Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Gleiche Symptome trotz Virenbereinigung (https://www.trojaner-board.de/103618-gleiche-symptome-trotz-virenbereinigung.html)

Ifron 22.09.2011 22:06
Gleiche Symptome trotz Virenbereinigung
 
Einen wunderschönen guten Abend,

ich habe letztens von einem Freund ein Netbook geschenkt bekommen, weil er die Arbeit einer Virenbereinigung nicht in kauf nehmen wollte. Da ich mich schon einmal mit einem Virenbefall an euch gewandt habe und mehr als zufrieden war, würde ich mich freuen, wenn das nochmal so gut klappen könnte.

Im Allgemeinen habe ich das Problem, dass es meistens direkt nach dem Start des Netbooks dazu kommt, dass der Bildschirm schwarz bleibt und in der oberen linken Ecke dieser "DOS mäßige kleine Eingabestrich" blinkt, es tut sich aber nichts.

Dies kann ich mit einem Neustart und ins Bios gehen überbrücken.

Die Malware habe ich mit "Malwarebytes Antimalware" entfernt.
Hier die logfiles des Durchlaufs:

Code:
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 7772

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

22.09.2011 19:23:13
mbam-log-2011-09-22 (19-23-13).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 219026
Laufzeit: 1 Stunde(n), 0 Minute(n), 8 Sekunde(n)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 1
Infizierte Dateien: 8

Infizierte Speicherprozesse:
c:\WINDOWS\system32\sdra64.exe (Spyware.Zbot) -> 1732 -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\NtWqIVLZEWZU (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NtWqIVLZEWZU (Trojan.FakeAlert) -> Value: NtWqIVLZEWZU -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Value: UID -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Bad: (C:\WINDOWS\system32\sdra64.exe) Good: () -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (userinit.exe) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
c:\WINDOWS\system32\lowsec (Stolen.data) -> Delete on reboot.

Infizierte Dateien:
c:\system volume information\_restore{31977d89-4ce6-4c66-8d8e-4a9fa1dde700}\RP218\A0066658.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.
c:\system volume information\_restore{31977d89-4ce6-4c66-8d8e-4a9fa1dde700}\RP218\A0066724.dll (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\armageddon\lokale einstellungen\Temp\plathidip.exe (PUP.Hacktool.Patcher) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\sdra64.exe (Spyware.Zbot) -> Delete on reboot.
c:\WINDOWS\Tasks\{bbaeaeaf-1275-40e2-bd6c-bc8f88bd114a}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Delete on reboot.
c:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Delete on reboot.
c:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> Quarantined and deleted successfully.
Des weiteren sind die Ladezeiten des Netbooks sowohl beim Hochfahren als auch bei ganz normalen Aktionen wie z.B. das Löschen von Verknüpfungen vom Desktop vollkommen unakzeptabel lang.

Außerdem öffnet sich ständig ein kleines Fenster, dass mich fragt (sofern ich nicht online bin) ob ich im offline Betrieb weiterarbeiten möchte. Bin ich Online, kommt diese Anfrage nicht, aber Malwarebytes blockiert eine IP Adresse die den Status "ausgehend" hat.


Nun zur Standartprozedur:

Die GMER logs befinden sich aus Platzgründen im Anhang...


Defogger habe ich auch benutzt.

Bei OTL gab es leider Probleme...
Sobald ich auf Quick Scan klicke hängt sich das Programm auf.
Neustart habe ich probiert... mehrfach...

Zu guter letzt möchte ich betonen, dass ich das Netbook wie gesagt vor kurzem erst bekommen habe und ich keinerlei Wert auf die sich darauf befindenden Daten lege. Ganz im Gegenteil... mir wäre eine komplette Windows neuinstallation inklusive Formatierung von den Partitionen C und D sogar viel lieber, da es sich aber um ein Netbook handelt, habe ich weder CD- noch Floppy-Laufwerk. Ich bin zwar im Besitz einer Windows XP Version (übrigens auch derzeitig auf dem Netbook installiert) aber mit der "Inhalt von der CD auf den USB Stick laden und im Bios als erstes Bootdevice einstellen" Methode hatte ich kein Glück.

Ich bin auch wirklich nicht so der PC Kenner.

Entschuldigung dass der Text so lang ist, kürzer wusste ich mich aber nicht auszudrücken.

Ich hoffe ihr könnt mir wieder so kompetent helfen wie M-K-D-B beim letzten Mal.

Vielen Dank schonmal im vorraus und einen schönen Abend.

Gruß

Ifron

cosinus 23.09.2011 11:18
Zitat:
ich habe letztens von einem Freund ein Netbook geschenkt bekommen,
Warum wird das Gerät nicht sauber neu aufgesetzt bzw. recovert?
Für DICH relevante Daten dürften ja wohl kaum drauf sein.

Ifron 25.09.2011 11:22
Genau das war ja das Problem.
Er hatte daran nicht wirklich interesse (deshalb hat er ihn mir auch gegeben) und ich habe mittlerweile auch versucht einen USB Stick Bootbar zu machen, was soweit auch funktioniert hat. Ich habe dafür WinSetupFromUSB benutzt mit der anleitung von dieser Site:

hxxp://myeee.wordpress.com/2008/11/14/winsetupfromusb-windows-installation-vom-usb-stick/

(Komischerweise Funktioniert das Einfügen eines Links nicht, deshalb die lange Version...)

Leider kommt nach Schritt 7, also dem Anfang der eigentlichen Installation von Win XP nen Bluescreen. Habs mehrfach ausprobiert aber leider ohne Erfolg... Ich weiß wirklich nicht mehr weiter...

Gruß

Ifron

cosinus 26.09.2011 10:30
WindowsXP hat mit SATA so eine Schwierigkeiten. Deaktiviere im BIOS mal den AHCI-Modus, stell auf IDE bzw. Compatible um. Genauere Anleitungen kann man leider nicht geben, weil im Grunde jedes BIOS bei jedem Rechner etwas anders aufgebaut ist. Notfalls im Handbuch das Geräts nachsehen.

Ohne AHCI lässt sich XP normalerweise problemlos installieren. Lässt sich das allerdings nicht ausschalten, musst du im Installationsmedium die SATA-Treiber für dein Gerät einbinden.

Oder man nimmt ein neueres/anderes Betriebssystem, was ohne zusätzliche Treiber mit AHCI zurecht kommt.

Ifron 01.10.2011 08:13
Ok danke das werde ich probieren.
Wie genau is das mit den SATA Treiber einbinden gemeint???
Soll ich einfach auf den bootfähigen USB Stick die SATA Treiber raufziehen und der sucht die sich dann zurecht oder muss ich da auch wieder was beachten???

Gruß

Ifron

cosinus 01.10.2011 20:57
Zitat:
Wie genau is das mit den SATA Treiber einbinden gemeint???
Du bastelst dir zB mit nLite eine indivuelle XP-Installations-CD, nLite kann man den SATA-Treiber mitgeben und dann dürfte das Setup auch deine Platte im AHCI-Modus erkennen.

Ifron 02.10.2011 20:05
Zitat:
Du bastelst dir zB mit nLite eine indivuelle XP-Installations-CD, nLite kann man den SATA-Treiber mitgeben und dann dürfte das Setup auch deine Platte im AHCI-Modus erkennen.
Und das klappt dann auch über einen bootfähigen USB-Stick???
Weil ich an sich mit dem bootfähigen Stick nichtmal wirklich an die Auswahl der Partitionen komme... Da liegt im Moment mein größtes problem...
Sollte ich bei nLite noch was besonderes beachten??? Ich hab das Programm noch nie benutzt.

cosinus 04.10.2011 14:55
Ob nLite einen USB-Stick erstellen kann weiß ich nicht. Ich weiß nur, dass man mit nLite eine indivuelle XP-CD erstellen kann.

Hast du es denn überhaupt mit deaktiviertem AHCI mal probiert?

Ifron 07.10.2011 18:23
Ja. Ich hab jetzt die Methode mit der Deaktivierung porbiert und im Moment installiere ich XP vom USB Stick. Ich sag nochmal bescheid, wenn alles funktioniert hat.

Bis jetzt bin ich auf jeden Fall weiter gekommen als vorher.

Vielen Dank schonmal im vorraus.

Ich meld mich nochmal.

Gruß

Ifron

Ifron 08.10.2011 16:11
Hey,

also das mit dem Windows installieren hat super funktioniert.
Ich hab deinen Tip mit dem AHCI genutzt und es hat alles geklappt.
PC wieder top fit. Im Moment installiere ich grade ale Treiber.
Vielen Dank für die schnelle und kompetente Hilfe!!!

Gruß

Ifron


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:18 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131