|
pum.hijack.taskmanager und trojan.fakems auf XP rechner gefunden Hallo, bin am Rechner meiner Tochter (Windows XP, SP3), wo Sie sich Viren eingefangen hat. (Der Rechner hat 2 aktive Konten) Sie meinte im FF beim Zugang auf Facebook... ein Popup schliessen zu wollen, wobei der "schliessen button" eher "etwas ausgeführt hatte" - Leider war Sie auch als Admin unterwegs :stirn: Folgendes Verhalten des Rechners konnte ich erkenne: - diverse Fehlermeldungen beim Starten - Keine Ordnerinhalte mehr Sichtbar - Programm Links nicht sichtbar - FF wird umgeleitet (aber auch IE) - Bei der Umleitung wollen sich Daten downloaden Habe bisher versucht, anhand der Trojaner-Themen "leere Ordner", "PUM.HIJACK", oder "Trojan.Fakems", die Viren loszuwerden...jedoch ohne erfolg. :headbang: Da die Meisten Threads mit diesen Viren ausser Malwarebytes und OTL, auch weitere Programme benötigen, höre ich hier lieber auf und bitte um Hilfe. Bisherige Versuche: 1. Malwarebytes Scan durchgeführt und Befall entfernt. 2. Unhide.exe habe ich laufen lassen und die Ordner zeigen wieder Daten. (Die Programm Links und Startmenüs sind jedoch weiterhin leer.) 3. OTL.exe ausgeführt und einige Einträge entfernt. (moved files Log ist im Anhang) Schätze mal, da FF immer noch auf andere Seiten springt, und dabei auch ein download gespeichert werden soll, sind die Probleme noch vorhanden. Die Programm Links sind auch noch leer. Ich lade jetzt die Logs von Malwarebytes und OTL (vor und nachher) und hoffe, dass Ihr mir helfen könnt. Vorab schon mal tausend Dank! |
Zitat:
|
Hi Arne, ja, habe ich. absicht war, die IE und FF settings und Präferenzen zurück zu setzen. Autoexec.bat und 3 Dateien pro User habe ich ebenfalls verschoben. Ok, diesen Reg. Eintrag wollte ich nicht löschen, sorry: Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session manager\\BootExecute:autocheck autochk * deleted successfully. |
Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten. http://www.trojaner-board.de/attachm...rnen-start.png |
Hallo Arne, leider startet tdsskiller nicht. Es gibt keinerlei Reaktion beim Startversuch. Avira war deaktiviert (Schirm zu) und alle anderen Programme waren auch aus. Gruß, Klaus |
Dann bitte jetzt CF ausführen, probier den TDSS-Killer danach nochmal. ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Hallo Arne, Combofix ist nicht ganz so gelaufen wie erwünscht. Und ein Log habe ich auch nicht erhalten ... Folgendes ist passiert: 1. Aufruf COFI.exe OK 2. Meldung Rootkit gefunden und reboot erfolgte gleich danach 3. Systemeiderherstellungspunkt wurde erstellt 4. Wiederherstell Konsole wurde runtergeladen und eingefügt 5. Rootkit Zeor Access wurde im TCP/IP Stack gefunden 6 Reboot 7. Fertiggestellt Stufe 1, 2, 3, 4 war gerade am laufen und ich bin auf Klo gegangen. 8. Und natürlich komme ich zurück um ein Neustart vorzufinden. Nach der Anmeldung....nichts mehr. Nun finde ich keine Logdatei, aber im Explorer sieht die Ordnerstruktur wie eine rekursive Kette aus. Arbeitsplatz c: _OTL Canoscan CoFI c: _OTL Canoscan CoFI c: _OTL Canoscan CoFI c: _OTL Canoscan CoFI c: _OTL Canoscan CoFI Das geht als so weiter. (Habe das auch mal bei Windows 7 gehabt, wo ein Programm mit den Referencierten Ordnernamen nicht klar gekommen ist.) Gruß, Klaus |
Starte Windows neu, lösch die alte cofi.exe, lade CF neu als cofi.exe runter und probier es bitte nochmal. |
Hallo Arne, habe CoFI neu geladen, und bin dieses mal nicht auf Klo gegangen.... Die Stufen liefen durch bis 50. Damach gab es ein reboot mir blue screen und dump. Es wird der Prozess "catchme.sys" angemeckert, wobei das ein Prozess ComboFix ist? Hier ist der Minidump: ****************************************************************************** * * * Bugcheck Analysis * * * ******************************************************************************* Use !analyze -v to get detailed debugging information. BugCheck 19, {20, 8895e868, 8895ec80, 1a8300bc} Unable to load image catchme.sys, Win32 error 0n2 *** WARNING: Unable to verify timestamp for catchme.sys *** ERROR: Module load completed but symbols could not be loaded for catchme.sys Probably caused by : catchme.sys ( catchme+10d7 ) Followup: MachineOwner --------- 0: kd> !analyze -v ******************************************************************************* * * * Bugcheck Analysis * * * ******************************************************************************* BAD_POOL_HEADER (19) The pool is already corrupt at the time of the current request. This may or may not be due to the caller. The internal pool links must be walked to figure out a possible cause of the problem, and then special pool applied to the suspect tags or the driver verifier to a suspect driver. Arguments: Arg1: 00000020, a pool block header size is corrupt. Arg2: 8895e868, The pool entry we were looking for within the page. Arg3: 8895ec80, The next pool entry. Arg4: 1a8300bc, (reserved) Debugging Details: ------------------ BUGCHECK_STR: 0x19_20 POOL_ADDRESS: 8895e868 CUSTOMER_CRASH_COUNT: 3 DEFAULT_BUCKET_ID: DRIVER_FAULT PROCESS_NAME: catchme.cfxxe IRP_ADDRESS: 88ea16e0 LAST_CONTROL_TRANSFER: from 8054b583 to 804f9f43 STACK_TEXT: b330ea54 8054b583 00000019 00000020 8895e868 nt!KeBugCheckEx+0x1b b330eaa4 804f4c20 8895e870 00000000 88ea1720 nt!ExFreePoolWithTag+0x2a3 b330eafc 804ff853 88ea1720 b330eb48 b330eb3c nt!IopCompleteRequest+0xf4 b330eb4c 806e8ef2 00000000 00000000 b330eb64 nt!KiDeliverApc+0xb3 b330eb4c 806e8ae4 00000000 00000000 b330eb64 hal!HalpApcInterrupt+0xc6 b330ebd4 804fc4f7 88ea1720 88ea16e0 00000000 hal!KeReleaseQueuedSpinLock+0x3c b330ebf4 804f17f6 88ea1720 88ad5e98 00000000 nt!KeInsertQueueApc+0x6d b330ec28 ba4110d7 88ad5e98 88f96698 88ea16e0 nt!IopfCompleteRequest+0x1d8 WARNING: Stack unwind information not available. Following frames may be wrong. b330ec40 ba412fb6 88f327b0 00000000 806e8410 catchme+0x10d7 b330ec64 8058081d 88f327b0 88ea16e0 88ad5e98 catchme+0x2fb6 b330ed00 80579298 000007c4 00000000 00000000 nt!IopXxxControlFile+0x5c5 b330ed34 8054167c 000007c4 00000000 00000000 nt!NtDeviceIoControlFile+0x2a b330ed34 7c91e514 000007c4 00000000 00000000 nt!KiFastCallEntry+0xfc 0022f438 00000000 00000000 00000000 00000000 0x7c91e514 STACK_COMMAND: kb FOLLOWUP_IP: catchme+10d7 ba4110d7 ?? ??? SYMBOL_STACK_INDEX: 8 SYMBOL_NAME: catchme+10d7 FOLLOWUP_NAME: MachineOwner MODULE_NAME: catchme IMAGE_NAME: catchme.sys DEBUG_FLR_IMAGE_TIMESTAMP: 49d3495d FAILURE_BUCKET_ID: 0x19_20_catchme+10d7 BUCKET_ID: 0x19_20_catchme+10d7 Followup: MachineOwner --------- (Ich sollte vielleicht noch erwähnen, dass ein Raid 1 mit 2 HD's läuft) Gruß, Klaus |
Oops, die Windows Firewall war beim Combofix noxh aktiv... die muss deaktiv sein, oder? Edit: An der Firewall liegt es nicht. Habe Combofix nochmal ohne Win Firewall und ohne antivir laufen lassen, jedoch den gleichen Dump beim auto restart erhalten, wo Combofix nach der Stufe 50 Dateien löschen wollte. Gruß, Klaus |
Also wenn weder CF noch der TDSS-Killer richtig lauen, wirds mit einer Bereinigung sehr schlecht aussehen. Wenn du noch weitermachen willst wird es sehr viel aufwändiger und das lohnt sich meistens nicht. Wie wärs mit Datensicherung und sauberer Neuinstallation? |
Ja, denke die Versuche reichen vorerst. Obwohl IE und FF laufen nach dem ComboFix trotz Absturz am Ende wieder wie gewohnt. Vielen Dank für Deine (Eure) Unterstützung!! Hatte gar nicht erwartet, quasi Online Hilfestellung zu erhalten. Das war spitze! Grüße, Klaus |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 21:28 Uhr. |
Copyright ©2000-2025, Trojaner-Board