|
Hi, ich muss doch nochmal nerven, denn so ganz bin ich den Eindringling scheinbar noch nicht los ... :( Spybot meldet schon wieder Win32.agent.sxi. Die beseitigten "wmcache.nld" und "tqpmon.dll" existieren noch nicht wieder in C:\windows\system32 Folgende Scanner brachten folgende Ergebnisse: Kapersky-Online: clean (offensichtlich nix im neuen Restore-Punkt) Prevx: clean mbam: clean (siehe log) RSIT: siehe log Spybot: Win32.agent.sxi in einem Registryschlüssel In dem RSIT-log-file ist mir aufgefallen, dass die ominösen MountingPoints immer noch drin stehen. An ComboFix habe ich mich nicht herangetraut, weil zu wenig Ahnung. Was könnte ich jetzt tun? Auf mich wirkt das so, als ob wir noch nicht alles bereinigt haben anstatt dass er sich schon wieder übers Netz eingeschlichen hat, oder? Code: Malwarebytes' Anti-Malware 1.30Code: Logfile of random's system information tool 1.04 (written by random/random) |
Hi, kommst du an den Registrierungsschlüssel, den Spybot meldet? Etwas in der Richtung: \CLSID\{25616810-DE0A-4105-85FE-543AB3C31660}???? Hast Du mittlerweile einen USB-Stick zum Einsatz gebracht? Die vorher gefundenen Dateien sind noch nicht da? ("wmcache.nld" und "tqpmon.dll", ev. wsi_32.dll, winview.ocx, mswmpdat.tlb) chris Auotplay/run deaktivieren: Autoplay/Autostart ausschalten: So deaktivieren Sie die Autoplay-Funktion von allen Laufwerken über die Gruppenrichtlinien: Start -> Ausführen -> gpedit.msc Computer Konfiguration -> Administrative Vorlagen -> System-> Autoplay deaktivieren "Autoplay deaktivieren für" -> Alle Laufwerke... |
Hi, Autoplay deaktiviert. USB-Stick? Hm, nicht *nach* der ComboFix-Aktion. davor habe ich meinen 3. USB-Stick noch getestet, fand da aber keine autorun.inf drauf ... > "wmcache.nld" und "tqpmon.dll", ev. wsi_32.dll, winview.ocx, mswmpdat.tlb - von den gesuchten Dateien sind die "alten" wirklich nicht aufgetaucht. die "mswmpdat.tlb" existiert aber. Den genannten Schlüssel konnte ich nicht finden, weder mit Suche nach dem kompletten String noch nach Teilstrings. Spybot meldet (sorry, das war vorhin reichlich unpräzise ...) Code: Win32.Agent.sxi: [SBI $F9773D3C] Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)waldi1979 |
Hi, die gefundene Datei bitte von Virustotal testen lassen, bitte alles unter dem gef. Reg.-Schlüssel ausdrucken/kopieren... Prüfe ob in der Reg. folgender Schlüssel existiert: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{25616810-DE0A-4105-85FE-543AB3C31660} Darunter ein Unterschlüssel "InprocServer32", dort ist dann die DLL die gestartet werden soll (i.e. der Trojaner)... chris |
Liste der Anhänge anzeigen (Anzahl: 3) Hi, Die mswmpdat.tlb ist angeblich "clean". Ich poste nur die "additional information". Als Dateien angehängt 3 Screenshots von dem Reg.-Schlüssel und seinen beiden Untereinträgen (eigentlich sollten das allles gifs sein - keine Ahnung, was der beim Hochladen treibt). Der angefragte Schlüssel existiert bei mir nicht :mad: Code: File mswmpdat.tlb received on 11.14.2008 13:55:28 (CET) |
Hi, das weicht von meinen Unterlagen ab! Die Datei sollte ca. 326 Bytes groß sein und der Trojaner sollte von Kaspersky erkannt werden. Da scheint eine neue Mutation zu sein... Das Blöde: Er lädt sich in den Prozessspace einer "korrekten" Anwendung.... Die alte Variante lädt sich über die genannte ClassID über den Inproc... %System%\wsi_32.dll Mist, Mist, Mist.... Das Ganze kommt aus Russland... Irgendwie müssen wir rausbekommen, wo sich das Teil startet... Okay: Silentrunner: Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen. Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten. http://www.silentrunners.org/Silent%20Runners.zip Prüfe ob die CLSID 8F147B28-EF39-44A0-B6EC-3CC6F2F08794 zu finden ist (Der scheint zufällig ClassIDs zu generieren und dann mit zufallsnamen generierte DLLs (sich selbst) zu starten... Prüfe in der Registry ob es einen Eintrag "Java.Runtime.52" gibt... (das war bei allen Varianten bis jetzt gleich und erlaubt den Rückschluss auf die verwendete CLSID)... chris Ps.: Finden wir mal raus, was unter ShellServiceObjectDelayLoad zu finden ist (sollte eigentlich auch Silentrunner bringen...) Download Registry Search by Bobbi Flekman <http://virus-protect.org/artikel/tools/regsearch.html> und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) ShellServiceObjectDelayLoad in edit und klicke "Ok". Notepad wird sich oeffnen - poste den text Ich denke, das Teil hat sich über die Anweisung: [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{82d815ea-7f08-11dd-913d-003005774536}] shell\AutoRun\command - F:\ shell\open\command - rundll32.exe .\\jgsl400.dll,InstallM wieder über einen infizierten USB-Stick geladen, Eintrag bitte per Hand löschen (wenn Du Dich auskennst :o)... (Combofix hat nicht ganz funktioniert...) Prüfe ob er tatsächlich weg ist... |
Hi, Hoppla, da scheine ich ja wirklich was "Tolles" erwischt zu haben :pfui: Die Firewall blockt mal wieder einen Download (den von Silentrunner). Dauert noch etwas, bis mir ein Kollege von außerhalb den zukommen lässt. Zwischenzeiltich Registry gescannt (mit der windowseigenen & BobbyFleckman): > 8F147B28-EF39-44A0-B6EC-3CC6F2F08794 nicht zu finden > Java.Runtime.52 nicht gefunden :mad: Anbei das RegSearch-log für alle 3 Suchanfragen Code: Windows Registry Editor Version 5.001. Bis zu welcher Stelle zurück sollte ich den betroffenen Mountpoint löschen? Kann ich den kompletten Eintrag {82d815ea-7f08-11dd-913d-003005774536} inkl. aller Untereinträge löschen bzw. noch weiter hoch in der Hierarchie oder etwas weniger radikal. 2. Kann ich anhand der vorhandenen/nicht vorhandenen autorun.inf und einer dll sicher erkennen, ob ein Stick/eine Platte infiziert ist oder ist das kein Kriterium für diesen spezielllen Fall? 3. Angenommen (alle) meine USB-Sticks & Platten sind irgendwie infiziert. Kann ich sie bei nun deaktivertem Autoplay trotzdem anstecken, um Sie zu bereinigen - und wie mache ich das? So, mehr dumme Fragen hab' ich erstmal nicht. Ergebnis von Silentrunner poste ich asap. waldi1979 |
Hi, so, ich konnte des Silentrunners habhaft werden. Ergebnis anbei. Das steht übrigens ein "PostBootReminder" auf die tqpmon.dll drin, die wir ihm weggenommen haben ... :rolleyes: Mehr sieht mein Laienauge nicht. Code: "Silent Runners.vbs", revision 58, http://www.silentrunners.org/ |
Hi, gut der Mann, der kommt in die Suppe :o)... Suche bitte nach dem Reg-Key: 7849596a-48ea-486e-8937-a2a3009f31a9 Der sollte zu finden sein, darunter sollte es dann einen Inproc-Server geben, der die Loader-DLL ausführt, und wenn die haben, dann haben wir das Teil -äh- am Allerwertesten .... Die entsprechenden Einträge posten (am einfachsten über Bobby)... Um mal unverbindlich von "aussen" auf den Rechner zu schauen: http://board.protecus.de/files/avira-bootcd-info/index_de.html Runterladen, brennen und anschließend die Festplatten scannen... chris |
Hi, > Suche bitte nach dem Reg-Key: > 7849596a-48ea-486e-8937-a2a3009f31a9 > Der sollte zu finden sein :daumenhoc Bobbis Analyse nachfolgend; die auszuführende dll wäre die "tqpmon.dll" :) Code: Windows Registry Editor Version 5.00waldi1979 |
Hi, dann kannst Du die entsprechenden Einträge "killen"... Da sind wir jetzt auf der Rückverfolgung eines Trojaners auf der Registry-Ebene angelangt, gibt's wenige User die das können :Boogie: chris |
Hi, so, in meiner Registry gibt es jetzt (hoffentlich) keinen Eintrag mehr der auf tqpmon.dll und Ableger verweist, d.h. habe die o.g. Schlüssel, den am Freitag herausgefilterten Schlüssel und die unsauberen mountingpoints entsorgt :singsing: Ich hoffe, dass mein System jetzt noch brauchbar funktioniert ;) Ich sage auf jeden Fall :dankeschoen:, im Gegensatz zu den vorherigen Malen gebe ich aber noch keine komplette Entwarnung, bis nicht sämtliche bei mir in der letzten Zeit installierten Scanner drüber gelaufen sind ... Gibt es jetzt noch irgendwas, was ich tun sollte? waldi1979 |
Hi, wenn der Eintrag wieder auftauchen sollten, dann müssen wir prüfen, wer ihn erstellt... Nicht das ev. ein "erlaubtes" Script das tut... Hat Avira-Boodt-Cd was gefunden? chris |
Hi, > Hat Avira-Boodt-Cd was gefunden? Jein; 'ne ganze Menge zip's von meiner 2. internen Daten-HDD wurden gelistet, weil "encrypted". Die ganzen Beseitigungs- und Auffindungstools wurden auch gefunden ;) Ich wollte mir das log abspeichern, aber dann verlangte er eine Diskette mit 2 MB (!):rolleyes: Ich werd' ihn nochmal scannen lassen, aber dann nur die Systemplatte (sollte doch erstmal genügen oder?). Den Task hatte ich für heute abend eingeplant. Melde mich nochmal. waldi1979 |
Hi, so, die folgenden Scanner zeigen keinen weiteren Befall an bzw. erkennen sich nur gegenseitig ;) mbam rsit spybot kaperski-online prevx avira Das einzig auffällige bei avira-boot-cd war eine nircmd.exe in c:\windows aber die scheint wohl mit combofix zu kommen, wie ich in anderen Foren las. Ich hänge nochmal ein log von RSIT an. Dort steht noch ein Mountingpoint drin. Sollte ich den Schlüssel {9ee4c052-cf17-11dc-90bc-003005774536} noch mit "killen"? Code: Logfile of random's system information tool 1.04 (written by random/random)Ich lösche jetzt nochmals alle Restore-Punkte und lege einen neuen an. Danke. Ich hoffe nicht, dass sich der Eindringling sporadisch noch irgendwo anders einklinkt. waldi1979 |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:02 Uhr. |
Copyright ©2000-2025, Trojaner-Board