Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Virus durch AVCare (https://www.trojaner-board.de/76526-virus-avcare.html)

Tagedieb 18.08.2009 22:06

so, malwarebytes ist jetzt fertig - hat 7 infizierte dateien gefunden und gelöscht.
hier mal die log-datei die er am ende ausgespuckt hat.

john.doe 18.08.2009 22:28

1.) http://www.trojaner-board.de/74908-a...t-scanner.html

2.) Rootkitscan mit RootRepeal
  • Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
  • Entpacke die Datei auf Deinen Desktop.
  • Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
  • Klicke auf den Reiter Report und dann auf den Button Scan.
  • Mache einen Haken bei den folgenden Elementen und klicke Ok.
    .
    Drivers
    Files
    Processes
    SSDT
    Stealth Objects
    Hidden Services

    .
  • Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
  • Wähle C:\ und klicke wieder Ok.
  • Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
  • Wenn der Suchlauf beendet ist, klicke auf Save Report.
  • Speichere das Logfile als RootRepeal.txt auf dem Desktop.
  • Kopiere den Inhalt hier in den Thread.

ciao, andreas

Tagedieb 18.08.2009 22:35

okay, gmer läuft.
ich lass dannach gleich noch RootRepeal laufen und poste dann das logfile.

john.doe 18.08.2009 22:44

Wenn du weiter so ein Tempo vorlegst, dann sind wir in zwei Tagen durch. :)

ciao, andreas

Tagedieb 18.08.2009 23:30

naja, hoffen wirs mal ^^

Tagedieb 19.08.2009 01:37

hm, also gmer hat sich jetzt mehrmals während des scannens aufgehangen. hab deshalb eben nochmal wirklich alles im taskmanager beendet was nich unbedingt notwendig war und auf einmal bricht er den scan nach ein paar minuten mit der medlung, ab : gmer has found system modification caused by rootkit activity

hier mal der log dazu

Tagedieb 19.08.2009 01:45

hm, hab grad nochmal gescannt - ohne, dass ich vorher den taskmanager durchforstet habe und jetzt kam nach ein paar minuten wieder dieselbe meldung...

find ich etwas seltsam - vorhin hat der ne stunde oder so gescannt und hat sich dann einfach aufgehangen und jetzt beendet er den scan so schnell...

naja, hier noch das neue log und ich mach jetzt mit RootRepeal weiter.

Tagedieb 19.08.2009 02:18

so, RootRepeal is jetzt auch durch und hat am ende noch ne fehlermeldung gebracht - root repeal error 1392 oder so ähnlich...

hier das log

ich geh mal kurz schlafen ;)

Tagedieb 19.08.2009 09:45

achso, hier noch der fehler-bericht von rootrepeal.
ich hoffe die ergebnisse von gmer und rootrepeal verheißen nichts allzu schlechtes *daumen drück*

john.doe 19.08.2009 15:20

:eek: Du hast da etwas ganz Neues. Die Uhrzeit deiner Infektion war ca. 12:30 Uhr und nicht 10:30 Uhr. Hast du irgendeinen Downloadlink für mich? Dann schicke ihn mir bitte als Private Nachricht.

Es ist sehr wichtig den Auslöser zu bekommen, damit die AVP-Hersteller den mit in ihre Signaturen aufnnehmen können. Dann werden nämlich weitere Infektionen verhindert.

Da war ein Eintrag bei ComboFix, der auf mehr hindeutete. Du hattest/hast gleich zwei dieser fiesen Rootkits.

1.) Neues Skript für Avenger (aka Hopsassa):
Code:

Drivers to delete:
kbiwkmqmuyxidm

Registry keys to delete:
HKLM\SYSTEM\ControlSet005\Services\kbiwkmqmuyxidm

Files to delete:
C:\WINDOWS\system32\drivers\kbiwkmrklltkos.sys
C:\WINDOWS\system32\kbiwkmciqaqgit.dll
C:\WINDOWS\system32\kbiwkmeyxmpful.dll
C:\WINDOWS\system32\kbiwkmkmuvvrjg.dat
C:\WINDOWS\system32\kbiwkmkntnilak.dat
C:\WINDOWS\system32\srescan.sys

Folders to delete:
C:\Dokumente und Einstellungen\NUTZER\Lokale Einstellungen\Temp
C:\Dokumente und Einstellungen\NUTZER\Cookies
C:\Dokumente und Einstellungen\NUTZER\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CF3QHAXA

2.) Starte den Rechner neu.

3.) Lade dir ein neues ComboFix auf deinen Desktop, lasse es laufen und poste das Log.

ciao, andreas

Tagedieb 19.08.2009 15:23

ne, sorry - hab keinen link mehr.

okay, dann mach ich mal weiter...

Tagedieb 19.08.2009 15:51

okay, hier die log-files von avenger und combofix.

john.doe 19.08.2009 15:55

:confused: Poste bitte ein neues Gmer-Log. Führe auf keinen Fall einen Neustart durch. Hast du irgendwelche Programme in der Zwischenzeit benutzt?

ciao, andreas

Tagedieb 19.08.2009 16:04

wird gemacht!

hatte vorhin mal jdownloader laufen aber sonst nichts.

john.doe 19.08.2009 16:09

Zitat:

hatte vorhin mal jdownloader laufen aber sonst nichts.
Nein, ich spreche von Antivirenprogrammen oder Removaltools. Der Rootkit, der sowohl im Gmer- als auch im Rootrepeal-Log zu sehen ist, ist verschwunden. Entweder du hast das Avengerskript zweimal ausgeführt, du hast irgendwelche Removaltools benutzt oder er mutiert (ändert den Namen mit jedem Neustart).

Allerdings scheint er weg zu sein, denn ComboFix ist zum ersten Mal ohne Fehlermeldung durchgelaufen.

Packe bitte den Ordner c:\avenger mit Zip oder Rar, lade ihn bei einem Filehoster hoch und schicke mir den Link als private Nachricht.

ciao, andreas


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:20 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19