|
AVCare, Win32Trojan.TDss und mehr ? Hallo, ich habe mir gestern so gegen 23.00 AVCare eingefangen, des weiteren fielen mir ein Prozess msa.exe und eine beim Systemstart ausgeführte b.exe auf. Symptome waren neben dem nervenden AVCare ein paar Systemabstürze und beim darauffolgenden Neustart ein schwarzer Bildschirm mit bewegbarer Maus (Icon:Uhrenglas) statt des Anmeldebildschirms, Ein weiterer Neustart verlief dann "normal". Avira AntiVir startete seitdem aber den Guard nicht mehr. Die Dateien von AVCare habe ich nach einer Anleitung von www*411-spyware*com_de_avcare-entfernen gelöscht, ebenso die msa.exe aus C:\Windows. Unter C:\Dokumente und Einstellungen\*Name*\Lokale Einstellungen\Temp\ fanden sich; - a.exe, b.exe, c.exe - eine Launcher.exe (Icon:Borland C++ Builder) die höchstwahrscheinlich unschuldig war. Auch diese Dateien habe ich gelöscht und nach einem Neustart waren keine auffälligen Einträge mehr zu entdecken. Antivir startete aber immernoch nicht den Guard, also unter services.msc den StartTyp auf Auto gesetzt. Jetzt ist der Schirm zwar auf, aber so richtig traute ich dem ganzen nicht. AdAware zurategezogen und beim Intelligenten Scan "Win32Trojan.TDss" und ein paar Cookies gefunden, leider endete der Entfernvorgang aber mit einer Fehlermeldung und der zweimaligen Aufforderung einen Fehlerbericht an den Hersteller zu senden. Die Recherche im Internet führte mich dann wieder auf ein paar Threads hier im Forum, die Programme um das Rootkit (und was sonst noch so da ist) zu entfernen waren mir zu speziell und griffen zu stark ins System ein um sie auszuprobieren. Also liess ich die Finger davon. Vermutlich hätte ich so eine Idee schon ganz am Anfang haben sollen und nicht versuchen das ganze alleine zu lösen, ich hatte aber nicht mit einem solch schwerwiegenden und widerstandsfähigen Befall gerechnet. (Das Ding kann sich immerhin gegen viele Sachen wehren) Malware Bytes Programm liess sich zuerst natürlich nicht richtig installieren. Am Ende startet der Prozess mbam.exe und das Setup bleibt beim Beenden hängen, startet man das Programm so erscheint wieder besagter Prozess, dummerweise aber kein passendes Fenster. Das Starten von einer "Kopie von mbam.exe" funktioniert zwar aber der Entfernvorgang ist nutzlos, da nach dem notwendigen Neustart alles beim alten zu sein scheint, denn zumindest finden Prevx und AdAware immernoch Sachen. Den Rat im abges. Modus UAC****** und Co zu entfernen habe ich auch befolgen wollen, dummerweise konnte ich diese Einträge nicht finden (Prevx meldet aber 4x uac***.dll und 1x uac***.sys). Als Vorbereitung auf diesen Thread habe ich CCleaner durchlaufen lassen (und u.a. den Verlauf habe ich aber nicht löschen lassen) und dieser hat vermutlich auch die b.exe aus dem Autostart entfernt. Ich bin mir inzwischen unsicher was sich alles eingeschlichen hat, gehören -AVCare -msa.exe - a|b|c.exe -Win32Trojan.TDSss denn alle zusammen ? Benutzen kann ich im Moment die meisten Programme normal und ohne merkliche Geschwindigkeitseinbußen. Auch ein kleiner Blick auf den Netzwerkverkehr (Ethereal) bleibt ohne Befund. Hier im Forum habe ich bereits ein paar Beiträge gefunden die sich mit einem ähnlichen oder sogar demselben Krankheitsbild beschäftigen und wie geschildert habe ich versucht Teile davon umzusetzen. Ich werde jetzt versuchen mich am Riemen zu reißen und nicht mehr am System rumdoktorn. Ich hoffe das mir jemand hilft das System wieder von dem Befall oder den Befällen zu befreien. Bitte nicht schlagen, aber mit HiJackThis habe ich ganz am Anfang auch schon ein wenig gearbeitet, weil ich damit mal vor längerer Zeit ein anderes Anhängsel losgeworden bin. Hier das aktuelle Log (CAPM4RSK.EXE und CAPM4SWK.EXE gehören zu einem Netzwerkdrucker): Code: Logfile of Trend Micro HijackThis v2.0.2Code: O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) |
Hallo und Herzlich Willkommen! :) Was ist ein Rootkit? (Professionelle Erklärung von `Wikipedia` und Kaspersky - bitte unbedingt lesen!: (englisch etwa: „Administratorenbausatz“; root ist unter unixoiden und unixähnlichen Betriebssystemen der Benutzer mit Administratorrechten) ist eine Sammlung von Softwarewerkzeugen, die nach dem Einbruch in ein Computersystem auf dem kompromittierten System installiert wird, um zukünftige Logins des Eindringlings zu verbergen und Prozesse und Dateien zu verstecken) Wie übertragen sich Rootkits? ►Da eine hundertprozentige Erkennung von Rootkits unmöglich ist, ist die beste Methode zur Entfernung die komplette Neuinstallation. Rootkit/wikipedia.org Falls Du dein System doch reinigen möchtest: - Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe: 1. ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen:: → Klicke unter Start auf Arbeitsplatz. → Klicke im Menü Extras auf Ordneroptionen. → Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen → Geschützte und Systemdateien ausblenden → Haken entfernen → Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen. → Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein. 2. Für XP und Win2000 (ansonsten auslassen) → lade Dir das filelist.zip auf deinen Desktop herunter → entpacke die Zip-Datei auf deinen Desktop → starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen → kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread ** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen! 3. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool ccleaner herunter installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein 4. Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren! 5. Lade und installiere das Tool RootRepeal herunter - setze einen Hacken bei: "Drivers", "Stealth Objects" und "Hidden Services" dann klick auf "OK" - nach der Scan, klick auf "Save Report" - speichere das Logfile als RootRepeal.txt auf dem Desktop und Kopiere den Inhalt hier in den Thread ** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren! Zitat:
** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw gruß Coverflow |
Ich habe jetzt mehrmals versucht mit Gmer das System zu scannen und jedesmal scheint er etwas weiter zu kommen, bevor er aufhört. Dann geht nichts mehr, ein paar Klicks sind vielleicht noch möglich, aber selbst die Systemuhr wird dabei schon nicht mehr aktualisiert und auch die Festplatte hat dann schon länger aufgehört zu rattern. Wie lange dauert ein erfolgreicher Scan bei ~20GB ungefähr auf einem P4 3 GHz, 3 oder eher 10 Stunden ? Wenn ich das Programm starte wird direkt angefangen zu scannen, dann wird ein Komplett-Scan empfohlen welcher wie gesagt noch nicht durchgelaufen ist. Ich werds weiter versuchen, die Punkte davor hab ich schon abgearbeitet, aber hier komm ich noch nicht voran da das scannen ja leider sehr langsam ist. Nur um sicherzugehen, dieser komplette Scan ist erforderlich die Einträge die ganz am Anfang oder innerhalb der ersten halben Stunde gefunden werden reichen nicht ? Es scheinen keine neuen Einträge hinzuzukommen oder zumindest sieht es so aus wenn man auf die dicke des Balkens in der Scrollleiste achtet. Ein weiterer Versuch dürfte gleich wieder scheitern, ich häng dann die Berichte der ersten drei Punkte an. |
Ich bzw. Gmer hat es wieder nicht geschafft, gibt es überhaupt eine Meldung wenn er fertig ist ? Bin ich einfach zu ungeduldig und nach 12h scheinbarem Nichtstun ist er dann durch ? Ich versuchs weiter. Aufgabenliste: 1. Ist (bei mir) Standard 2. filelist 1.Teil Code: <----- Root ----------------------------- |
2.filelist 2.Teil Code: ----- Temp ----------------------------- Code: "WPF/E" (codename) Community Technology Preview (Dec 2006) |
hi 1. deinstalliere Gmer 2. Lade es erneut herunter, aber: Achtung!: wenn Gmer nicht ausgeführt werden kann (ein Rootkit kann es verhindern): - ** also bevor Du "gmer.exe" auf dem Desktop anlegst: - ** versuche gmer.exe umbenennen und dann ausführen - Wähle eine beliebige Dateiname, die Endung soll *.com sein! ca 30 Min. (max 60 Min.) Laufabschnitt sollte reichen! - wenn es wieder probleme gibt, fahre einfach mit Punkt 5. (Rootrepeal) fort |
Hi, von Gmer habe ich mit zufällig generiertem Namen heruntergeladen und starten lässt es sich ja. Ich habe es diesmal angehalten bevor er sich wieder aufhing, vollständig ist die Liste also vermutlich nicht, auch wenn ich mir sicher bin dass in den darauffolgenden 40min keine weiteren Einträge in der folgenden Auflistung gemacht werden. Erstmal das was er ganz am Anfang meldet: Code: GMER 1.0.15.15077 [2d1ohsw7.exe] - http://www.gmer.net |
Hier besagter Teil des komplett Scans Code: GMER 1.0.15.15077 [2d1ohsw7.exe] - http://www.gmer.net |
Als erstes meldet Root Repeal 5x "Could not read Boot sector. Try adjusting the Disk level in the Options dialog" (Ich habe 4 Partitionen). Deine Anleitung zu den Einstellungen die ich vornehmen soll, verstehe ich leider nicht. Wo soll ich ein Häkchen machen, die angegebenen Punkte existieren als Reiter. Scannen ergab folgendes: Edit: Jetzt hab ichs, unter Report und dann auf Scan. Drivers: Code: ROOTREPEAL (c) AD, 2007-2009Code: ROOTREPEAL (c) AD, 2007-2009 |
Stealth Obj. Code: ROOTREPEAL (c) AD, 2007-2009 |
hi doch haben wir ja also: Rootkit/wikipedia.org Da eine hundertprozentige Erkennung von Rootkits unmöglich ist, ist die beste Methode zur Entfernung wäre die komplette Neuinstallation. Falls Du dein System doch reinigen möchtest: 1. - Kopiere den Text aus der Code-Box in ein Notepad-Dokument und speichere ihn als remove.txt auf deiner Festplatte C:\ Code: Drivers to disable:→ Lade den Avenger herunter und entzippe ihn auf den Desktop. (direkt als `EXE` *hier* erhältlich ) → die avenger.exe per Doppelklick starten → füge den Inhalt aus der Codebox vollständig und unverändert in das leere Textfeld bei "Input script here" ein → dann klicke auf "Execute" → wirst Du gefragt, ob Du das Script ausführen willst. Beantworte die Frage "Ja". → auf die Fragae ob dein Rechner jetzt neu starten soll "Rebot now" bejahe bitte auch → nach Neustart wird ein Dos Fenster aufgehen. → wenn wieder geschlossen ist, es öffnet sich der Editor mit die Scanergebnisse : C:\avenger.txt → kopiere und füge den Inhalt direkt aus der Textdatei hier rein Achtung!: Wenn Avenger nicht ausgeführt werden kann (ein Rootkit kann es verhindern), benenne avenger.exe um in "arniee.com" und versuche es erneut. (also wie vorher mit Gmer) 3.
poste erneut: Trend Micro HijackThis-Logfile |
Hatte gestern und heute wenig Zeit, deshalb konnte ich erst jetzt weitermachen avenger.txt Code: Logfile of The Avenger Version 2.0, (c) by Swandog46Code: Logfile of Trend Micro HijackThis v2.0.2Die DelDomains.inf wird bei mir durch doppelklick nur geöffnet, ich hab dann mal installieren gewählt und jetzt sind diese Einträge von wegen Trusted Zone weg (von denen ich glaube das sie das Ziel dieser Maßnahme waren). Prevx findet aus irgendeinem Grund immernoch das Rootkit und dessen Dateien (sowie den Avenger), im Skript angegeben sind alle. Was soll ich davon halten ? AdAware findet keinen Win32Trojan.TDss mehr. Ich habe außerdem immernoch nicht herausgefunden woher ich dieses nette AddOn für meinen PC habe. Zwei Archive sind momentan heiße Kandidaten, kann ich diese Dateien wenigstens markieren und dann löschen oder sollte ich diese lieber über DOS/Knoppix/Avenger diese direkt löschen ? Eine Neuinfektion möchte ich vermeiden. |
hi Sind wir noch `lange` nicht fertig ;) 1. den Quarantäne Ordner überall leeren - Antivirus bzw Anti-Spy-Programm usw - Gmer entfernen - C:\avenger\backup.zip löschen– (mit den Inhalt der gelöschten Dateien) → Papierkorb leeren - Rootrepeal entfernen 2. Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org
3. Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ Einträge auswählen→ Häckhen setzen→ "Fix checked"klicken→ PC neu aufstarten): Zitat:
reinige dein System mit Ccleaner:
5. Schalte den Rechner ab und nach ca 2-3 Minuten fahre wieder hoch 6.
8. Windows und die installierten Programme auf den neuesten Stand zu halten,sind Garanten für eine erhöhte Sicherheit! - Java aktualisieren `Start→ Systemsteuereung→ Java→ Aktualisierung... - Falls danach noch alte Updates unter `Systemsteuerung → Software → Ändern/Entfernen...` existieren, deinstallieren: - Adobe Reader: sehe nach, ob neuere Versionen vorhanden sind 9. poste erneut: Trend Micro HijackThis-Logfile filelist.bat - den letzten sechs Monaten! ** Berichte wie es dein Rechner geht? |
Anti Malware hat beim ersten Start den Fehler 732 (0, 0) geworfen. Ich schätze das lag daran, dass das Netzwerkkabel abgesteckt war (Ein Update habe ich dann durchgeführt), 1. erledigt 2. Malwarebytes Anti-Malware Log Code: Malwarebytes' Anti-Malware 1.40 |
So, ich musste kurz unterbrechen und ich kann irgendwie den vorherigen Beitrag editieren. 3. Hijackthis: erledigt 4. CCleaner: erledigt 5. War deutlich länger 6. SUPERAntiSpyware FREE Edition: Den Bildschirmschoner hab ich draufgelassen Code: SUPERAntiSpyware Scan Log7. :rolleyes: 8.Java war wirklich deutlich älter als ich dachte, wurde also auch gleich ein Update eingeleitet 9. HijackThis Log Frage: Was sind eigentlich diese Einträge bei O16 ? Code: Logfile of Trend Micro HijackThis v2.0.2 |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 11:10 Uhr. |
Copyright ©2000-2025, Trojaner-Board