|
Hi, zweiteres war der Fall. In userinit.exe stand der Verweis zu pxk_ als Debugger. Den Debugger-Eintrag hab ich jetzt gelöscht (vorher die Registry exportiert). Mir fallen zwei Dinge auf. Erstens: In diesem Registrierungsverzeichnis (IFEO) tauchen opera.exe, safari.exe und chrome.exe auf. Alle mit Eintrag: Debugger C:\Programme\Internet Explorer\iexplorer.exe Ich weiß ganz genau, dass ich keinerlei alternativen Browser angefasst habe. Im Zweitrechner gibts solche Einträge nicht. Dafür werd ich hier gerade auch beim Zweitrechner schon ganz wuschig: Beim Öffnen der Registry im Zweitrechner zeigt mir diese genau HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options !!!!!!! Als wär das das gängigste Verzeichnis in der Registry....das kann doch kein Zufall sein!?! Zweitens: In beiden Registries ist in dem Schlüsselzweig noch ein Eintrag namens mngreg.exe; Unterschlüssel: Standard (Wert nicht gesetzt) und ApplicationGoo mit nem langem Reg_Binary Wert. Googelt man unter mngreg32.exe, kommen nur Treffer von Leuten mit verseuchten Systemen. PS: hochfahren geht jetzt wieder normal. |
Zitat:
Zitat:
Zitat:
Zitat:
Biegt der Browser noch ab? Sicherheitsseiten noch blockiert? |
Habe jetzt die Schlüssel aus der Registry entfernt, die den iexplore.exe als Debugger drin hatten (Chrome, Safari...), ferner die Registry nochmal nach "pxkuz" durchsucht (keine Treffer). Edit: das bringt wohl offenbar nix, "notep" als Suchwort bringt auch keine Treffer, obwohl ich weiß, dass es Schlüssel gibt, die das Wort notepad enthalten). Dann neu hochgefahren. Aaaber: Den IE aufgemacht, in Google "fantastic" eingegeben. Zweiter Treffer ist irgendsone Filmwerbung von Kinowelt. Anklicken führt auf einem sauberen Rechner direkt zu Kinowelt, auf meinem Rechner zu h++p://bcczzoot.com/in.cgi¶meter=fantastic&ur=1&HTTP_REFERER=31201 und zwar als untere Seite in einem Frameset. Malwarebytes startet das Update, das wird dann aber in der Hälfte abgebrochen. Malwarebytes wird ebenfalls nach ein paar Sekunden abgeschossen. Man kann genau auf Scan klicken, dann geht das Fenster zu. Gruß, wechselbalg. PS: Kann man die Registry dahingehend untersuchen, dass man alle Schlüssel aufgelistet bekommt, in denen ein Debugger vorkommt? |
Wir sollten uns jetzt nicht zu sehr auf die Image File Executions konzentrieren und alles andere außer acht lassen. Es wird Zeit für Combofix: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Da bin ich wieder. Combofix lief durch. Hat so weit ich das überblicke nur den popcaploader gefunden. Hier das Log: Code: ComboFix 09-12-01.01 - Admin 01.12.2009 19:57.1.2 - x86Kleine Anmerkung am Rande: nachdem Combofix runtergefahren hatte, war der Screen nach dem automatischen Neustart erstmal komplett schwarz mit weißem Mauszeiger. Im Zweiten Anlauf (normales Starten, nicht Wiederherstellung) startete der Rechner dann normal. CCleaner ist ebenfalls durchgelaufen. Der hat die Registry um rund 300 Einträge gekürzt. Die Probleme bei Malwarebytes sind unverändert. Internet Explorer habbich nicht getestet. |
Code: 2009-11-30 22:58 . 2008-04-14 02:22 70144 ----a-w- c:\windows\system32\pxkuzuwjb.exeCode: c:\windows\system32\BD8860DN.DAT |
das pxku_File ist definitiv das umbenannte Notepad. Habs jetzt gelöscht. Die BD8860DN-dat hat nur 1 KB, Check ergab: sauber. rfj.old hingegen ist der nächste Treffer: AVG 8.5.0.426 2009.12.01 Delf.NLP BitDefender 7.2 2009.12.01 Gen:Trojan.Kates.lG8@ayeDK6hi ClamAV 0.94.1 2009.12.01 - DrWeb 5.0.0.12182 2009.12.01 Trojan.Packed.194 eSafe 7.0.17.0 2009.12.01 - Fortinet 4.0.14.0 2009.12.01 - GData 19 2009.12.01 Gen:Trojan.Kates.lG8@ayeDK6hi K7AntiVirus 7.10.906 2009.11.27 - McAfee-GW-Edition 6.8.5 2009.12.01 Trojan.PSW.Kates.CA.3 Microsoft 1.5302 2009.12.01 Trojan:Win32/Daonol.gen!A Norman 6.03.02 2009.12.01 - Panda 10.0.2.2 2009.12.01 Trj/KillAV.FJ PCTools 7.0.3.5 2009.12.01 Trojan-PSW.Daonol VBA32 3.12.12.0 2009.11.30 Trojan-PSW.Win32.Kates.q VirusBuster 5.0.21.0 2009.12.01 - Hier die Übersicht |
Die rfj.old bitte wieder bei uns hochladen. Das wäre schon wichtig wenn Du das machst, damit möglichst schnell möglichst viele AV-Labs Signaturen für diesen wohl noch recht neuen Schädling erstellen können. Danach müssen wir scripten: Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code: KILLALL::4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die ComboFix.exe bzw. cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. http://users.pandora.be/bluepatchy/m...s/CFScript.gif 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann! |
ok, die rfj.old-Datei ist bei Euch. Combofix blieb beim Runterfahren hängen: ich hatte einen leeren Desktop vor mir, Maus ließ sich noch bewegen, also hab ich mittels Task-Manager -> neuer Task -> "explorer" für eine Arbeitsumgebung gesorgt. Kein Logfile gesehen, also Neustart. Aber auch jetzt wird kein Logfile eingeblendet. Hm, aber dafür gibts was anderes Interessantes zu beobachten: http://techdepot.gmxhome.de/hardcopy_.jpg Auf der Suche nach dem Combofix-Log (nicht gefunden in C:\Combofix.txt, also gesucht in C:\CombFi\*) wird dieser Ordner als "Unter-"Arbeitsplatz angezeigt, womit sich die im Bild zu sehende Endlos-Kaskade bilden lässt. Netter Effekt :singsing: Auch das Durchsuchen der Festplatte führt in eine Endlosschleife. Fürchte, wir müssen ohne das Log auskommen...naja, schaun wir mal weiter: die dat-Datei ist aus \system32\ verschwunden, aber die rfj.old ist noch da - aber: sie hat nur noch 100 kB, vorher warens 179 kB. Virustotal sagt zu dieser veränderten Datei folgendes: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.43 2009.12.01 Trojan-PWS.Win32.Kates!IK AhnLab-V3 5.0.0.2 2009.12.01 - AntiVir 7.9.1.88 2009.12.01 TR.PSW.Kates.CA.3 Antiy-AVL 2.0.3.7 2009.12.01 Trojan/Win32.Kates.gen Authentium 5.2.0.5 2009.12.01 W32/Pws.BNTH Avast 4.8.1351.0 2009.12.01 - AVG 8.5.0.426 2009.12.01 - BitDefender 7.2 2009.12.02 - CAT-QuickHeal 10.00 2009.12.01 - ClamAV 0.94.1 2009.12.01 - Comodo 3103 2009.12.01 - DrWeb 5.0.0.12182 2009.12.01 - eSafe 7.0.17.0 2009.12.01 - eTrust-Vet 35.1.7151 2009.12.01 - F-Prot 4.5.1.85 2009.12.01 W32/Pws.BNTH F-Secure 9.0.15370.0 2009.11.29 - Fortinet 4.0.14.0 2009.12.01 - GData 19 2009.12.02 - Ikarus T3.1.1.74.0 2009.12.01 Trojan-PWS.Win32.Kates Jiangmin 11.0.800 2009.12.01 Trojan/PSW.Kates.bv K7AntiVirus 7.10.906 2009.11.27 - Kaspersky 7.0.0.125 2009.12.02 - McAfee 5819 2009.12.01 potentially unwanted program Corrupt-07!0D5EF96FE6E5 McAfee+Artemis 5819 2009.12.01 potentially unwanted program Corrupt-07!0D5EF96FE6E5 McAfee-GW-Edition 6.8.5 2009.12.01 Trojan.PSW.Kates.CA.3 Microsoft 1.5302 2009.12.01 - NOD32 4653 2009.12.02 - Norman 6.03.02 2009.12.01 - nProtect 2009.1.8.0 2009.11.28 Trojan/W32.Daonol.Gen Panda 10.0.2.2 2009.12.01 - PCTools 7.0.3.5 2009.12.02 - Prevx 3.0 2009.12.02 - Rising 22.24.01.09 2009.12.01 - Sophos 4.48.0 2009.12.02 - Sunbelt 3.2.1858.2 2009.12.02 - Symantec 1.4.4.12 2009.12.02 - TheHacker 6.5.0.2.083 2009.12.01 - TrendMicro 9.100.0.1001 2009.12.01 - VBA32 3.12.12.0 2009.11.30 - ViRobot 2009.12.1.2065 2009.12.01 - VirusBuster 5.0.21.0 2009.12.01 - Hier der Link dazu ...also schon erheblich weniger Treffer als im Urzustand. Was machen wir denn da? Hm, auch auf die Gefahr hin, dass ich jetzt verhauen werde, ich habe einfach nochmal Combofix durchlaufen lassen (ohne Parameter). Jetzt lief es durch. Hier das Log: Code: ComboFix 09-12-01.01 - Admin 02.12.2009 2:05.3.2 - x86 |
Ist die rfj.old nun weg? Lässt MalwareBytes sich nun starten? |
Malwarebytes ließ sich updaten und starten. Hier das Log: Zitat:
Frage dazu: die Dateien liegen da in den Wiederherstellungspunkten (die ich nie benutzt habe) rum. Was hat der In-die-Welt-Setzer davon, wenn sie nicht gestartet werden? Oder ist das ein Indiz dafür, dass zum Zeitpunkt dieses Wiederherstellungspunktes der jeweilige Trojaner gerade auf dem Rechner wirkte? Textpad lässt sich wieder ausführen. Edit: Surfen geht auch wieder, ohne dass der IE in unerwünschte Richtungen abdriftet. |
Ich würde sicherheitshalber die Wiederherstellunsgpunkte löschen. Mein Standardtext dazu ;) : Zitat:
Hast Du mit dem CCleaner auch alle Temdateien gelöscht? Im listing.txt waren noch etliche Uralte Tempdateien zu sehen. |
Nach dem erneuten Hochfahren gestern Nacht war der ulkige Kaskadierungseffekt weg. Muss mit dem Absturz in ComboFix zusammengehangen haben. Mit Absicht können das nur wenige... :D Im Moment läuft gerade Avira Antivir durch. Und die Datenträgerbereinigung ist nach dem Deaktivieren der Systemwiederherstellung auch angesprungen. Wenn der Rechner wieder Land sieht, gucke ich nochmal, was mit den Temp-Dateien los ist (hatte in CCleaner eigentlich alle Haken gesetzt). Hat Eure Kaffeekasse eine Kontoverbindung oder einen Paypal-Account? |
Zitat:
|
So, Avira Antivir hat noch ein faules Ei entdeckt: in C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KH87MWPP war eine Datei namens Win32[1].exe, die als TR/Inject.M identifiziert wurde. CCleaner habe ich auch nochmal laufen lassen. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:44 Uhr. |
Copyright ©2000-2025, Trojaner-Board