|
Regelmäßiger plötzlicher Neustart des Computers - Highjack This Hallo trojaner-board Team, Könnt ihr vielleicht mal das folgende Highjack This logfile ansehen und mir sagen ob da alles ok ist??? HiJackthis Logfile: Code: Logfile of Trend Micro HijackThis v2.0.4Des weiteren habe ich ein Problem, dass mein Computer ohne dass ich etwas mache abschaltet und neu startet. Dann kommt die Fehlermeldung dass das System nach einem schwerwiegenden Fehler wieder ausgeführt wird. Malewarebytes findet nichts. Die Daten im Fehlerbericht sind folgende: C:\DOKUME~1\***\LOKALE~1\Temp\WER8251.dir00\Mini122910-01.dmp C:\DOKUME~1\***\LOKALE~1\Temp\WER8251.dir00\sysdata.xml Wer kann da helfen??? |
Hallo und :hallo: Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! Danach OTL: Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
|
Hallo Arne, kannst du nicht erstmal mir einfach nur sagen, ob in den highjackthis log irgendetwas merkwürdig ist oder ob alles soweit ok (fehlerfrei) ist?! Werde dann zeitnah die OTL und Malwarebytes nachliefern. Aber wie bereits geschreiben Malwarebytes meldet nix! |
So habe jetzt OTL durchgeführt und Malwarebytes Logfile: |
HJT ist so alt und angestaubt, da bringt es nicht mal was das anzugucken. Ein HJT-Log ist für einen ganz groben Systemüberblick geeignet, aber definitiv nicht für Malware-Analyse!! :kloppen: |
Zitat:
- MBAM-Version ist nicht aktuell - DBs sind out of date und - ich wollte einen Vollscan sehen! - |
Sorry, dann werde ich das nochmal machen! Dauert halt... |
Habs jetzt aktualisiert. Suchlauf ist gestartet! |
So, fertig! Ich habe jetzt Malwarebytes aktualisiert und einen vollständigen Scan gemacht. Anschließend habe ich nochmal OTL gemacht. Hier die Ergebnisse (Malwarebytes hat 1 infiziertes Objekt gefunden): siehe Anhang Ich hoffe jetzt habe ich alles richtig gemacht und mir kann geholfen werden! Mal ne Frage: Was sind das unter OTL.Txt bei Hosts (O1) für Internetseiten??? Was haben die da zu suchen??? Ist das normal??? |
Die kommen üblicherweise durch die Immunisierung mit Spybot S&D. Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. |
Hey Arne, hab jetzt das in OTL eingefügt und gefixed! Hier das Logfile von OTL (siehe Anhang, als .txt gespeichert), welches anschließend (nach Neustart) erstellt wurde. Kannst du mir trotzdem vllt sagen, was das jetzt bewirkt hat / haben sollte?! |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Das Antivirenprogramm schließen heißt ich soll in der Taskleiste Avira AntiVir "beenden" oder??? |
Bei Avira heißt das Regenschirm schließen :rolleyes: |
Komme mit dem ComboFix nicht klar. Habe es gestartet (davor CCleaner und alles wie beschrieben), Avira geschlossen (Regenschirm zugeklappt),...! Dann hat ComboFix gestartet, und ich habe gewartet! Er hat die Wiederherstellungskonsole installiert und den Scan gestartet. Dann kam nach ca. 5 Minuten eine Meldung, dass die Anwesenheit von Rootkitaktivitäten festgestellt wurde und der PC neu gestartet werden muss. Danach erschien wieder das ComboFix Fenster. Es lief normal weiter dann kam: Fertiggestellt Stufe 1 und soweiter bis Stufe 50! Dann kam "Lösche Daten" oder "Lösche Dateien" habe ich nicht so schnell lesen können und der PC startete neu! Beim ersten Versuch kam nun ein Bluescreen der mich aufforderte neu zu starten! Beim Starten kam die in meiner Anfrage genannte Fehlermeldung! Nun habe ich es erneut versucht. Alles war gleich, bis ich wiedermals bei "Lösche Daten" war. Nun startete der PC neu und es kam wieder eine Fehlermeldung! Dann nichts mehr!!! Kann ich irgendwo unter Programme oder so nun eine .txt Datei aufrufen (also bei Festplatte C:\ - wie heißt da der Ordner von ComboFix??? ComboFix als Namen gibt es nicht!) Und was hat das zu bedeuten, dass beim Neustart nur eine Fehlermeldung kommt???? :confused: Kannst du mir außerdem sagen, was das mit OTL bewirkt hatte??? Übrigens: Nach dem ComboFix waren in meiner Taskleiste die Schnellstartsymbole (Internet, Desktop anzeigen,...) verschwunden!!! Habe dies jetzt wieder eingefügt... |
Wir haben ein paar Einträge und Dateien mit OTL gefixt. Ich brauch den Quarantäneordner von Combofix. Bitte folgendes machen: 1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf da nicht rummurksen! 2.) Ordner C:\Qoobox in eine Datei zippen 3.) die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html 4.) Wenns erfolgreich war Bescheid sagen 5.) Erst dann wieder den Virenscanner einschalten |
Habe das jetzt wie du gesagt hast gemacht, wo erscheint denn der upload jetzt??? |
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
Wenn ich GMER starten will, stürzt der PC ab! AUch beim zweiten Versuch. So, also dann nur das osam - Logfile. MBRCheck mache ich gleich noch...! |
so und jetzt habe ich auch MBRCheck .txt - Datei!!! |
Zitat:
|
Wenn ich aber MBRCheck ausführe und soweit komme, wird das Logfile auf dem Bildschirm angezeigt!!! Wenn ich anschließend MBRCheck weiterlaufen lasse passiert nichts, bis er abstürzt, wenn ich ihn beende stürzt er ab (mit er ist mein pc gemeint...) :confused: Info: Der PC stürzt ab dann folgt blue screen, dass der pc heruntergefahren wurde um das system nicht zu beschädigen! beim gmer hat der pc einfach so neugestartet und dann eine fehlermeldung die ich in der fehlerbeschreibung (1. beitrag) bereits geschrieben habe! |
Hast Du noch andere Betriebssystem außer WinXP drauf? Wenn nicht, also WinXP das einzige installierte System ist: Starte den Rechner neu und wähle im Bootmenü die Wiederherstellungskonsole aus. Tipp dort den Befehl fixmbr ein (dann Enter, mit j bestätigen) danach den Befehl fixboot (dann Enter, mit j bestätigen) Mit exit (dann enter drücken) wird der Rechner neu gestartet. Führe im normalen Windowsmodus den Bootkit Remover nochmals aus und poste das neue Log. |
Habe zwar keine anderen betriebssystem drauf, aber vor der neuinstallation von win xp wurde der rest nicht komplett entfernt (d.h. die benuter sind in Dokumente und Einstellungen noch zu finden)!! Soll ich jetzt dass mit dem bootmenü machen?? Das Bootmenü ist doch das was nur 2 sek angezeigt wird, oder??? Was ist denn der Bootkit Remover?? |
Ja, das Bootmenü was für weninge Sekunden angezeigt wird, da die Recovery Console starten. Und ich meinte eigentlich mbrcheck und nicht bootkit remover :o sry |
Habe es jetzt so mit der Wiederherstellungskonsole gemacht, wie du es meintest. Doch beim MBRCheck kam nichts anderes heraus. Habe es trotzdem angehängt. Immer bei der Zeile, wo das mit dem PhysicalDrive0 steht, hört er auf und der Pc stürzt ab -> Bluescreen, dass der PC heruntergefahren wurde...! Andere Frage: Hat das mit dem Upload (Quarantäneverzeichnis) etwas ergeben??? |
Dann ist der MBR auch okay wenn er über die WHK neu geschrieben wurde. Dein Qoobox war recht unauffällig, aber eine manipulierte winlogon.exe wurde gefunden. Da leider nicht genau hervor geht, ob diese von CF gefixt wurde, wäre ich dafür, dass wir diese nochmal händisch glattziehen: Wir müssen beim shutdowner zwei Datei ersetzen, bitte runterladen und entpacken, direkt nach c: ins Hauptverzeichnis => c:\cosinus Dann gehts so weiter: PartedMagic
Gib Bescheid wenn alles durch ist. |
Danke für deine Beschreibung zur weiteren Vorgehensweise! Ich kenne mich aber leider damit nicht so aus und habe daher noch die ein oder andere frage: 1. du sprichst von linux -> ich habe linux ja nicht... 2. Was heißt das mit dem defekten Windows booten??? Welches genau soll ich da denn booten??? 3. Wie boote ich von der CD??? 4. Das ab "Mounte die Partition" verstehe ich nicht mehr... Tut mir leid, dass ich dich mit so etwas nerve, aber ich kenne mich einfach nicht aus mit so etwas...! |
Zitat:
Zitat:
Zitat:
http://www.trojaner-board.de/81857-c...cd-booten.html Zitat:
|
Danke für die Beantwortung der Fragen! Werde aber an dieser Stelle erst morgen gegen Mittag fortfahren, sodass ich mich dann vsl. erst morgen Nachmittag wieder melde! Gruß gidius |
Hallo Arne, leider werde ich heute erst sehr spät dazu kommen, um das mit dem Parted Magic zu machen. Somit werde ich die Ergebnisse erst morgen haben! Habe allerdings doch noch 1 Frage: Ich gehe ja im Linux unter system32 und benenne die winlogon.exe und explorer.exe um (jeweils den Anhang .vir hinzufügen)! Wie kopiere ich aber dann in den Systempfad (die cosinus Dateien): Muss ich dann einfach die winlogon.exe aus cosinus kopieren und unter system32 einfügen??? (und dasselbe mit der .exe)??? Und am Ende muss ich dann die mit dem .vir uploaden, oder?? Werde bevor ich das alles durchführe hier nochmal vorbeisehen, ob du mir geantwortet hast...! Danke. |
Zitat:
/media/SYSTEM zu finden sein. Zitat:
|
Wie beende ich denn das Linux anschließend??? Kann ich das einfach so "herunterfahren" und wenn ja wo...??? |
Links unten in der Eck aufs Symbol klicken :D |
Sorry, aber ich habe gerade ein Problem. Ich pmagic-5.8[1].iso - WinRAR heruntergeladen und es ist nun auf meinem Desktop geöffnet! Was muss ich nun machen: Welches dieser Elemente muss ich denn auf CD brennen: "BOOT", "PMAGIC" (alles ordner) oder "MKGRISO." (Datei)??? |
Du musst die ISO selber auf CD brennen per Imagebrennfunktion! Nichts mit WinRAR! |
Also die gesamte pmagic-5.8.iso?! Die ist ja als Typ "WinRAR-Archiv" vorhanden. Diese soll ich auf CD brennen??? |
ja, aber nicht als Daten-CD! Installier dir ImgBurn und sag: Imagedatei auf CD brennen, also Quellimage nimmst du diese pmagic-5.8.iso! |
Habe jetzt das .iso auf die cd gebrannt (per Imagebrennfunktion - wie von dir beschrieben)! Dann von CD gebootet und im Menü die erste Option ausgewählt. Er hat dann einige Dinge geladen und immer wenn eine dieser Dinge fertig war stand farbig "DONE" dahinter. Dann kam allerdings ein schwarzer Bildschirm mit Inhalt, der wie folgt war: oben der Pinguin (wie zuvor auch schon) dann kamen 26 Meldungen untereinander (2 davon habe ich aufgeschrieben): [<c12f3968>] ? nofill +0x0/0x4 [<c116c12c>] ? error +0x0/0x18 Darunter war folgendes: Code: (hier dann ein zwei Zeilen langer Code bestehend aus immer zwei Zeichen, die zusammengeschrieben waren) EIP: [<c12f450a>] unIzma +0xad4/0xbc2 SS:ESP 0068:ec79bbd0 CR2: 00000000f87f3eb8 ---[ end trace e692255d6f3215d5 ]--- Was bedeutet das? Was habe ich falsch gemacht? Wie kann ich das beheben? |
Ich glaub dein Rechner mah PartedMagic nicht :( Probiers mal mit Ubuntu aus, wieder diese ISO auf eine neue CD brennen und den Rechner davon booten - Ubuntu ausprobieren, ohne Installation! Der Rest läuft im Grunde gleich ab, nur das du dir das Mounten (Einhängen) sparst, mit Ubuntu kannst du oben direkt über Orte auf deine Windowspartition zugreifen. |
Zitat:
Zitat:
|
Zitat:
Zitat:
Wenn der Ubuntu-Desktio sich aufgebaut hat siehst du oben den Mneüpunkt Orte. |
So, mit ubuntu hat es geklappt. Habe die beiden von dir genannten Dateien umbenannt (.vir angehängt) und auf dem UploadChannel hochgeladen. Die beiden cosinus-Dateien habe ich in die Ordner kopiert. Hoffe, dass uns das weiterbringt...! |
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
Malwarebytes Anti Malware ist noch am Scannen! SUPERAntiSpyware hat nichts gefunden (Vollscan)! Werde dann morgen die beiden Logfiles hier posten! |
So, habe nun beide Logfiles. Siehe Anhang! |
Keine Funde. Rechner wieder paletti? |
Habe nun allerdings noch ein paar fragen: 1. Was hat denn diese Neustarts verursacht (und wurde dies behoben)? 2. Ist das System jetzt komplett sauber? 3. Kann ich unter C:\WINDOWS... die explorer.exe.vir und winlogon.exe.vir löschen? (4. Warum ist der PC bei MBRCheck abgestürzt?) Wäre nett wenn du mich in diesen Dingen noch aufklären könntest. Ansonsten alles ok. Herzlichen Dank für deine Hilfe! :dankeschoen: gidius |
1.) und 4.) kann man nicht beantworten, man kann nur vermuten. Neustarts evtl durch die aktiven Schädlinge, ob das behoben ist musst du sehen - warum mbrcheck abgestürzt ist weiß ich nicht 2.) lt. Logs ist das System sauber aber nach einer Bereinigung gibt es immer ein Restrisiko!! 3.) Ja die können weg |
Habe noch eine letzte Frage: Ich habe ja unter C:\ sowohl WINDOWS als auch WINDOWS.0! Ich habe Zugang zu WINDOWS!!! WINDOWS.0 stellt eine alte Installation dar. Kann man die irgendwie löschen / entfernen (benötigt bei Scanns mit Malwarebytes, Avira,.. immer sehr viel Zeit zum durchsuchen!) |
Manche Sachen kann man durchaus selber mit Google rausfinden :balla: Entfernen einer zweiten Installation eines Windows-Betriebssystems von einer Partition |
So, nun habe ich die WINDOWS.0 nach den Vorgaben in deinem Link entfernt und auch aus der Boot.ini entfernt. Hat alles geklappt, und nun habe ich nur nach die Installation auf dem PC, die ich gerade nutze! Bei der Änderung der boot.ini wurde eine boot.old erstellt (als Sicherungskopie)! Habe nun abschließend noch fünf letzte Fragen an dich: 1. Wenn nach der Änderung der boot.ini beim Systemstart alles geklappt hat und kein Fehler auftrat, kann ich die boot.old dann auch löschen??? 2. Nachdem wir nun das System bereinigt haben und ich die falsche Installation entfernt habe, wäre es sinnvoll wenn ich jetzt einen Systemwiderherstellungspunkt erzeuge??? 3. Unter C:\Dokumente und Einstellungen\ befinden sich noch die Ordner AllUsers.WINDOWS.0 und Default User.WINDOWS.0! Des Weiteren habe ich noch 2 Nutzernamen von der WINDOWS.0 Installation hier unter Dokumente und Einstellungen! Kann ich diese 4 Ordner (AllUsers.WINDOWS.0, DefaultUser.WINDOWS.0 und die beiden Benutzer) auch hiervon löschen oder nicht??? 4. Ebenfalls in Dokumente und Einstellungen finde ich einen Ordner ADMINISTRATOR! Kann man den löschen oder braucht man den? 5. Kann ich die ganzen Programm (z.B. Combofix, OTL, osam,...) und Ordner (z.B. Qoobox, cosinus,...) wieder vom PC deinstallieren bzw. löschen??? |
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
|
Zitat:
Einer der beiden Benutzer-Namen von WINDOWS.0 lässt sich jedoch nicht löschen oder verschieben! Wie bekomme ich ihn dennoch weg?! (Dieses Problem bestand auch vor dem Löschen von WINDOWS.0) -> es kommt eine Fehlermeldung dass der Zugriff verweigert wurde! Doch noch eine weitere Frage: Leere Ordner unter C:\ kann ich doch einfach so löschen, oder? |
Wenn dich diese Ordner so sehr stören, warum hast du damals Windows nicht komplett neu installiert? Es ist immer eine unsaubere Geschichte, Windows ohne format c zu installieren... |
Ist ja nicht so, dass mich die ordner so sehr stören! nur wenn ich irgendwelche systemscans mache, dann werden die halt immer mitgescannt, was Zeit benötigt!!! Außerdem habe ich noch gefragt, wie ich einen Benutzer von WINDOWS.0 der sich nicht löschen lässt, entfernen kann! Außerdem habe ich noch gefragt, ob ich leere Ordner unter C:\ löschen kann! |
Zitat:
Zitat:
|
So, habe das mit Ubuntu hinbekommen. Nun habe ich zu Ordnern in Dokumente und Einstellungen noch 1 Frage: Folgende Ordner habe ich jetzt noch dort: Administrator (alles ok) Besitzer (alles ok) All Users (alles ok) All Users.WINDOWS (alles ok) Default User (alles ok) Default User.WINDOWS (alles ok) LocalService, LocalService.NT-AUTORITÄT, LocalService.NT-AUTORITÄT000* NetworkSerivce (kürze ich als NS), NS.NT-AUTORITÄT, NS.NT-...000* *) hier weiß ich nicht was das für Ordner sind! alles ok heißt, dass ich weiß, was das für Ordner sind! Welche davon kann ich löschen (v.a. die mit Network und Local will ich wissen) bzw. zunächst nach Altdaten verschieben?! (Ich glaube nämlich nicht, dass man 3x was mit LocalService bzw. NetworkService braucht!) |
Sind die alle mit dem .WINDOWS.0 am Ende? |
Zitat:
|
Was wohl :balla: Du hast doch nach den Ordnern gefragt, ob die weg können, sind die Ordnernamen ALLE mit WINDOWS.0 am Ende? |
Ich habe nach den dreien mit LocalService und den dreien mit NetworkService gefragt. Da ist der eine je ohne Endung, der andere mit .NT-AUTORITÄT und der andere mit .NT-AUTORITÄT000! Da ist nix mit WINDOWS.0?! Ich habe gefragt, was das für welche sind und ob man DIESE löschen kann?! |
Ich wollte wissen ob die auch ein WINDOWS.0 am Ende des Namens haben!! Wenn nicht, dürfen die deinem Löscheifer nicht zum Opfer fallen! Was suchst du da eigentlich in diesen Verzeichnissen - du bist der erste der mich fragt ob man diese Ordner löschen kann :wtf: |
Ok, es kam mir nur komisch vor, dass unter Dokumente und Einstellungen dreimal was mit LocalService und dreimal mit NetworkService vorkam! Aber ist jetzt ja auch egal, wirklich stören tuts mich nicht...! Mir ist allerdings noch was anderes eingefallen: Als ich Combofix machen sollte, habe ich ja geschrieben, dass Combofix mich aufgrund von Rootkitaktivitäten zum Neustart aufgefordert hat und anschließend der PC abgestürzt ist! Daraufhin hast du dann die Qoobox Quarantäne sehen wollen. Was ist denn nun mit den Rootkitaktivitäten: Wurden die mit dem .vir - Schritt entfernt oder müssten die noch anwesend sein? |
Ist soweit alles bereinigt. Oder sind noch abgesehen von deinen Ordnern :rolleyes: noch gravierende Probleme oder neue Funde offen? |
:daumenhoc Alles geklärt! Keine weiteren Fragen offen! Sorry, falls ich die mit meinem ständigen Gefrage genervt haben sollte, ich möchte halt alles lieber nochmal nachfragen, als dass dann doch irgendwas ist! Zitat:
Jedenfalls herzlichen Dank für deine - immer schnelle und gut beschriebene - Hilfe! :dankeschoen::dankeschoen::dankeschoen::dankeschoen::dankeschoen: Wenn es irgendwann mal wieder Probleme geben sollte :killpc: werde ich mich melden! :abklatsch: Gruß gidius |
Dann wären wir durch! :abklatsch: Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
So, hab mir Sumatra PDF geholt und FlashPlayer und JAVA auf aktuellem Stand! Dann sind wir jetzt endgültig fertig! Herzlichen Dank für deine komptetente Hilfe! gidius |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:05 Uhr. |
Copyright ©2000-2025, Trojaner-Board