|
Internetzugang Missbruacht durch Virus, spam und Fehlermeldungen Guten Tag liebe "Trojaner", bitte helft mir doch wenn ihr könnt. Ich habe einen Virus auf meinem Pc der wahrscheinlich durch einen Download auf diesen gelangt ist. Wenn ich den Pc starte erscheinen verschiedene Fehlermeldungen: "C:\Dokumente" konnte nicht gefunden werden.... "und" " " " " "Einstellungen\Simon\Anwendungsdaten\Adobe\Manager.exe" konnte nicht gefunden werden... Die in der Registrierung angegebene Anwendung "C:\Dokumente"/"und"/"Einstellungen\Simon\Anwendungsdaten\Adobe\Manager.exe" konnte nicht geladen oder gestartet werden.Stellen sie sicher dass diese Datei existiert. Und dann noch: ihaupd32.exe hat ein Problem festgestellt und muss beendet werden. Des weiteren kann ich den Computer nicht mehr in den Ruhezustand versetzen. Diese Email habe ich heute von meinem Internetanbieter 1&1 erhalten: Hinweis: Ihre Kundennummer und Ihr Name zeigen Ihnen, dass diese Nachricht von 1&1 verschickt wurde. Sehr geehrte/r Herr ......., wir haben Hinweise erhalten, dass über Ihren 1&1 Internetzugang Spam verbreitet wird. Anhand dieser Hinweise konnten wir feststellen, dass Ihr Computer sehr wahrscheinlich mit einem Virus infiziert ist. Dadurch ist er Teil eines sogenannten Botnetzes und kann von Hackern weltweit missbraucht werden. Ohne dass Sie selbst es merken, dient Ihr Rechner dazu, Spam zu verbreiten, Angriffe auf andere Rechner zu koordinieren und auszuführen. Auch könnten Ihre persönlichen Daten auf Ihrem Computer ausspioniert werden. Weitere Informationen finden Sie unter http://de.wikipedia.org/wiki/Botnetz. Folgende E-Mail ist von Ihrem Anschluss aus versendet worden: Absenderadresse: "Chase bank" <mailsupport.id4744278390ib@chase.com> Betreff-Zeile: Chase Bank: account security measures! Datum: 2009-12-02 15:21:37 Um die Sicherheit Ihres Internetzuganges und Ihrer persönlichen Daten wiederherzustellen, gehen Sie bitte wie folgt vor: 1. W-LAN prüfen: Wenn Sie W-LAN nutzen, prüfen Sie, ob Ihr Zugang geschützt ist und auch tatsächlich nur von berechtigten Personen genutzt wird. 2. Virus löschen und PC schützen: Um den Virus von Ihrem Computer zu entfernen und in Zukunft vor einer Infektion geschützt zu sein, empfehlen wir Ihnen die professionelle Anti-Viren-Software Norton 360 oder Norton Internet Security. Sie finden sie in Ihrem 1&1 Control Center. 3. Zugangsdaten ändern: Nachdem Sie den Virus gelöscht haben, ändern Sie zur Sicherheit alle Ihre Passwörter und Zugangsdaten zu Online-Accounts. Möglicherweise sind diese vom Virus ausspioniert worden. Denken Sie zum Beispiel an die Passwörter zu: - Ihrem 1&1 Control-Center (Service-Passwort) - Ihrem eBay-Mitglieds-Konto - Ihrem WEB.DE oder GMX E-Mail-Postfach - Ihrem PayPal-Konto - Ihrem Online-Banking-Account Sollte das Problem fortbestehen und Ihr Internetanschluss weiterhin Spam versenden, werden wir Sie hierüber informieren. Für Ihr Mitwirken danken wir Ihnen schon jetzt. Sollten Sie Fragen haben, antworten Sie auf diese E-Mail und belassen Sie bitte unsere Referenz in Ihrer Nachricht. Wir freuen uns darauf, Ihnen weiterhin eine sichere Dienstleistung zu bieten. Mit freundlichen Grüßen, Ihr Abuse Team -- Abuse Abteilung 1&1 Internet AG Elgendorfer Str. 57, 56410 Montabaur Amtsgericht Montabaur HRB 6484 · Vorstand: Henning Ahlert, Ralph Dommermuth, Matthias Ehrlich, Thomas Gottschlich, Robert Hoffmann, Markus Huhn, Hans-Henning Kettler, Dr. Oliver Mauss, Jan Oetjen · Aufsichtsratsvorsitzender: Michael Scheeren Protokoll Hijack this: Code: Logfile of Trend Micro HijackThis v2.0.2Ich hoffe ihr könnt mir weiterhelfen. Da ich viele wichtige Daten auf dem Pc habe und diese zurzeit überhaupt nicht geordnet sind würde ich es am liebsten vermeiden ein neues BS draufzuspielen oder Den Pc platt zu machen. Vielen Dank schonmal im vorraus. MfG, Simon |
Hi, da ist einiges drauf, bitte wie folgt vorgehen; Tools downloaden, MAM installieren und updaten, dann offline gehen, das folgende abarbeiten, dann wieder online gehen und logs posten: Malwarebytes Antimalware (MAM) Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Fullscan und alles bereinigen lassen! Log posten. RSIT Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. * Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/) * speichere es auf Deinem Desktop. * Starte mit Doppelklick die RSIT.exe. * Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. * Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. * In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". * Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. * Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. * Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. * Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. Gmer: http://www.trojaner-board.de/74908-a...t-scanner.html Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. Falls sich die Tools nicht installieren lassen, bitte bereits im Downloaddialog umbenennen, z.B. auf test1.exe etc... chris für mich: O4 - HKCU\..\Run: [vdettcq] "c:\dokumente und einstellungen\simon\lokale einstellungen\anwendungsdaten\vdettcq.exe" vdettcq O4 - S-1-5-18 Startup: scandisk.dll (User 'SYSTEM') O4 - S-1-5-18 Startup: scandisk.lnk = ? (User 'SYSTEM') O4 - .DEFAULT Startup: scandisk.dll (User 'Default user') O4 - .DEFAULT Startup: scandisk.lnk = ? (User 'Default user') O4 - Startup: ihaupd32.exe O4 - Startup: updxsp32.exe O20 - Winlogon Notify: xxop81 - C:\WINDOWS\SYSTEM32\xxop81.dll |
MAM Protokoll: Code: Malwarebytes' Anti-Malware 1.42RSIT: Code: info.txt logfile of random's system information tool 1.06 2009-12-04 19:13:35Code: Logfile of random's system information tool 1.06 (written by random/random)GMER jedoch : Hat ein Problem festgestellt und muss beendet werden. Wie geht es nun weiter, danke für die schnelle Hilfe fürs Erste. Simon |
Hi, Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://saved.im/mzi3ndg3nta0/aven.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code: registry keys to delete:4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! (Falls vorhanden, Teatimer von Spyboot wie folgt deaktivieren: Modus-->Erweiterte Modus-->Ja-->Werkzeuge-->Resident-->dHäkchen entfernen aus der "Resident "TeaTimer" (Schutz aller Systemeinstellungen)->exit) Code: O2 - BHO: Trellian BHO Impl - {24180B00-2EB6-11d7-BD6F-004854603DCE} - C:\Programme\TRELLIAN\Toolbar\toolbar.dllCombofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Das Gmer beendet wird ist ein schlechtes zeichen, deutet auf einen etwas härteren Rootkit hin. Bei dem Grad der Verseuchung solltest Du überlegen ob nicht Neuaufsetzen besser ist... chris |
Sorry, hat etwas länger gedauert: Log Avenger: Code: Logfile of The Avenger Version 2.0, (c) by Swandog46Log Combofix: Code: ComboFix 09-12-08.04 - Simon 09.12.2009 13:56:46.1.2 - x86Bin ich jetz wieder clean?Oder ist da noch etwas? Ah, Opera und Firefox öffnen nichtmehr, nur noch Internet Explorer.Auch wenn ich nun auf Opera gehe, öffnet einfach Internet Explorer. Lg Simon |
Hi, nein, bist Du noch nicht (obwohl, ich kann das ja nur über den Rechner sagen, wie das bei Dir aussieht ;o)... Diese Datei auf der Fesplatte C:\ suchen und alle Funde löschen: scandisk.lnk MBR-Rootkit Lade den MBR-Rootkitscanner von Gmer auf Deine Bootplatte: http://www2.gmer.net/mbr/mbr.exe Merke Dir das Verzeichnis wo Du ihn runtergeladen hast; Start->Ausführen->cmd Wechsle in das Verzeichnis des Downloads und starte durch Eingabe von mbr das Programm... Das Ergebnis sollte so aussehen: Zitat:
poste es im Thread; Falls dem nicht so ist, mbr /f ausführen ... Log dann nochmal posten... chris |
Also ich bin clean, nur mein Pc wohl nich haha. Keine Suchergebnisse liegen vor, hab jetzt mit der normalen Suche gesucht.Womit soll ich den suchen? mbr log: Code: Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net |
Hi, bitte fixe doch mal mit mbr (mbr /f). Prüfe Online die acpi.sys über virustotal.com (c:\windows\system32\Drivers\ACPI.sys). Der Rootkit sollte eigentlich von ComboFix erwischt worden sein. Falls Du Daemon-Tools oder Alcohol drauf hast, bitte temporär deinstallieren und ein neues GMR-Log erstellen (es gibt da noch einig Hooks die allerdings auch von den genannten Tools herrühren können) Download Registry Search by Bobbi Flekman <http://virus-protect.org/artikel/tools/regsearch.html> und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) scandisk.lnk in edit und klicke "Ok". Notepad wird sich oeffnen - poste den text Öffne eine cmd (Start->Ausführen->CMD) navigiere auf die höchste Laufwerksebene (cd \)schreib dort dann rein: dir scandisk.lnk /s >temp.txt öffne die temp.txt im Editor, kopiere das Ergebnis ab und poste es hier... chris |
Download Registry Search by Bobbi Flekman log: Code: Windows Registry Editor Version 5.00dir scandisk.lnk /s >temp.txt konnte nicht gefunden werden. Virus total: Code: Datei ACPI.sys empfangen 2009.12.09 15:07:54 (UTC) |
Hi, wurden keine Files (scandisk.lnk) gefunden, oder die Datei temp.txt nicht erstellt? Poste bitte mal den Inhalt der temp.txt... chris |
Ja es wurde keine temp.txt erstellt. Nein keine files gefunden.ich hab daemon tools deinstalliert und neu gestartet. |
Hi, Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://saved.im/mzi3ndg3nta0/aven.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code: Files to delete:4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Deinstalliere Opera und Firefox, danach Firefox neu installieren (ggf. vorher Links etc. sichern)... Läuft GMER jetzt? Poste ein Log vom Rootkitscann... chris |
GMER Log: Code: GMER 1.0.15.15273 - http://www.gmer.netAvenger log: Code: Logfile of The Avenger Version 2.0, (c) by Swandog46Opera und Google chrome sowie Firefox gehen wieder OHNE neuinstalliert zu haben. |
Oh nein, was ist das. Ich hab neu gestartet, jetzt ist Firefox abgestürzt und kein Browser geht wieder. Vielleicht hat er sich regeneriert über die wiederherstellungskonsole oder so etwas. Die Systemwiederherstellung ist nämlich an, oder ist das bei sowas nicht der Fall? Wie geht es jetzt weiter? Die scandisk dateien wurden ja auch nciht gefunden. Lg Simon |
Hi, das sieht jetzt so aus, das wir es mit einem Rootkit zu tun haben... Die svchost wurde modifiziert, die atapi.sys wird wieder als "supect" gemeldet... Hast Du eine XP-Boot-CD (Ev. müssen wir von da saubere Versionen der Dateien besorgen...) Ich habe Dich am Anfang darauf hingewiesen, dass bei einer solch massiven Verseuchung (immerhin hat MAM ha über 50 Tierchen gefunden), der Rechner neu aufgesetzt werden sollte! Deinstalliere ComboFix (Start->Ausführen combofix /u), lade ihn neu runter und lass Ihn laufen... Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Dannach bitte sofort die MBR.exe mit /f laufen lassen Start->Ausführen->cmd Wechsle in das Verzeichnis des Downloads und starte durch Eingabe von mbr /f das Programm... Dann: http://www.trojaner-board.de/59299-a...eb-cureit.html chris |
Ich habe eine Xp boot Cd. Leider geht combofix zurzeit nicht und ist nicht verfüg bar. Soll ich warten bis es wieder verfügbar ist oder schon die anderen schritte druchgehen? |
Hi, lasse Combofix erstmal weg und verfahre wie vorgeschlagen (mbr /f) und Dr. Web (der kann auch mit dem rootkit umgehen)... CF ist wegen Problemen mit diesem netten Teil offline... Die XP-CD brauchen wir, um gff. von der zu booten und die notwendigen Dateien von der CD auf den Rechner kopieren zu können (atapi.sys und svchost.exe)... Wenn Dr. Web nicht weiterkommt... Poste auf jeden Fall den Log von Dr. Web... chris |
Combofix log: Code: ComboFix 09-12-20.08 - Simon 21.12.2009 21:46:13.2.2 - x86mbam log: Code: Malwarebytes' Anti-Malware 1.42Dr web cure it log folgt morgen, tut mir leid wegen der Verspätung. Lg Simon |
Drweb Cure it log: Code: Google Cash Sniper. Full Crack Aug 09 .exe;C:\Dokumente und Einstellungen\Simon\Desktop;Trojan.DownLoad1.12826;Nicht desinfizierbar.Verschoben.;lg Simon |
Hey, Also DrWeb cure it hat nun einige wichtige Boot dateien verschoben denke ich. Ich habe meinen Pc auf Anweisung von DrWeb heruntergefahren und wenn er nun hochfäht kommt er nur bis um Windows XP Zeichen, dann kommt ein blauer Bildschrim ein paar Zeilen laufen ab und er startet von neuem. Im abgesichtertem Modus kann ich auch nciht booten. Wie ersetze ich diese dateien?Soll ich nun von der Cd booten? Schreibe nun vom Laptop aus. Lg, Simon |
Ich habe nun von der Xp Cd gebootet und bin in die Wiederherstellungskonsole gegangen. Dort habe ich Bootfix fixmbr durchgeführt und nun läuft der computer wieder. Wie geht es nun weiter? Lg, Simon |
Hi, die atapi.sys wurde von Dr. Web gelöscht und konnte nicht ersetzt werden... D.h. es waren nur verseuchte Versionen auf dem Rechner... Wir müssen prüfen ob das jetzt Okay ist, daher nochmal combofix (der sollte wieder online sein. TDSS ist nicht so einfach tot zu kriegen... Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. chris Ps. Denkste, er ist wieder down... Lass noch mal Dr.Web laufen, ob er noch was in der atapi.sys findet, oder ob die durch Booten von der XP-CD automatisch ersetzt wurde. Sonst müssen wir sie von der CD runterkopiern, expandieren und in das richtige Verzeichnis kopieren... |
Dr Web Cure it Log: Code: List-C.bat;C:\ComboFix;Wahrscheinlich BATCH.Virus;;Ich musste "mit der letzten bekannten funktionierenden Konfiguration booten". |
Hi, hmm, damit ist der Backdoor wieder aktiv (atapi.sys und ndis.sys sind systemdateien, die werden mitgesichert...), er hängt ausser im Bootblock noch in der ndis.sys und der atapi.sys.... Lass jetzt unbedingt mal combofix laufen (Log posten), der müsste jetzt wieder online sein. Danach direkt neu booten und in die Rettungskonsole gehen und wieder fixmbr durchführen... Dann noch mal CF laufen lassen&Log posten... Wenn das nicht klappt, stellen wir die Dateien von Hand her... chris |
Combofix log: Code: ComboFix 09-12-27.03 - Simon 28.12.2009 15:32:57.3.2 - x86 |
Hi, sieht ok aus... chris |
Combofix nach boot und mbr log: Code: ComboFix 09-12-27.03 - Simon 28.12.2009 15:48:24.4.2 - x86Wo finde ich das mbr log jetz nachdem ich mbr /f ausgeführt habe? nun hat combofix glaube ich garnichtsmehr gefunden? |
Ja, CF sieht gut aus... In dem Verzeichnis wo mbr.exe liegt findest Du das Log, poste es im Thread; Als letztes bitte noch mal gmer laufen lassen...: Gmer: http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. Mache auf jeden Fall den kompletten Rootkitscann... chris |
Also laut Heisse sind derzeit einige unbekannte Attacken am laufen, die Leute mit Trojanern infizieren, die dann ihrerseits Spamprozesse nachladen. Mich hats ohne eigenes zutun kürzlich auch erwischt. In meinem Fall hat die "services.exe" den Spam versendet, also nicht die services.exe selbst, sondern ein an sie angeschlossener Treiber. Schau doch mal in c:\windows\system32\drivers nach und lass Dir alle Dateien mal nach Datum anzeigen. Schau Dir dort den allerletzten Eintrag an. Ist dort eine sys Datei drin, die kürzlich angelegt wurde, ohne das Du einen Treiber o.ä. installiert hast (und die zudem einen völlig zufallsgenerierten Namen hat), dann weißt Du "was" bei Dir spammt ;-) Das ganze rumdoktoren am Trojaner bringt nix, weil der eigentliche Spamprozess noch immer aktiv ist. Einfach mal auf Deine Internetverbindung im Task Manager achten, oder TCPView laden und schauen ob sich ein Prozess zu massig vielen Mailservern verbindet! Ich denke die aktuelle Aktion die gerade abläuft, von der noch nichtmal heisse den Grund kennt (es ist nur bekannt, dass in letzter Zeit immer mehr Windowsrechner wie von Geisterhand beginnen Spam zu senden), wird noch eine riesen Sache! |
Hi, danke für den Hinweis, CF zeigt deshalb veränderte Dateien an... Der einzigst Treiber wäre (neben der "neuen" atapi.sys): c:\windows\system32\drivers\dwshd.sys Suchen wir doch mal in der Reg.: Download Registry Search by Bobbi Flekman http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) dwshd.sys in edit und klicke "Ok". Notepad wird sich oeffnen - poste den text Da sich der User allerdings länger nicht mehr gemeldet hat, gehe ich davon aus, dass sich das Problem erledigt hat... chris |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:26 Uhr. |
Copyright ©2000-2025, Trojaner-Board