|
REGEDIT--> Das Bearbeiten der Registrierung wurde durch den Administrator deaktiviert Hi, unser PC hat ein großes Problem, wahrscheinlich ein Virus. Wenn man den Task-Manager öffnen möchte kommt folgende Fehlermeldung: Zitat:
Zitat:
Zitat:
MfG sissi |
Hi, ACHTUNG: Eure Internetverbindung wird in die Ukraine umgeleitet, nichts mehr mit Passwörtern/Homebanking etc. Alle Pwd von einen sauberenen Rechner aus sofort ändern... Da liegt einiges im Argen, mal sehen was die Tools davon geradebiegen: O23 - Service: Intelligenter Hintergrundübertragungsdienst (BITS) - Unknown owner - %fystemRoot%\system32\svchost.exe (file missing) O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.46 85.255.112.154 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.46 85.255.112.154 O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing) O10 - Broken Internet access because of LSP provider 'ngmn1.dll' missing ... Erweitertes Vorgehen: Bitte MAM, RSIT und Gmer: Malwarebytes Antimalware (MAM). Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Fullscan und alles bereinigen lassen! Log posten. RSIT Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. * Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/) * speichere es auf Deinem Desktop. * Starte mit Doppelklick die RSIT.exe. * Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. * Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. * In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". * Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. * Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. * Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. * Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. Gmer: http://www.trojaner-board.de/74908-a...t-scanner.html Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. chris |
Danke für die schnelle Antwort. Ich werde die 3 Sachen Morgen machen. Passwörter hab ich über einen anderen PC (aber im selben Netzwerk) geändert. Ist es denn ein bekannter Virus/Malware (oder wie es heißen mag)? Und kann er/es durch ein Homenetzwerk auf einen anderen PC übertragen worden sein? MfG sissi |
Hi, kann ich erst sagen wenn die Logs da sind, auf jeden Fall ist ein DNS-Changer beteiligt, die ziehen aber durch die umgeleitet Verbindung alles mögliche noch nach sich... Falls ihr Homebanking macht, unbedingt Konto ggf. sperren lassen... chris |
OK ich werds dann wohl doch jetzt machen. Aber nochmal meine Frage: Kann das auch in irgendeiner Form auf einen anderen PC im Netzwerk übergegangen sein? MfG sissi |
Hi, ja das ist bei eingen der Teile möglich, Verbreitung über USB-Geräte (Sticks, Festplatten, Kameras etc.), über Freigaben und über gefälschte DNS-Angaben... Kommt darauf an, wie Euer Netzwerk konfiguriert und ausgebaut ist... chris |
Alle Logs bis auf das von GMER sind im Anhang. GMER: Zitat:
Allerdings ist die CPU Auslastung ständig bei 100%. Laut Taskmanager ist der Prozess CLMLService.exe dafür verantwortlich. Wenn man diesen jedoch beendet steigt die CPU auslastung von winlogon.exe auf 95-100. Da das Internet auf dem "infizierten" PC nicht funktioniert, habe ich die erforderlichen Programme auf einem anderen PC heruntergeladen und mit einer Speicherkarte auf den "infizierten" PC übertragen und folglich auch die Logs auf der Karte gespeichert um sie hier posten zu können. Sollte ich jetzt auch den anderen PC durch diese Programme checken lassen und die Logs hier posten? MfG sissi |
Hi, Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code: C:\WINDOWS\system32\DRIVERS\atksgt.sys
Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://saved.im/mzi3ndg3nta0/aven.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code: 3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet. 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code: O1 - Hosts: localhost 127.0.0.1Hosts-Datei (richtig wäre:O1 - Hosts:127.0.0.1 localhost statt: localhost 127.0.0.1...) LSPFix http://www.snapfiles.com/get/lspfix.html LSPfix wird Dir Reparaturvorschläge machen falls es nötig ist gehe n i c h t in den Advanced Mode - befolge nur die Vorschläge - beachte Warnungen "IF YOU REALLY KNOW WHAT YOU ARE DOING !" wenn du das siehst machst du besser Nix - sonst kannst Du Dein Netzwerkteil von Windows zu Fuss neumachen - das ist kein Spass ! MAM updaten und nochmal ein Fullscan... So, und jetzt die schlechte Nachricht: Ihr hattet einen Backdoor auf Eurem Rechner, d.h. jemand hatte vollen Zugriff! Ihr solltet den Rechner platt machen und Neuaufsetzen! Die anderen Rechner mit MAM prüfen! chris |
So: Virustotal: Datei1: Virustotal. MD5: 6e996cf8459a2594e0e9609d0e34d41f Bei Datei 2 kommt folgende Meldung: Code: 0 bytes size received / Se ha recibido un archivo vacioAvenger: Code: Logfile of The Avenger Version 2.0, (c) by Swandog46MfG sissi |
MAM: Code: Malwarebytes' Anti-Malware 1.41 |
Hi, bitte ein neues RSIT und wir werden noch CF machen (der PWD-Stealer scheint sehr "Entfernungsunwillig" zu sein... RSIT Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. * Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/ * speichere es auf Deinem Desktop. * Starte mit Doppelklick die RSIT.exe. * Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. * Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. * In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". * Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. * Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. * Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. * Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Was macht das Internet am Rechner? chris |
Internet funktioniert wieder :) Von RSIT gabs dieses mal nur ein Log File und kein Info File (Es ist zwar ein Info File vorhanden, jedoch das von gestern). So das ComboFix Log ist jetzt auch im Anhang. MfG sissi PS: Prozessorauslastung ist jetzt auch wieder im normalen Bereich :) |
Hi, Mit HJ fixen, danach neues HJ-Log O23 - Service: Automatische Updates (wuauserv) - Unknown owner - C:\WINDOWS\ O23 - Service: Intelligenter Hintergrundübertragungsdienst (BITS) - Unknown owner - C:\WINDOWS\ Hoch gefährlich: c:\windows\ServicePackFiles\i386\sfcfiles.dll wurde wiederhergestellt Wie empfohlen solltet Ihr den Rechner neu aufsetzen, da hat sich jemand an den Systemfiles "vergriffen" und um das zu verschleiern eine manipulierte "Ausschlußdatei" für die Systemintigritätsüberprüfung untergeschoben... Systemdateien prüfen: Start->Ausführen->cmd In der aufgehenden Commandline-Box folgendes eingeben: sfc /scannow Eventuelle Meldungen abkopieren und posten... Combofix deinstallieren: Start->Ausführen-> combofix /u Komplette Überprüfung: Kaskpersky OnlineScanner http://www.kaspersky.com/de/virusscanner chris |
Hi, Zitat:
svc /scannow ist durchgelaufen aber es gab kein Log ect. Der Kasperky Online Scanner wird leider gerade überarbeitet und ist deswegen nicht verfügbar. MfG sissi |
Hi, immer noch dabei (Kaspersky), das geht jetzt schon Tage so... Nehmen wir mal Dr.Web/Cureit... http://www.trojaner-board.de/59299-a...eb-cureit.html Wenn Sfc nichts gebracht hat, ist es okay... Im RSIT-Log sind die Einträge noch drin, bitte noch mal ein HJ-Log posten.. chris |
So: Habe jetzt das HJ Log hier und DrWeb.txt im Anhang. HJ: Code: Logfile of Trend Micro HijackThis v2.0.2 |
Hi, wow die gesamte Systemwiederherstellung ist hochgradig verseucht... Systemwiederherstellung löschen BSI-Faltblattt (https://www.bsi.bund.de/cln_134/ContentBSI/Publikationen/Faltblaetter/F24VirenundCo.html) und dort unter Viren entfernen Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt: Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung -> anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten; Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder). Einen ersten Restorepunkt setzten: Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen Im HJ-Log sind die Einträge jetzt endlich verschwunden, es gibt noch die hier, kennt Ihr die? Code: O16 - DPF: {0972B098-DEE9-4279-AC7E-4BAAA029102D} (PhotoboxPhotowaysUploader5 Control) - http://assets.photobox.com/assets/aurigma/ImageUploader5.cab?20090812152034Noch etwas Nacharbeit: System Reparieren: Lade Dir "Advanced Windowscare Professional" von folgender Adresse: http://www.iobit.com/advancedwindowscareper.html?Str=download Installieren auf Deutsch, Yahoo-Toolbar etc. abwählen. Erstelle einen Systemwiederherstellungspunkt (Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen) oder lasse ihn automatisch erstellen. Führe dann einen Update der Signatur/Reparaturdateien aus. Lasse dann das gesamte System scannen und Bereinigen sowie Immunisieren. Damit werden einige Einträge wieder gerade gebogen, die von Trojaneren/Viren verbogen worden sind... chris |
Hi, das wäre dann soweit geschaft. Ist der PC jetzt Viren frei? Und müssen wir in jetzt platt machen? Oder ist alles soweit OK? MfG sissi |
Hi, im Augenblick kann ich nichts mehr erkennen... Allerdings hatte jemande per Backdoor Zugriff auf den Rechner, d.h. er kann Einstellungen geändert, Ports geöffnet etc. haben. Daher ist die generelle Empfehlung nach so einer massiven Infektion den Rechner komplett Neuaufsetzen. Die Bereinigung dient dazu die Daten einigermaßen sicher retten zu können... chris |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 07:57 Uhr. |
Copyright ©2000-2025, Trojaner-Board