|
0access rootkit und Sirefef.D,Bootfähigkeit verloren Sehr geehrtes Team Trojaner-Board.de, vor drei Tagen öffnete sich während des surfens im Netz ein Adobe-Update Fenster, es passierte weiter nichts. Später bemerkte ich, dass ich die Firewall von Windows nicht mehr starten konnte. Daraufhin machte ich mit MBAM einen Scan und fand einige Viren und Trojaner von denen sich alle bis auf ein rootkit.0.access und ein sirefef.D alle entfernen ließen. Diese waren immer wieder da und nach jedem Neustart fanden sich andere "Nebentrojaner". Ich googlete und fand heraus, dass HitmanPro oft erfolgreich gegen das rootkit eingesetzt wurde. Nachdem ich auch die beiden Trojaner damit erkannt hatte und beseitigte wollte ich den Pc neu starten. Allerdings war dies nicht mehr möglich, da er beim Windows7-Ladebalken stoppte und einen Fehler (ich glaube 0xc000000e wars) zeigte. Windows ließ sich nicht mehr reparieren und auch nicht über nen Wiederherstellungspunkt erneuern. Nach recherchen im Netz fand ich heraus, dass ein Trojaner die Partitionstabelle evtl zerschossen hat. Um diese zu reparieren wollte ich die (vermeindlich saubere) Festplatte an einen anderen PC anschließen, um sie mit TestDisk zu reparieren. An diesem Pc meldete mir Panda-Antivir/Firewall geblockte Virusaktivität. Ich scannte mit Panda und MBAM und fand nach wie vor mehrere Trojaner, darunter das 0access rootkit und sirefef.D. Da ich viele wertvolle Daten habe kommt Formatieren erstmal nicht in Frage. Ich wäre daher für Lösungsvorschläge, um diese Plagegeister zu beseitigen sehr Dankbar. Zur weiteren Information, die Systempartition dieses PC ist laut Panda und MBAM sauber, auch TDSS Killer fand nichts. Augenscheinlich beschränkt sich die Malwareaktivität auf die Partition F, welche die C-Partition meines eigentlichen PC ist, welche aber wohl nicht mehr bootfähig ist. Außerdem befinden sich auf dieser Partition folgende Trojaner in Quarantäne: Trojan.downloader, Trojan.ransom, Rootkit.0access Ich hoffe das reicht an Informationen. Es sind keine wörtlichen Zitate in diesem Text. Ich hoffe ich habe nun beim Erstellen alles richtig gemacht. Mit freundlichen Grüßen, Thorsten Logdateien: OTL Extras.txt Code: OTL Extras logfile created on: 05.12.2012 12:05:20 - Run 1Code: OTL logfile created on: 05.12.2012 12:05:20 - Run 1 |
:hallo: Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich. Schritt 1: Laufwerksemulationen abschalten mit Defogger Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop und starte es:Schritt 2: Scan mit aswMBR Schritt 3: Scan mit dem TDSS-Killer Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen.
|
Hallo ryder, vielen Dank für die promte Antwort. Alles brav durchgelesen:) hier die Defogger-txt: Code: defogger_disable by jpshortstuff (23.02.10.1)Code: aswMBR version 0.9.9.1707 Copyright(c) 2011 AVAST SoftwareCode: 15:55:17.0218 2224 TDSS rootkit removing tool 2.8.15.0 Oct 31 2012 21:47:35 |
Gut soweit! Scan mit Combofix
|
Hier ist die Combofix Logfile. Combofix Logfile: Code: ComboFix 12-12-04.01 - Beetle 05.12.2012 16:12:11.1.2 - x86 |
Next: Scan mit MBAR Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers |
Liste der installierten Programme (Combofix) Bitte suche und poste mir die folgende Datei: |
Hier sind die beiden Logfiles: Code: Malwarebytes Anti-Rootkit 1.1.0.1009Code: Acronis*True*Image*Home 2011 |
okay soweit: Schritt 1: Deinstalliere Ccleaner, Java 6 U 29 Schritt 2: Quick-Scan mit Malwarebytes Schritt 3: ESET Online Scanner Zitat:
Schritt 4: Update: Firefox, Addons und Plugins Schritt 5: Update Thunderbid Schritt 6: Scan mit SecurityCheck Downloade Dir bitte SecurityCheck: LINK1 LINK2 |
Ok. Schritt 1: Beides deinstalliert. Schritt 2: Code: Malwarebytes Anti-Malware 1.65.1.1000Code: C:\Alte Festplatte\Dokumente und Einstellungen\user\Desktop\Consulting\kps-homeplanner-2009-2-op.exe Win32/SchwarzeSonne.AB.Gen trojanSchritt 5: Code: Results of screen317's Security Check version 0.99.56 |
Oh oh ... wo kommt jetzt plötzlich das Laufwerk F: her und warum ist da ein Windows drauf? |
Hab ich doch in der allerersten Frage angesprochen. Das ist meine eigentliche Festplatte, die aber nicht mehr bootfähig ist, also ist da ein windows drauf, welches aber leicht angeschlagen ist. um die sauber zu bekommen hab ich die an einen anderen pc angeschlossen. Ich dachte das hätt ich erwähnt :( |
Und ich wundere mich schon die ganze Zeit ... nein so wirklich war mir das nicht klar. Okay ... machen wir erstmal den XP Rechner fertig. Da sind Updates fällig: Schritt 1: Java Update (Windows XP, Vista, 7) Dein Java ist nicht mehr aktuell. Ältere Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.Schritt 2: Thunderbird update machen Schritt 3: Platte bitte wieder in den anderen Rechner einbauen. Ist das ein Windows 7 32 oder 64 bit? |
Hab die updates gemacht. Platte einbauen geht noch nicht, die ist ja nicht bootfähig, und ich hab angst die mit testdisk zu reparieren, wenn da noch malwar drauf ist, oder kann da nix passieren? EDIT: ist ein 64 bit |
Du hast ja sicher alle wichtigen Daten erstmal gesichert und wir sind auch vorsichtig. Also umbauen! Scan mit Farbar's Recovery Scan Tool (FRST 64bit)
|
ich mach einfach nochmal nen backup, aus ner gepackten datei sollten ja trojaner nicht ausbrechen können. kann sein, dass das etwas dauert. Bis hierher auf jeden Fall schonmal ein ganz herzliches Danke!! |
du hast ja jetzt durch den ESET scan gesehen, welche Dateien infiziert sind. Also packe alle deine Nutzdaten zusammen und dann öffenen wir die F-Platte ganz vorsichtig und machen dein Win7 wieder flott. |
ich hab jetz nen backup mit acronis true image gestartet (auf ne externe platte), beim kopieren der daten selbst kam immer "zugriff verweigert". Das dauert laut acronis nun noch 9 stunden (usb kann nicht mehr). Soll doch auch nur zur Sicherheit sein oder werden wir auf jeden fall daten von F verlieren? |
du sollst nicht die platte komplett sichern sondern NUR deine nutzdaten zur Sicherheit. Wir geben uns grosse Mühe, dass du überhaupt keinen Datenverlust (ausser der Malware hast) |
ok, er sichert jetzt die nutzdaten. Laut Win Xp dauerts nun nur knapp 3 h :) ich melde mich dann wenn ich alles hab, wird wohl eher morgen sein. |
Kein problem - melde dich dann einfach mit dem FRST-Logfile und dann killen wir die Malware :) |
Ok, mach ich, danke :) so hier das scanergebnis: [CODE] Scan result of Farbar Recovery Scan Tool (FRST) (x64) Version: 06-12-2012 Ran by SYSTEM at 07-12-2012 17:06:06 Running from H:\ Windows 7 Professional (X64) OS Language: German Standard The current controlset is ControlSet001 ==================== Registry (Whitelisted) =================== HKLM\...\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe -s [10038304 2010-01-29] (Realtek Semiconductor) HKLM\...\Run: [UMonit] C:\Windows\SysWOW64\UMonit.exe [49152 2011-05-25] () HKLM\...\Run: [Acronis Scheduler2 Service] "C:\Program Files (x86)\Common Files\Acronis\Schedule2\schedhlp.exe" [391240 2010-12-06] (Acronis) HKLM-x32\...\Run: [APVXDWIN] "C:\Program Files (x86)\Panda Security\Panda Internet Security 2011\APVXDWIN.EXE" /s [984576 2011-09-05] (Panda Security, S.L.) HKLM-x32\...\Run: [SCANINICIO] "C:\Program Files (x86)\Panda Security\Panda Internet Security 2011\Inicio.exe" [68928 2010-06-11] (Panda Security, S.L.) HKLM-x32\...\Run: [AVMWlanClient] C:\Program Files (x86)\avmwlanstick\wlangui.exe [2105344 2010-10-22] (AVM Berlin) HKLM-x32\...\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [919008 2012-07-27] (Adobe Systems Incorporated) HKLM-x32\...\Run: [Smart File Advisor] "C:\Program Files (x86)\Smart File Advisor\sfa.exe" /checkassoc [280824 2011-04-04] (Filefacts.net) HKU\Administrator\...\Run: [ICQ] "C:\Program Files (x86)\ICQ7.6\ICQ.exe" silent loginmode=4 [127040 2011-10-10] (ICQ, LLC.) HKU\Administrator\...\Run: [] [x] HKU\***\...\Run: [ICQ] "C:\Program Files (x86)\ICQ7.6\ICQ.exe" silent loginmode=4 [127040 2011-10-10] (ICQ, LLC.) HKU\***\...\Run: [] [x] HKU\***\...\Run: [Peysyhipca] "C:\Users\***\AppData\Roaming\Ociwci\inyt.exe" [x] HKLM\...\RunOnce: [*Restore] C:\Windows\system32\rstrui.exe /RUNONCE [296960 2010-11-20] (Microsoft Corporation) Winlogon\Notify\avldr: avldr64.dll (On-Access Anti-Malware Scanner Sync) Winlogon\Notify\LBTWlgn: c:\program files\common files\logishrd\bluetooth\LBTWlgn.dll (Logitech, Inc.) HKLM\...D6A79037F57F\InprocServer32: [Default-fastprox] C:\$Recycle.Bin\S-1-5-18\$6810dbc73758a48a9685b9942ffb4ae1\n. ATTENTION! ====> ZeroAccess Tcpip\..\Interfaces\{6124B780-E1F5-4C27-8D22-685920D660D1}: [NameServer]192.168.0.10 ==================== Services (Whitelisted) =================== 2 AcrSch2Svc; "C:\Program Files (x86)\Common Files\Acronis\Schedule2\schedul2.exe" [1112744 2010-12-06] (Acronis) 2 afcdpsrv; C:\Program Files (x86)\Common Files\Acronis\CDP\afcdpsrv.exe [3246040 2011-04-16] (Acronis) 3 AVM WLAN Connection Service; C:\Program Files (x86)\avmwlanstick\WlanNetService.exe [376832 2010-10-22] (AVM Berlin) 2 dgdersvc; C:\Windows\system32\dgdersvc.exe [119632 2010-07-30] (Devguru Co., Ltd.) 2 dgdersvc; C:\Windows\SysWow64\dgdersvc.exe [95568 2010-07-30] (Devguru Co., Ltd.) 2 MBAMScheduler; "C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe" [399432 2012-09-29] (Malwarebytes Corporation) 2 Panda Software Controller; "C:\Program Files (x86)\Panda Security\Panda Internet Security 2011\PsCtrls.exe" [173312 2009-08-10] (Panda Security, S.L.) 2 PAVFNSVR; "C:\Program Files (x86)\Panda Security\Panda Internet Security 2011\PavFnSvr.exe" [202048 2010-09-13] (Panda Security, S.L.) 2 PavPrSrv; "C:\Program Files (x86)\Common Files\Panda Security\PavShld\pavprsrv.exe" [62768 2008-02-04] (Panda Security, S.L.) 2 PAVSRV; "C:\Program Files (x86)\Panda Security\Panda Internet Security 2011\pavsrvx86.exe" [314176 2010-06-04] (Panda Security, S.L.) 2 PnkBstrA; C:\Windows\SysWow64\PnkBstrA.exe [76888 2012-07-30] () 2 PSHost; "C:\program files (x86)\panda security\panda internet security 2011\firewall\PSHOST.EXE" [226560 2009-11-26] (Panda Security International) 2 PSIMSVC; "C:\Program Files (x86)\Panda Security\Panda Internet Security 2011\PsImSvc.exe" [108288 2008-06-19] (Panda Security S.L.) 2 PskSvcRetail; "C:\Program Files (x86)\Panda Security\Panda Internet Security 2011\PskSvc.exe" [28992 2010-08-16] (Panda Security, S.L.) 2 TPSrv; "C:\Program Files (x86)\Panda Security\Panda Internet Security 2011\TPSrvWow.exe" [174400 2010-09-29] (Panda Security, S.L.) 3 DAUpdaterSvc; C:\Spiele\Dragon Age\bin_ship\DAUpdaterSvc.Service.exe [x] ==================== Drivers (Whitelisted) ===================== 0 1d0c19e5776cf02b; C:\Windows\System32\Drivers\1d0c19e5776cf02b.sys [85432 2012-08-28] () ATTENTION =====> Rootkit? 2 AmFSM; C:\Windows\System32\DRIVERS\amm6460.sys [65608 2010-05-21] (Panda Security, S.L.) 2 APPFLT; \??\C:\Windows\system32\Drivers\APPFLT64.SYS [118280 2010-02-18] (Panda Security, S.L.) 1 AsIO; C:\Windows\SysWow64\Drivers\AsIO.sys [13440 2009-08-04] () 1 AsUpIO; C:\Windows\SysWow64\Drivers\AsUpIO.sys [13368 2009-07-06] () 3 ATITool; C:\Windows\System32\DRIVERS\ATITool64.sys [30720 2006-11-10] () 3 avmeject; C:\Windows\System32\Drivers\avmeject.sys [14120 2010-10-22] (AVM Berlin) 3 BthAvrcp; C:\Windows\System32\Drivers\BthAvrcp.sys [29184 2009-08-13] (CSR, plc) 2 ComFiltr; C:\Windows\System32\Drivers\ComFiltr.sys [15928 2010-10-04] () 3 dgderdrv; C:\Windows\System32\Drivers\dgderdrv.sys [20552 2010-07-30] (Devguru Co., Ltd) 3 dgderdrv; C:\Windows\SysWow64\Drivers\dgderdrv.sys [18120 2010-07-30] (Devguru Co., Ltd) 2 DSAFLT; \??\C:\Windows\system32\Drivers\DSAFLT64.SYS [82952 2009-09-25] (Panda Security, S.L.) 2 FNETMON; \??\C:\Windows\system32\Drivers\fnetm64.SYS [31752 2009-09-25] (Panda Security, S.L.) 3 fwlanusbn; C:\Windows\System32\Drivers\fwlanusbn.sys [714368 2010-10-22] (AVM GmbH) 3 GeneStor; C:\Windows\System32\Drivers\GeneStor.sys [58368 2011-05-18] (GenesysLogic) 2 IDSFLT; \??\C:\Windows\system32\Drivers\IDSFLT64.SYS [78856 2009-09-25] (Panda Security, S.L.) 3 MTsensor; C:\Windows\System32\DRIVERS\ASACPI.sys [15416 2009-07-16] () 2 NETFLTDI; \??\C:\Windows\system32\Drivers\NETTDI64.SYS [170504 2009-09-25] (Panda Security, S.L.) 3 NETIMFLT01060042; C:\Windows\System32\DRIVERS\n64i1642.sys [214536 2010-02-18] (Panda Security, S.L.) 0 pavboot; C:\Windows\System32\Drivers\pavboot64.sys [30792 2010-06-22] (Panda Security, S.L.) 3 PCAMp50a64; C:\Windows\System32\Drivers\PCAMp50a64.sys [43328 2006-11-28] (Printing Communications Assoc., Inc. (PCAUSA)) 3 PCASp50a64; C:\Windows\System32\Drivers\PCASp50a64.sys [41280 2006-11-28] (Printing Communications Assoc., Inc. (PCAUSA)) 3 ROCKEYNT; C:\Windows\System32\DRIVERS\Rockey4.sys [36904 2010-12-02] (Feitian Technologies Co., Ltd.) 1 ShldFlt; C:\Windows\System32\Drivers\ShldFlt.sys [48136 2009-10-27] (Panda Security, S.L.) 0 SI3132; C:\Windows\System32\Drivers\SI3132.sys [90664 2007-10-03] (Silicon Image, Inc) 0 SiFilter; C:\Windows\System32\DRIVERS\SiWinAcc.sys [22056 2007-10-03] (Silicon Image, Inc) 0 SiRemFil; C:\Windows\System32\Drivers\SiRemFil.sys [17448 2007-10-03] (Silicon Image, Inc) 4 sptd; C:\Windows\System32\Drivers\sptd.sys [834544 2011-04-02] (Duplex Secure Ltd.) 2 WNMFLT; \??\C:\Windows\system32\Drivers\WNMFLT64.SYS [74760 2009-09-25] (Panda Security, S.L.) 3 WPN111; C:\Windows\System32\DRIVERS\WPN111vx.sys [1075712 2008-08-05] (Atheros Communications, Inc.) 3 cpuz130; \??\C:\Users\THORST~1\AppData\Local\Temp\cpuz130\cpuz_x64.sys [x] 3 GPU-Z; \??\C:\Users\THORST~1\AppData\Local\Temp\GPU-Z.sys [x] 3 PavTPK.sys; \??\C:\Windows\system32\PavTPK.sys [x] 3 Prot6Flt; C:\Windows\System32\DRIVERS\Prot6Flt.sys [x] 3 SANDRA; \??\C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2010.SP3\WNt500x64\Sandra.sys [x] ==================== NetSvcs (Whitelisted) ==================== ==================== One Month Created Files and Folders ======== 2012-12-07 17:05 - 2012-12-07 17:05 - 00000000 ____D C:\FRST 2012-12-02 23:49 - 2012-12-03 00:30 - 00000000 ____D C:\Users\All Users\HitmanPro 2012-12-02 18:16 - 2012-12-02 18:16 - 00001174 ____A C:\Windows\PFRO.log 2012-12-02 18:08 - 2012-12-03 20:27 - 00000000 ____D C:\Users\All Users\4AD0184B93A71FBF00004ACFCD852922 2012-12-02 18:06 - 2012-12-03 22:23 - 00000000 ____D C:\Users\***\AppData\Roaming\Ociwci 2012-12-02 18:03 - 2012-12-02 17:52 - 00000504 ____A C:\Users\***\Documents\options.ini 2012-12-02 17:28 - 2012-12-03 20:27 - 00000000 ____D C:\Users\***\Documents\Command and Conquer Generals Zero Hour Data 2012-12-02 16:01 - 2012-12-03 20:27 - 00000000 ____D C:\Users\***\Documents\Stronghold Crusader 2012-12-02 15:52 - 2012-12-03 20:27 - 00000000 ____D C:\Users\***\Documents\Command and Conquer Generals Data 2012-12-02 00:16 - 2012-12-02 17:39 - 00120012 ____A C:\Windows\DirectX.log 2012-12-02 00:04 - 2012-12-02 18:16 - 00000280 ____A C:\Windows\setupact.log 2012-12-02 00:04 - 2012-12-02 00:04 - 00000000 ____A C:\Windows\setuperr.log 2012-11-26 21:52 - 2012-11-26 21:52 - 00001945 ____A C:\Users\Public\Desktop\CDBurnerXP.lnk 2012-11-26 21:52 - 2012-11-26 21:52 - 00000000 ____D C:\Users\***\AppData\Roaming\Canneverbe Limited 2012-11-26 21:52 - 2012-11-26 21:52 - 00000000 ____D C:\Users\All Users\Canneverbe Limited 2012-11-26 21:52 - 2012-11-26 21:52 - 00000000 ____D C:\Program Files (x86)\CDBurnerXP 2012-11-19 10:50 - 2012-11-19 10:50 - 00076257 ____A C:\Users\***\Desktop\Evaluation Referenten v3.1.odt 2012-11-18 11:23 - 2012-11-18 11:25 - 00001594 ____A C:\Windows\VPNUnInstall.MIF 2012-11-15 23:11 - 2012-11-15 23:11 - 00012180 ____A C:\Users\***\Desktop\Bewertungen PhysikI.xlsx 2012-11-12 20:08 - 2012-11-12 20:26 - 00000000 ____D C:\Users\***\Desktop\Imaginaerum ==================== One Month Modified Files and Folders ======= 2012-12-07 17:05 - 2012-12-07 17:05 - 00000000 ____D C:\FRST 2012-12-03 22:23 - 2012-12-02 18:06 - 00000000 ____D C:\Users\***\AppData\Roaming\Ociwci 2012-12-03 20:27 - 2012-12-02 18:08 - 00000000 ____D C:\Users\All Users\4AD0184B93A71FBF00004ACFCD852922 2012-12-03 20:27 - 2012-12-02 17:28 - 00000000 ____D C:\Users\***\Documents\Command and Conquer Generals Zero Hour Data 2012-12-03 20:27 - 2012-12-02 16:01 - 00000000 ____D C:\Users\***\Documents\Stronghold Crusader 2012-12-03 20:27 - 2012-12-02 15:52 - 00000000 ____D C:\Users\***\Documents\Command and Conquer Generals Data 2012-12-03 20:27 - 2012-10-21 15:16 - 00000000 ____D C:\users\Administrator 2012-12-03 20:27 - 2010-12-08 22:17 - 00000000 ____D C:\Users\***\AppData\Roaming\JGsoft 2012-12-03 20:27 - 2010-10-02 15:56 - 00000000 ____D C:\users\*** 2012-12-03 20:27 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\System32\NDF 2012-12-03 20:27 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\registration 2012-12-03 20:27 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\AppCompat 2012-12-03 20:26 - 2010-10-04 14:16 - 00000000 ___HD C:\Program Files (x86)\InstallShield Installation Information 2012-12-03 00:30 - 2012-12-02 23:49 - 00000000 ____D C:\Users\All Users\HitmanPro 2012-12-03 00:12 - 2010-10-04 17:40 - 00000000 ____D C:\Users\***\AppData\Roaming\ICQ 2012-12-02 23:29 - 2010-10-04 15:47 - 00146520 ____A C:\Users\***\AppData\Local\GDIPFONTCACHEV1.DAT 2012-12-02 23:23 - 2010-10-23 13:08 - 00743936 __ASH C:\Users\***\Desktop\Thumbs.db 2012-12-02 18:20 - 2009-07-14 18:58 - 00709726 ____A C:\Windows\System32\perfh007.dat 2012-12-02 18:20 - 2009-07-14 18:58 - 00154078 ____A C:\Windows\System32\perfc007.dat 2012-12-02 18:20 - 2009-07-14 06:13 - 01643640 ____A C:\Windows\System32\PerfStringBackup.INI 2012-12-02 18:17 - 2012-01-15 13:31 - 00000000 ____D C:\Users\***\AppData\Roaming\Dropbox 2012-12-02 18:17 - 2010-10-04 14:21 - 00000068 ____A C:\Windows\System32\Drivers\etc\NetFlt.cfg.bck 2012-12-02 18:17 - 2010-10-04 14:21 - 00000068 ____A C:\Windows\System32\Drivers\etc\NetFlt.cfg 2012-12-02 18:17 - 2010-10-04 14:20 - 00000152 ____A C:\Windows\System32\Drivers\etc\NetAdapt.cfg.bck 2012-12-02 18:17 - 2010-10-04 14:20 - 00000152 ____A C:\Windows\System32\Drivers\etc\NetAdapt.cfg 2012-12-02 18:16 - 2012-12-02 18:16 - 00001174 ____A C:\Windows\PFRO.log 2012-12-02 18:16 - 2012-12-02 00:04 - 00000280 ____A C:\Windows\setupact.log 2012-12-02 18:16 - 2010-11-16 01:19 - 00001126 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job 2012-12-02 18:16 - 2010-10-04 14:22 - 00000320 ____A C:\Windows\System32\Drivers\etc\NetLoc.wlt 2012-12-02 18:16 - 2010-10-04 14:20 - 00000064 ____A C:\Windows\System32\Drivers\etc\NetAR.wlt.bck 2012-12-02 18:16 - 2010-10-04 14:20 - 00000064 ____A C:\Windows\System32\Drivers\etc\NetAR.wlt 2012-12-02 18:16 - 2009-07-14 06:08 - 00000006 ___AH C:\Windows\Tasks\SA.DAT 2012-12-02 18:12 - 2009-07-14 05:45 - 00513136 ____A C:\Windows\System32\FNTCACHE.DAT 2012-12-02 18:07 - 2010-10-04 14:17 - 01032256 ____A C:\Windows\System32\Drivers\APPFCONT.DAT.bck 2012-12-02 18:07 - 2010-10-04 14:17 - 01032256 ____A C:\Windows\System32\Drivers\APPFCONT.DAT 2012-12-02 17:52 - 2012-12-02 18:03 - 00000504 ____A C:\Users\***\Documents\options.ini 2012-12-02 17:44 - 2012-04-10 21:48 - 00000884 ____A C:\Windows\Tasks\Adobe Flash Player Updater.job 2012-12-02 17:39 - 2012-12-02 00:16 - 00120012 ____A C:\Windows\DirectX.log 2012-12-02 17:16 - 2010-11-16 01:19 - 00001130 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job 2012-12-02 16:39 - 2009-07-14 05:45 - 00016928 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 2012-12-02 16:39 - 2009-07-14 05:45 - 00016928 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 2012-12-02 00:04 - 2012-12-02 00:04 - 00000000 ____A C:\Windows\setuperr.log 2012-12-01 23:59 - 2011-04-02 11:09 - 00000000 ____D C:\Users\***\AppData\Roaming\DAEMON Tools Lite 2012-12-01 23:58 - 2010-10-06 20:14 - 00000000 ____D C:\Windows\Minidump 2012-12-01 15:11 - 2012-10-28 22:24 - 00000000 ____D C:\Users\***\Desktop\Protokolle PIA2 2012-12-01 14:02 - 2010-10-04 14:22 - 00000056 ____A C:\Windows\System32\Drivers\etc\WnmFlt.cfg.bck 2012-12-01 14:02 - 2010-10-04 14:22 - 00000056 ____A C:\Windows\System32\Drivers\etc\WnmFlt.cfg 2012-12-01 14:02 - 2010-10-04 14:22 - 00000056 ____A C:\Windows\System32\Drivers\etc\DsaFlt.cfg.bck 2012-12-01 14:02 - 2010-10-04 14:22 - 00000056 ____A C:\Windows\System32\Drivers\etc\DsaFlt.cfg 2012-12-01 14:02 - 2010-10-04 14:21 - 00000252 ____A C:\Windows\System32\Drivers\etc\IdsFlt.cfg.bck 2012-12-01 14:02 - 2010-10-04 14:21 - 00000252 ____A C:\Windows\System32\Drivers\etc\IdsFlt.cfg 2012-12-01 14:02 - 2010-10-04 14:17 - 00001132 ____A C:\Windows\System32\Drivers\APPFLTR.CFG.bck 2012-12-01 14:02 - 2010-10-04 14:17 - 00001132 ____A C:\Windows\System32\Drivers\APPFLTR.CFG 2012-11-28 21:40 - 2010-10-04 20:36 - 00000000 ____D C:\Users\***\Desktop\Dateien 2012-11-26 21:52 - 2012-11-26 21:52 - 00001945 ____A C:\Users\Public\Desktop\CDBurnerXP.lnk 2012-11-26 21:52 - 2012-11-26 21:52 - 00000000 ____D C:\Users\***\AppData\Roaming\Canneverbe Limited 2012-11-26 21:52 - 2012-11-26 21:52 - 00000000 ____D C:\Users\All Users\Canneverbe Limited 2012-11-26 21:52 - 2012-11-26 21:52 - 00000000 ____D C:\Program Files (x86)\CDBurnerXP 2012-11-26 20:56 - 2012-09-14 13:45 - 00000000 ____D C:\Program Files\Recuva 2012-11-26 11:14 - 2010-10-07 17:39 - 00000000 ____D C:\Users\All Users\Adobe 2012-11-26 11:13 - 2012-04-10 21:48 - 00697272 ____A (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe 2012-11-26 11:13 - 2011-05-29 10:00 - 00073656 ____A (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl 2012-11-24 13:49 - 2012-10-01 21:52 - 00000141 ____A C:\Windows\spwdrhag.INI 2012-11-24 13:49 - 2012-10-01 21:52 - 00000000 ____D C:\Program Files (x86)\Stellar Phoenix Windows Data Recovery 2012-11-21 21:27 - 2012-02-17 15:04 - 00000150 ____A C:\Users\***\.Xauthority 2012-11-21 21:27 - 2012-02-17 15:04 - 00000000 ____D C:\Users\***\.nx 2012-11-19 10:50 - 2012-11-19 10:50 - 00076257 ____A C:\Users\***\Desktop\Evaluation Referenten v3.1.odt 2012-11-18 12:20 - 2012-02-17 15:05 - 00000000 ____D C:\Users\***\.ssh 2012-11-18 12:19 - 2010-11-20 15:55 - 00001615 ____A C:\Windows\VPNInstall.MIF 2012-11-18 11:25 - 2012-11-18 11:23 - 00001594 ____A C:\Windows\VPNUnInstall.MIF 2012-11-15 23:11 - 2012-11-15 23:11 - 00012180 ____A C:\Users\***\Desktop\Bewertungen PhysikI.xlsx 2012-11-15 21:18 - 2012-01-22 17:09 - 00000000 ____D C:\Program Files (x86)\MyFree Codec 2012-11-14 10:25 - 2009-07-14 06:08 - 00032632 ____A C:\Windows\Tasks\SCHEDLGU.TXT 2012-11-12 20:26 - 2012-11-12 20:08 - 00000000 ____D C:\Users\***\Desktop\Imaginaerum 2012-11-10 17:50 - 2012-11-03 16:01 - 00076054 ____A C:\Users\***\Desktop\Evaluation Referenten v3.0.odt ZeroAccess: C:\$Recycle.Bin\S-1-5-21-765039588-535241434-544004008-1000\$6810dbc73758a48a9685b9942ffb4ae1 ZeroAccess: C:\$Recycle.Bin\S-1-5-18\$6810dbc73758a48a9685b9942ffb4ae1 ==================== Known DLLs (Whitelisted) ================= ==================== Bamital & volsnap Check ================= C:\Windows\System32\winlogon.exe => MD5 is legit C:\Windows\System32\wininit.exe => MD5 is legit C:\Windows\SysWOW64\wininit.exe => MD5 is legit C:\Windows\explorer.exe => MD5 is legit C:\Windows\SysWOW64\explorer.exe => MD5 is legit C:\Windows\System32\svchost.exe => MD5 is legit C:\Windows\SysWOW64\svchost.exe => MD5 is legit C:\Windows\System32\services.exe => MD5 is legit C:\Windows\System32\User32.dll => MD5 is legit C:\Windows\SysWOW64\User32.dll => MD5 is legit C:\Windows\System32\userinit.exe => MD5 is legit C:\Windows\SysWOW64\userinit.exe => MD5 is legit C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit ==================== EXE ASSOCIATION ===================== HKLM\...\.exe: exefile => OK HKLM\...\exefile\DefaultIcon: %1 => OK HKLM\...\exefile\open\command: "%1" %* => OK ==================== Restore Points ========================= ==================== Memory info =========================== Percentage of memory in use: 10% Total physical RAM: 8190.18 MB Available physical RAM: 7369.67 MB Total Pagefile: 8188.33 MB Available Pagefile: 7369.2 MB Total Virtual: 8192 MB Available Virtual: 8191.89 MB ==================== Partitions ============================= 1 Drive c: () (Fixed) (Total:450 GB) (Free:212.73 GB) NTFS ==>[Drive with boot components (obtained from BCD)] 2 Drive d: () (Fixed) (Total:250 GB) (Free:147.48 GB) NTFS 3 Drive e: () (Fixed) (Total:231.5 GB) (Free:93.2 GB) NTFS 4 Drive f: (MEDIIGOLD_DISC1) (CDROM) (Total:7.4 GB) (Free:0 GB) UDF 5 Drive g: (GRMCPRXFRER_DE_DVD) (CDROM) (Total:2.97 GB) (Free:0 GB) UDF 6 Drive h: (USB DISK) (Removable) (Total:0.24 GB) (Free:0.14 GB) FAT 7 Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS Datentr„ger ### Status Gr”áe Frei Dyn GPT --------------- ------------- ------- ------- --- --- Datentr„ger 0 Online 931 GB 0 B Datentr„ger 1 Online 246 MB 0 B Partitions of Disk 0: =============== Partition ### Typ Gr”áe Offset ------------- ---------------- ------- ------- Partition 1 Prim„r 450 GB 31 KB Partition 2 Prim„r 250 GB 450 GB Partition 3 Prim„r 231 GB 700 GB ================================================================================== Disk: 0 Partition 1 Typ : 07 Versteckt: Nein Aktiv : Ja Volume ### Bst Bezeichnung DS Typ Gr”áe Status Info ---------- --- ----------- ----- ---------- ------- --------- -------- * Volume 2 C NTFS Partition 450 GB Fehlerfre ========================================================= Disk: 0 Partition 2 Typ : 07 Versteckt: Nein Aktiv : Nein Volume ### Bst Bezeichnung DS Typ Gr”áe Status Info ---------- --- ----------- ----- ---------- ------- --------- -------- * Volume 3 D NTFS Partition 250 GB Fehlerfre ========================================================= Disk: 0 Partition 3 Typ : 07 Versteckt: Nein Aktiv : Nein Volume ### Bst Bezeichnung DS Typ Gr”áe Status Info ---------- --- ----------- ----- ---------- ------- --------- -------- * Volume 4 E NTFS Partition 231 GB Fehlerfre ========================================================= Disk: 0 Partition 3 Typ : 07 Versteckt: Nein Aktiv : Nein Volume ### Bst Bezeichnung DS Typ Gr”áe Status Info ---------- --- ----------- ----- ---------- ------- --------- -------- * Volume 4 E NTFS Partition 231 GB Fehlerfre ========================================================= Partitions of Disk 1: =============== Partition ### Typ Gr”áe Offset ------------- ---------------- ------- ------- Partition 1 Prim„r 245 MB 16 KB ================================================================================== Disk: 1 Partition 1 Typ : 06 Versteckt: Nein Aktiv : Ja Volume ### Bst Bezeichnung DS Typ Gr”áe Status Info ---------- --- ----------- ----- ---------- ------- --------- -------- * Volume 5 H USB DISK FAT Wechselmed 245 MB Fehlerfre ========================================================= Disk: 1 Partition 1 Typ : 06 Versteckt: Nein Aktiv : Ja Volume ### Bst Bezeichnung DS Typ Gr”áe Status Info ---------- --- ----------- ----- ---------- ------- --------- -------- * Volume 5 H USB DISK FAT Wechselmed 245 MB Fehlerfre ========================================================= Last Boot: 2012-11-27 10:15 ==================== End Of Log ============================= [CODE] oh sorry, da ist mir wohl ein / abhanden gekommen. hier nochmal: Code: Scan result of Farbar Recovery Scan Tool (FRST) (x64) Version: 06-12-2012 |
So ich hoffe du weißt noch genau was du da editiert hast und kannst das rückgängig machen. Fix mit FRST
|
ok, hab ich gemacht: Code: Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 06-12-2012 |
In Ordnung. Dann versuche bitte wieder zu booten. |
Er bootet! Klasse :) |
Gut. Dann Finger weg ... nix weiter machen. Schritt 1: Laufwerksemulationen abschalten mit Defogger Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop und starte es:Schritt 2: Scan mit aswMBR Schritt 3: Scan mit dem TDSS-Killer Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen. Schritt 4: Scan mit DDS (+ attach) Downloade dir bitte DDS (von sUBs) von einem der folgenden Downloadspiegel und speichere die Datei auf deinem Desktop. |
Defogger scan: Code: defogger_disable by jpshortstuff (23.02.10.1)fehlercode: Code: Problemsignatur: |
Ok dann unten links "(none)" auswählen und Log so erstellen. |
aswMBR: Code: aswMBR version 0.9.9.1707 Copyright(c) 2011 AVAST SoftwareCode: 14:39:59.0596 4816 TDSS rootkit removing tool 2.8.15.0 Oct 31 2012 21:47:35DDS Logfile: DDS Logfile: Code: DDS (Ver_2012-11-20.01) - NTFS_AMD64 --- --- --- [/CODE] Attach: Code: . |
Dann weiter Schritt 1: Entferne Gutscheinmietze Schritt 2: Adware entfernen mit JRT Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden. http://imageshack.us/a/img841/7292/thisisujrt.gif Bitte lade Junkware Removal Tool auf Deinen Desktop.
AdwCleaner: Werbeprogramme suchen und löschen Schritt 4: Scan mit Combofix
|
Schritt 1: ok Schritt 2: Code: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~Schritt 4: Code: Combofix Logfile: |
Hmmmm du scheinst Werbung zu mögen! Ausserdem solltest du meine Anleitungen genauer lesen! Zitat:
Schritt 1: Combofix-Skript Schritt 2: Scan mit MBAR Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers |
Ne eigtl mag ich keine Werbung, ich war wohl etwas nachlässig :/ aber die Fehlermeldung kam da nicht. Aber jetz ist alles ok :) hier die logs: [CODE] Combofix Logfile: Code: ComboFix 12-12-07.01 - *** 09.12.2012 1:05.2.4 - x64Code: --------------------------------------- |
Gut! :daumenhoc Soweit ich das sehe haben wir damit alles Schädliche entfernt. Um sicher sein zu können müssen jetzt noch ein paar Kontrollen machen. Da diese sehr lange dauern können bitte ich dich mir erst wieder zu schreiben, wenn du auch wirklich alles erledigt hast. Schritt 1: Quick-Scan mit Malwarebytes Schritt 2: ESET Online Scanner Zitat:
Schritt 3: Scan mit SecurityCheck Downloade Dir bitte SecurityCheck: LINK1 LINK2 |
Tut mir leid, dass ich mich nochmal melden muss, aber MBAM funktioniert nicht. Ich hatte das programm schon vor dem Befall auf dem Pc, und wenn ich es jetzt anklicke, auch als Admin, steht da: "Dieses Programm wurde durch eine Gruppenrichtlinie blockiert. Weitere Informationen erhalten Sie vom Systemadministrator." Deinstallieren geht auch nicht, versuche ich das aus der Systemsteuerung habe ich nicht genug berechtigung, versuche ich es aus dem install Ordner als Admin kommt dieselbe Fehlermeldung. :( |
Ähm... dann versuche es mal bitte mit Malwarebytes Chamäleon Das ist im Toolsordner von MBAM im Startmenü |
geht leider auch nicht. Hab mal geschaut, mein ursprüngliches Firewallprog Panda Security gibt denselben fehler. Ich als laie würde vermuten, dass nen Programm die Richtlinie eingeschaltet hat, dann aber entfernt wurde, die Richtlinie aber immer noch besteht? |
Eigentlich steht da keine Richtlinine. Hast du nach Combofix nochmal neugestartet? |
ja, habe ich. Wie gesagt, fehlermeldung ist ne gruppenrichtlinie :/ |
Ein Kollege hat mal diese Anleitung geschrieben, vielleicht hilft dir das: Downloade dir bitte Windows Repair (All In One) von hier.
|
Nach wie vor die selbe fehlermeldung :( |
Oftmals ist gerade die Sicherheitssoftware für sowas verantwortlich. Deinstalliere also Panda und schau bitte ob sich was ändert. |
deinstalliert, neu gestartet, immernoch das problem |
*seufz* Aber andere Programme kannst du starten? |
jup, starten deinstallieren geht. das einzige was noch da ist wär ein prog namens panda secure vault 5, was aber mit dem antivir nix zu tun hat. lässt sich auch ncht entfernen. |
Probiere mal diese Anleitung: How can I uninstall*Panda antivirus*from my computer?-Technical Support-Panda Security
 |
hab ich gemacht panda ist sauber runter, das secure vault aber nicht. kann man den schritt mit MBAM überspringen? |
Natürlich kann man das, aber das wäre nicht so gut... Wir machen noch einen Versuch: Uninstall McAfee, Symantec & other antivirus software with AppRemover Probiere ob du es damit weg bekommst. |
er hat mbam erkannt, angeblich entfernt, hab neu gestqartet, mbam wieder da und selbes prob |
Ach ... so nen Mist, dann bitte Eset und SC |
ok, hier die beiden logs: Code: C:\FRST\Quarantine\1d0c19e5776cf02b.sys a variant of Win64/TrojanDownloader.Necurs.G trojanCode: Results of screen317's Security Check version 0.99.56 |
Alles klar, bis auf das Pferdehofding ist das alles entweder schon weg oder wir löschen es gleich. Schritt 1: Update: Internetexplorer Schritt 2: Java Update (Windows XP, Vista, 7) Dein Java ist nicht mehr aktuell. Ältere Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.Schritt 3: Update: Firefox, Addons und Plugins Schritt 4: Thunderbird update machen Schritt 5: Update: Adobe Reader
Probiere einen alternativen Viewer für pdf-Dokumente aus. Diese sind meist schlanker, schneller und schleusen sehr viel seltener Schädlinge ein. Mein Vorschlag:
Scan mit SecurityCheck Downloade Dir bitte SecurityCheck: LINK1 LINK2 |
Hier, bitte sehr: Code: Results of screen317's Security Check version 0.99.56 |
Prima! :daumenhoc Damit wären wir fertig. Wir räumen jetzt noch ein wenig auf und dann habe ich am Ende etwas Lesestoff für dich. Schritt 1: Tools deinstallieren
Schritt 2: ESET deinstallieren (Optional) Abschließend noch Tipps zu folgenden Themen:
Damit wünsche ich dir noch viel Spaß beim Surfen im Internet :daumenhoc ... und vielleicht möchtest du ja das Trojaner-Board unterstützen? Eine Bitte: Gib mir eine kurze Rückmeldung, wenn alles erledigt ist und keine Fragen mehr vorhanden sind, damit ich diesen Thread aus meinen Abos löschen kann. |
Soweit ist alles klar und erledigt:) Vielen vielen herzlichen Dank für die vielen Mühen und die tagelange Arbeit. Ich wünsche dir dann Morgen einen angenehmen Ruhetag :) |
Schön, dass wir helfen konnten :abklatsch: Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM. Jeder andere bitte hier klicken und einen eigenen Thread erstellen Falls du noch Lob oder Kritik loswerden möchtest, dann gibt es diesen Bereich hier: http://www.trojaner-board.de/lob-kritik-wuensche/ |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:16 Uhr. |
Copyright ©2000-2025, Trojaner-Board