![]() |
habe GMER jetzt zig mal im Normalmodus probiert, aber jedes Mal hat der Rechner neu gestartet. Einmal hab ich die Files nicht mitgescannt, dabei kam folgendes .log-File: Code: GMER 1.0.15.15020 [5mzzf5hj.exe] - h**p://www.gmer.net |
habe GMER mehrmals im abgesicherten Modus angestoßen, aber auch da ist Windows jedesmal neu gestartet. Wollte dann Avira AntiRootkit Tool benutzen, aber da kam die Fehlermeldung: Zitat:
Habe jetzt noch Prevx runtergeladen und dieses zeigte einen Fund an - ich hänge den Screenshot mit dran: http://img36.imageshack.us/img36/4787/prevxu.jpg Ich habe jetzt auch nochmal RSIT laufen lassen, hier das log.txt (Teil 1): Code: Logfile of random's system information tool 1.06 (written by random/random) |
RSIT log.txt Teil 2: Code:
Die Wiederherstellungspunkte habe ich erstmal noch nicht entfernt. |
soeben meldet mir Prevx noch einen zweiten Fund: bosr[1].exe in c:\windows\system32\systemprofile\lokale einstellungen\temporary internet files\conetent.ie5\01mjgxib\ mit gleichem Status und gleichem High Risk Cloaked Malware |
Hi, das sieht nicht gut aus, das ist/war ein Backdoor Trojaner drauf: S3 DMSKSSRh;DMSKSSRh; \??\C:\DOKUME~1\***\LOKALE~1\Temp\DMSKSSRh.sys [] Bei den ganzen Ungereimtheiten wäre ich für Neuaufsetzen, ich schaue mir morgen aber mal noch mal die Logs durch... Lass die von Prevx angemoserten Dateien mal bei virustotal.com prüfen... Poste die Logs... Wenn sie ausser von prevx erkannt werden, lassen wir mal Avenger los... chris |
ok, danke. (auch wenn's mir vor dem Neuaufsetzen etwas graust) Ich hatte heute auch nochmal Antivir drüberlaufen lassen, das hat die beiden von Prevx entdeckten Files (bosr[1].exe und fqfvi.exe) auch gefunden. Überrascht hat mich UACjmmpcsquof.dll, das hatte glaube ich Combofix schon gefunden. Hier die Funde im Detail: Code: In der Datei 'C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01MJGXIB\bosr[1].exe' Werde Antivir morgen nochmal drüberlaufen lassen, um zu schauen, ob es die Files immernoch findet... |
Hi, das hier ist aus dem backupverzeichnis von Combofix: C:\Qoobox\Quarantine\C\WINDOWS\system32\UACjmmpcsquof.dll.vir' Das RSIT log (HJ-Teil) ist Ok... GMER ist nicht Okay: {B6A930A0-A4F5-43A5-9B4E-6189A6C2B9E8} gefällt mir überhaupt nicht... Flekman: Download Registry Search by Bobbi Flekman <http://virus-protect.org/artikel/tools/regsearch.html> und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) Code: B6A930A0-A4F5-43A5-9B4E-6189A6C2B9E8 Notepad wird sich oeffnen - poste den text. Sophos Antirootkit: Downloade Sophos Antirookit und Scanne Dein gesamtes System, poste das Logfile. Benutzeranleitung (english): http://www.sophos.de/sophos/docs/eng/manuals/sar_15_umeng.pdf http://www.chip.de/downloads/Sophos-Anti-Rootkit_21584106.html Mit Registrierung von der Herstellerpage: http://www.sophos.de/products/free-tools/sophos-anti-rootkit.html Dann noch um das System eingermaßen wieder hinzubiegen: System Reparieren: Vorher ggf. Backup machen Lade Dir "Advanced Windowscare Professional" von folgender Adresse: http://www.iobit.com/advancedwindowscareper.html?Str=download Installieren auf Deutsch, Yahoo-Toolbar etc. abwählen. Erstelle einen Systemwiederherstellungspunkt (Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen) oder lasse ihn automatisch erstellen. Führe dann einen Update der Signatur/Reperaturdateien aus. Lasse dann das gesamte System scannen und Bereinigen sowie Immunisieren. Damit werden einige Einträge wieder gerade gebogen, die von Trojaneren/Viren verbogen worden sind... Die Systemwiederherstellung muß unbedingt auch noch resettet werden (siehe vorangegangenes Posting)... Guten Gewissens kann ich Dir leider nur zum Neuaufsetzen raten! chris |
Danke, Chris. Antivir hat heute Vormittag nichts mehr gefunden. Habe eben Flekman drüber laufen lassen. Ergebnis: Zitat:
|
Sophos Anti-Rootkit: Code: Area: Local hard drives Habe Advanced SystemCare V3 ausgeführt: http://img190.imageshack.us/img190/9...systemcare.jpg |
Hi, das sieht nicht schlecht aus, was treibt der Rechner? Den Eintrag aus der Reg würde ich gerne noch entfernen wollen (mach ich morgen). Die Sachen von Sophos sind soweit ok... chris |
habe heute nochmal Antivir und Adaware komplett drüberlaufen lassen, beide brachten keine weiteren Funde. Der PC läuft soweit wieder weitgehend normal, lediglich Autostart funktioniert nicht (es kommt nicht das Auswahlfenster, wenn man bspw. eine Audio-CD einlegt) und der Antivir Guard ist beim Start nicht automatisch aktiviert (habe noch herausgefunden, wo ich das ggf. umstellen kann). danke und viele Grüße Joe |
Hi, versuche noch wegen dem Reg.Key Infos einzuholen, bis jetzt kein Echo (nicht das wir was wichtiges killen [glaub ich zwar nicht], aber sischer is sischer ;o)...) Bin mir fast sicher, dass wenn Du ihn versuchst über RegEdit zu suchen Du ihn nicht finden wirst bzw. nicht an die Inhalte rankommst.... chris |
Hi Chris, danke für die Rückmeldung. Habe {B6A930A0-A4F5-43A5-9B4E-6189A6C2B9E8} in der Registry gefunden, es ist nicht wie bei vielen anderen ein "+"-Zeichen davor (falls das etwas zu bedeuten hat). Im rechten Teil des Registrierungseditors wird als Name "ⅪⅳⅩⅠⅲⅠⅥⅤ℘℘ⅴⅥⅳⅭⅳⅹ" bzw. eigentlich für mich sichtbar nur lauter Kästchen angezeigt und als Typ REG_DWORD (echt seltsam, ich habe den Namen markiert, F2 gedrückt und mit STRG+C kopiert und hier eingefügt, erst hier erschien der Text...) Welche der Programme und Tools, die ich jetzt zum Entfernen der Trojaner verwendet habe, soll ich denn aufm Rechner lassen und welche kann ich löschen? (GMER, Combofix, MBAM, Advanced System Care, Sophos Anti Rootkit, CCleaner, HJT, RSIT, Prevx) Gibt's empfehlenswerte Programme, um sich künftig vor solcher Malware zu schützen? Ich verwende derzeit Antivir und als Firewall Sygate Personal Firewall (und Windows Firewall, im Router ist wohl auch noch ne Firewall eingebaut, glaube ich). Besteht Deiner Meinung nach die Gefahr, dass der infizierte PC andere Rechner über den Router angesteckt hat? Werde die angeschlossenen auf jeden Fall mal mit Virenscanner und evtl. Adaware überprüfen. Besteht die Gefahr ggf. auch, wenn ich Dateien über einen USB-Stick mit meinem Laptop ausgetauscht habe? Danke und Grüße! Joe edit: Zitat:
|
Hi, Gmer, combofix (uninstall: Start->Ausführen combofix /u), PrevX und Sophos kannst Du deinstallieren/löschen. RSIT und HJ stören nicht, ab- und an kann man ein Log machen und mit einem alten vergleichen. Antivir ist gut, Sygate habe ich auf einem Rechner auch (Schade das sie nicht weiterentwickelt wird), zusätzlich empfehle ich Dir noch als behavior-Scanner ThreadFire (http://www.threatfire.com/de/), der läuft gut mit beiden zusammen (und gib es auch als kostenlose Version). Zur Zeit gibt es einige Malware die sich über autorun auch auf USB-speichermedien (Sticks, Festplatten, Kamera, Handy etc.) fortpflanzt, daher sollte auf jeden Fall autorun ausgeschaltet bleiben (sonst startet windows automatisch mit einstecken eines infizierten Sticks die Malware und infiziert sich gleich wieder)... Für den Router gilt: Es gibt Malware, die versucht sich über die WEB-Konfigurationsoberfläche Zugang zum Router zu verschaffen (und den dann "Umkonfiguriert"), wenn das Passwort für den Router nicht geändert wurde (dem Standardpasswort im Auslieferungszustand entspricht) oder ein zu schwaches Passwort ist (z.B. 1234). Da normalerweise dann im Router die DNS-Servereinträge verbogen werden (auf infizierte Server) können dann alle am Router hängenden Rechner verseucht werden. Über Freigaben zwischen Rechner kann auch eine direktes "überspringen" erfolgen... Daher alle Rechner kontrollieren, Routerpasswort ändern, Autorun ausschalten... chris |
Danke soweit, Chris! Werde dann mal die anderen Rechner noch überprüfen. Und ich schätze, es wäre mal ne externe Festplatte fällig, und dann sollte ich den PC vllt doch mal irgendwann neu aufsetzen... Mal sehen. Danke! |
Alle Zeitangaben in WEZ +1. Es ist jetzt 17:22 Uhr. |
Copyright ©2000-2025, Trojaner-Board