Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Uni Seite öffnet nicht nach Meldung von Viren wie TR/Alureon.EC.72 TR/Rootkit.Gen3 (https://www.trojaner-board.de/91702-uni-seite-oeffnet-meldung-viren-tr-alureon-ec-72-tr-rootkit-gen3.html)

ROZ105 11.10.2010 11:34
Uni Seite öffnet nicht nach Meldung von Viren wie TR/Alureon.EC.72 TR/Rootkit.Gen3
 
Hallo liebes TrojanerBoard,

ich bitte um Eure Hilfe, da ich zur Zeit an meiner Abschlussarbeit für mein Studium arbeite und ich mich wohl beim rumsurfen paar Viren eingefangen habe.
Nachdem gestern durch Avira folgende Viren gefunden wurden, kann ich nicht mehr auf meine Uni Website, die ich unbedingt für meine Arbeit benötige, zugreifen.
Folgendes sagt das Viren Programm:

In der Datei 'C:\WINDOWS\system32\drivers\intelppm.sys'
wurde ein Virus oder unerwünschtes Programm 'TR/Rootkit.Gen3' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

In der Datei 'C:\WINDOWS\Temp\W5uOC.sys'
wurde ein Virus oder unerwünschtes Programm 'TR/Alureon.EC.72' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen


Und gerade eben nach einem Scann sind sogar noch mehr Viren da:

Die Datei 'C:\System Volume Information\_restore{E81306AA-FE31-4CAC-87A2-2833B362996F}\RP225\A0087662.sys'
enthielt einen Virus oder unerwünschtes Programm 'TR/Rootkit.Gen3' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ce2f25f.qua' verschoben!

Die Datei 'C:\Documents and Settings\R\Application Data\Sun\Java\Deployment\cache\6.0\2\c693b02-7b9bed6f'
enthielt einen Virus oder unerwünschtes Programm 'JAVA/ClassLoader.AB' [virus].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cebf265.qua' verschoben!

Die Datei 'C:\Documents and Settings\R\Application Data\Sun\Java\Deployment\cache\6.0\32\3466f020-66c0f0bf'
enthielt einen Virus oder unerwünschtes Programm 'JAVA/Agent.HN' [virus].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ce8f263.qua' verschoben!

Was mach ich denn nun? Sind denn wenigstens jetzt alle Viren beseitigt? Und wie kann ich wieder auf meine Uni Website zugreifen?

Ich wäre euch um eine zeitige Antwort sehr dankbar.

VG
ROZ105

cosinus 11.10.2010 12:42
Hallo und :hallo:

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Lies die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
  • Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting ( posten in mehreren Foren).
  • Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
  • Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
  • Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.



Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.

ROZ105 11.10.2010 12:51
Auswertung der LogFiles nach schwerwiegenden Fehlern
 
Hallo liebes Kompetenzteam,

da ich seit gestern Abend aufgrund von Viren (Hijackern?) auf bestimmte Seiten meiner Uni nicht mehr zugreifen konnte, habe ich euer Forum aufgesucht und nach ähnlichen Problemen von anderen Usern Ausschau gehalten. Daraufhin habe ich die Anleitung die cosinus für einen anderen User bezüglich Malware und OTL gepostet hatte, befolgt.

Avira hatte mir heute und gestern Viren aufgezeigt, die er angeblich gelöscht hatte! Konnte aber nach wie vor nicht auf die gewollten Websites zugreifen (Server nicht gefunden). Die gefundenen Viren von Avira waren:

In der Datei 'C:\WINDOWS\system32\drivers\intelppm.sys'
wurde ein Virus oder unerwünschtes Programm 'TR/Rootkit.Gen3' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

In der Datei 'C:\WINDOWS\Temp\W5uOC.sys'
wurde ein Virus oder unerwünschtes Programm 'TR/Alureon.EC.72' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

Die Datei 'C:\System Volume Information\_restore{E81306AA-FE31-4CAC-87A2-2833B362996F}\RP225\A0087662.sys'
enthielt einen Virus oder unerwünschtes Programm 'TR/Rootkit.Gen3' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ce2f25f.qua' verschoben!

Die Datei 'C:\Documents and Settings\R\Application Data\Sun\Java\Deployment\cache\6.0\2\c693b02-7b9bed6f'
enthielt einen Virus oder unerwünschtes Programm 'JAVA/ClassLoader.AB' [virus].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cebf265.qua' verschoben!

Die Datei 'C:\Documents and Settings\R\Application Data\Sun\Java\Deployment\cache\6.0\32\3466f020-66c0f0bf'
enthielt einen Virus oder unerwünschtes Programm 'JAVA/Agent.HN' [virus].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ce8f263.qua' verschoben!




Malware hat nun 10 weitere Viren gefunden, die er gelöscht hat. Nun will ich wissen, ob tatsächlich alles in Ordnung ist und bitte um Auswertung meiner Log Files von Malware und OTL !

ROZ105 11.10.2010 12:56
Vielen lieben Dank für das Willkommen heißen im Board und die ehrenamtliche Hilfe, die ihr hier anbietet, Cosinus. Große Klasse.

Bevor ich Deine Antwort hier lesen konnte, habe ich bereits meine Log Files zur Auswertung im Hijacker Forum gepostet. Ich weiß zwar nicht ob das richtig war, weil nicht den Unterschied zwischen Hijacker und Virus kenne, aber da viele Leute mit ähnlichen Problemen in dem Forum waren, habe ich mir gedacht, dass es dort richtig aufgehoben ist.

Bezüglich deiner Anleitung, habe ich genau diese Punkte befolgt und die Ergebnisse hier gepostet:
http://www.trojaner-board.de/91705-a...n-fehlern.html

Ich hoffe das war in Ordnung einen neuen Thread zu öffnen, da im Grunde mein Problem jetzt gelöst ist und ich nun wissen will, ob ich viren- bzw. hijackerfrei bin.
Besten Dank und viele Grüße !!!!
Ihr seid die besten :D

ROZ105 11.10.2010 17:29
Kann mir schon jemand vielleicht weiterhelfen???

cosinus 11.10.2010 19:57
Zitat:
Datenbank Version: 4052
Art des Suchlaufs: Quick-Scan
1.) Die Signaturen waren nicht aktuell. Malwarebytes muss vor jedem Scan manuell aktualisiert werden.
2.) Bitte einen Vollscan nach dem Update machen.

ROZ105 11.10.2010 20:00
Erledigt:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Datenbank Version: 4794
Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702
10/11/2010 4:47:51 PM
mbam-log-2010-10-11 (16-47-51).txt
Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 132150
Laufzeit: 4 Minute(n), 17 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Kann ich nun wirklich davon ausgehen das ich keine Viren bzw. Hijacks mehr habe???? Kennst ja die Vorgeschichte, ist sowas möglich? :wtf:

Danke dir Arne

Beste Grüße

cosinus 11.10.2010 20:27
Zitat:
Art des Suchlaufs: Quick-Scan
Ich wollte einen Vollscan sehen

ROZ105 11.10.2010 21:09
Da wurde noch etwas gefunden.

Siehe folgendes:

Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 4794

Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

10/11/2010 10:08:54 PM
mbam-log-2010-10-11 (22-08-54).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 214857
Laufzeit: 33 Minute(n), 20 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{E81306AA-FE31-4CAC-87A2-2833B362996F}\RP225\A0087655.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.

cosinus 11.10.2010 21:16
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - No CLSID value found.
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found.
O3 - HKU\S-1-5-21-583907252-562591055-725345543-1003\..\Toolbar\ShellBrowser: (no name) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - No CLSID value found.
O3 - HKU\S-1-5-21-583907252-562591055-725345543-1003\..\Toolbar\WebBrowser: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No CLSID value found.
O3 - HKU\S-1-5-21-583907252-562591055-725345543-1003\..\Toolbar\WebBrowser: (no name) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - No CLSID value found.
O20 - HKLM Winlogon: GinaDLL - (dwlgina2.dll) -  File not found
O20 - HKLM Winlogon: UIHost - (logonui.exe) -  File not found
O20 - HKLM Winlogon: VMApplet - (Control_RunDLL "sysdm.cpl") -  File not found
O20 - Winlogon\Notify\crypt32chain: DllName - crypt32.dll -  File not found
O20 - Winlogon\Notify\cryptnet: DllName - cryptnet.dll -  File not found
O20 - Winlogon\Notify\cscdll: DllName - cscdll.dll -  File not found
O20 - Winlogon\Notify\igfxcui: DllName - igfxdev.dll -  File not found
O20 - Winlogon\Notify\ScCertProp: DllName - wlnotify.dll -  File not found
O20 - Winlogon\Notify\Schedule: DllName - wlnotify.dll -  File not found
O20 - Winlogon\Notify\sclgntfy: DllName - sclgntfy.dll -  File not found
O20 - Winlogon\Notify\SensLogn: DllName - WlNotify.dll -  File not found
O20 - Winlogon\Notify\termsrv: DllName - wlnotify.dll -  File not found
O20 - Winlogon\Notify\WgaLogon: DllName - WgaLogon.dll -  File not found
O20 - Winlogon\Notify\wlballoon: DllName - wlnotify.dll -  File not found
O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} -  File not found
O29 - HKLM SecurityProviders - (msapsspc.dll) -  File not found
O29 - HKLM SecurityProviders - (schannel.dll) -  File not found
O29 - HKLM SecurityProviders - (digest.dll) -  File not found
O29 - HKLM SecurityProviders - (msnsspc.dll) -  File not found
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

ROZ105 11.10.2010 21:34
Ach du heilige Scheisseee !!!!!!!!!!!

Ich hab das befolgt was du angegeben hattest, und der startet jetzt nicht mehr Windows !!!!!!!! Das ist ganz ganz ganz übel !!!! Es hat nämlich eigentlich wieder alles funktioniert und ich habe auf meine Platte meine Diplomarbeit.....Bitte sag mir nicht das ich jetzt 5 Monate Arbeit mal so verloren habe.

Beim Start kommt folgene Fehlermeldung:

User Interface Failure

The Logon User Interface DLL failed to load. Contact your system Admin to replace the DLL or restore the original DLL!!!!!

Arne ! Helf mir bitte !
Was jetzt????

Ich krieg gleich die Krise......:headbang::headbang::headbang::headbang:

ROZ105 11.10.2010 21:35
Ich weiß nicht ob ich weinen soll oder mich aus dem Fenster schmeißen soll.

Ich kann das nicht glauben! :eek:

cosinus 12.10.2010 07:52
Zitat:
The Logon User Interface DLL failed to load. Contact your system Admin to replace the DLL or restore the original DLL!!!!!
Da hat der Schädling Windows getötet :D
Ist zwar rel. selten kommt aber vor.

Deine Diplomarbeit solltest Du extern sichern. Nur auf dem Rechner (interne Platte) lassen ist einer schlechte Idee. Besorg Dir eine Live-CD wie Knoppix oder Parted Magic, starte den Rechner davon und sicher darüber alle wichtigen Daten, je nach Datenmenge auf USB-Stick oder externe Festplatte.

ROZ105 12.10.2010 08:05
Der Schädling war doch schon beseitigt und malware hat nichts weiteres mehr gefunden? Wieso musst ich denn da noch irgendwas machen?

Du nimmst das ziemlich stark mit Humor, aber bist ja auch selbst nicht davon betroffen.

Glücklicherweise kann ich auf die Platte über eine MacOs Partition zugreifen, denn mein System ist im Grunde ein Apple MacBook. Wenn ich so irgendwas ersetzen kann bzw. reparieren kann, wäre es mir deutlich lieber, statt irgendwas zu formatieren und WIN neu zu installieren. Dafür habe ich bis zur Abgabe meiner DA leider keine Zeit. Kann man diese DLL einfach nicht ersetzen?

ROZ105 12.10.2010 09:22
Werde ich mit folgendem wieder XP starten können?

1. Starten Sie den Computer im abgesicherten Modus neu. Gehen Sie hierzu folgendermaßen vor:
1. Starten Sie den Computer neu.
2. Wenn die Aufforderung "Wählen Sie das zu startende Betriebssystem" angezeigt wird, drücken Sie [F8].
3. Wählen Sie im Menü Erweiterte Windows-Startoptionen mithilfe der Pfeiltasten die Option Abgesicherter Modus aus, und drücken Sie die [EINGABETASTE].
4. Wenn Sie einen Dual-Boot- oder Multiple-Boot-Computer verwenden, wählen Sie Microsoft Windows XP aus der Liste aus, und drücken Sie anschließend die [EINGABETASTE].
2. Löschen Sie den Registrierungseintrag GinaDLL . Gehen Sie hierzu folgendermaßen vor:Warnung: Die falsche Verwendung des Registrierungseditors kann schwerwiegende Probleme verursachen, die das gesamte System betreffen und eine Neuinstallierung des Betriebssystems erforderlich machen. Microsoft kann nicht garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungseditors herrühren, behoben werden können. Benutzen Sie den Registrierungseditor auf eigene Verantwortung.
1. Klicken Sie auf Start und anschließend auf Ausführen.
2. Geben Sie in das Feld Öffnen die Zeichenfolge regedit ein, und klicken Sie anschließend auf OK.
3. Klicken Sie auf den folgenden Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon
4. Klicken Sie im rechten Fensterbereich auf GinaDLL, und klicken Sie anschließend auf Löschen.
5. Klicken Sie auf Ja, wenn Sie dazu aufgefordert werden, den Löschvorgang zu bestätigen.
6. Klicken Sie im Menü Datei auf Beenden, um den Registrierungseditor zu beenden.
3. Starten Sie den Computer neu.


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:34 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55