![]() |
Werde Virus/Trojaner nicht los - vermtl. Win32.Trojan.Tdss Hallo Forum! ich habe seit letzten Samstag einen/mehrere Viren/Trojaner auf meinem System und werde sie nicht los. Über diverse Suchen bin ich auf euer Board gestoßen und hoffe, ihr könnt mir helfen. Erstmal ne kurze Schilderung der Symptome: Bin offensichtlich auf bei der Suche nach der Melodie eines religiösen deutschen Liedes auf eine dubiose Seite gelangt, worauf mir Antivir Virenwarnungen angezeigt hat. Ich habe entsprechend die Dateien gelöscht/in Quarantäne verschoben. Dennoch scheint der PC seitdem (?) infiziert zu sein. Wenn ich bei Google was suche, sind bei den Suchergebnissen oft manipulierte Links hinterlegt, die nicht zur angegebenen Seite führen. Zudem sind die hinterlegten Webadressen nicht in der Statusleiste unten sichtbar und die Google-Suche dauert länger. Teilweise öffnen sich bei Eingabe einer Internetseite auch automatisch neue Tabs im Mozilla Firefox 2.0.0.20. (Als Firewall verwende ich übrigens Sygate Personal Firewall 5.5). Was mir auch aufgefallen ist, inzwischen funktioniert die Autostart-Funktion nicht mehr. Und der Antivir Guard ist beim Start nicht mehr automatisch aktiv. Antivir kann sich anscheinend auch nicht mehr selbst automatisch updaten. Was habe ich bisher gemacht? Ich habe natürlich Antivir mal über das ganze System drüberlaufen lassen. Hier die Fundmeldungen: In der Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\rasv.tmp' wurde ein Virus oder unerwünschtes Programm 'TR/Click.VBiframe.XI' [trojan] gefunden. Ausgeführte Aktion: Datei löschen In der Datei 'C:\WINDOWS\system32\drivers\yfqqmcegobycvkos.sys' wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ZPACK.Gen' [trojan] gefunden. Ausgeführte Aktion: Datei löschen Die Datei 'C:\WINDOWS\system32\net.net' enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.PEPM.Gen' [trojan]. Durchgeführte Aktion(en): HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\net. Die Datei wurde gelöscht. Die Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\rasvsnet.tmp' enthielt einen Virus oder unerwünschtes Programm 'TR/Click.VBiframe.XI' [trojan]. Durchgeführte Aktion(en): Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4af0775b.qua' verschoben! Die Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\VK08AOSE\index[3].htm' enthielt einen Virus oder unerwünschtes Programm 'HTML/Dldr.FraudLo.A' [virus]. Durchgeführte Aktion(en): Die Datei wurde gelöscht. Dann habe ich auch noch Adaware installiert. Ein Scan findet jedesmal Win32.Trojan.Tdss am folgenden Ort: C:\WINDOWS\system32\UACpjsixnpvbe.dll Egal ob ich die Datei lösche oder in Quarantäne verschiebe, bei einem Neustart hängt sich der PC meist auf und der Trojaner wird jedesmal wieder gefunden. Ich werde ihn einfach nicht los. Bei der Internetrecherche bin ich auf das Trojaner-Board gestoßen. Möglicherweise könnte wohl Combofix helfen, aber bevor ich das Programm laufen lasse, will ich mir unbedingt die Meinung von Experten einholen, kenn mich da einfach nicht aus. Ich habe jetzt mal wie empfohlen CCleaner installiert und ausgeführt. Malwarebytes habe ich auch heruntergeladen, konnte es jedoch auch bei Umbenennen der Datei nicht ausführen (erscheint zwar im Task Manager, aber es kam kein Programmfenster) (???) RSIT habe ich auch runtergeladen und laufen lassen (nach der Überprüfung der Datei hat sich btw Antivir aufgehängt und ließ sich nicht beenden, anscheinend aber nur bei dieser Datei) Die Logfiles von RSIT muss ich in separaten Beiträgen posten, weil die Anzahl der Zeichen zu groß ist..., folgen also sofort. |
info.txt von RSIT: Code: info.txt logfile of random's system information tool 1.06 2009-08-14 11:25:22 |
Und hier die log.txt aus RSIT (ich muss sie leider splitten, passt nicht ganz rein): Code: Logfile of random's system information tool 1.06 (written by random/random) |
hier der Rest von der log.txt: Code: ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== bei der info.txt habe ich folgende Abkürzungen verwendet (beim ersten Mal aber immer voll ausgeschrieben): SfWXP = Sicherheitsupdate für Windows XP, SfWMP = Sicherheitsupdate für Windows Media Player, SfWIE = Sicherheitsupdate für Windows Internet Explorer, UfWXP = Update für Windows XP So ist mein aktueller Stand. Ich komme nicht mehr weiter und würde mich freuen, wenn ihr mir helfen könntet. Danke und viele Grüße Joe |
Hi, schweres Geschützt: Combofix Lade ComboFix (im Downloadidalog bereits auf test.com umbenennen) von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichere es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/comb...x-benutzt-wird Hinweis: unter : C:\WINDOWS\erdnt wird ein Backup angelegt. Danach MAM: Malwarebytes Antimalware (MAM). Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Fullscan und alles bereinigen lassen! Log posten. Gmer: http://www.trojaner-board.de/74908-a...t-scanner.html Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. chris |
Danke Chris! Habe jetzt schon mal Combofix laufen lassen, hier die log.txt (ist viel zu groß zum einbetten, ich muss sie in 5 Teilen posten, sry): Code: ComboFix 09-08-10.06 - *** 14.08.2009 14:55.1.2 - NTFSx86 |
Teil 2 vom Combofix log.txt: Code: (...) |
Teil 3 vom Combofix log.txt: Code: (...) |
Teil 4 vom Combofix-log.txt: Code: (...) |
...und Teil 5 der Combofix log.txt: Code: (...) |
Hi, Skynetrootkit und Konsorten, sollte auch noch was von MAM gefunden werden... chris |
so, gerade fertig. stimmt, er hat noch 12 infizierte files gefunden... mbam-log: Code: Malwarebytes' Anti-Malware 1.40 |
GMER brachte beim Starten keine Meldungen. Habe dann den Scan angestoßen, allerdings hat sich dann anscheinend ein Windows-Service o.ä. aufgehängt, GMER war nicht mehr geöffnet, die Firewal meldete einen geänderten Windows service.exe und ich glaube der Windows Explorer wurde neu gestartet. GMER läuft jetzt nochmal durch... |
hmmm, weiß nicht, woran es liegt, habe es jetzt noch 2 mal versucht, aber nach ner Zeit hängt sich Windows immer auf. ("Das System wird nach einem schwerwiegenden Fehler wieder ausgeführt."...) Windows öffnet dann eine Microsoft-Seite, auf der steht: Zitat:
habe gerade nochmal Adaware (intelligenter Systemscan) drüber laufen lassen und nichts mehr gefunden, schon mal ein gutes Zeichen. Werde jetzt Windows nochmal neu starten und nochmal mein Glück mit GMER versuchen - und das log-File dann ggf. heute Nacht posten. edit: mir werden gerade einige neue Windows-Updates angezeigt, werde die mal vorher noch runterladen und installieren... |
Hi, bitte gmer im abgesicherten Modus ausführen... Wenn Gmer nicht läuft: Avira-Antirootkit Downloade Avira Antirootkit und Scanne dein system, poste das logfile. http://dl.antivir.de/down/windows/antivir_rootkit.zip Auf jeden Fall die folgenden Sachen: Systemwiederherstellung löschen BSI-Faltblattt (http://www.bsi.de/literat/faltbl/F24VirenundCo.htm) und dort unter Viren entfernen Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt: Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung -> anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten; Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder). Einen ersten Restorepunkt setzten: Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen Prevx: http://www.prevx.com/freescan.asp Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters... Dann nochmal ein neues RSIT-Log! chris |
Alle Zeitangaben in WEZ +1. Es ist jetzt 20:08 Uhr. |
Copyright ©2000-2025, Trojaner-Board