Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Multipler Befall mit ZeroAccess, durch drive-by (https://www.trojaner-board.de/110692-multipler-befall-zeroaccess-drive-by.html)

Trommelfell 01.03.2012 17:28
Multipler Befall mit ZeroAccess, durch drive-by
 
Hallo, ich würde mich freuen wenn Ihr mir helfen könntet.

Vorgeschichte:

1. Vor über 2Jahren Verdacht auf conficker, entsprechende Registryblocker(?) installiert.
2. Vor ca. 1 Jahr beim surfen einen Rootkit aufgesackt, der von Avira erkannt wurde, danach eher halbherzige Maßnahmen mit TDSS Killer, Anti-Malwarebytes, Hijackthis, und Gmer durchgeführt
3. Vor 3 Tagen öffnet sich beim surfen auf einer Website plötzlich die Javakonsole, und verschiedene Aktivitäten wurden durchgeführt, kurz darauf springt Avira an und erkennt TR/Sirefef.BP.1
mit Versuchen diese zu löschen.

Anti-Malwarebytes update durchgeführt. Multipler Befall mit ZeroAccess Rootkit und anderen Trojanern. Erstmal nichts gelöscht. Rechner vom Netz genommen.

Zu Punkt 2. Es gibt ältere Gmer Logs.

Mir ist inzwischen klar, das meine Java-Version vermutlich veraltet ist und ich das System komplett neu aufsetzen muss und auch will. Ich möchte gerne mit eurer Hilfe
den Rootkit soweit unter Kontrolle halten, das ich meine Daten retten und meine USB Datenträger reinigen kann.

Die für diesen Post geforderten Aktionen wurden durchgeführt. Sowohl im genutzten UserLogin Bereich (Adminrechte). Als auch im Administratorbereich.

Gmer stürzt im gesicherten Modus - Adminbereich immer ab, wenn das Programm versucht \HarddiskVolume3 zu lesen (haben nur C: und D: Festplatte)

Achso ich habe vergessen Antivir auszuschalten beim Gmer Scan. Müssen die Festplatten nun beide angehakt oder abgehakt sein beim scan?

Gerade beim hochladen dieses Threads bemerkt. WLAN Verbindung aktiviert. Verbindung steht auf "Netzwerkadresse beziehen" mehrere kB Daten werden trotzdem ausgetauscht, trotzdem kann ich schon surfen. Komisch oder?


user-dds
Code:

.
DDS (Ver_2011-08-26.01) - NTFSx86
Internet Explorer: 8.0.6001.18702  BrowserJavaVersion: 1.6.0_26
Run by *** at 18:14:23 on 2012-02-29
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.2039.1527 [GMT 1:00]
.
AV: Avira Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
============== Running Processes ===============
.
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
svchost.exe
svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
svchost.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe -k imgsvc
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Elantech\ETDCtrl.exe
C:\Programme\Elantech\ETDDect.exe
C:\Programme\EeePC\ACPI\AsTray.exe
C:\WINDOWS\system32\igfxext.exe
C:\Programme\EeePC\ACPI\AsAcpiSvr.exe
C:\Programme\EeePC\ACPI\AsEPCMon.exe
C:\Programme\Vimicro\Vimicro USB PC Camera (VC0342)\VMonitor.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\*****online\Realtime\CodesServer.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Plustek\OpticFilm 7600i\QuickScan.exe
C:\Programme\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe
C:\PROGRA~1\PETROS~2\Realtime\Watchman.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\iPod\bin\iPodService.exe
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://eeepc.asus.com/global
uInternet Settings,ProxyOverride = *.local
BHO: SSVHelper Class: {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - c:\programme\java\jre6\bin\ssv.dll
uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe
mRun: [IgfxTray] c:\windows\system32\igfxtray.exe
mRun: [HotKeysCmds] c:\windows\system32\hkcmd.exe
mRun: [Persistence] c:\windows\system32\igfxpers.exe
mRun: [ETDWare] c:\programme\elantech\ETDCtrl.exe
mRun: [ETDWareDetect] c:\programme\elantech\ETDDect.exe
mRun: [AsusTray] c:\programme\eeepc\acpi\AsTray.exe
mRun: [AsusACPIServer] c:\programme\eeepc\acpi\AsAcpiSvr.exe
mRun: [AsusEPCMonitor] c:\programme\eeepc\acpi\AsEPCMon.exe
mRun: [VMonitorvmuvc] "c:\programme\vimicro\vimicro usb pc camera (vc0342)\VMonitor.exe" vmuvc
mRun: [RTHDCPL] RTHDCPL.EXE
mRun: [Alcmtr] ALCMTR.EXE
mRun: [CodesServer] c:\programme\*****online\realtime\CodesServer.exe
mRun: [AppleSyncNotifier] c:\programme\gemeinsame dateien\apple\mobile device support\AppleSyncNotifier.exe
mRun: [APSDaemon] "c:\programme\gemeinsame dateien\apple\apple application support\APSDaemon.exe"
mRun: [SunJavaUpdateSched] "c:\programme\java\jre6\bin\jusched.exe"
mRun: [QuickTime Task] "c:\programme\quicktime\QTTask.exe" -atboottime
mRun: [iTunesHelper] "c:\programme\itunes\iTunesHelper.exe"
mRun: [avgnt] "c:\programme\avira\antivir desktop\avgnt.exe" /min
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\quicks~1.lnk - c:\programme\plustek\opticfilm 7600i\QuickScan.exe
StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\superh~1.lnk - c:\programme\asus\eeepc\super hybrid engine\SuperHybridEngine.exe
IE: add to &BOM - c:\\progra~1\\biet-o~1\\\\AddToBOM.hta
IE: Senden an &Bluetooth-Gerät... - c:\programme\widcomm\bluetooth software\btsendto_ie_ctx.htm
IE: Senden an Bluetooth - c:\programme\widcomm\bluetooth software\btsendto_ie.htm
IE: {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\programme\widcomm\bluetooth software\btsendto_ie.htm
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\programme\messenger\msmsgs.exe
IE: {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBC} - c:\programme\java\jre6\bin\ssv.dll
LSP: mswsock.dll
DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} - hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1240910291921
DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} - hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1240910276578
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
TCP: Interfaces\{01CA8A78-4EB4-4A02-BC8E-5359F9E0CFC3} : DhcpNameServer = 193.254.160.1 10.74.83.22
Notify: igfxcui - igfxdev.dll
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\dokumente und einstellungen\***\anwendungsdaten\mozilla\firefox\profiles\73x339nf.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - plugin: c:\programme\java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\mozilla firefox\plugins\npdeployJava1.dll
.
---- FIREFOX POLICIES ----
FF - user.js: yahoo.homepage.dontask - true
============= SERVICES / DRIVERS ===============
.
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [2011-12-27 36000]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\avira\antivir desktop\sched.exe [2011-12-27 86224]
R2 AntiVirService;Avira Echtzeit Scanner;c:\programme\avira\antivir desktop\avguard.exe [2011-12-27 110032]
R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2009-4-28 74640]
S2 aaaaanonficker;aaaaanonficker;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 AGV;Pdlndoem;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 avfilter;Psasrv;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 avgarcln;Bc_ngn;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 avgascln;Konfig;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 avgclean;Bc_ip_f;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 ccpwdsvc;Sfrem01;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 CTMMOUNT;MA8032U;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 fsssvc;Wltwo51b;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 gpzgush;Config Image;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 ikfileflt;Service;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 kl1;F700iat;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 LMIRfsDriver;TMBMServer;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 LRMINIPORT;GTWModem;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 mctaskmanager;WNCPKT;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 mfeavfk;Avg7rsw;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 ofcservice;WINFLASH;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 pavatscheduler;Mqdmmdfl;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 RAPIProtocol;Adobeactivefilemonitor5.0;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 symantecantibotfilter;Giveio;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 symantecantibotshim;Crystaloutputfileserver;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 veteboot;Bhmonitorservice;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S3 C6U12Scanner;1200 USB Still Image Device Service;c:\windows\system32\drivers\usbscan.sys [2009-7-21 15104]
S3 Netaapl;Apple Mobile Device Ethernet Service;c:\windows\system32\drivers\netaapl.sys [2011-6-12 18432]
S3 RT80x86;Ralink 802.11n Wireless Driver;c:\windows\system32\drivers\rt2860.sys [2008-8-13 625024]
S3 VMUVC;Vimicro Camera Service VMUVC;c:\windows\system32\drivers\VMUVC.sys [2010-5-12 251904]
S3 vvftUVC;Vimicro Camera Filter Service VMUVC;c:\windows\system32\drivers\vvftUVC.sys [2010-5-12 398720]
.
=============== Created Last 30 ================
.
2012-02-27 12:16:11        0        --sha-w-        c:\windows\system32\dds_log_trash.cmd
2012-02-27 12:13:51        --------        d-sh--w-        c:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\71121435
2012-02-20 13:08:51        626688        ----a-w-        c:\programme\mozilla firefox\msvcr80.dll
2012-02-20 13:08:51        548864        ----a-w-        c:\programme\mozilla firefox\msvcp80.dll
2012-02-20 13:08:51        479232        ----a-w-        c:\programme\mozilla firefox\msvcm80.dll
2012-02-20 13:08:51        45016        ----a-w-        c:\programme\mozilla firefox\mozutils.dll
2012-02-17 20:56:41        --------        dc-h--w-        c:\windows\ie8
2012-02-14 20:55:56        3072        -c----w-        c:\windows\system32\dllcache\iacenc.dll
2012-02-14 20:55:56        3072        ------w-        c:\windows\system32\iacenc.dll
2012-02-12 11:52:51        --------        d-----w-        c:\programme\Google SketchUp 8
.
==================== Find3M  ====================
.
2012-01-12 17:20:28        1860096        ----a-w-        c:\windows\system32\win32k.sys
2011-12-17 19:43:23        916992        ----a-w-        c:\windows\system32\wininet.dll
2011-12-17 19:43:23        43520        ----a-w-        c:\windows\system32\licmgr10.dll
2011-12-17 19:43:23        1469440        ----a-w-        c:\windows\system32\inetcpl.cpl
2011-12-16 12:22:58        385024        ----a-w-        c:\windows\system32\html.iec
2011-12-10 14:24:06        20464        ----a-w-        c:\windows\system32\drivers\mbam.sys
2009-02-11 13:50:54        4935680        ------w-        c:\programme\SF Universal Launcher.exe
2008-05-07 14:34:00        15523560        ----a-w-        c:\programme\U1 Setup.exe
.
============= FINISH: 18:15:28,73 ===============
user-GMER

Code:

GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-03-01 08:16:38
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 ST9160310AS rev.0303
Running: 0w2fmuxo.exe; Driver: C:\DOKUME~1\***\LOKALE~1\Temp\pgtdqpoc.sys


---- System - GMER 1.0.15 ----

SSDT                                                                                                                                  BA6B51F4                                                                                                        ZwClose
SSDT                                                                                                                                  BA6B51FE                                                                                                        ZwCreateSection
SSDT                                                                                                                                  BA6B51A4                                                                                                        ZwCreateThread
SSDT                                                                                                                                  BA6B51EF                                                                                                        ZwDuplicateObject
SSDT                                                                                                                                  BA6B5190                                                                                                        ZwOpenProcess
SSDT                                                                                                                                  BA6B5195                                                                                                        ZwOpenThread
SSDT                                                                                                                                  BA6B5217                                                                                                        ZwQueryValueKey
SSDT                                                                                                                                  BA6B5208                                                                                                        ZwRequestWaitReplyPort
SSDT                                                                                                                                  BA6B5203                                                                                                        ZwSetContextThread
SSDT                                                                                                                                  BA6B520D                                                                                                        ZwSetSecurityObject
SSDT                                                                                                                                  BA6B5212                                                                                                        ZwSystemDebugControl
SSDT                                                                                                                                  BA6B519F                                                                                                        ZwTerminateProcess

INT 0x06                                                                                                                              \??\C:\WINDOWS\system32\drivers\Haspnt.sys (HASP Kernel Device Driver for Windows NT/Aladdin Knowledge Systems)  A94EC16D
INT 0x0E                                                                                                                              \??\C:\WINDOWS\system32\drivers\Haspnt.sys (HASP Kernel Device Driver for Windows NT/Aladdin Knowledge Systems)  A94EBFC2

---- Kernel code sections - GMER 1.0.15 ----

.text                                                                                                                                ipsec.sys                                                                                                        A8F00300 166 Bytes  [90, 90, 90, 90, 90, 90, 90, ...]
.text                                                                                                                                ipsec.sys                                                                                                        A8F003A7 144 Bytes  JMP A8F020E3 \SystemRoot\system32\DRIVERS\ipsec.sys (IPSec Driver/Microsoft Corporation)
.text                                                                                                                                ipsec.sys                                                                                                        A8F00438 30 Bytes  [41, 02, 00, 00, 8B, 48, 60, ...]
.text                                                                                                                                ipsec.sys                                                                                                        A8F00457 52 Bytes  [A8, FF, 15, 04, F9, F0, A8, ...]
.text                                                                                                                                ipsec.sys                                                                                                        A8F0048C 65 Bytes  [8B, 45, F8, 8B, 38, 8B, 45, ...]
.text                                                                                                                                ...                                                                                                             
.INIT                                                                                                                                C:\WINDOWS\system32\DRIVERS\ipsec.sys                                                                            entry point in ".INIT" section [0xA8F0E678]
?                                                                                                                                    C:\WINDOWS\system32\DRIVERS\ipsec.sys                                                                            suspicious PE modification
.text                                                                                                                                C:\WINDOWS\system32\drivers\hardlock.sys                                                                        section is writeable [0xA83CB400, 0x87EE2, 0xE8000020]
.protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xA846F620]  C:\WINDOWS\system32\drivers\hardlock.sys                                                                        entry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xA846F620]
.protectÿÿÿÿhardlockunknown last code section [0xA846F400, 0x5126, 0xE0000020]                                                        C:\WINDOWS\system32\drivers\hardlock.sys                                                                        unknown last code section [0xA846F400, 0x5126, 0xE0000020]
?                                                                                                                                    C:\DOKUME~1\***\LOKALE~1\Temp\mbr.sys                                                                          Das System kann die angegebene Datei nicht finden. !

---- Devices - GMER 1.0.15 ----

AttachedDevice                                                                                                                        \FileSystem\Fastfat \Fat                                                                                        fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Modules - GMER 1.0.15 ----

Module                                                                                                                                (noname) (*** hidden *** )                                                                                      BA2E8000-BA2F7000 (61440 bytes)                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                 

---- Threads - GMER 1.0.15 ----

Thread                                                                                                                                System [4:380]                                                                                                  89F89540
Thread                                                                                                                                System [4:384]                                                                                                  89F89540

---- Registry - GMER 1.0.15 ----

Reg                                                                                                                                  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost@netsvcs                                                aaaaanonficker?6to4?AppMgmt?AudioSrv?Browser?CryptSvc?DMServer?DHCP?ERSvc?EventSystem?FastUserSwitchingCompatibility?HidServ?Ias?Iprip?Irmon?LanmanServer?LanmanWorkstation?Messenger?Netman?Nla?Ntmssvc?NWCWorkstation?Nwsapagent?Rasauto?maxbackserviceint?Dfs?aexnsclient?ROOTUSB?EU3_USB?U81xbus?zebrceb?tomcatcws3?imap4d32?ctljystk?mcp?lvsrvlauncher?emclisrv?s3savagenb?USB11LDR?interactivelogon?noipducservice?USBCamera?JGOGO?dwmrcs?ftpqueue?https-admserv61?USB_NDIS_51?tosrfnds?issimon?dptrackerd?se58obex?pcx1nd5?veteboot?ofcservice?VirtualCam?X4HSX32?RivaTuner32?ipodsrv?vmauthdservice?rt73?LUsbFilt?ageresoftmodem?s125mdfl?wampmysqld?rt2500usb?Intels51?tbhsd?openldap-slapd?ziptoa?A88xXBar?isdrv120?cwcwdm?3combootp?orbmediaservice?monfilt?tsircsrv?c-dillasrv?vxsvc?iaimfp3?ibmsmbus?spbbcdrv?prosync1?kodakccs?amfilter?sbp2port?sbhooksvc?hprfdev?mail2ec?MegaSR?avgarcln?pdlnatdl?SRVLOC?TMBUS?de_serv?elockservice?roxwatch9?vpcnets2?tangoservice?dashsvc?ROB_A?agnwifi?sfhlp02?dklogger?RIOXDRV?w550mdm?svv?Wpsnuio?amoagent

---- Files - GMER 1.0.15 ----

File                                                                                                                                  C:\WINDOWS\system32\fsaa.dll                                                                                    5120 bytes executable
File                                                                                                                                  C:\WINDOWS\system32\SRTSP.dll                                                                                    5120 bytes executable
File                                                                                                                                  C:\WINDOWS\system32\vnxservice.dll                                                                              5120 bytes executable
File                                                                                                                                  C:\WINDOWS\system32\proxyhostservice.dll                                                                        5120 bytes executable
File                                                                                                                                  C:\WINDOWS\system32\alim1541.dll                                                                                5120 bytes executable
File                                                                                                                                  C:\WINDOWS\system32\lmimaint.dll                                                                                5120 bytes executable
File                                                                                                                                  C:\WINDOWS\system32\LMIRfsClientNP.dll                                                                          5120 bytes executable
File                                                                                                                                  C:\WINDOWS\system32\symantecantibotfilter.dll                                                                    5120 bytes executable
File                                                                                                                                  C:\WINDOWS\system32\sysaudio.dll                                                                                5120 bytes executable
File                                                                                                                                  C:\WINDOWS\$NtUninstallKB39640$\1897010229                                                                      0 bytes
File                                                                                                                                  C:\WINDOWS\$NtUninstallKB39640$\1897010229\@                                                                    2048 bytes
File                                                                                                                                  C:\WINDOWS\$NtUninstallKB39640$\1897010229\L                                                                    0 bytes
File                                                                                                                                  C:\WINDOWS\$NtUninstallKB39640$\1897010229\L\ytadpswn                                                            75264 bytes
File                                                                                                                                  C:\WINDOWS\$NtUninstallKB39640$\1897010229\loader.tlb                                                            2632 bytes
File                                                                                                                                  C:\WINDOWS\$NtUninstallKB39640$\1897010229\U                                                                    0 bytes
File                                                                                                                                  C:\WINDOWS\$NtUninstallKB39640$\1897010229\U\@00000001                                                          45968 bytes
File                                                                                                                                  C:\WINDOWS\$NtUninstallKB39640$\1897010229\U\@000000c0                                                          2560 bytes
File                                                                                                                                  C:\WINDOWS\$NtUninstallKB39640$\1897010229\U\@000000cb                                                          3072 bytes
File                                                                                                                                  C:\WINDOWS\$NtUninstallKB39640$\1897010229\U\@000000cf                                                          1536 bytes
File                                                                                                                                  C:\WINDOWS\$NtUninstallKB39640$\1897010229\U\@80000000                                                          73216 bytes
File                                                                                                                                  C:\WINDOWS\$NtUninstallKB39640$\1897010229\U\@800000c0                                                          43520 bytes
File                                                                                                                                  C:\WINDOWS\$NtUninstallKB39640$\1897010229\U\@800000cb                                                          25600 bytes
File                                                                                                                                  C:\WINDOWS\$NtUninstallKB39640$\1897010229\U\@800000cf                                                          31232 bytes
File                                                                                                                                  C:\WINDOWS\$NtUninstallKB39640$\274459751                                                                        0 bytes

---- EOF - GMER 1.0.15 ----

Vielen Dank schonmal

markusg 01.03.2012 18:30
hi
Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de
autorun aus, dann sticks rein, malwarebytes updaten und komplett scan.
danach machen wir uns ans daten sichern

Trommelfell 02.03.2012 15:27
Hallo,
habe Autorun deaktiviert. MBAM läuft seit 5h, dauert auch noch ein bißchen. Sollen die Dateien dann in Quarantäne oder gelöscht werden? Aktuell 1219 Funde. Es ging mir eher um meine USB Festplatten, die aber auch schon seit mind. Einer Woche nicht mehr dran hingen. Vielen Dank für deine Hilfe.

Trommelfell 03.03.2012 19:21
1219 Objekte gefunden und mit mbam entfernt. Nach erneutem full Scan 5 infzierte Objekte. ZeroAccess bzw. 0Access. Würde gerne den Sumpf erstmal austrocknen bevor ich mit der Datensicherung beginne. Was folgt als nächstes? Brauchst du die mbam logs? TDSS oder OTL Laden?

markusg 03.03.2012 19:36
und wo sind die logs...?
hänge sie hier als datei(n) an
formatiere die sticks doch einfach dann wirds wohl schneller gehen.

Trommelfell 04.03.2012 10:13
3 MBAM Logs angehängt. Da eines davon die Maximalgröße überschreitet hab ich gleich alle zusammengezippt.

markusg 04.03.2012 16:21
das sind alles funde auf c:
also sticks sind io.
aber wie gesagt, formatiere die sticks doch einfach dann kannst du sicher sein.

Trommelfell 06.03.2012 21:20
Hi, ich musste mich erstmal wieder bißchen in mein Linux einfuchsen, denke das könnte gerade gut helfen und da waren ein paar updates zu machen.

Ich habe die Sticks mit Yast unter Linux formatiert, allerdings finden sich dort Partitionen, die wohl auf das U3 System zurückzuführen und für mich derzeit nicht zu löschen sind. Der Stick von Sandisk ist selbst mit dem firmeneigenen Tool unter Windows nicht von dieser /dev/sdr1 "Partition" zu reinigen. Was mich ein bißchen wundert und ich wollte es doch besonders gut machen.

Ich tausche derzeit nur Daten mit den Sticks und gehe über das Linuxsystem ins Netz, der infizierte Rechner hat sowieso Probleme eine W-Lan Verbindung aufzubauen.

Wie schlägst du vor die Daten vom Rechner zu retten? Ich möchte vemeiden, meine USB FEstplatten zu kontaminieren. Und ich würde das Rootkit erstmal soweit wie möglich stilllegen wollen.

markusg 06.03.2012 21:23
die u3 partitionen kann man belassen
und das win system muss ja eh neu gemacht werden

Trommelfell 13.03.2012 10:12
So ich habe die Daten mit einem Ubuntu Live Stick nun endlich auf eine externe Festplatte geschoben. Auf der Festplatte des Eeepc waren 4 Partitionen, eine Windowsp., eine Datenpartition, eine versteckte Partition (vermutlich Eeepc Recovery, 7GB) und Partition mit unbekanntem Dateisystem ca. 38MB groß.

Wie gehe ich am besten vor? Recovery benutzen? die versteckte Partition erstmal checken? Die 4. überbügeln?

Danke für Hinweise Markus.

markusg 13.03.2012 10:25
ist die 38 mb partition versteckt?

Trommelfell 13.03.2012 10:52
Nein, die ist nicht als versteckt gekennzeichnet nur als "Partitionierung unbekannt oder nicht nicht lesbar". Sie sieht eigentlich so aus, als obs ein Rest von der Partitionierung der Windows und Datenplatte ist, wobei 38MB da ziemlich viel ist.

markusg 13.03.2012 12:31
die vierte kannst ja auf jeden fall mal löschen bzw formatieren.
wie man die recovery nutzt weist du?

Trommelfell 13.03.2012 14:07
Nicht genau. Beim booten F9 Taste drücken und dann mal schauen was passiert. Ich weiß noch nicht genau, wie ich das mit den Partitionen mache. Windows Services Packs bräuchte ich auch noch?

Der derzeitige Plan ist, mit gparted C: zu löschen und mit der 4. Partition zusammenzuführen. Ich weiß aber nicht genau, wie das Windows Recovery reagiert und ob da nochmal formatiert wird. Bin mir auch mit der Datenplatte unsicher, gleich mit formatieren oder lassen? Sollte eigentlich ein Bootpasswort vergeben werden?

markusg 13.03.2012 14:11
die partitionen kannst du alle formatieren, also c und daten.
naja, zusammenführen musst du sie nciht, die paar mb.
bootpasswort, musst du wissen ob du eines willst.
ja, entweder f9 f10 f11 oder alt+f10
da solltest du auf werkszustand gehen können und danach den pc absichern.
als antimalware programm würde ich emsisoft empfehlen.
diese haben für mich den besten schutz kostet aber etwas.
http://www.trojaner-board.de/103809-...i-malware.html
testversion:
Meine Antivirus-Empfehlung: Emsisoft Anti-Malware
insbesondere wenn du onlinebanking, einkäufe, sonstige zahlungsabwicklungen oder ähnlich wichtiges, wie zb berufliches machst, also sensible daten zu schützen sind, solltest du in sicherheitssoftware investieren.
vor dem aktivieren der lizenz die 30 tage testzeitraum ausnutzen.

kostenlos, aber eben nicht ganz so gut wäre avast zu empfehlen.
http://www.trojaner-board.de/110895-...antivirus.html
sag mir welches du nutzt, dann gebe ich konfigurationshinweise.
bitte dein bisheriges av deinstalieren
die folgende anleitung ist umfangreich, dass ist mir klar, sie sollte aber umgesetzt werden, da nur dann dein pc sicher ist. stelle so viele fragen wie nötig, ich arbeite gern alles mit dir durch!

http://www.trojaner-board.de/96344-a...-rechners.html
Starte bitte mit der Passage, Windows Vista und Windows 7
Bitte beginne damit, Windows Updates zu instalieren.
Am besten geht dies, wenn du über Start, Suchen gehst, und dort Windows Updates eingibst.
Prüfe unter "Einstellungen ändern" dass folgendes ausgewählt ist:
- Updates automatisch Instalieren,
- Täglich
- Uhrzeit wählen
- Bitte den gesammten rest anhaken, außer:
- detailierte benachichtungen anzeigen, wenn neue Microsoft software verfügbar ist.
Klicke jetzt die Schaltfläche "OK"
Klicke jetzt "nach Updates suchen".
Bitte instaliere zunächst wichtige Updates.
Es wird nötig sein, den PC zwischendurch neu zu starten. falls dies der Fall ist, musst du erneut über Start, Suchen, Windows Update aufrufen, auf Updates suchen klicken und die nächsten instalieren.
Mache das selbe bitte mit den optionalen Updates.
Bitte übernimm den rest so, wie es im Abschnitt windows 7 / Vista zu lesen ist.
aus dem Abschnitt xp, bitte den punkt "datenausführungsverhinderung, dep" übernehmen.
als browser rate ich dir zu chrome:
Installation von Google Chrome für mehrere Nutzerkonten - Google Chrome-Hilfe
anleitung lesen bitte
falls du nen andern nutzen willst, sags mir dann muss ich teile der nun folgenden anleitung


Sandboxie
Die devinition einer Sandbox ist hier nachzulesen:
Sandbox
Kurz gesagt, man kann Programme fast 100 %ig isuliert vom System ausführen.

Der Vorteil liegt klar auf der Hand, wenn über den Browser Schadcode eingeschläust wird, kann dieser nicht nach außen dringen.
Download Link:
http://filepony.de/download-sandboxie/
anleitung:
http://www.trojaner-board.de/71542-a...sandboxie.html
ausführliche anleitung als pdf, auch abarbeiten:
Sandbox Einstellungen |

bitte folgende zusatz konfiguration machen:
sandboxie control öffnen, menü sandbox anklicken, defauldbox wählen.
dort klicke auf sandbox einstellungen.
beschrenkungen, bei programm start und internet zugriff schreibe:
chrome.exe
dann gehe auf anwendungen, webbrowser, chrome.
dort aktiviere alles außer gesammten profil ordner freigeben.
Wie du evtl. schon gesehen hast, kannst du einige Funktionen nicht nutzen.
Dies ist nur in der Vollversion nötig, zu deren Kauf ich dir rate.
Du kannst zb unter "Erzwungene Programmstarts" festlegen, dass alle Browser in der Sandbox starten.
Ansonsten musst du immer auf "Sandboxed webbrowser" klicken bzw Rechtsklick, in Sandboxie starten.
Eine lebenslange Lizenz kostet 30 €, und ist auf allen deinen PC's nutzbar.

Weiter mit:
Maßnahmen für ALLE Windows-Versionen
alles komplett durcharbeiten
anmerkung zu file hippo.
in den settings zusätzlich auswählen:
Run updateChecker
when Windows starts

Backup Programm:
in meiner Anleitung ist bereits ein Backup Programm verlinkt, als Alternative bietet sich auch das Windows eigene Backup Programm an:
Windows 7 Systemabbild erstellen (Backup)
Dies ist aber leider nur für Windows 7 Nutzer vernünftig nutzbar.
Alle Anderen sollten sich aber auf jeden fall auch ein Backup Programm instalieren, denn dies kann unter Umständen sehr wichtig sein, zum Beispiel, wenn die Festplatte einmal kaputt ist.

Zum Schluss, die allgemeinen sicherheitstipps beachten, wenn es dich betrifft, den Tipp zum Onlinebanking beachten und alle Passwörter ändern
bitte auch lesen, wie mache ich programme für alle sichtbar:
Programme für alle Konten nutzbar machen - PCtipp.ch - Praxis & Hilfe
surfe jetzt also nur noch im standard nutzer konto und dort in der sandbox.
wenn du die kostenlose version nutzt, dann mit klick auf sandboxed web browser, wenn du die bezahlversion hast, kannst du erzwungene programm starts festlegen, dann wird sandboxie immer gestartet wenn du nen browser aufrufst.
wenn du mit der maus über den browser fährst sollte der eingerahmt sein, dann bist du im sandboxed web browser


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:40 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131