|
Fehlercode 0x80070424 || Vermute ZeroAccess / Max++ / Smiscer Crimeware Rootkit Topic: Fehlercode 0x80070424 || Vermute ZeroAccess / Max++ / Smiscer Crimeware Rootkit System: i7-950, 24gig-Ram, 2,9TB interne HDD, 1TB & 400MB(Treiber, Programmsicherungungen usw.) externe HDD, Windows 7 Pro (x64) MSDNAA-Studentenlizenz Beschreibung: Seit etwa 2-3 Wochen habe ich das Problem, dass sich beim Öffnen von Firefox (damals Version 10.0.0, jetzt 10.0.2) ein zusätzlicher Tab mit der Seite: „*truedig*dragonflym.c**/c/DE/hier_war_meistens_eine_seltsame_weiterleitungsseite?k=*hier_war_ein_mehrstelliger_zahlencode" aufgegangen ist. Ich habe das damals auf das neue Update von Firefox bezogen, und augenblicklich No-Script, Flashblock und ABP aktualisiert, ohne Erfolg. Jedes Mal, wenn ich einen Tab öffne oder etwas in die Searchbar eingebe öffnet sich besagte Seite, bzw. nach einiger Zeit stelle ich ein Redirecting mit ähnlichem Inhalt fest. Zeitgleich fiel mir auf, dass die CPU-Auslastung überdurchschnittlich hoch auffällt. Da ich für mein Studium gerade sehr viel am PC arbeite und wenig spiele ist mir auch nicht aufgefallen, dass sich sämtliche Spiele nicht mehr starten lassen. AVG Internet Security 2011 (lizensiert, ständig geupdated, ein Scan die Woche) spuckte, neben den üblichen Warnungen aber keine Fehler aus. Als ich den Rechner vor 11 Tagen am Morgen starten wollte, konnte Windows nicht mehr geladen werden. Ich hatte lediglich die Möglichkeit, die Systemwiederherstellungskonsole zu benutzen, diese hat sich dann einfach aufgehängt. Ein Neustart im „abgesicherten Modus“ und das Deinstallieren des Nvidia Treibers, ich habe vor 12 Tagen eine 2. Grafikkarte für 3 Monitore installiert, sollte das Problem lösen. Nach 2 Tagen konnte ich AVG, das ich mehr aus Zufall deinstalliert habe, reproduzierbar als den Übeltäter ausmachen. Der Rechner bootete wieder ganz normal. Da ich gerade in meiner „heißen Projektphase“ bin, wollte ich eine Neuinstallation auf Ende Februar verschieben und hab halt in Kauf genommen, dass ich keinen Virenscanner habe. Eine zeitweise Installation von Avira AntiVir Free brachte zwar schön im 10 Minutentakt die Meldung, dass 2 Trojaner in SysWOW64 [win32.exe] und [TR/Crypt.XPACK.Gen] gefunden und gelöscht, bzw. in Quarantäne gebracht worden seien, am Verhalten des Browsers änderte sich nichts. Überhaupt wurden in diesem Ordner allerhand Sachen gefunden. So wurde zum Beispiel auch der VPN-Client für unseren Uni-Server also mittlere Bedrohung gleich mal geblockt. Mittlerweile bin ich mit meinen Film-Projekten soweit fortgeschritten, dass ich den Terabyte-Bereich erreicht habe, der Rechner aber quälend langsam wird, teilweise freezen Prozesse und Programme, ein Kick-Off ist manchmal die einzige Lösung. In den letzten Tagen habe ich immer wieder halbherzige Versuche gestartet, das System wenigstens soweit stabil zu halten, dass ich meine Filmprojekte abschließen kann. Dabei hab ich vermutlich so ziemlich sämtliche Lösungen auf eurem Board durchgearbeitet, nahezu jedes der beschriebenen Programme ausprobiert, eine Lösung hab ich bis dato nicht. Durch das fortwährende Deinstallieren der Scanner hab ich leider auch die meisten Logs verloren, kann also nicht wirklich viel mehr vorweißen, als eine momentane Bestandsaufnahme. Ich bin durchaus erfahren im Umgang mit Internet und PCs, auch in Hinblick auf Sicherheit, Ports und Dienste werden nach dem Neuaufsetzen des Rechners als erstes gesichert und angepasst, aber dieses Mal hats mich wirklich böse erwischt. Ich würde lügen, wenn ich behaupten würde, dass ich noch nie auf einer zweifelhaften Seite war, allerdings, seit ich den PC vor etwa 4 Monaten neu aufgesetzt hab, kann ich das nahezu ausschließen. Eine mögliche Ansteckungsgefahr sehe ich an unseren studieninternen Rechnern – wir sind durch die Größe unserer Projekte oft dazu gezwungen mit externen Speichermedien zu arbeiten, und nicht nur einmal hatte mein AVG danach alle Hände voll zu tun. (Autorun ist übrigens mittlerweile bei den externen Platten und beim Handy deaktiviert.) Heute Morgen hab ich mit CCleaner folgende Programmen und die dazugehörigen Schlüssel entfernt: C:\user\***\appdata\logal\akimai\netsession_win.exe [Ist ein Download-Programm für ein Free2play-Spiel, das ich vor langem mal spielen wollte] c:\ProgramFiles (x86)\Internet\akimai\Netsession Client\ [dito] DTLite [DaemonToolsLight vollständig, weil der Treiber beim Systemscan Probleme machen könnte, TDS hats auch prompt als mittlere Bedrohung eingestuft und wollte „sptd.sys“ löschen] Ati2evxx.exe [und dazügehörigen Dienst, hatte beim Testen mit den Grakas auch eine ATI im Rechner] Außerdem habe ich einige Autostarts, wie JavaUpdate und Mobile-Unterstützung deaktiviert, ich denke aber nicht, dass das besonders relevant ist, ein gänzlich unbekannter Dienst, Prozess oder gar ein Programm, das ich nicht kenne, ist mir nicht über den Weg gelaufen. Mir ist aufgefallen dass in letzter Zeit sehr sehr häufig PING.EXE lief und auch ordentlich gearbeitet hat. Da es sich aber in System32 befindet, hab ich das nicht so sehr beachtet. Bei der Reinigungsaktion heute ist mir auch das erste Mal aufgefallen, dass keine bordeigenen Sicherheits-Werkzeuge von Windows aktivierbar sind. Das Windows-Update geht als einziger Service noch, alles andere spuckt besagten Fehlercode 0x80070424 aus. Nach einer Bearbeitung mit Rkill, TDSS-Killer, Anti-Maleware, und CCleaner[/B] scheint das meiste verschwunden, allerdings, ist der Rechner immer noch laggie, Windowssicherheitsdienste wie Bitdefender und die Firewall lassen sich nicht aktivieren und Internet ist gefühlt langssam, sprich, ich trau dem nicht für 5 Cent, auch wenn keiner der Scanner mitlerweile mehr anschlägt. Was ich mir von euch erhoffe: Eine Lösung die im Optimalfall bis zum Ende des Monats durchhält, eine Neuinstallation ist durch die Verteilung der Projekt-Materialien nahezu unmöglich ohne meine Filme ernsthaft zu gefährden. Außerdem werde ich definitiv Hilfe dabei brauchen, das System neu aufzuspielen, wenn es so weit ist. Ich mach mir Sorgen, weil ich weiß, dass vermutetes Rootkit auch MBR-resistent und aber auch kaskadierend zu sein scheint, ich also nicht mal ausschließen könnte, dass es sich auf meinen Platten versteckt, auf denen nur Studien-Unterlagen und Material, also keine ausführbaren Daten gespeichert sind und ich die nicht einfach mal löschen kann. Anbei Logs, die ich noch finden konnte, bzw. heute aktuell mit dds und mbam und Sophos tools angefertigt habe. Ich steh euch natürlich rund um die Uhr zur Verfügung, sollten Fragen und Anregungen auftauchen. Ich entschuldige mich für die sehr ausführliche Beschreibung, ich dachte, da ich keine wirklich aussagekräftigen Logs liefern kann, versuche ich so präzise wie möglich, die Situation zu beschreiben. Und ein ganz fettes Dankeschön im Voraus, ich bin der PC-Heilemacher in meinem Umfeld und weiß, wie anstrengend es ist, Probleme aus der Ferne zu diagnostizieren und dafür nichts als einen imaginären, warmen Händedruck zu bekommen! ^.^ Kosch, ein klein wenig verzweifelt. PS: Aktuelle Sophos_Logs kommen nach, ich schick das mal ab, dann kann mal jemand reinschauen, wenn Zeit ist... ^^ |
Hi, ich hab mir gerade noch mal die alten Logs, im speziellen das "Scan my Computer11_02_2012" vom Sophos-Tool angesehen. Ich hab die Datei mal manuell gesucht und sie ist vorhanden. Der Versuch, diese Datei "C:\Windows\System32\consrv.dll" beibei Virustotal hochzuladen wurde abgelehnt mit der Meldung, dass die Datei nicht vorhanden sei. Ich hab sie aber auf meinem anderen Schirm, sie liegt genau vor mir. Das Log vom 11.02. sagt folgendes: 20120210 220603 Datei "C:\Windows\System32\consrv.dll" gehört zu Virus/Spyware 'Troj/ZAccess-L'. Ich bekomme grad echt ein wenig Bammel, weil ich halt auch Onlinebanking und ebay und solche Dinge gemacht hab. Natürlich nicht mehr, seitdem ich weiß, dass mein System korumpiert ist, aber ich kann eben den Zeitpunkt der Infektion nicht wirklich genau bestimmen, weil mein AVG ihn ja nicht erkannt hat. Kosch, total hibbelig |
So, während einem weiteren Scan hat sich der PC vollständig aufgehängt, der Versuch im Abgesicherten Modus mit Netzwerktreibern zu starten, hat etwa 5 Minuten gedauert, JETZT bin ich WIRKLICH beunruhigt. |
Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt? Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind. |
Hi Arne, momentan bin ich nicht in der Lage Windows zu starten. Im normalen Modus bekomme ich nach "windows wird gestartet" einen neustart, übergangslos. Die Festplatten schalteon deutlich hörbar ab. Danach versucht windows sich selbst zureparieren scheitert und stürzt ab. Im abgesicherten Modus läd er die treiber bis ....\classpnp.sys, dann arbeiten alle Festplatten hörbar, dann systemneustart. Sorry für gramatik umd rechtschreibung, bin mit dem Handy hier Ers mal vielen Dank für deine Maldung. An logs für Malware habe ich nur die gefunden, die sagen dass das system geschützt sei. Kosch |
Sehr fraglich ob man dieses System retten kann. Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten. Falls ein Bluescreen beim Booten von OTLPE kommt, musst du mal AHCI im BIOS deaktivieren und es nochmal probieren. Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.
|
Hab jetzt das Laptop meiner Freundin da, war gerade dabei, knppix live cd runter zu laden. Ich werde deine Anweisungen jetzt aber genau umsetzen... Melde mich umgehend, sobald ich deine Anweisungen umgesetzt hab. @System, ja, denke ich auch. Jetzt gehts primär nur noch darum die Filmdaten, dokumentationen und projektdaten zu sichern. So ganz spontan ne idee, ob Viren solche daten eventuell befallen können, bzw. Wie ich das herausbekomme? Melde mich, nach Vollzug. Kosch |
Grundsätzlich kann man reine Datendateien übernehmen. Zum Thema Datensicherung von infizierten Systemen; mach das über ne Live-CD wie Knoppix, Ubuntu (zweiter Link in meiner Signatur) oder über PartedMagic. Grund: Bei einem Live-System sind keine Schädlinge des infizierten Windows-Systems aktiv, damit ist dann auch eine negative Beeinflussung des Backups durch Schädlinge ausgeschlossen. Du brauchst natürlich auch ein Sicherungsmedium, am besten dürfte eine externe Platte sein. Sofern du nicht allzuviel sichern musst, kann auch ein USB-Stick ausreichen. Hier eine kurze Anleitung zu PartedMagic, funktioniert prinzipell so aber fast genauso mit allen anderen Live-Systemen auch. 1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 180 MB sein 2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn unter Windows 3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist http://partedmagic.com/lib/exe/fetch...ia=desktop.png 4. Du müsstest ein Symbol "Mount Devices" finden, das doppelklicken 5. Mounte die Partitionen wo Windows installiert ist, meistens isses /dev/sda1 und natürlich noch etwaige andere Partitionen, wo noch Daten liegen und die gesichert werden müssen - natürlich auch die der externen Platte (du bekommmst nur Lese- und Schreibzugriffe auf die Dateisysteme, wenn diese gemountet sind) 6. Kopiere die Daten der internen Platte auf die externe Platte - kopiere nur persönliche Dateien, Musik, Videos, etc. auf die Backupplatte, KEINE ausführbaren Dateien wie Programme/Spiele/Setups!! 7. Wenn fertig, starte den Rechner neu, schalte die ext. Platte ab und boote von der Windows-DVD zur Neuinstallation (Anleitung beachten) |
Ok, dann würde ich sachen, dasswir uns das als Notfalloption offenhalten,Knoppix läd und wird auchgleich gebrannt auf dem Laptop hier. Zeitgleich setzt ich jetzt deinen OTLStart um. Danke nochmal für Hilfe! Kosch |
So, hier nun die beiden Log-Files. Musste leider noch einmal scannen, weil in den Standardeinstellungen das Scannen der Extra Registery ausgeschaltet war. Den Usernamen habe ich, wie gewünscht durch *** ersetzt. Ich werde wie gesagt,simultan jetzt, während ich auf eine Antwort warte, anfangen, die nötigen Schritte für eine Sicherung vorbereiten. Kosch, sehr gespannt |
Zitat:
|
Keinen blassen Schimmer. Mir ist der Ordner Ali auch schon Mal auf der Platte aufgefallen. In Anbetracht, dass ich nen Kumpel hab, der auch Ali heißt, hab ich gedacht, das sind alte Files, die ich mal für ihn gesammelt hab, oder dass er mir dasmal geschickt hat. In der Schnelle schreib ich öfters mal Ordner oder temporäre Files mit 1234 usw. Ich schau mir die Files gerade mal über das gebootete Linux an... "dxhr" Ordnerstruktur: dxhr(Ordner),darin user.var(executable application/x-executable,760Byte) und cache(Ordner). -> cache(Ordner),darin cache.dat(executable application/x-executable,1232Byte) und data(Ordner) -> data(Ordner),darin 186946-256-64-DDS_FORMAT_DXT1-False(Ordner)und players(Ordner). -> 186946-256-64-DDS_FORMAT_DXT1-False(Ordner),darin 186946-256-64-DDS_FORMAT_DXT1-False.dds(DirectDrawsurface image/x-dds, 8320Byte) und df.dat(executable 96Byte) -> players(Ordner) ist leer. Lol, google hätte mir gerade Arbeit abgenommen. Es handelt sich vermutlich um files, die zu Deus eX - Human Revolution gehören, entweder zum Hauptprogramm oder zum Add-On "The Missing Link". Das Spiel war damals in einer Download-Version per Gutschein von meiner Freundin als vorgezogenes Weihnachtsgeschenk zu mirgekommen. Ali213 kann ich laut google nur mit torrent-files in Verbindung stellen, da ich seit Mitte letztem Jahr nach einer gerichtlichen Abmahnung mit Downloadgeschichten abersehr vorsichtig geworden bin und deshalb im letzten Viertel 2011 meinen Rechner deshalbneu aufgesetzt habe, ohne illegale Spiele zu nutzen, kann ich mir zu dem Eintrag nichts vorstellen. Eins fälltmir dazu noch ein. Ich hatte einen Windows.Old Ordner auf der Platte, den ich vor etwa 5 Tagen gelöscht habe. In dem waren auch allerhand alte Programme drin. Ich erinnere mich, in einem der Logs (aus dem ersten Post) Viren/Schadsoftware-Befall gefunden zu haben. Sag jetzt bitte nicht, dass das durch diese Spiele gekommen sein könnte!!! Zur "ALI213"Ordnerstruktur: 28050(ordner),darin Storage(Ordner),darin gamea1(executable,249,2KB), gamea2(executable, 242,4KB), gameq(executable, 230,3KB), gamer1(executable, 53,5KB), gamer2(executable, 59KB),gamer3(executable, 84,2KB), gamer4(executable, 97,7KB), saveindex(executable, 428Byte) und user(executable, 185Byte). Nach weiterem Bemühen von Google hab ich gesehen, dass genau diese Struktur wohl auch von Deus Ex3 angelegt wurde. (hxxp://forums.eidosgames.com/showthread.php?t=121065) Ich hatte auch mal das Problem, dass mir Deus immer gecrashed war, danach hab ich dann einfach deinstalliert und neu installiert. Savegames konnte ich aber damals keine finden. deshalb hatte sich die Frage nach dem Warum damals ehr erübrigt. Hoffe, dass du was mit dem Daten-Wirr-Warr anfangen kannst. Kosch |
Ich werd jetzt nach bestem gewissen Müll entrümpeln. OTL löscht nicht endgültig, Hinweis dazu am Ende der Fix-Anweisung. Probier ob sich Windows zumindest im abgesicherten Modus wieder starten lässt nach dem Fix. Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!! Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann! |
Hi! Bin grad am Sichern einiger MTS(Video)Files, der aktuelle Block dauert noch 7 Minuten, danach werde ich das umgehend umsetzen. Ich könnt dir nicht sagen, wie dankbar ich dir wäre, wenigstens das Projekt abschließen zu können, und dann in aller Ruhe den Rechner neu aufzusetzten!!1einseinseins [EDIT]Ich habe versucht, die Anweisungen umzusetzen. Dabei bin ich auf Fix gegangen, dann wollte ich das TXT-File anwählen, Programmabsturz. Neu gebootet, im Bios nach advanced Settings gesucht, keine advanced SATA settings verfügbar. Danach starte ich Reatogo-X-PE, bootet nicht mehr. Ich vermute, dass das an der externen Platte liegt, mit der ich versuche das TXT-File an den befallenen Rechner zu bekommen. Neustart ohne Platte läuft und... lief nicht durch. Könnte das am Linuxsystem liegen? Die Partition, die er erstellt hatvilelleicht? Vorstellen kann ichs mir ja nich... Kosch |
So, OTLFix gemacht,erhatordentlich gerödelt, leider ohne Erfolg. Der Rechner kommt, wie oben beschrieben bis zu einem gewissen Treiber, dann erhöhte Festplatten-Aktivitäten, und dann geht das System einfach aus. Kosch |
Funktioniert denn noch der abgesicherte Modus, abgesehen davon dass er ~5 Minuten zum Hochfahren braucht? Wenn nicht, seh ich schwarz für den Rechner. |
hxxp://www.securelist.com/en/blog/493/MAX_sets_its_sights_on_x64_platforms Das hier hab ich noch gefunden. Als ich heute Morgen versucht habe, noch einmal Sophos (ist ne seltsame Endpoint-Lizenz von unserer Hochschule) drüber laufen lassen habe, hat dieser "C:\Windows\System32\consrv.dll" ERFOLGREICH gelöscht. Ich sehe gerade, dass in dem Artikel auch was davon steht: Zitat:
Siehst du irgend eine Möglichkeit die Registery zu fixen? Ich mach mal weiter mit der Sicherung... Sollte man sich heute nicht mehr lesen, bedanke ich mich erst einmalfür die Anstrengungen und wünsche einen schönen Abend. Kosch |
[EDIT]Posts haben sich wohl überschnitten... Ne, abgesicherter Modus auch Fehlanzeige.[/Edit] |
Über OTLPE hat man einen RegistryEditor, der auch die Registry des nicht mehr bootenden Windows laden kann. Frag mich jetzt aber nicht welche Schlüssel man genau da editieren muss. Vllt ist es nur das: Zitat:
|
Ich werds jetzt mal ganz stumpf ausprobieren. Löschen würde ich jetzt. Oder? [EDIT]Hab den Schlüssel verglichen, wie er sein soll und wie er ist...Er ist wie er sein soll... also keine Lösung dafür. |
hxxp://forum.avast.com/index.php?topic=81720.30 Mehr Infos über die beteiligten Files... Das siehst irgendwie so gar nicht gut aus... :( |
Der ZeroAccess ist leider ziemlich schwierig zu entfernen, geht nicht immer. Hast du die consrv.dll zufällig noch? |
Ich schaue gerade meine ganzen Verzeichnise durch, die datei an sich ist nicht mehr da. Ich versuche gerade sämtliche Quarantäne Ordner der einzelnen Virenscanner zu finden, ich denke aber ehr, dass das nichts wird. Hab noch ein vorheriges Post editiert, hier aber noch mal der Vollständigkeit halber: Der Schlüssel, wie er ist, deckt sich mit den angaben, wie er sein soll. Kosch |
Ich glaube dein System ist ein Totalschaden. Wenn ich mich richtig erinnere war es auch ziemlich gut zugemüllt und von einem Windows.old Ordner schrubst du auch => Windows.old=kein Format C bei der angeblichen Neuinstallation von Windows :pfeiff: |
Vom Formatieren hab ich meines Wissens ja auch nicht gesprochen. Aber gut, ich denke auch, dass da nur noch wenig zu wollen ist. Einen Gedanken hatte ich noch. Kann es sein, dass der Registery-Recoverer auf die Registery von dem emmulierten Betriebssystem zugreift? weil dann ist es ja klar, warum alles richtig ist... |
Das eine will ich noch versuchen, dann gebich mich geschlagen... hab ja auch jetzt langsam genug von deiner Zeit verschwendet... wie kann ich mit diesem MiTec Recovery-Tool auf meine alte Registery zugreifen? Irgendwie schein ichwas falsch zu machen... |
Ich werd verrückt... ich hab tatsächlich die Registery vomemmulierten System gecheckt... in meiner version ist es wie auf dem Link beschrieben...es steht consrv drin... Ich kanns jetzt auslesen, aber wie editieren? |
BÄÄÄÄM! :kloppen: AAAAlso... :rofl: ... Tatsächlich lag es genau daran... ich hab die Registery vom emmulierten System gelesen und dementsprechend natürlich ein sauberes System gehabt. Nachdem ich dann per Start->run "regedit" ausgeführt, die alte System-Registery (über Load Hive) in die aktuelle geladen, diese dann an !2! Stellen editiert habe(link zum genauen Reg-Schlüssel weiter unten) konnte das System wieder ganz normal hochfahren!!! :singsing: @Arne: Ich danke dir tausende von Malen!!! Ich kann endlich wieder auf mein System zugreifen und mein Projekt abschließen! Vielen Herzlichen Dank für deine Hilfe und deine Bemühungen! :party: @Virus: Natürlich ist damit das Virus, nicht wirklich gebannt, lediglich der Dropper des Rootkit ist jetzt von der Platte und ich habe wieder weitgehenden Zugriff auf mein System. Ich versuche jetzt noch einen Virenscanner zu installieren und hoffe darauf, dass das System nicht abstürzt und auch NICHT die Fähigkeit verliert, danach wieder hoch zu fahren. Zugriff auf BitDefender und Windows Firewall hab ich immer noch nicht, aber das Teilziel ist jetzt für mich erst einmal erreicht. @Threadbeobachter: Das System ist immer noch böse im Eimer, "meine Lösung" ist also keinesfalls eine wirkliche Lösung, die eigentliche Arbeit fängt jetzt erst an! @Cosinus, die 2te: Wenn du magst, dann könnten wir jetzt Stück für Stück an einer Lösung arbeiten, generell, sollte da keine Motivation zu bestehen, wird auf jeden Fall eine Neuinstallation, diesmal eine vollständige folgen. Auf jeden Fall noch mal danke, sau geil, dass du trotz meines Umgangstones, dich der Sache angenommen hast. :daumenhoc Kosch Anhang: Code: Der Schlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems |
Wie jetzt? War der Eintrag zur consrv.dll doch noch in der Registry zu sehen? :wtf: Und jetzt läuft das System im normalen Modus wieder? Naja, du hast vorher vom LIve-System die Registry geöffnet :D und nicht vom installierten nicht mehr startenden Windows ;) Dann ist da klar warum du den Eintrag nicht siehst Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden. Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! ESET Online Scanner
Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code: hier steht das Log |
Wenn es dir nichts ausmacht, würde ich mich jetzt die nächsten 2 Tage primär um meine Video-Projekte kümmern. Das heißt, ich würde täglich 4-5 mal hier reinschauen, täglich aktuelle Logs und deine Anweisungen befolgen. Hab jetzt natürlich bissl schlechtes Gewissen, weil ich gestern so nen Terz gemacht hab und jetzt wieder nen Gang zurück schalte. Momentan läuft im Hintergrund Kaspersky Virus Removal Tool wobei ich ihm natürlich gesagt habe, dass NICHTS desinfiziert oder verändert werden darf (derzeitiger Stand: 9h17m, 7 Bedrohungen bei rund 1,2kk gescannten Objekten, 39% abgeschlossen). Ich werde, im Anschluss dann auch mbam und eset noch mal durchlaufen lassen und sämtliche Logs posten, wenns recht ist. |
Ja mach das mal :D |
So, nachdem jetzt einiges passiert ist, mal einen kleinen Zwischenbericht. Das System Startet, braucht unglaublich lange am Anfang. Solange ich nichts mit Internet mache, ist alles toll. Rechner läuft recht zügig, abgesehen davon, dass ich einige Programme nicht starten kann, die gehen nach dem Starten wieder aus, der Prozess verschwindet auch aus dem Taskmanager, und davon, dass sämtliche Windows-Sicherheits-Bordmittel streiken. Das Kaspersky-Tool, ich hab ihm vorher untersagt, gefundene Bedrohungen zu entfernen, hat sich nach 12 1/2 Stunden beim Scan einer Iso-Datei (ein Image von DigitalTutors hxxp://www.digitaltutors.com/11/training.php?pid=54 das ich von meiner Hochschule selbst von einer Original-DVD erstellt hab) aufgehängt. Hier das Log, Stand etwa 13 Uhr, das ich noch sichern konnte Code: Status: Gefunden (Ereignisse: 7) mBam ist durchgelaufen, hier das Log Code: protection-log-2012-02-22.txtEin Scanlog wurde NICHT erstellt, habs weder abgebrochen, noch irgendwas geschlossen. Ich dachte, ich würde eines finden, Ordner, Pfade alles abgesucht... nichts... Auf jeden Fall hab ich dann halt noch mal gescannt. Code: Malwarebytes Anti-Malware (Test) 1.60.1.1000Danach wie beschrieben Eset drüber laufen lassen Code: ESETSmartInstaller@High as downloader log:Irgendwie macht mich das ein wenig stuzig, warum bleibt der bei Images hängen? Naja, das Log ist also die "list of found threats" aus Eset. Es juckt mich ja diebisch, den Dateien noch einmal gezielt zuleibe zu rücken. Momentan überwiegt aber meine Angst, nochmal so nen Totalausfall zu produzieren, wie mit consrv, das übrigens nebenbei wieder munter vor sich hinwerkelt... :stirn: Die mbam-Logs habe ich in den Code gepackt, willst du die auch noch gezippt haben? Kosch [EDIT] ahhh, ganz vergessen, ich hab mir ne kleine .bat gebastelt, die die Dienste und Prozesse anzeigt. Ich lass die Liste immer dann raus, wenn der Rechner sehr lahmarschig wird. Dachte, das könnte vielleicht auch von Interesse sein, diese Liste reinzupacken. Wenn du die in Zukunft nicht brauchen solltest, dann lass ich die weg. Code: 22.02.2012 |
Zitat:
Ist ein fieser Keylogger. Machst du OnlineBanking mit dieser Kiste? Du solltest umgehend alle Passwörter von einem sauberen System (zB Live-CD) ändern! Mit alle Passwörter werden sämtliche gemeint, die man in der Onlinewelt so nutzt. Amazon, Ebay, Mailaccounts etc. pp. Zitat:
Zitat:
Zitat:
|
HitFilm, is n Plugin für AfterEffekts und Sony Vegas. Jaja, du hast ja recht... wenn man mal über den Tellerrand schaut, auch wenn die aktuelle Infektion sicherlich nichts damit zu tun hat, (das Ding hab ich am 18.02. gedownloadet, als die Infektion schon in Vollem Gange war und ich hoffte, halt noch mit den Plugins schnell ein paar schöne Partikeleffekte über die Videos zu ballern. :pfeiff: Fable hatte ich in der Tat geknackt. Wie du siehst, ist die "Spiele BACKUP" noch von der alten Installation wegen Savegames usw. über, auf dem aktuellen System hab ichs nicht mehr genutzt. Dieses Paul-Ding war mir bekannt und wurde auch immer schön geblockt. Sowohl "Spiele Backup" als auch HitFilm hab ich glaub ich vorgestern gelöscht, nachdem sie das erste mal in einem Log aufgetaucht waren. :daumenrunter: @consrv: Jepp, is mir sofort aufgefallen, hat er auch gleich wieder fleißig installiert! Ich hatte Onlinebanking gemacht, als ich aber diese Redirect-Sache hatte, habe ich sowohl PayPal, als auch meine Bank nicht mehr benutzt und beiden von einem Sicheren System, bzw. per Telefon bescheid gegeben. Passwörter habe ich letztendlich nur noch emails benutzt, dort habe ich in der signatur stehen, dass auf KEINEN Fall anhänge von emails, bzw. Links darin geöffnet werden dürfen, wenn ich nicht telefonisch dazu auffordere. Ich werde diese PWs aber ändern. Spyeye ist übrigens erst ganz aktuell drauf gekommen, bei den verkümmerten Resten der Logs, die ich noch habe, sehe ich das erst seit heute. Rätst du mir, jetzt die Fehler zu korrigieren, also mit mbam die infizierten Files zu löschen, bzw. zu "heilen"? Kosch |
Zitat:
|
Klar, ist nachvollziehbar. Jedefalls danke ich dir sehr für die Mühe und die Anstrengungen. Wegen der Neuinstallation hab ich mir überlegt, dass ich nach Abschluss der Projekte sämtliche Files von Relevanz mit der, schon weiter oben beschriebenen Methode mittels Parted Magic sichere und dann das System plätte, also auch formatiere. Problematisch ist allerdings, dass ich 4,5TB an Festplatten und etwa 4TB an Daten habe. Zwar kann ich mit der LiveCD stückchenweiße die Partitionen säubern, aber welches Restrisiko würde bleiben, wenn ich zur Installation nur eine einzige Platte anstöpsle, vorausgesetzt, ich schaffe es, sämtliche Platten einmal "durch zu formatieren"? Ich meine, wie groß ist die Chance, dass ich da was MBR-resistentes hab? Kosch |
Zitat:
Zitat:
So als erste Idee hätte ich das hier, wie klingt das? :D
|
Verbaut sind: C: (System) [465GB]: Die Daten, die hier von Belang waren/sind, wurden/werden gesichert, sind in etwa noch 150-200GB D: (Temp) [372GB]: ca. 85GB noch frei, da wandert ein großer Teil von den gesicherten daten von C: (System) drauf. E: (PROJECTS) [465GB]: Durch die gestrige Säuberung mit der Live-CD nur noch 88GB Daten, die müssen noch wo hin gesichert werden. F: (BACKUPS) [149GB]: Noch etwa 7,25GB frei, eventuell kann ich da noch 6-16GB zusätzlich frei bekommen, weil ich denke, dass meine Süße auch ohne ihr vollständiges MP3-Player-Backup auskommen kann. :pfeiff: G: (Storage) [1397GB] ca. 21GB frei, da ist nichts zu wollen. Diese Platte wandert am Ende des Semesters wie sie ist aus dem Rechner in eine angemessene Verpackung. Diese Platte beinhaltet sämtliche Studienarbeiten und auch viele Raws. Ein Problem könnte hierbei noch werden, dass dort auch einige Scripte, Programmroutinen und Java/Flash-Programme, sowie ganze Websites drauf sind -Eben alles, was ich in 5 Semestern gebastelt habe. Könnte das behalten dieser Files ein Problem darstellen? :eek::eek::eek: Eine neue 1,5TB-Platte wird in etwa 2 Monaten folgen, momentan is finanziell leider nichts früher machbar. Meine Idee war, erst die Projecs-Platte komplett mit Live-CD leer zu schaufeln, zu formatieren, wenn möglich auch Low-Level, dann diese Platte komplett voll zu machen, die Systemplatte vollständig zu leeren, diese dann zu formatieren, dann die beiden kleineren usw. Die Reihenfolge is bei den kleinen Platten ja recht egal. Schwierig wird es aber bei der 1,34TB-Platte. Ich denke, ich sollte diese wenigstens einmal komplett durchputzen und leerfegen. Ich habe externe Platten mit 17,4GB, 39GB und 34GB frei. Alles in Allem zusammen gerechnet, komme ich etwa auf 1000GB freien Platz, +-100GB... fehlen aber immer noch etwa 350GB... Zitat:
Ansonsten hatte ich es in etwa so vor, wie du vorschlägst. Erst wenn das Windows komplett abgesichert ist, will ichs wagen, die anderen Platten dran zu hängen. Kosch |
Und natürlich hast du recht, es sind 3,5 nich 4,5...^^ |
Komando zurück... ich hab genug platz. Auf der einen externen Platte von meinem engel sind nicht 17Gig, sondern 400 frei. die Platte war voll mit alten Serien... Ok, Platzproblem gelöst. Wenn du mir das mit dem MBR plattmachen noch erklären kannst, bin ich wunschlos glücklich und schulde dir ein großes Bier oder Vergleichbares. |
Update: Diese Anleitung ( hxxp://remove-malware.com/malware/rootkits/rootkit-zero-access-max-notes/ ) mit dieser hier ( hxxp://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird ) haben mich ein klein wenig weiter gebracht. War traue ich dem System keinen Meter über den Weg, Windowsbordmittel und auch regulärer Virenscanner laufen aber wieder. Als ich auf dieses Board hier wollte kam aber ein Redirect auf eine Marketplace-Seite, mbams-Schutzfunktion hat das aber netterweiße unterbunden. ^^ Bin bald mit meinen Videos durch, dann kanns ans neu aufsetzen gehen. :applaus: Einfach Interesse halber lass ich jetzt noch mal mbam komplett drüber, danach poste ich quasi als Abschluss das mbam-log und das (vorher)ComboFix, (nachher)ComboFix). Kosch |
MBR killen mit Linux leicht gemacht: einfache Methode: Ubuntu besorgen, Rechner davon booten, Laufwerksverwaltung (palimpsest => Laufwerksverwaltung) öffnen. Systemplatte auswählen, formatieren => keine Partitionierung (sinngemäß) oder per Terminal: Code: sudo dd if=/dev/zero of=/dev/sdx bs=512 count=1Der o.g. genannte Befehl überschreibt die ersten 512 Bytes (und damit den MBR) mit Nullen (die Nullen bekommt er aus der Spezialdatei /dev/zero ) |
So, Rechner is neu gemacht! :taenzer: Ich wollte mich noch mal ganz artig für den Suport bedanken. Bei der Gelegenheit hab ich dann auch gleich Windows 7 SP1 drauf gemacht. Ich wusste nicht, dass meine Studentenlizens schon ein paar Monate abgelaufen war. Als ich dann die neue mit neuem Schlüssel runtergeladen hab, kam nur die Nachricht, dass ich bitte alle Kopien der alten Version vernichten soll. Ich hab als Reaktion auf dieses Disaster angefangen über eine Lightversion von Acronis Image Backups zu machen, diese auf eine Fesplatte ohne Buchstaben, also nicht eingebunden ins System gelegt und schalte die in Notfällen bootbar über eine Start-CD zu. :zunge: Zwar hab ich gerade gegenwärtig noch ein Problem mit einem Treiber für meine Maus, die Firma is was Treiber-support angeht die Hölle, aber sonst ist alles schick und viel von dem Mist, den ich einst drauf hatte, hab ich jetzt gleich von Anfang an weggelassen. Das formatieren der Platten und auch das MBR-Überschreiben hat proma geklappt. Solange mBam noch in dre vollversion läuft werde ich das nutzen, überlege mir aber, das auch fest zu kaufen. Dazu noch eine Frage in nem anderen Thread (http://www.trojaner-board.de/110616-...tml#post782489). Thx alot cosinus! Kosch PS. Weil ich so begeistert von der Hilfe war hab ich mein Paypal, das ich ja jetzt wieder benutzen kann, ein wenig zu euren Gunsten belastet. ^^ |
Zitat:
Vom MSDNAA Programm her kenn ich das nicht nicht, eine derartige Lizenz ist nach meinem Wissenstand unbegrenzt gültig :confused: Ich hab auch noch ein paar MSDNAA Lizenzen aus meinem damaligen Azubi-Dasein noch, da hat mir die Schule einen MSDNAA Account gegeben :) |
Ja, war auch ein wenig schockiert. Ich hab das Ding vor etwa 2 Jahren runtergeladen, alles schick. Intalliert, immer wieder installiert, dann sogar mal per Telefon aktiviert. Als ich das jetzt installieren wollte, hat er Serial und alles ganz normal angenommen. Beim ersen updaten über Windowsupdate kam die Meldung, dass ich eventuell betrogen worden sei und mir doch bitte eine Originalkopie zulegen solle. Hab natürlich erstmal Bauklötze gestaunt, weil ich ja auch davon ausging, dass die nicht zeitlich begrenzt sind. Als Fehlermeldung kam: 3 verbleibende Aktivierungen, Version abgelaufen. Auch bei meiner jetzigen Version stand, bei der Email mit dem Schlüssel, dass ich ein erweitertes Nutzungsrecht von 2 Jahren hätte. Vielleicht ist das eine Sonderbestimmung, weil wir alle MSNDAA Lizenzen über ELMS abwickeln. Mich hatte auch gewundert, wenn man den Leistungsindex angezeit hatte, war das dieses Logo von Originalsoftware und ich konnte den Produktkey eingegeben. Whatever, jetzt ist wieder alles fein, die Projekte sind in trockenen Tüchern, der rechner werkelt wieder wie ein Weltmeister :D Kosch |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:53 Uhr. |
Copyright ©2000-2025, Trojaner-Board
