|
ZAccess.f und PMax.gen (+ Sinowal.knf) Guten Tag zusammen, wiedermal ein Virenbefall auf dem Rechner eines Freundes, den ich entfernen soll. Ich sehe zwar schon einige Posts zum Thema, aber da ihr ratet, immer einen eigenen zu erstellen, will ich das auch tun. Aufmerksam wurde mein Bekannter durch eine E-Mail von 1&1 mit dem Hinweis auf Torpig. PC zeigt einige Auffälligkeiten, die teilweise schon wieder funktionieren: Antivir ausgeschaltet, kein WindowsUpdate möglich, neue Hardware wird nicht erkannt ... Zuerst habe ich mit TDSS 2 Versuche gestartet. Damit konnte Sinowal.knf entfernt werden; ZAccess.f in serial.sys und PMax.gen in 3700555676:1660972579.exe dagegen auch beim 2. Versuch nicht. Weiter mit defogger (keine Aufforderung zum Neustart); OTL: nur otl.txt erstellt; Gmer hat sich beim Scan verabschiedet. Wie geht's jetzt weiter? Gruß Riddle |
Hi, das kann heiter werden, interessante Kombination... Fangen wir mit Hitman mal an.... Hitman Lade Dir die passende Version von Hitman runter (32/64Bit), laufen lassen und Log posten. Downloads - SurfRight Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet! Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß! Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird chris |
Hallo Chris, schön, dass ich Dir so eine interessante Kombination bieten kann ... :crazy: Mir wär's anders lieber! Rückfrage zu Hitman: hat (wenn ich richtig gezählt habe) 15 Trojans gefunden, in unterschiedlich wichtigen (System-)Dateien. Soll ich die gleich entfernen/reparieren lassen? Du wolltest ja eigentlich nur die Log. Programm bietet nur Next und Chancel. |
Hi, lass ihn von der Leine... Das Problem bei den teilen, sie überschreiben dir Systemtreiber... und irgendwann mal den falschen... außerdem hinterlassen sie ein Programm was den gelöschten Rootkit wieder installiert, falls er erwischt wurde... Daher ist das Ganze ein ziemlich häßliches Spiel (wenn nicht alles auf einmal erwischt wird)... Direkt danach gleich combofix... chris |
Liste der Anhänge anzeigen (Anzahl: 1) Sieht leider nicht gut aus. Würde dennoch Neuinstallation gerne vermeiden. Habe offensichtlich beim 1. Durchlauf von Hitman einen Fehler gemacht, da wie in einer Schleife immer wieder eine Meldung der Datenausführungsverhinderung zu WindowsUpdate kam. Daraufhin hatte ich Hitman abgebrochen. Bei einem 2. Start wurde dann zwar weniger gefunden, Screenshot anbei, dafür klappt die Entfernung nicht. Combofix ist immerhin durchgelaufen. Hitman zeigt momentan nur noch 2 Einträge und zwar die beiden Search*.exe. Wie weiter? |
Hi, Hitman lief vor CF, richtig? CF hat die Sachen gekillt bzw. wiederhergestellt, lass jetzt hitman nochmal laufen! Malwarebytes Antimalware (MAM) Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen: http://filepony.de/download-chameleon/ Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen") Fullscan und alles bereinigen lassen! Log posten. chris |
Zitat:
|
Hi, d.h. searchindexer und searchprotokolhost.exe? Mal sehen ob MAM sie schaft, sonst probieren wir es mit OTL... wenn das allerdings die Droper sind, die den Rootkit wiederherstellen, dann haben wir bereits schon verloren... Lass die Dateien bei Virustotal.com prüfen wähernd MAM läuft: Dateien Online überprüfen lassen:
Code: searchindexer.exe
chris |
Hier schon mal die Ergebnisse von Virustotal. Mbam scant noch. |
Hi, oha, was die an Libs/Funktion anziehen... die sollte MAM eigentlich finden, ob er sie eleminieren kann ist die andere Sache... Für den Notfall hier ein CF-Script, was die Entfernung fehlschlägt... Combofix scripten Den folgenden Text in den Editor (Start -> Zubehör -> Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop ablegen. Gib an "Alle Dateien" - Speichern: Code: KILLALL::3. Speichere im Notepad als CFScript.txt auf dem Desktop. 4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer!) 5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. http://virus-protect.org/artikel/bilder/cfscript.gif 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt chris |
Mbam.log angehängt. Alle Funde scheinen sich in der Systemwiederherstellung zu befinden. Die beiden Search*Dateien waren allerdings, soweit ich sehe, nicht dabei. Daher habe ich CF mit dem Script gestartet. Allerdings kam CF nicht über die ersten 3 Infozeilen nicht hinaus, der Rechner scheint zu stehen. Und jetzt? |
Hi, Rechner per hand neu booten, wenn sich auch auf der Festplatte nichts mehr tut... hartnäckig... Cureit aber am Besten gleich von der CD... Dr. Web-Live-CD Lade Dir das Abbild (Dr.Web CureIt! —) runter (jeweils die neuste Version, z. Z. http://download.geo.drweb.com/pub/dr...livecd-600.iso) und brenne es auf CD/DVD. Stelle dann im BIOS die Bootreihenfolge um (zuerst von CD booten), boote dann von der erstellten CD und starte Dr. Web Live CD (default). Lass dann alle Festplatten untersuchen... Bei Funden bitte Name und Pfad notieren, bevor du sie von Dr. Web beseitigen lässt... Weiter Anweisungen: Dr.Web CureIt! — Am Besten heute noch, dann kannst Du ihn über Nacht laufen lassen... chris |
Hi Chris, mache mich gleich ans Werk. Bericht gibt's dann morgen. Möchte mich an dieser Stelle schon einmal für Deine Hilfe bedanken. Gruß Riddle PS: Möchte nicht dumm sterben, was ist damit gemeint? :confused: Zitat:
|
Hi, beide Dateieen gehören zu Windows und werden durch dieses geschützt, sind also nicht einfach austauschbar/löschbar... chris |
Hallo Chris, melde mich zurück ... Dr. Web hatte Etliches gefunden (Trojan.Starter.1695 und BackDoor.Maxplus.24) und offensichtlich entfernt. Ein 2. Durchlauf heute zeigt keine Funde mehr. Licht am Ende des Tunnels??? Was muss ich jetzt noch prüfen? Gruß Riddle |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:40 Uhr. |
Copyright ©2000-2025, Trojaner-Board