|
AntiVir Guard findet "SKYNETdccvroqx.dll" Hi, ich bin neu im Forum und habe mir wohl einen Virus eingefangen, laut AntiVir Guard handelt es sich um "das Trojanische Pferd TR/TDss.anuv". Die zugehörige infizierte Datei trägt folgenden Pfad und Namen: C:\Windows\System32\SKYNETdccvroqx.dll Die Meldung taucht in Intervallen von 2Sekunden bis 3Minuten auf. Bei höherer Aktivität (Programme oder Fenster öffnen) häufiger. "Löschen", "Quarantäne" oder "Zugriff verweigern" zeigen keine Wirkung. Habe auf eigene Faust mit "Malwarebytes' Anti-Malware" zunächst einen vollständigen Scan durchgeführt. Da dieser sich aber "aufhing" ("Keine Rückmeldung"), probierte ich es mit einem Quickscan, der scheinbar auch einige Dateien gelöscht haben soll. Nach der Anmeldung im Forum habe ich dann den CCleaner durchlaufen lassen und nochmals Anti-Malware (Kompletter Scan). Diesmal nur noch einen Fund beim durchlaufen der gesammten C-Festplatte. Meine D-Partition ist noch unbenutzt und bei der Recovery-Partition, genauer bei "E:\Windows\System32\Com\MigRegDB.exe" war Anti-Malware erneut "ohne Rückmeldung", sodass ich es erneut schließen musste. Daher habe ich leider keinen logfile o.ä. erhalten. Daraufhin habe ich dann noch RSIT gestartet und folgende Dateien erhalten: *** wegen "Zeichenanzahl überschritten" im nächsten Beitrag *** Zum Schluss noch meine Systemdaten: Code: Betriebssystemname Microsoft® Windows Vista™ Home PremiumMfG treee |
Hi, das ist ein bekanntes Rootkit... So, dann wollen wir mal... Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/comb...x-benutzt-wird Dann noch: Malwarebytes Antimalware (MAM). Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Fullscan und alles bereinigen lassen! Log posten. RSIT Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. * Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/) * speichere es auf Deinem Desktop. * Starte mit Doppelklick die RSIT.exe. * Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. * Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. * In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". * Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. * Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. * Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. * Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. chris |
Was ist ein rootkit? Tut mir leid, aber die logs sind zu lang, "Der Text, den Sie eingegeben haben, besteht aus 26176 Zeichen und ist damit zu lang. Bitte kürzen Sie den Text auf die maximale Länge von 25000 Zeichen." gibt es eine Alternative diese hochzuladen? MfG treee [EDIT:] Wie bereits erwähnt, habe ich schon einen rsit log- und info-file, weiß aber nicht wie ich diese hier ins Forum bekomme, ohne die Zeichenlänge zu überschreiten. Malwarebytes' Anti-Malware hängt sich an bereits erwähnter Stelle immer auf, also "Keine Rückmeldung", und damit auch keinen Log-File. |
*mal reinhüpf* Rootkit Ein Rootkit ist eine Sammlung von Softwarewerkzeugen, die nach dem Einbruch in ein Computersystem installiert werden, um Logins des Eindringlings zu verbergen, Prozesse zu verstecken und Daten mitzuschneiden – generell gesagt: sich unsichtbar zu machen. Sie versuchen bereits installierte Spionageprogramme zu aktualisieren und gelöschte Spyware erneut zu installieren. *raushüpf & gruß an Chris :)* |
Hi, ein Rootkit verankert sich sehr tief im Betriebssystem (Treiberebene) oder wird sogar noch vor Windows selbst gestartet (MBR-Rootkit). Dann kontrolliert es alle Schreib-/Lesevorgänge und blendet seine eigenen Dateien aus, d.h. sie sind nicht über Windows (Explorer etc.) zu finden. Wenn ein Scanner sich also auf die Windowsfunktionen verlässt, wird das Rootkit nicht gefunden und verrichtet seine zweifelhaften Dienste weiterhin unerkannt "im dunklen" ;o)... Entweder aufteilen in mehrere Post oder: Fileuplod: http://www.file-upload.net/, hochladen und den Link (mit Löschlink) als "PrivateMail" an mich... chris |
PN hab ich gesendet Lösungsvorschläge zu meinem MAM-Problem? |
Hi, halte Dich an das beschrieben Vorgehensmodell, erst Combofix ausführen, der hebelt normalerweise das Rootkit (das auch den Start von MAM verhindert) aus, danach sollte MAM lauffähig sein, sonst müssen wir noch mal mit GMER nachschauen! chris |
Alle Punkte erfüllt. AntiVir Guard meldet keine Viren mehr. Log-Files wegen Überlänge wieder als PN versand. Vielen Dank schonmal. Ist der Trojaner zerstört oder welche weiteren Schritte sind nötig? MfG treee |
Hi, lt. Log stimmt was mit der Registry nicht, da stehen Backups die nach erfolgreichem Abschluss (Änderungen an der Reg.) nicht da stehen sollten... Regisrty noch mal bitte mit CCleaner prüfen! Der Skynetrootkit wurde entsorgt... Diese Datei bitte mal bei Virustotal prüfen lassen: C:\PROGRA~1\Google\GOOGLE~2\GoogleDesktopNetwork3.dll Ergebnis posten, sollte aber OK sein...... Stelle Avira wie folgt ein: http://www.trojaner-board.de/54192-a...tellungen.html Führe einen Systemscan durch und poste das Ergebnis! Hattest/Hast Du McAfee auf dem Rechner? chris |
CCleaner hab ich nochmal durchlaufen lassen. VirusTotal: Datei GoogleDesktopNetwork3.dll empfangen 2009.08.26 09:34:23 (UTC) Status:Beendet Ergebnis: 0/41 (0%) McAffee hatte ich ganz am Anfang mald rauf aber dann ist die Version abgelaufen und ich hab AntiVir draufgemacht. AntiVir Scan folgt MfG treee |
AntiVir Scan (2 Funde) Code: Avira AntiVir Personal |
Hi, das sieht gut aus, die Funde sind die Backupdateien von ComboFix (von dem Skynetrootkit)... Deinstalliere ComboFix (wird jeden Tag neu gebaut) über Start->Ausführen combofix /u. Danach Aufräumen: Backups von Avenger&Co (falls vorhanden) löschen: Falls der Rechner einwandfrei läuft, können die Backups der Bereinigungstools gelöscht werden (soweit vorhanden): C:\Qoobox - loeschen und Papierkorb leeren (ComboFix Backups) C:\avenger\backup.zip - loeschen und Papierkorb leeren (Avenger) C:\VundoFix Backups - loeschen und Papierkorb leeren C:\RVAXO-results.log -->Papierkorb leeren Backupfiles von HJ liegen im HJ-Ordner Bei Gelegenheit mal auf das SP2 von Vista updaten... chris |
Alles klar meinen herzlichsten Dank, hast du noch irgendwelche Ratschläge wie ich mich zukünftig ebsser schützen kann? Ist Avira AntiVir das beste Freeware-Programm? Sind eventuell zusätzliche Programme hilfreich? MfG treee |
Hi, auf XP kombiniere ich Avira mit einem Behaviour-Scanner (Threadfire, free Edition: http://www.threatfire.com/de/download/prev.aspx). Firefox mit WOT und NoScript-Plugin nutzen sowie ein eigenes, eingeschränktes Nutzerkonto zum Surfen anlegen (das keine Adminrechte hat, damit wird normalerweise max. nur das Konto verseucht, dann Konto löschen und das wars dann)... Der beste Schutz ist allerdings: Hirn beim Surfen, Email-Anhänge öffnen etc. einschalten, Tauschbörsen/Cracks etc. meiden... chris |
Okay Danke, dann kann der Threat geschlossen werden. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:32 Uhr. |
Copyright ©2000-2025, Trojaner-Board