|
Werde Virus/Trojaner nicht los - vermtl. Win32.Trojan.Tdss Hallo Forum! ich habe seit letzten Samstag einen/mehrere Viren/Trojaner auf meinem System und werde sie nicht los. Über diverse Suchen bin ich auf euer Board gestoßen und hoffe, ihr könnt mir helfen. Erstmal ne kurze Schilderung der Symptome: Bin offensichtlich auf bei der Suche nach der Melodie eines religiösen deutschen Liedes auf eine dubiose Seite gelangt, worauf mir Antivir Virenwarnungen angezeigt hat. Ich habe entsprechend die Dateien gelöscht/in Quarantäne verschoben. Dennoch scheint der PC seitdem (?) infiziert zu sein. Wenn ich bei Google was suche, sind bei den Suchergebnissen oft manipulierte Links hinterlegt, die nicht zur angegebenen Seite führen. Zudem sind die hinterlegten Webadressen nicht in der Statusleiste unten sichtbar und die Google-Suche dauert länger. Teilweise öffnen sich bei Eingabe einer Internetseite auch automatisch neue Tabs im Mozilla Firefox 2.0.0.20. (Als Firewall verwende ich übrigens Sygate Personal Firewall 5.5). Was mir auch aufgefallen ist, inzwischen funktioniert die Autostart-Funktion nicht mehr. Und der Antivir Guard ist beim Start nicht mehr automatisch aktiv. Antivir kann sich anscheinend auch nicht mehr selbst automatisch updaten. Was habe ich bisher gemacht? Ich habe natürlich Antivir mal über das ganze System drüberlaufen lassen. Hier die Fundmeldungen: In der Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\rasv.tmp' wurde ein Virus oder unerwünschtes Programm 'TR/Click.VBiframe.XI' [trojan] gefunden. Ausgeführte Aktion: Datei löschen In der Datei 'C:\WINDOWS\system32\drivers\yfqqmcegobycvkos.sys' wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ZPACK.Gen' [trojan] gefunden. Ausgeführte Aktion: Datei löschen Die Datei 'C:\WINDOWS\system32\net.net' enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.PEPM.Gen' [trojan]. Durchgeführte Aktion(en): HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\net. Die Datei wurde gelöscht. Die Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\rasvsnet.tmp' enthielt einen Virus oder unerwünschtes Programm 'TR/Click.VBiframe.XI' [trojan]. Durchgeführte Aktion(en): Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4af0775b.qua' verschoben! Die Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\VK08AOSE\index[3].htm' enthielt einen Virus oder unerwünschtes Programm 'HTML/Dldr.FraudLo.A' [virus]. Durchgeführte Aktion(en): Die Datei wurde gelöscht. Dann habe ich auch noch Adaware installiert. Ein Scan findet jedesmal Win32.Trojan.Tdss am folgenden Ort: C:\WINDOWS\system32\UACpjsixnpvbe.dll Egal ob ich die Datei lösche oder in Quarantäne verschiebe, bei einem Neustart hängt sich der PC meist auf und der Trojaner wird jedesmal wieder gefunden. Ich werde ihn einfach nicht los. Bei der Internetrecherche bin ich auf das Trojaner-Board gestoßen. Möglicherweise könnte wohl Combofix helfen, aber bevor ich das Programm laufen lasse, will ich mir unbedingt die Meinung von Experten einholen, kenn mich da einfach nicht aus. Ich habe jetzt mal wie empfohlen CCleaner installiert und ausgeführt. Malwarebytes habe ich auch heruntergeladen, konnte es jedoch auch bei Umbenennen der Datei nicht ausführen (erscheint zwar im Task Manager, aber es kam kein Programmfenster) (???) RSIT habe ich auch runtergeladen und laufen lassen (nach der Überprüfung der Datei hat sich btw Antivir aufgehängt und ließ sich nicht beenden, anscheinend aber nur bei dieser Datei) Die Logfiles von RSIT muss ich in separaten Beiträgen posten, weil die Anzahl der Zeichen zu groß ist..., folgen also sofort. |
info.txt von RSIT: Code: info.txt logfile of random's system information tool 1.06 2009-08-14 11:25:22 |
Und hier die log.txt aus RSIT (ich muss sie leider splitten, passt nicht ganz rein): Code: Logfile of random's system information tool 1.06 (written by random/random) |
hier der Rest von der log.txt: Code: ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======bei der info.txt habe ich folgende Abkürzungen verwendet (beim ersten Mal aber immer voll ausgeschrieben): SfWXP = Sicherheitsupdate für Windows XP, SfWMP = Sicherheitsupdate für Windows Media Player, SfWIE = Sicherheitsupdate für Windows Internet Explorer, UfWXP = Update für Windows XP So ist mein aktueller Stand. Ich komme nicht mehr weiter und würde mich freuen, wenn ihr mir helfen könntet. Danke und viele Grüße Joe |
Hi, schweres Geschützt: Combofix Lade ComboFix (im Downloadidalog bereits auf test.com umbenennen) von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichere es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/comb...x-benutzt-wird Hinweis: unter : C:\WINDOWS\erdnt wird ein Backup angelegt. Danach MAM: Malwarebytes Antimalware (MAM). Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Fullscan und alles bereinigen lassen! Log posten. Gmer: http://www.trojaner-board.de/74908-a...t-scanner.html Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. chris |
Danke Chris! Habe jetzt schon mal Combofix laufen lassen, hier die log.txt (ist viel zu groß zum einbetten, ich muss sie in 5 Teilen posten, sry): Code: ComboFix 09-08-10.06 - *** 14.08.2009 14:55.1.2 - NTFSx86 |
Teil 2 vom Combofix log.txt: Code: (...) |
Teil 3 vom Combofix log.txt: Code: (...) |
Teil 4 vom Combofix-log.txt: Code: (...) |
...und Teil 5 der Combofix log.txt: Code: (...) |
Hi, Skynetrootkit und Konsorten, sollte auch noch was von MAM gefunden werden... chris |
so, gerade fertig. stimmt, er hat noch 12 infizierte files gefunden... mbam-log: Code: Malwarebytes' Anti-Malware 1.40 |
GMER brachte beim Starten keine Meldungen. Habe dann den Scan angestoßen, allerdings hat sich dann anscheinend ein Windows-Service o.ä. aufgehängt, GMER war nicht mehr geöffnet, die Firewal meldete einen geänderten Windows service.exe und ich glaube der Windows Explorer wurde neu gestartet. GMER läuft jetzt nochmal durch... |
hmmm, weiß nicht, woran es liegt, habe es jetzt noch 2 mal versucht, aber nach ner Zeit hängt sich Windows immer auf. ("Das System wird nach einem schwerwiegenden Fehler wieder ausgeführt."...) Windows öffnet dann eine Microsoft-Seite, auf der steht: Zitat:
habe gerade nochmal Adaware (intelligenter Systemscan) drüber laufen lassen und nichts mehr gefunden, schon mal ein gutes Zeichen. Werde jetzt Windows nochmal neu starten und nochmal mein Glück mit GMER versuchen - und das log-File dann ggf. heute Nacht posten. edit: mir werden gerade einige neue Windows-Updates angezeigt, werde die mal vorher noch runterladen und installieren... |
Hi, bitte gmer im abgesicherten Modus ausführen... Wenn Gmer nicht läuft: Avira-Antirootkit Downloade Avira Antirootkit und Scanne dein system, poste das logfile. http://dl.antivir.de/down/windows/antivir_rootkit.zip Auf jeden Fall die folgenden Sachen: Systemwiederherstellung löschen BSI-Faltblattt (http://www.bsi.de/literat/faltbl/F24VirenundCo.htm) und dort unter Viren entfernen Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt: Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung -> anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten; Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder). Einen ersten Restorepunkt setzten: Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen Prevx: http://www.prevx.com/freescan.asp Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters... Dann nochmal ein neues RSIT-Log! chris |
habe GMER jetzt zig mal im Normalmodus probiert, aber jedes Mal hat der Rechner neu gestartet. Einmal hab ich die Files nicht mitgescannt, dabei kam folgendes .log-File: Code: GMER 1.0.15.15020 [5mzzf5hj.exe] - h**p://www.gmer.net |
habe GMER mehrmals im abgesicherten Modus angestoßen, aber auch da ist Windows jedesmal neu gestartet. Wollte dann Avira AntiRootkit Tool benutzen, aber da kam die Fehlermeldung: Zitat:
Habe jetzt noch Prevx runtergeladen und dieses zeigte einen Fund an - ich hänge den Screenshot mit dran: http://img36.imageshack.us/img36/4787/prevxu.jpg Ich habe jetzt auch nochmal RSIT laufen lassen, hier das log.txt (Teil 1): Code: Logfile of random's system information tool 1.06 (written by random/random) |
RSIT log.txt Teil 2: Code: Die Wiederherstellungspunkte habe ich erstmal noch nicht entfernt. |
soeben meldet mir Prevx noch einen zweiten Fund: bosr[1].exe in c:\windows\system32\systemprofile\lokale einstellungen\temporary internet files\conetent.ie5\01mjgxib\ mit gleichem Status und gleichem High Risk Cloaked Malware |
Hi, das sieht nicht gut aus, das ist/war ein Backdoor Trojaner drauf: S3 DMSKSSRh;DMSKSSRh; \??\C:\DOKUME~1\***\LOKALE~1\Temp\DMSKSSRh.sys [] Bei den ganzen Ungereimtheiten wäre ich für Neuaufsetzen, ich schaue mir morgen aber mal noch mal die Logs durch... Lass die von Prevx angemoserten Dateien mal bei virustotal.com prüfen... Poste die Logs... Wenn sie ausser von prevx erkannt werden, lassen wir mal Avenger los... chris |
ok, danke. (auch wenn's mir vor dem Neuaufsetzen etwas graust) Ich hatte heute auch nochmal Antivir drüberlaufen lassen, das hat die beiden von Prevx entdeckten Files (bosr[1].exe und fqfvi.exe) auch gefunden. Überrascht hat mich UACjmmpcsquof.dll, das hatte glaube ich Combofix schon gefunden. Hier die Funde im Detail: Code: In der Datei 'C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01MJGXIB\bosr[1].exe'Werde Antivir morgen nochmal drüberlaufen lassen, um zu schauen, ob es die Files immernoch findet... |
Hi, das hier ist aus dem backupverzeichnis von Combofix: C:\Qoobox\Quarantine\C\WINDOWS\system32\UACjmmpcsquof.dll.vir' Das RSIT log (HJ-Teil) ist Ok... GMER ist nicht Okay: {B6A930A0-A4F5-43A5-9B4E-6189A6C2B9E8} gefällt mir überhaupt nicht... Flekman: Download Registry Search by Bobbi Flekman <http://virus-protect.org/artikel/tools/regsearch.html> und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) Code: B6A930A0-A4F5-43A5-9B4E-6189A6C2B9E8Notepad wird sich oeffnen - poste den text. Sophos Antirootkit: Downloade Sophos Antirookit und Scanne Dein gesamtes System, poste das Logfile. Benutzeranleitung (english): http://www.sophos.de/sophos/docs/eng/manuals/sar_15_umeng.pdf http://www.chip.de/downloads/Sophos-Anti-Rootkit_21584106.html Mit Registrierung von der Herstellerpage: http://www.sophos.de/products/free-tools/sophos-anti-rootkit.html Dann noch um das System eingermaßen wieder hinzubiegen: System Reparieren: Vorher ggf. Backup machen Lade Dir "Advanced Windowscare Professional" von folgender Adresse: http://www.iobit.com/advancedwindowscareper.html?Str=download Installieren auf Deutsch, Yahoo-Toolbar etc. abwählen. Erstelle einen Systemwiederherstellungspunkt (Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen) oder lasse ihn automatisch erstellen. Führe dann einen Update der Signatur/Reperaturdateien aus. Lasse dann das gesamte System scannen und Bereinigen sowie Immunisieren. Damit werden einige Einträge wieder gerade gebogen, die von Trojaneren/Viren verbogen worden sind... Die Systemwiederherstellung muß unbedingt auch noch resettet werden (siehe vorangegangenes Posting)... Guten Gewissens kann ich Dir leider nur zum Neuaufsetzen raten! chris |
Danke, Chris. Antivir hat heute Vormittag nichts mehr gefunden. Habe eben Flekman drüber laufen lassen. Ergebnis: Zitat:
|
Sophos Anti-Rootkit: Code: Area: Local hard drivesHabe Advanced SystemCare V3 ausgeführt: http://img190.imageshack.us/img190/9...systemcare.jpg |
Hi, das sieht nicht schlecht aus, was treibt der Rechner? Den Eintrag aus der Reg würde ich gerne noch entfernen wollen (mach ich morgen). Die Sachen von Sophos sind soweit ok... chris |
habe heute nochmal Antivir und Adaware komplett drüberlaufen lassen, beide brachten keine weiteren Funde. Der PC läuft soweit wieder weitgehend normal, lediglich Autostart funktioniert nicht (es kommt nicht das Auswahlfenster, wenn man bspw. eine Audio-CD einlegt) und der Antivir Guard ist beim Start nicht automatisch aktiviert (habe noch herausgefunden, wo ich das ggf. umstellen kann). danke und viele Grüße Joe |
Hi, versuche noch wegen dem Reg.Key Infos einzuholen, bis jetzt kein Echo (nicht das wir was wichtiges killen [glaub ich zwar nicht], aber sischer is sischer ;o)...) Bin mir fast sicher, dass wenn Du ihn versuchst über RegEdit zu suchen Du ihn nicht finden wirst bzw. nicht an die Inhalte rankommst.... chris |
Hi Chris, danke für die Rückmeldung. Habe {B6A930A0-A4F5-43A5-9B4E-6189A6C2B9E8} in der Registry gefunden, es ist nicht wie bei vielen anderen ein "+"-Zeichen davor (falls das etwas zu bedeuten hat). Im rechten Teil des Registrierungseditors wird als Name "ⅪⅳⅩⅠⅲⅠⅥⅤ℘℘ⅴⅥⅳⅭⅳⅹ" bzw. eigentlich für mich sichtbar nur lauter Kästchen angezeigt und als Typ REG_DWORD (echt seltsam, ich habe den Namen markiert, F2 gedrückt und mit STRG+C kopiert und hier eingefügt, erst hier erschien der Text...) Welche der Programme und Tools, die ich jetzt zum Entfernen der Trojaner verwendet habe, soll ich denn aufm Rechner lassen und welche kann ich löschen? (GMER, Combofix, MBAM, Advanced System Care, Sophos Anti Rootkit, CCleaner, HJT, RSIT, Prevx) Gibt's empfehlenswerte Programme, um sich künftig vor solcher Malware zu schützen? Ich verwende derzeit Antivir und als Firewall Sygate Personal Firewall (und Windows Firewall, im Router ist wohl auch noch ne Firewall eingebaut, glaube ich). Besteht Deiner Meinung nach die Gefahr, dass der infizierte PC andere Rechner über den Router angesteckt hat? Werde die angeschlossenen auf jeden Fall mal mit Virenscanner und evtl. Adaware überprüfen. Besteht die Gefahr ggf. auch, wenn ich Dateien über einen USB-Stick mit meinem Laptop ausgetauscht habe? Danke und Grüße! Joe edit: Zitat:
|
Hi, Gmer, combofix (uninstall: Start->Ausführen combofix /u), PrevX und Sophos kannst Du deinstallieren/löschen. RSIT und HJ stören nicht, ab- und an kann man ein Log machen und mit einem alten vergleichen. Antivir ist gut, Sygate habe ich auf einem Rechner auch (Schade das sie nicht weiterentwickelt wird), zusätzlich empfehle ich Dir noch als behavior-Scanner ThreadFire (http://www.threatfire.com/de/), der läuft gut mit beiden zusammen (und gib es auch als kostenlose Version). Zur Zeit gibt es einige Malware die sich über autorun auch auf USB-speichermedien (Sticks, Festplatten, Kamera, Handy etc.) fortpflanzt, daher sollte auf jeden Fall autorun ausgeschaltet bleiben (sonst startet windows automatisch mit einstecken eines infizierten Sticks die Malware und infiziert sich gleich wieder)... Für den Router gilt: Es gibt Malware, die versucht sich über die WEB-Konfigurationsoberfläche Zugang zum Router zu verschaffen (und den dann "Umkonfiguriert"), wenn das Passwort für den Router nicht geändert wurde (dem Standardpasswort im Auslieferungszustand entspricht) oder ein zu schwaches Passwort ist (z.B. 1234). Da normalerweise dann im Router die DNS-Servereinträge verbogen werden (auf infizierte Server) können dann alle am Router hängenden Rechner verseucht werden. Über Freigaben zwischen Rechner kann auch eine direktes "überspringen" erfolgen... Daher alle Rechner kontrollieren, Routerpasswort ändern, Autorun ausschalten... chris |
Danke soweit, Chris! Werde dann mal die anderen Rechner noch überprüfen. Und ich schätze, es wäre mal ne externe Festplatte fällig, und dann sollte ich den PC vllt doch mal irgendwann neu aufsetzen... Mal sehen. Danke! |
neuer Virus/Trojaner habs wohl schon wieder geschafft... ich glaub, es war, als ich auf onlinetvrecorder.com auf nen Banner geklickt hab. Antivir schlug an, ich habe (versucht), die Files löschen zu lassen. Folgende Funde waren es: Code: In der Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\syslog.tmp'Zudem ist der Antivir Guard wieder beim Hochfahren nicht aktiviert. Inzwischen ist mir auch noch der Firefox abgeschmiert, was aber mein Fehler sein kann, da er gestern abend mglw. noch nicht ganz mit Tabs speichern+beenden fertig war, als ich den PC runtergefahren habe. Kann ihn jetzt nicht mehr starten, habe versucht, FF 3.5 drüberzuinstalieren, gleiches Problem, es erscheint nur der Mozilla Absturz Melder, der FF aber nicht neu starten kann und den Fehlerbericht wohl auch nicht übermitteln kann. Das aber nur am Rande. Scheint ein aktueller Problem zu sein, ähnlich wie hier: http://www.trojaner-board.de/79380-f...tseek-biz.html Ich habe inzwischen mehrmals Antivir übers ganze System laufen lassen, hat aber nichts gefunden. Adaware hat auch nichts gefunden. MAM habe ich auch gleich am 10.11. drüber laufen lassen, ebenfalls nichts gefunden. :-/ Ich würde mich freuen, wenn Du/ihr mir nochmal helfen könntet. Viele Grüße Joe p.s.: logs folgen... |
CCleaner ausgeführt, folgender Eintrag taucht immerr wieder auf, obwohl ich ihn jedesmal behebe: Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} |
RSIT Files: log.txt: Code: Logfile of random's system information tool 1.06 (written by random/random) |
RSIT: Rest von log.txt: Code: ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== |
RSIT: info.txt: Teil 1 Code: info.txt logfile of random's system information tool 1.06 2009-11-13 13:15:17 |
RSIT: info.txt: Teil 2: Code: "C:\Programme\InstallShield Installation Information\{2808E975-BD01-47DD-9852-54E3C622BDDC}\setup.exe" -l0x7 |
RSIT: info.txt: Teil 3 Code: AV: Avira AntiVir PersonalEdition Classicwerde jetzt MAM nochmal drüberlaufen lassen und dann das log-file posten. |
Hi, auf den ersten Blick nichts zu finden, daher wohl was "neues"... Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code: C:\WINDOWS\system32\Adobe\Shockwave 11\SwHelper_1150596.exe
Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. JAVA (IE auch...) Deine Javasoftware ist veraltet! Download http://www.java.com/de/download/manual.jsp Schliesse alle Programme auch Deinen Webbrowser Über "Start -> Einstellungen -> Systemsteuerung -> Software entferne alle älteren Versionen von Java Runtime Environment (JRE of J2SE) Auch auf C:\Programme\Java entfernen! Nachdem alles entfernt wurde --->Rechner neu starten Installiere jetzt vom Desktop aus die neue Version! Firefox gerade biegen: Arbeite alles was unter dem Link angegeben ist ab und berichte dann im Thread! Erstmal keine PlugIns installieren und das gemachte Backup von Firefox nicht einspielen. http://www.trojaner-board.de/411645-post19.html chris |
erstmal noch das MAM-log mit ner heute nochmals geupdateten Definitionsdatei: hat jetzt 6 Objekte gefunden. Code: Malwarebytes' Anti-Malware 1.41 |
hier die Ergebnisse von Virustotal: C:\WINDOWS\system32\Adobe\Shockwave 11\SwHelper_1150596.exe: Code: Die Datei wurde bereits analysiert:C:\DOKUME~1\FAMILI~1\LOKALE~1\Temp\DMSKSSRh.sys: habe ich nicht gefunden, war im temp-Ordner nicht mehr gespeichert (C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp) Mache jetzt weiter mit Combofix..., danke soweit, Chris. |
Hier das Combofix log.txt: Teil 1 Code: ComboFix 09-11-13.06 - Fami*** 13.11.2009 20:25.2.2 - NTFSx86 |
Combofix log Teil 2: Code: AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {8619E714-FFA4-00EF-0D24-347CA8A3377C} |
Teil 3: Code: AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {862CA36C-FFA4-00DE-0D24-347CA8A3377C}tja.., sowas blödes, jetzt wollte ich persönl. Infos noch aus dem log entfernen, will ein neues editor-fenster aufmachen mit strg+n und da ist das alte log weg..... :-((( |
ich glaub ich habs gefunden: C:\ComboFix.txt Teil 4: Code: AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {862F2544-FFA4-00DE-0D24-347CA8A3377C} |
Teil 5: Code: AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {86444DDC-FFA4-00DE-0D24-347CA8A3377C} |
Teil 6: Code: ((((((((((((((((((((((((((((( SnapShot@2009-08-14_13.06.19 ))))))))))))))))))))))))))))))))))))))))) |
Teil 7: Code: + 2006-03-24 12:00 . 2009-08-05 08:59 206336 c:\windows\system32\mswebdvd.dll |
Teil 8: Code: + 2009-08-14 17:48 . 2008-07-08 13:00 234872 c:\windows\$hf_mig$\KB971657\spuninst.exe |
Hi, Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code: c:\windows\system32\drivers\xfilt_2.sys
Da scheint was zu sein: (Gmer:) >>UNKNOWN [0x86ECC170]<< Das können wir nur per Adresse rückverfolgen... RootkitRevealer scannen lassen * Lade bitte RootkitRevealer (http://www.microsoft.com/technet/sys...tRevealer.mspx) runter und entpacke das Archiv in einen eigenen Ordner, z.B. C:programmerootkitrevealer. * Starte in diesem Ordner RootkitReavealer.exe. Alle anderen Programme schließen. * Starte durch Klick auf "Scan". * Wenn der Scan fertig ist das Logfile mit File -> Save abspeichern, und hier im forum posten. chris |
Danke Chris. hab Java inzwischen neu installiert. Firefox 3.5 funktioniert wieder :-) (ohne dass ich ihn gemäß der Liste deinstallieren musste, sogar die alten Tabs waren noch da :-) ) zu den Dateien: c:\windows\system32\drivers\xfilt_2.sys ist nicht zu finden, nur xfilt.sys, dafür folgende Auswertung: Code: c:\windows\system32\drivers\SBREDrv.sys Code: MD5: 72aecf54aac22b20956d08610972b5a1c:\windows\system32\lsdelete.exe Code: MD5: ecc60d89980c47b7fcc27c798c4f6d02Es folgt der RootkitRevealer. |
RootkitRevealer log: Code: HKU\S-1-5-21-599095648-1470845599-2590934013-1007\Console 13.11.2009 20:43 0 bytes Security mismatch. |
Hi, das mit JAVA war notwendig, war total veraltet. Da scheinen Crosslinks auf der HD zu sein: Festplatte prüfen (XP): Arbeitsplatz-Datenträger mit Rechts Anklicken->Eigenschaften->Extras->Jetzt Prüfen: Beide Kästchen anklicken das dort ein Haken erscheint -> dann OK. Falls eine Fehlermeldung kommt ,diese mit Ja bestätigen und alle Fenster schliessen. Neustart Durchführen der Datenträger wird dann beim Neustart überprüft (das kann sehr lange gehen) Das Log vom RootkitRevealer scheint nicht vollständig zu sein, wir probieren jetzt noch Avira-Rootkitscanner, wenn der auch nicht tut, dann scannen wir von CD aus... Avira, Antirootkit Downloade Avira Antirootkit und Scanne dein system, poste das logfile. http://dl.antivir.de/down/windows/antivir_rootkit.zip chris |
ok, danke Chris. Werde morgen die FP prüfen. Habe heute Nachmittag nochmal MAM (geupdated) laufen lassen, 1 Fund, folgendes log: Code: Malwarebytes' Anti-Malware 1.41 |
Ein Scan mit Avira AntiRootkit Tool 1.1.0.1 hat keine versteckte Objekte gefunden. log: Code: Avira AntiRootkit Tool (1.1.0.1) |
Hallo nochmal, habe den RootkitRevealer nochmal probiert, ist wieder beim Speichern abgestürzt. Er hatte 34 Objekte gefunden, was der Anzahl im letzten log entspricht. Hier noch ein Screenshot: http://img405.imageshack.us/img405/5...itrevealer.jpg |
Hi, da ist nichts dabei... Systemwiederherstellung löschen BSI-Faltblattt (https://www.bsi.bund.de/cln_134/ContentBSI/Publikationen/Faltblaetter/F24VirenundCo.html) und dort unter Viren entfernen Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt: Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung -> anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten; Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder). Einen ersten Restorepunkt setzten: Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen Was hat die Festplattenüberprüfung gebracht? chris |
Hi Chris, bei der Datenträgerüberprüfung kam keine besondere Meldung, lief einfach durch. Systemwiederherstellung habe ich deaktiviert und jetzt wieder aktiviert. MAM hat gestern bei einem erneuten Scan nichts mehr gefunden. Der PC läuft soweit wieder normal. (Fast, habe die Symbolleiste im FF angepasst mit zwei zusätzlichen Lesezeichen-Buttons, die momentan beim Start nicht angezeigt werden, sondern erst, wenn ich auf "Anpassen" gehe und anschließend auf "Fertig" oder ESC (???...), ist aber wohl ein Problem des Firefox 3.5. Was mir schon etwas fehlt ist die Autorun-Funktion, v.a. wenn ich Bilder über den Kartenleser von SD-Karte auf FP speichern will. das entsprechende Dialogfeld zum Übertragen habe ich nämlich noch nicht eigens aufrufen können. Aber vielleicht finde ich das auch noch.) Danke für die Hilfe Chris! |
Hi, Es gibt beim Schlüssel HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\ Policies\Explorer zum einen den Namen: "NoDriveTypeAutoRun" (Standard ist: "95 00 00 00"), welcher den AutoPlay-Mechanismus der Laufwerke regelt. "95 00 00 00" - Autoplay für Festplatten und CD-Rom "00 00 00 00" - AutoPlay-Mechanismus für alle Laufwerke "FF 00 00 00" - kein Autoplay für alle Laufwerke "b1 00 00 00" - Autoplay für Festplatte und Diskette, nicht für CD-Rom "b5 00 00 00" - AutoPlay für Musik-CD's, nicht jedoch AutoPlay von Daten-CD's. "b9 00 00 00" - Autoplay nur für Diskette (Allerdings "rattert" dann die Kiste auch öfter ;-) chris |
danke für den Hinweis, habe ich jetzt mal probiert, funzt noch nicht, bzw. vllt erst nach nem Neustart... Der Antivir-Guard ist beim Hochfahren immer noch deaktiviert. Allerdings lässt sich das evtl. durch eine Deinstallation und anschließende Neuinstallation wohl beheben, werde ich noch machen. Allerdings - habe ich gerade was bei Google gesucht, klicke auf ein Suchergebnis - und es öffnen sich zwei neue Tabs.......... Insofern war ich vielleicht etwas voreilig. Sah eigentlich alles ganz gut aus bis gerade eben... Werde nacher nochml Avira Antirootkit laufen lassen und RSIT und das log posten. |
Hi, was zeigen die zusätzlichen Tabs an? In letzter Zeit haben wir einigen Ärger mit einer neuen TDSS-Variante, die nicht immer richtig erkannt wird... Der patcht die atapi.sys... Bitte combofix deinstallieren (Start->Ausführen combofix /u) und dann neu installieren und laufen lassen, log posten... Bie Virustotal.com bitte die Datein Code: c:\windows\system32\drivers\atapi.syschris |
Hi Chris, hatte heute Vormittag nicht viel Zeit, habe nur kurz MAM (aktualisiert) angestoßen, 1 Fund, folgendes log: Code: Malwarebytes' Anti-Malware 1.41zur atapi.sys (Virustotal.com): wohl ein Treffer: Code: MD5: 9f3a2f5aa6875c72bf062c712cfa2674 |
Hi, inzwischen sind es schon zwei scanner die in der atapi.sys ein rootkit vermuten (bzw. wurde sie dann "gepatched")... Hast Du ein Verzeichnis "c:\windows\ServicePackFiles\i386\" und ist darin die atapi.sys enthalten, dann schießen wir die einfach drüber.... Aber lass erst mal CF von der Leine mal sehen, was der sagt... chris |
Hallo Chris, hier das Combofix-log: Code: ComboFix 09-11-18.06 - *** 18.11.2009 19:26.3.2 - x86 |
Teil 2: Code: AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {861D0CE4-FFA4-00EF-0D24-347CA8A3377C} |
Teil 3: Code: AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {862E6D8C-FFA4-00EF-0D24-347CA8A3377C} |
Teil 4: Code: AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {863D5054-FFA4-00EF-0D24-347CA8A3377C} |
Teil 5: Code: .Zitat:
|
Hallo nochmal, habe gerade ne Webseite gedruckt, wobei der Drucker (Tintenstrahl) sehr lange gebraucht hat, wie wenn die Daten sehr langsam kämen. Dann hat sich ein weiteres Tab im FF geöffnet, irgendwas mit preissuchmaschine, hab ich dann geschlossen. Wenig später hat der PC zu arbeiten angefangen, es hat sich ein neues Fenster und mglw. auch weitere Tabs geöffnet, dann ist FF abgestürzt. Kann ihn nun nicht mehr starten, es kommt nur immer der Absturzmelder. edit: als ich den Beitrag gerade abgesendet habe im IE hat sich h**p://www.partypoker.com/td/interactive/td.htm geöffnet edit2: h**p://de.partypoker.com/td/interactive/aussiemillions_de.htm |
Hi, prüfe die c:\windows\ServicePackFiles\i386\atapi.sys bei virustotal (eigentlich sollte sie aber die Endung sys haben)... Lt. Gmer sind weitere Hooks in Low-Level-Treiber gesetzt worden, ich frage da mal nach... Chris |
-doppelpost- |
Hi, habe die c:\windows\ServicePackFiles\i386\atapi kopiert und in atapi.sys umbenannt. Auch hier zwei Treffer (?) bei Virustotal: Code: MD5: 9f3a2f5aa6875c72bf062c712cfa2674 |
Hi, bin im Kontakt mit Gmer, bitte wie folgt vorgehen: Gmer löschen und neu runterladen, Maschine neu booten und gleich Gmer laufen lassen und Log posten... Gmer: http://www.trojaner-board.de/74908-a...t-scanner.html Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. Hi, so haben mal die atapi.sys von meinem Rechner hoch geladen, gleiche MD5 und wird auch erkannt, denke daher das ist ein falscher Alarm. Nicht desto trotz sind noch die seltsamen Hooks da, mal sehen was gmer so meint.... Gehe heute Nachmittag noch mal die Logs durch... chris |
Habe gerade festgestellt, dass AviraRootkit.. ein log angelegt hat, hier das log vom letzten scan (keine Funde): Code: Avira AntiRootkit Tool (1.1.0.1) |
Hi Chris, habe vorher noch Windows Updates (IE 8 und Windows Defender Nov.) installiert. Ein bereits installiertes Gmer hab ich nicht gefunden (vllt hab ich auch an den falschen Orten gesucht?); habe es runtergeladen und gestartet. Es kam kein Fenster mit einer Fundmeldung. Habe dann den Scan angestoßen, jedoch hat sich Gmer wie schon beim letzten Mal dann beim Scannen aufgehängt: http://img4.imageshack.us/img4/9472/gmerv.jpg Wollte jetzt den IE starten, da kam die Meldung: "Datenausführungsverhinderung - Dieses Programm wurde aus Sicherheitsgründen geschlossen." Kann den IE jetzt also auch nicht mehr öffnen... :-( |
Hi, once more... So, falls auf dem Rechner der TDL3 rk aktiv ist, dann zeigt Gmer folgende Zeile an: Code: ---- Devices - GMER 1.0.15 ----Probiere aus, ob Du den "Scann"-Log speichern kannst und schalte vor dem Aufruf von Gmer Deinen Virenscanner aus... chris |
Hi, ich nochmal.... Habe mich dank myrtille mal etwas eingelesen in das neue Teil, da haben wir de facto momentan nur ein Chance: Den PC von aussen überprüfen, daher basteln wir uns (am Besten auf einem sauberen Rechner) eine Boot-CD: (Probiere aber das mit GMER noch, der wartet noch auf Feedback, ggf. mal im abgesicherten Modus probieren!) Antivir, Rescue-CD für Rechner ohne ATI-Karte (gibt sonst Probleme) http://www.avira.de/de/support/support_downloads.html Dort bitte das Rescue System sowie das update dazu runterladen. Beim Start der Anwendung leere CD in den Brenner, CD brennen lassen. Zweite CD brennen mit dem ausgepackten Update. Von CD booten (Einstellung im BIOS vornehmen)... http://www.pcwelt.de/start/sicherhei...s/news/149200/ G Data-Rettungs-CD, Größe ca. 110 MB: http://www.gdata.de/typo3conf/ext/da....php?docID=826 Runterladen und dann auf CD brennen, von CD booten (im Bios die Bootreihenfolge umstellen, gilt auch für AVIRA).... Dann von CD booten,, kompletten Rechner (alle HDs etc.) prüfen lassen. Am besten auf einem sauberen Rechner dann noch von der Windows-CD die atapi.sys auf einen Stick kopieren und die auf dem Rechner vorhandenen damit plattmachen... chris |
Danke Chris. Windows zeigt mir schon wieder ein paar neue Updates an, werde die schnell downloaden und installieren. (~ für IE8 und .Net und Jscript 5.8 und WinXP). Werde dann Gmer nochmal im abgesicherten Modus probieren (mal sehen, wie weit er kommt). Gmer ist bei mir beim letzten Mal auch immer abgestürzt. (Antivir war beim Gmer-Scan deaktiviert, die Sygate Firewall beendet). edit: eieiei, ich konnte Windows im abgesicherten Modus nicht starten, sowohl mit als auch ohne Netzwerktreiber, er bootet dann neu und zeigt den Auswahlbildschirm an. Werde Gmer nochmal im normalen Modus probieren (ohne Antivier, Sygate und ohne Internetverbindung). Gmer zum zweiten: wieder abgestürzt, konnte aber ein log speichern: Code: GMER 1.0.15.15227 - http://www.gmer.net |
neuer Versuch mit Gmer, nur Laufwerk C:\, Antivir deaktiviert, Sygate beendet, aber mit Internetverbindung. Gmer zeigt (u.a.) an: Zitat:
|
So, Gmer-Scan von C:\ fertig. log: Code: GMER 1.0.15.15227 - http://www.gmer.net |
Zitat:
Bzw. hab jetzt auch ein Update mit der eingebauten Programmfunktion übers Internet geschafft, sollte passen denk ich. PC scannt jetzt (hab ihn mal vom Inet getrennt), lasse Funde erstmal nur protokollieren (oder hätte ich sie gleich löschen/reparieren sollen?). Morgen weiß ich das Ergebnis... Die Avira Antivir Rescue System CD hat nicht gleich funktioniert, die Initialisierung blieb bei der Meldung "Einbinden der Geräte /dev/fda" stehen. Habe schließlich nach googeln den FDC Controller deaktiviert (nicht vorhandenes Diskettenlaufwerk deaktivieren), dann gings (falls mal wieder jemand das gleiche Problem hat). Der Link zur G Data-Rettungs-CD hat bei mir leider nicht funktioniert. Gibt es da noch einen alternativen Link? Ist das eine von diesen hier: h**p://www.gdata.de/support/downloads/testversionen.html |
Hi, die atapi.sys ist weiterhin mit dem Rootkit infiziert... Die Desinfektionsversuche sind damit allesamt gescheitert... Wir müssen sie von CD aus ersetzten... Der Rootkit ist hochintelligent, hat die "ersetzten" codesegmente gesichert, versucht man die atapi.sys zu laden, dann gibt er die "original"-Teile zurück und ist daher nicht zu finden... Weiterhin wurde die Strategie des RK geändert. Versuchte er bisher nur Google-Ergebnisse zu "manipulieren", öffnet er jetzt selber werbefenster... (bringt wahrscheinlich schneller mehr Geld...)... Was sagt der Scann von aussen (dann läuft der RK nicht und sollte eigentlich erkannt werden können). Hast Du eine Windows-CD, von der wir die atapi.sys extrahiren können? Wir können leider nicht erkennen, ob die sonst noch vorhandenen atapi.sys-Dateien nicht auch schon manipuliert wurden... chris |
Hi Chris, Avira Antivir Rescue CD hat gescannt, 0 Funde, 0 verdächtige Dateien, 52 Warnungen. log (konnte ich über die konsole und eine Anleitung von h*p://forum.avira.com/wbb/index.php?page=Thread&threadID=82163 speichern, das logfile war für den cp-Befehl unter /var/log/antivirlog.txt): Code: AntiVir / Linux Version 2.1.12-228p.s.: werde mal auf den windows cds (1 support cd und 1 recovery cd) nach der atapi.sys suchen; hab hier noch nen anderen pc mit xp, notfalls könnte ich sie evtl. vom dem kopieren (nach ner virustotal-überprüfung) nochmal edit: hab ATAPI.SY_ auf der cd gefunden :-) Virustotal-Report von der in atapi.sys umbenannten Datei von der CD: Code: Datei atapi.sys empfangen 2009.11.20 09:06:35 (UTC) |
Hi, umbenennen alleine reicht nicht, sie muss ausgepackt werden... Code: expand -r atapi.sy_ c:\windows\system32\drivers\atapi.syschris Ps.: Wo auf der CD fährt die atapi.sy_ rum, damit ich mir das notieren kann (habe hier leider keine XP-CD zum nachschauen)... |
jetzt ist grad mein laptop abgestürzt, hmm, der wird doch nicht, vista lief bisher ganz stabil drauf.. die atapi.sy_ ist im Ordner \I386 muss ich den expand befehl in der dos-eingabeaufforderung eingeben? |
Hi, ja in der cmd-box (command-Line)... Da am Anfang CF die mal ersetzt hatte, denke ich es muß noch ein Tropper aktive sein, oder aber das Teil hat erstmal alle vorhanden gegen die infizierte ausgetauscht.... chris |
habe auf dem infizierten pc mehrere atapis gefunden: atapi.sy_ in C:\Windows\I386 atapi.sys in C:\Windows\$NtServicePackUninstall$, C:\Windows\ERDNT\cache, C:\Windows\I386\SP2.CAB, C:\Windows\ServicePackFiles\i386, C:\Windows\system32\drivers, C:\Windows\Driver Cache\i386\sp2.cab, C:\Windows\Driver Cache\i386\sp3.cab, C:\Windows\ServicePackFiles\i386\sp3.cab ((und decatapi.txt und vatapi.vxd)) edit: ich bekam beim expandieren ne Fehlermeldung: Zitat:
|
Hi, hast du von XP-CD gebootet und stehst Du in der CMD? Dann bitte das hier durchführen: Code: expand C:\Windows\Driver Cache\i386\sp3.cab -F:atapi.sysDie dann (wenn der Rechner SP3 hat) über die verseuchte kopieren... So, muss jetzt zu einer Telko.... chris |
danke, werd's versuchen. steh in der cmd im Verzeichnis E:\i386 hab jetzt ein wenig herumprobiert, schließlich hat Code: expand -r E:\i386\atapi.sy_ C:\Windows\system32\drivers\die atapi aus sp3.cab hat nicht mit dem Befehl funktioniert bzw. ich war mir unsicher, ob nicht alles expandiert wird, wenn ich C:\Windows\system32\drivers\ als destination/ziel angebe |
Hi, dann wäre jetzt mal ein Reboot notwendig... Trenne den Rechner erstmal vom Netz und lass von der Sygate die spoolsv.exe blockieren... Das Teil kommt übrigens über infizierte webpages und wird von einem Dropper fallen gelassen, der die spoolsv.exe zum nachladen der Rootkitkomponenten benutzt. Da das ein Windowsprozess ist, kommt der natürlich ohne Probleme durch die Firewall und das Unglück nimmt seinen Lauf... chris Ps.: Was bei mir noch ein ungutes Gefühl hervorruft ist das hier: IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8 \Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8 Da hängt noch was in Betriegssystemkernel rum... |
weiß nicht genau, wo ich speziell spoolsv.exe blockieren kann werde beim neustart einfach alles blockieren. (hab spoolsv.exe unter Applikationen nicht gefunden) Dafür sind mir dort ein paar Dateien aus dem Temp-Ordner aufgefallen, die hab ich dann gesucht, und bin draufgekommen, dass der Temp-Ordner nicht angezeigt wird, obwohl ich zu Anfang mal überprüft habe, dass Systemdateien und versteckte Dateien angezeigt werden. Kann das von Combofix o.ä. geändert worden sein? Kann das Einfluss auf Scans gehabt haben, so dass potentiell infizierte Dateien gar nicht gescannt worden sind? edit: die versteckten dateien hatte ich mir bereits vorher anzeigen lassen, ich hab das gleich am anfang nach deinem hinweis nochmal überprüft: Zitat:
|
Hi, dürfte keinen Einfluss haben. Meines Wissens verbiegt CF da nichts... Plätte mal noch alle versteckten Dateien. Nach dem booten ohne Netz von Festplatte gleich mal die Scanner auf die Reise schicken. chris |
Zitat:
|
Hi, nicht die versteckten, die temporären (ich werde langsam -äh- alt).. C.\windows\temp, c:\dokumente einstellungen\user\lokale einstellungen\temp, das für den Admin nicht vergessen... Hast Du die falsche atapi.sys schon "übergebügelt"? chris |
achso, jep, hab ich eh gemacht, jetzt beim neustart waren wieder welche da, hab ich wieder gelöscht. die atapi.sys hab ich schon länger expandiert s.o., soll ich nochmal? Zitat:
|
Hi, wenn Windows läuft, dürfte das nicht funktionieren... Jetzt bitte noch mal Gmer drüberjagen, mal sehen was der noch so ausgibt (oder ob er wieder das zeitliche Segnet)... chris Ps.: Bin jetzt ca. 2 h weg... |
Gmer gestartet, aber Antivir und Firewall vergessen auszuschalten, unvollständiges log bis dahin: Code: GMER 1.0.15.15227 - http://www.gmer.net |
soll ich die atapi.sys dann nochmal ersetzen? (habs mit cmd unter windows gemacht gehabt) Wenn ja, wie? Gmer ist noch nicht fertig, log folgt dann (scheint aber im wesentlichen das vorausgegangene zu sein). Gmer immer noch nicht fertig, ich muss jetzt leider weg und poste das log dann heute abend. |
Hi, bis jetzt sieht das noch gut aus, was Gmer anzeigt... (Das war bisher auch mein längster Thread, ein MT -> MonsterThread)... Der Rootkit ist unglaublich schlau gemacht, der richtet sich auf dem Rechner ein eigenes, verschlüsseltes Filessystem ein..... Arrrghhh.... chris |
is auch etwas nervenauf- und v.a. sehr zeitraubend, hätte eigentlich schon genug Probleme... danke jedenfalls fürs durchhaltevermögen! hier das Gmer log (Scan nur auf C:\, ohne Internet, Virenscanner, Sygate) Code: GMER 1.0.15.15227 - http://www.gmer.net |
Hi, wenn möglich kill noch die folgenden Files, die sind nicht ganz koscher... Code: C:\Dateien\***\Webseiten\***\Kopie von neu 27102009\Dateien\Artikel,-Maerchenhafte-Geschichten-und-schoene-alte-Volkslieder-_arid,1228169_regid,1_puid,2_pageid,4492-Dateien\puid1_pageid6_regid10_backlinkaHR0cDovL3d3dy5hdWdzYnVyZ2VyLWFsbG\ET_MME~1.JS 3397 bytesGMER sieht immer noch gut aus, ich denke wir haben dem Rootkit jetzt hoffentlich (endgültig) den Garaus gemacht... chris |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:34 Uhr. |
Copyright ©2000-2025, Trojaner-Board