Analyse zu starten Eurerseits und bedanke mich im vor raus für die Bearbeitung und freundliche Hilfe.

Da ich ein 64Bit System hab fällt Punkt 3 ja weg.

Scotty7

P.S. Wenn was fehlt Bitte sagen.

Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Hallo cosinus, danke für die Willkommensgrüße.

Wie von dir gewünscht hab ich einen komplett Scan laufen lassen.

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Datenbank Version: 6705

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

01.06.2011 13:35:56
mbam-log-2011-06-01 (13-35-56).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 378096
Laufzeit: 51 Minute(n), 1 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
         

Aber da kommen weitere andere Sachen. Beim scannen mit Malwarebytes hat Avira und auch Symantec Alarm geschlagen auf der Partition D:

Symantec hat auf Partition D den Virus Suspicious.MH690 gefunden in diesem Ordner : D:\$RECYCLE.BIN\S-1-5-21-2220680965-2833596848-3793558032-1000\$RDBTHCV\Decompiler\wdasm893\Tools\w32dasmdis\

mit dieser Datei: W32Dis11a.exe

Avira hat mehrfach Alarm geschlagen mit diesem Ergebnissen.

Meldung: Enthält Erkennungsmuster des SPR/Tool.Reboot.F-Programmes
Ordne: D:\Malwarescanner and More\SmitfraudFix\
Datei: Reboot.exe

Meldung: Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes
Ordne: D:\Malwarescanner and More\SmitfraudFix\
Datei: restart.exe


Alles wurde isoliert und in Quarantäne geschoben.
Mal schauen was die Analyse der Dateien ergibt

Scotty7

P.S. Bitte das Highjackthis Log aus dem Anhang entfernen wenn es nicht erwünscht ist. Danke

Zitat:

Datenbank Version: 6705

Du hast Malwarebytes vorher nicht aktualisiert. Bitte updaten und einen Vollscan machen.

Zitat:

hat Avira und auch Symantec Alarm geschlagen auf der Partition D:

AntiVir nicht zusammen mit dem Symantec-Scanner verwenden! Deinstalliere am besten Symantec/Norton!

Zitat:

Avira hat mehrfach Alarm geschlagen mit diesem Ergebnissen.
Meldung: Enthält Erkennungsmuster des SPR/Tool.Reboot.F-Programmes
Ordne: D:\Malwarescanner and More\SmitfraudFix\

Beachte das Verzeichnis. Wer hat dich angewiesen, den Smitfraudfix anzuwenden/runterzuladen? In diesen speziellen Tools, die oft mit harten Bandagen kämpfen, werden oft angeblich Schädlinge gefunden.

Zitat:

Du hast Malwarebytes vorher nicht aktualisiert. Bitte updaten und einen Vollscan machen.

Malwarebytes hatte bei einem Manuellen Update gemeint das kein Update verfügbar sei und ich die neuesten Updates hab. Darauf hin hab ich den Vollscan ausgeführt.

Zitat:

AntiVir nicht zusammen mit dem Symantec-Scanner verwenden! Deinstalliere am besten Symantec/Norton!

Das ist die Symantec Endpoint Protection demnach auch meine Firewall. Avira hatte ich nur zur 2. Sicherheit installiert. Ohne die Firewall ist es mir doch ein wenig zu unsicher. Da ich bei der Firewall schon etliche Regeln selbst konfiguriert habe(ca. 60 Regeln). Auf die möchte ich ungerne verzichten müssen. Kann ich nicht auch Avira wieder deinstallieren?

Zitat:

Beachte das Verzeichnis. Wer hat dich angewiesen, den Smitfraudfix anzuwenden/runterzuladen? In diesen speziellen Tools, die oft mit harten Bandagen kämpfen, werden oft angeblich Schädlinge gefunden.

Smitfraudfix hatte ich mir bevor ich mich gereggt hab runter geladen aber nie benutzt. Ich hab ja eigeninitiative gezeigt und mehr als genug rumprobiert, mich belesen ohne ende. Irgendwann bin ich dann auf diesem Tool gestoßen. Also kein Grund zur Sorge. Das lagerte nur auf der Platte in dem besagten Ordner. Ich hab noch mehr da drinnen gehabt für den Fall der Fälle. Also alles was ich so gefunden hab und Freeware ist hab ich auch runter geladen.

Sone Art, wenn nix mehr geht muß ich nicht zwingend Online sein und erst laden um zu beseitigen.


Gruß,
Scotty7

P.S. Danke für deine schnelle Hilfe.

Zitat:

t das kein Update verfügbar sei und ich die neuesten Updates hab.

Das kann nicht sein. Wir sind bei 6747 und nicht 6705...

Zitat:

Das ist die Symantec Endpoint Protection demnach auch meine Firewall.

Kontraproduktiver Unsinn.

Zitat:

Avira hatte ich nur zur 2. Sicherheit installiert.

Viel hilft viel? Leider ein Irrtum, denn zwei Virenscanner dieses Kalibers können sich gegenseitig aushebeln/kaputtmachen

Zitat:

Auf die möchte ich ungerne verzichten müssen. Kann ich nicht auch Avira wieder deinstallieren?

geht auch, aber wie gesagt ist eine PFW kontraproduktiver Dummfug.

Lies einfach mal hier, ich denke dann sollte es etwas klarer werden:

Die Vertrauensbrecher c't Editorial über Internet Security Suites und warum sie idR nichts taugen
Oberthal online: Personal Firewalls: Sinnvoll oder sinnfrei?
personal firewalls ? Wiki ? ubuntuusers.de
NT-Dienste sicher konfigurieren und abschalten (Windows 2000/XP) - www.ntsvcfg.de

Dann wirst Du feststellen, dass es einfach nur unnötig ist, sich das System mit einer weiteren "Schutzkomponente" zu verhunzen...

Malwarebefall vermeiden kannst Du sowieso nur, wenn Du selbst Dein verhalten in den Griff bekommst => Kompromittierung unvermeidbar?