|
Internetzugang Missbruacht durch Virus, spam und Fehlermeldungen Guten Tag liebe "Trojaner", bitte helft mir doch wenn ihr könnt. Ich habe einen Virus auf meinem Pc der wahrscheinlich durch einen Download auf diesen gelangt ist. Wenn ich den Pc starte erscheinen verschiedene Fehlermeldungen: "C:\Dokumente" konnte nicht gefunden werden.... "und" " " " " "Einstellungen\Simon\Anwendungsdaten\Adobe\Manager.exe" konnte nicht gefunden werden... Die in der Registrierung angegebene Anwendung "C:\Dokumente"/"und"/"Einstellungen\Simon\Anwendungsdaten\Adobe\Manager.exe" konnte nicht geladen oder gestartet werden.Stellen sie sicher dass diese Datei existiert. Und dann noch: ihaupd32.exe hat ein Problem festgestellt und muss beendet werden. Des weiteren kann ich den Computer nicht mehr in den Ruhezustand versetzen. Diese Email habe ich heute von meinem Internetanbieter 1&1 erhalten: Hinweis: Ihre Kundennummer und Ihr Name zeigen Ihnen, dass diese Nachricht von 1&1 verschickt wurde. Sehr geehrte/r Herr ......., wir haben Hinweise erhalten, dass über Ihren 1&1 Internetzugang Spam verbreitet wird. Anhand dieser Hinweise konnten wir feststellen, dass Ihr Computer sehr wahrscheinlich mit einem Virus infiziert ist. Dadurch ist er Teil eines sogenannten Botnetzes und kann von Hackern weltweit missbraucht werden. Ohne dass Sie selbst es merken, dient Ihr Rechner dazu, Spam zu verbreiten, Angriffe auf andere Rechner zu koordinieren und auszuführen. Auch könnten Ihre persönlichen Daten auf Ihrem Computer ausspioniert werden. Weitere Informationen finden Sie unter http://de.wikipedia.org/wiki/Botnetz. Folgende E-Mail ist von Ihrem Anschluss aus versendet worden: Absenderadresse: "Chase bank" <mailsupport.id4744278390ib@chase.com> Betreff-Zeile: Chase Bank: account security measures! Datum: 2009-12-02 15:21:37 Um die Sicherheit Ihres Internetzuganges und Ihrer persönlichen Daten wiederherzustellen, gehen Sie bitte wie folgt vor: 1. W-LAN prüfen: Wenn Sie W-LAN nutzen, prüfen Sie, ob Ihr Zugang geschützt ist und auch tatsächlich nur von berechtigten Personen genutzt wird. 2. Virus löschen und PC schützen: Um den Virus von Ihrem Computer zu entfernen und in Zukunft vor einer Infektion geschützt zu sein, empfehlen wir Ihnen die professionelle Anti-Viren-Software Norton 360 oder Norton Internet Security. Sie finden sie in Ihrem 1&1 Control Center. 3. Zugangsdaten ändern: Nachdem Sie den Virus gelöscht haben, ändern Sie zur Sicherheit alle Ihre Passwörter und Zugangsdaten zu Online-Accounts. Möglicherweise sind diese vom Virus ausspioniert worden. Denken Sie zum Beispiel an die Passwörter zu: - Ihrem 1&1 Control-Center (Service-Passwort) - Ihrem eBay-Mitglieds-Konto - Ihrem WEB.DE oder GMX E-Mail-Postfach - Ihrem PayPal-Konto - Ihrem Online-Banking-Account Sollte das Problem fortbestehen und Ihr Internetanschluss weiterhin Spam versenden, werden wir Sie hierüber informieren. Für Ihr Mitwirken danken wir Ihnen schon jetzt. Sollten Sie Fragen haben, antworten Sie auf diese E-Mail und belassen Sie bitte unsere Referenz in Ihrer Nachricht. Wir freuen uns darauf, Ihnen weiterhin eine sichere Dienstleistung zu bieten. Mit freundlichen Grüßen, Ihr Abuse Team -- Abuse Abteilung 1&1 Internet AG Elgendorfer Str. 57, 56410 Montabaur Amtsgericht Montabaur HRB 6484 · Vorstand: Henning Ahlert, Ralph Dommermuth, Matthias Ehrlich, Thomas Gottschlich, Robert Hoffmann, Markus Huhn, Hans-Henning Kettler, Dr. Oliver Mauss, Jan Oetjen · Aufsichtsratsvorsitzender: Michael Scheeren Protokoll Hijack this: Code: Logfile of Trend Micro HijackThis v2.0.2Ich hoffe ihr könnt mir weiterhelfen. Da ich viele wichtige Daten auf dem Pc habe und diese zurzeit überhaupt nicht geordnet sind würde ich es am liebsten vermeiden ein neues BS draufzuspielen oder Den Pc platt zu machen. Vielen Dank schonmal im vorraus. MfG, Simon |
Hi, da ist einiges drauf, bitte wie folgt vorgehen; Tools downloaden, MAM installieren und updaten, dann offline gehen, das folgende abarbeiten, dann wieder online gehen und logs posten: Malwarebytes Antimalware (MAM) Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Fullscan und alles bereinigen lassen! Log posten. RSIT Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. * Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/) * speichere es auf Deinem Desktop. * Starte mit Doppelklick die RSIT.exe. * Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. * Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. * In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". * Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. * Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. * Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. * Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. Gmer: http://www.trojaner-board.de/74908-a...t-scanner.html Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. Falls sich die Tools nicht installieren lassen, bitte bereits im Downloaddialog umbenennen, z.B. auf test1.exe etc... chris für mich: O4 - HKCU\..\Run: [vdettcq] "c:\dokumente und einstellungen\simon\lokale einstellungen\anwendungsdaten\vdettcq.exe" vdettcq O4 - S-1-5-18 Startup: scandisk.dll (User 'SYSTEM') O4 - S-1-5-18 Startup: scandisk.lnk = ? (User 'SYSTEM') O4 - .DEFAULT Startup: scandisk.dll (User 'Default user') O4 - .DEFAULT Startup: scandisk.lnk = ? (User 'Default user') O4 - Startup: ihaupd32.exe O4 - Startup: updxsp32.exe O20 - Winlogon Notify: xxop81 - C:\WINDOWS\SYSTEM32\xxop81.dll |
MAM Protokoll: Code: Malwarebytes' Anti-Malware 1.42RSIT: Code: info.txt logfile of random's system information tool 1.06 2009-12-04 19:13:35Code: Logfile of random's system information tool 1.06 (written by random/random)GMER jedoch : Hat ein Problem festgestellt und muss beendet werden. Wie geht es nun weiter, danke für die schnelle Hilfe fürs Erste. Simon |
Hi, Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://saved.im/mzi3ndg3nta0/aven.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code: registry keys to delete:4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! (Falls vorhanden, Teatimer von Spyboot wie folgt deaktivieren: Modus-->Erweiterte Modus-->Ja-->Werkzeuge-->Resident-->dHäkchen entfernen aus der "Resident "TeaTimer" (Schutz aller Systemeinstellungen)->exit) Code: O2 - BHO: Trellian BHO Impl - {24180B00-2EB6-11d7-BD6F-004854603DCE} - C:\Programme\TRELLIAN\Toolbar\toolbar.dllCombofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Das Gmer beendet wird ist ein schlechtes zeichen, deutet auf einen etwas härteren Rootkit hin. Bei dem Grad der Verseuchung solltest Du überlegen ob nicht Neuaufsetzen besser ist... chris |
Sorry, hat etwas länger gedauert: Log Avenger: Code: Logfile of The Avenger Version 2.0, (c) by Swandog46Log Combofix: Code: ComboFix 09-12-08.04 - Simon 09.12.2009 13:56:46.1.2 - x86Bin ich jetz wieder clean?Oder ist da noch etwas? Ah, Opera und Firefox öffnen nichtmehr, nur noch Internet Explorer.Auch wenn ich nun auf Opera gehe, öffnet einfach Internet Explorer. Lg Simon |
Hi, nein, bist Du noch nicht (obwohl, ich kann das ja nur über den Rechner sagen, wie das bei Dir aussieht ;o)... Diese Datei auf der Fesplatte C:\ suchen und alle Funde löschen: scandisk.lnk MBR-Rootkit Lade den MBR-Rootkitscanner von Gmer auf Deine Bootplatte: http://www2.gmer.net/mbr/mbr.exe Merke Dir das Verzeichnis wo Du ihn runtergeladen hast; Start->Ausführen->cmd Wechsle in das Verzeichnis des Downloads und starte durch Eingabe von mbr das Programm... Das Ergebnis sollte so aussehen: Zitat:
poste es im Thread; Falls dem nicht so ist, mbr /f ausführen ... Log dann nochmal posten... chris |
Also ich bin clean, nur mein Pc wohl nich haha. Keine Suchergebnisse liegen vor, hab jetzt mit der normalen Suche gesucht.Womit soll ich den suchen? mbr log: Code: Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net |
Hi, bitte fixe doch mal mit mbr (mbr /f). Prüfe Online die acpi.sys über virustotal.com (c:\windows\system32\Drivers\ACPI.sys). Der Rootkit sollte eigentlich von ComboFix erwischt worden sein. Falls Du Daemon-Tools oder Alcohol drauf hast, bitte temporär deinstallieren und ein neues GMR-Log erstellen (es gibt da noch einig Hooks die allerdings auch von den genannten Tools herrühren können) Download Registry Search by Bobbi Flekman <http://virus-protect.org/artikel/tools/regsearch.html> und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) scandisk.lnk in edit und klicke "Ok". Notepad wird sich oeffnen - poste den text Öffne eine cmd (Start->Ausführen->CMD) navigiere auf die höchste Laufwerksebene (cd \)schreib dort dann rein: dir scandisk.lnk /s >temp.txt öffne die temp.txt im Editor, kopiere das Ergebnis ab und poste es hier... chris |
Download Registry Search by Bobbi Flekman log: Code: Windows Registry Editor Version 5.00dir scandisk.lnk /s >temp.txt konnte nicht gefunden werden. Virus total: Code: Datei ACPI.sys empfangen 2009.12.09 15:07:54 (UTC) |
Hi, wurden keine Files (scandisk.lnk) gefunden, oder die Datei temp.txt nicht erstellt? Poste bitte mal den Inhalt der temp.txt... chris |
Ja es wurde keine temp.txt erstellt. Nein keine files gefunden.ich hab daemon tools deinstalliert und neu gestartet. |
Hi, Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://saved.im/mzi3ndg3nta0/aven.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code: Files to delete:4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Deinstalliere Opera und Firefox, danach Firefox neu installieren (ggf. vorher Links etc. sichern)... Läuft GMER jetzt? Poste ein Log vom Rootkitscann... chris |
GMER Log: Code: GMER 1.0.15.15273 - http://www.gmer.netAvenger log: Code: Logfile of The Avenger Version 2.0, (c) by Swandog46Opera und Google chrome sowie Firefox gehen wieder OHNE neuinstalliert zu haben. |
Oh nein, was ist das. Ich hab neu gestartet, jetzt ist Firefox abgestürzt und kein Browser geht wieder. Vielleicht hat er sich regeneriert über die wiederherstellungskonsole oder so etwas. Die Systemwiederherstellung ist nämlich an, oder ist das bei sowas nicht der Fall? Wie geht es jetzt weiter? Die scandisk dateien wurden ja auch nciht gefunden. Lg Simon |
Hi, das sieht jetzt so aus, das wir es mit einem Rootkit zu tun haben... Die svchost wurde modifiziert, die atapi.sys wird wieder als "supect" gemeldet... Hast Du eine XP-Boot-CD (Ev. müssen wir von da saubere Versionen der Dateien besorgen...) Ich habe Dich am Anfang darauf hingewiesen, dass bei einer solch massiven Verseuchung (immerhin hat MAM ha über 50 Tierchen gefunden), der Rechner neu aufgesetzt werden sollte! Deinstalliere ComboFix (Start->Ausführen combofix /u), lade ihn neu runter und lass Ihn laufen... Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Dannach bitte sofort die MBR.exe mit /f laufen lassen Start->Ausführen->cmd Wechsle in das Verzeichnis des Downloads und starte durch Eingabe von mbr /f das Programm... Dann: http://www.trojaner-board.de/59299-a...eb-cureit.html chris |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:55 Uhr. |
Copyright ©2000-2025, Trojaner-Board