Windows XP: Avast hat Win32Dropper-gen[drp] gefunden und Kernel_Stack_Inpage_error
 

Liebe Helfer vom Trojaner-Board,

Thema: Windows XP: Avast hat Win32Dropper-gen[drp] gefunden und Kernel_Stack_Inpage_error

Historie zu meinem Leidensweg:

Vor 2 Wochen habe ich in meinem Download Verzeichniss leider die Datei Player.exe ausgeführt
Da ich wenig Speicherplatz auf meiner C Festplatte habe habe ich gestern das Verzeichniss Download auf meine Externe Festplatte kopiert worauf

1. Avast Win32Dropper-gen[drp] gefunden und in die Quarantäne verschoben hat.
2. Bei Ausführung eines weiteren Avast Scan wurde ein Kernel_Stack_Inpage_error
produziert mit:
Stop: 0x00000077 (0xc000000E, 0xc000000E, 0x00000000, 0x02c3c000
Speicherabbild wird erstellt
3. Screen: Client Mac Adr 00 0F B0 7D C4 93 No Boot filename received
4. Screen: Use the Boot Device Hard Drive Auswahl: Bei Enter keine Reaktion
5. Kaltstart
6. Start von Windows XP erfolgreich
7. Öffnen Datei Explorer
8. MS Screen Datenausführungsverweigerung

9. Weiterer Avast Scan hat folgende Infektionen festgestellt und automatisch behoben:
siehe Dateien Avast Virus Container Screen I und II und Avast Scannerlauf I und II
C:/System Volume Information\
C:\Windows\system\RCDSetup.exe \%Sys%OCXSETUP.WS4 Fehler 42145 {Installationsarchive beschädigt}
C:\Dokumente\ \Anwendugsdaten\fst_es11_delete\upfst_es_11.exe infiziert von Win32:Eore20-B2[PUP]
C:\System Volume Information/restore{4B727B31_ _ _ _\RP375\A0378332.exe infiziert von Win32:Eore20-B2[PUP]
C:\System Volume Information/restore{4B727B31_ _ _ _\RP373\A0367371.exe infiziert von Win32:Pup -gen

2. Nach Ausführung des Avast Scan wurde ein 2. Kernel_Stack_Inpage_error produziert mit
Stop: 0x00000077 (0xc000000E, 0xc000000E, 0x00000000, 0x01D79000 <- Anderer Wert
Speicherabbild wird erstellt
3. Screen: Client Mac Adr 00 0F B0 7D C4 93 No Boot filename received
4. Screen: Use the Boot Device Hard Drive Auswahl: Bei Enter keine Reaktion

5. Kaltstart Abgesichertere Modus nicht möglich
Windows Normalstart

AdwCleaner Scann durchgeführt aber kein Löschen durchgeführt, siehe AdwCleaner[R0].txt

1. Installation von Defogger
Neustart keine Fehlermeldung
defogger_disable.txt erstellt

Schritt 2: Systemscan mit FRST
Leider auch Software AnyProtect installiert mit
Fehlgeschlagene Anwendung wajam_validate.exe, Version 0.0.0.0, fehlgeschlagenes Modul wajam_validate.exe, Version 0.0.0.0, Fehleradresse 0x0000496c.

Download von hxxp://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/81/
FRST.txt und Addition.txt korrekt erstellt

Schritt 3:
Scan mit GMER

Logfile Gmer.txt erstellt


vielen, vielen Dank im voraus für Eure Hilfe
Da ich IT Consultant bin, benötige ich meinen Laptop wie das tägliche Brot, eine
MS XP Neuinstallation kann ich nicht durchführen da keine Inst. CD vorhanden ist.


Mit freundlichen Grüßen

Michael Müller
Senior Requirement Engineer
____________________________

Gubelstrasse 62 - CH-8050 Zürich
E-Mail: mic-mueller99@web.de

Hi,

Logs bitte immer in den Thread posten. Zur Not aufteilen und mehrere Posts nutzen.

Hallo Schrauber,

gerne, hier die Scanns:

1. defogger_disable.txt
2. FRST.txt
3. Addition.txt
4. gmer.txt

:

und vielen Dank vorab

Michael

defogger_disable.txt
Scann FRST.txt:

FRST Logfile:
--- --- ---


Scann Addition.txt:
Scann Gmer.txt

hi,


Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die Endbenutzer-Lizenz.
  Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls etwas schief geht.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
  Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es eine Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hallo Schrauber,

ComboFix nicht durchgelaufen

Status Quo zu menem Vorgehen,
1. Neue RemoteEngine.exe im Taskmanager gelöscht, siehe Screens

2. Avast Aktiven Schutz gesperrt und Avast Konto getrennt

3. ComboFix gestartet um 15:09

4. Meldung dass
Realtime TimeScan aktiv sind
Realtime TimeScan aktiv sind

5. Überprüfung dass Avast Aktiven Schutz gesperrt und Avast Konto getrennt waren

6. Meldung dass
Realtime TimeScan aktiv sind
Realtime TimeScan aktiv sind

OK bestätigt

7. Download Systemwiederherstellung

8. Wiederherstellungskonsole wurde erfolgreich installiert

9. AutoScan hat sich gestartet
Systemzeit blieb um 15:14 stehen
Cursor blinkt

10. gewartet bis 16:00

11. Kaltstart Windows Normal

12. Datenträgerüberprüfung 16 KB in 1 Einheit wiederhergestellt

Frage, dass Combofix nicht durchgelaufen ist, lag es daran dass noch ein Realtime TimeScann aktiv war?

LG Michael

Hallo Schrauber,

Grund für den RemoteEngine.exe Prozess dürfte bei der ersten FRST mit installierten Software
VuuPC, you are Always a ClickAway und AnyProtect liegen.
Siehe attached Screens

Soll ich die beiden Softwareprogramme löschen?

Danke im voraus

Michael

Hallo Schrauber,

1.habe nochmals Combofix mit 50 Minuten laufen lassen und mit Kaltstart beenden müssen.

2.darauf AnyProtect mit Software Deinstallation deinstalliert

Sorry war denke ich ein grosser Fehler,

3.danach wieder ein Kernel_Stack_Inpage_error
produziert mit:
Stop: 0x00000077 (0xc000000E, 0xc000000E, 0x00000000, 0x023D4000 <- Neuer Wert
Speicherabbild wird erstellt
4. Screen: Client Mac Adr 00 0F B0 7D C4 93 No Boot filename received
5. Screen: Use the Boot Device Hard Drive Auswahl: Bei Enter keine Reaktion
6. Kaltstart
7. NeuStart
8. wieder Screen: Client Mac Adr 00 0F B0 7D C4 93 No Boot filename received
9. Screen: Use the Boot Device Hard Drive Auswahl: Bei Enter keine Reaktion
10. Kaltstart
11. NeuStart
12. wieder Screen: Client Mac Adr 00 0F B0 7D C4 93 No Boot filename received
13. Screen: Use the Boot Device Hard Drive Auswahl: Bei Enter keine Reaktion

14. Kaltstart mit F2 Boot Initial, stand auf Sector 2 Hardware, habe ich dann auf alle 3 Sectoren mit hardware geändert

und mysteriös Windows erfolgreich gestartet

Bitteeeeeeeeeeeeeeeee lieber Schrauber, habe heute den ganzen Tag auf Antwort gewartet.
Meine letzte Aktion hätte auch ins Auge gehen können.

Kanst Du mir bitte sagen wann Du Morgen Zeit hast für eine gemeinsame dedizierte Session,
Du könntest auch Remote selbst auf meinen Rechner gezielt arbeiten, kein Problem

Ich bin wirklich am verzweifeln

Danke Michael

Apropos
Habe in den Software Installationen auch noch Asapi entdeckt, auch von der ersten FRST Installation ... :killpc:

Gruss Michael

Was meinst Du damit?

Ich habe hier 300 User gleichzeitig die alle auf Antwort warten, und nebenbei muss ich auch noch echt arbeiten und Geld verdienen, neben dem ganzen Rum spielen hier ;)


Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

Hallo Schrauber,

hier das TDSSKiller Ergebnis:

Ich versuche gerade noch eine Bootable CD zu erzeugen

Danke und Gruss Michael

Sieht gut aus, poste bitte ein frisches FRST log. Und meine Frage zu FRST noch beantworten bitte :)

Hallo Schrauber

was ich gemeint hatte war, dass ich auf der Farbar Webside, siehe attached Screenshot beim Downloaden von FRST
den Button ClickMein gedrückt hatte im Glauben FRST down zuloaden und sich folgende Software installiert hat:
-Software AnyProtect
-Software ASAPI
-Software VuuPC, you are Always a ClickAway
der sich dann gestartet hat und begonnen hat meine Dateien in die Cloud zu kopieren !!!!
der bei jeden Neustart den Remote.exe Prozess startet
Vielleicht auch die Folge, dass im Dienste Manager folgende Prozesse sich nicht deaktivieren (Auswahl disabled) lassen:
-Remoteprozedureaufruf
-Terminaldienste
-Secondary Login

Danke Michael

Hier der neue FRST Scan:

FRST Logfile:
--- --- ---

Revo Uninstaller - Download - Filepony
damit alles der oben genannten Sachen deinstallieren, Reste entfernen lassen


Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

und ein frisches FRST log bitte.

Hallo,

1. mit Revo Uninstaller folgende Programme deinstalliert:

• Asapi
• CDBurner
• Freemaker
• Silverlight

2. Malewarebytes Anti-Maleware mit externer Festplatte. 61 Findings gelöscht
Logfile:
3. AdwCleaner Log:
AdwCleaner Logfile:
--- --- ---

[/CODE]

JRT.txt
FRST:

FRST Logfile:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

--- --- ---


Hallo Schrauber,

unglaublich wieviele Funds, tobt hier im Sprawl wirklich der totale Krieg, ist überhaupt noch ein Download sicher (sogar Maleware bei Softonic wurde gefunden)
welche wahre Absicht steckt denn hier wirklich dahinter? Marketing, Ausspähen,
Verlangsamen, Zerstören?
Ist wirklich nur ein downstreaming Säuberungsprozess möglich?
Kein präventiver Schutz möglich? Oder umsteigen auf Mac?

schon mal vielen, vielen Dank

LG Michael

Hallo Schrauber,

was mir noch so am Herzen liegt.

1. Ist mein KERNEL_DATA_INPAGE_ERROR nun behoben oder erfordert es noch ein chkdsk /r ?

2. Da das Verzeichniss "System Volume Information" infiziert war und schädliche Dateien in die Quarantäne verschoben wurden, es wurde doch mit defogger_disable erfolgreich ein Wiederherstellungspunkt erstellt
oder muss die Systemwiederherstellungsdatei noch manuell erstellt werden?

3. es ist mir, nach Verschleiss mehrere CD's noch nicht gelungen eine XP Boot Diskette zu erstellen. Ich konnte zwar mit ebcd-0.6.1-pro ein EBCD061P.ISO Image erstellen aber mit dem empfohlenen Brennprogram CDRWIN
keine Bootfähige Diskette erstellen.
Könnstest Du mir bitte eine bequemere Kombination von XP Boot Erstellung und Brennprogramm angeben

4. Kurze Frage: Gibt es die Möglichkeit den IE, ich weiss ist Bestandteil des Operating System, zu löschen, da dieser trotz Cooky Sperrung fleissig temporäre Dateien erstellt und ich nur Firefox benutze.


Danke im voraus

Michael

kommt drauf an, ab und zu wird es von Malware verursacht. Checkdisk kannte aber laufen lassen, schadet auf keinen Fall.

Zu den Downloads:
Nur beim hersteller, oder sicheren Quellen. Softonic ist als Malwareschleuder bekannt.

Punkte werden am Schluss alle gelöscht.
lass die installierten win updates anzeigen, dort sollte man IE deinstallieren können.



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

und ein frisches FRST log bitte. Noch Probleme? :)

Hallo Schrauber,

hier das ESET Smartinstaller Log
Hier das Security Check Log:
Soll ich das Programm Spyboot & Destroy löschen?

FRST:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---


Folgende Prozesse hätte ich wirklich gerne los:
HKLM\...\Run: [igfxhkcmd] - C:\WINDOWS\system32\hkcmd.exe [118784 2003-10-02] (Intel Corporation)
HKLM\...\Run: [igfxpers] - C:\WINDOWS\system32\igfxpers.exe [118784 2006-02-07] (Intel Corporation)
HKLM\...\Run: [upfst_es_11.exe] - C:\Dokumente und Einstellungen\Biggi Stockhinger\Lokale Einstellungen\Anwendungsdaten\fst_es_11\upfst_es_11.exe -runhelper


Ad: sonst noch was ;-)

Acer und Firefox sind um einiges langsamer geworden.

Nach gestriger Aktion ist der Acer Audio Treiber "RealTek AC97" auf alte Version zurückgesetzt worden, habe eine neuere Version heruntergeladen und installiert, hat aber Nichts gebracht. Und dadurch wieder Etwas eingefangen, siehe letzte Zeilen im FRST LOG
ATTENTION ======> If the system is having audio adware rpcss.dll is patched. Google the MD5, if the MD5 is unique the file is infected.

Zu Deiner Antwort bezüglich:
"Zu den Downloads:
Nur beim hersteller, oder sicheren Quellen"

Kannst Du mir bitte sichere Quellen empfehlen

Danke, Danke

LG Michael