Win32/Dorkbot Wurm eingefangen?
 

Hallo liebes Forum,

vor ein paar Tagen wollte ich mich in einem Forum anmelden. Dies ging nicht, da meine IP auf mehreren Blacklists steht.

SpamhausProject sagt mir dass ich auf

- PBL mit folgendem Komentar gesperrt bin:
hxxp://www.spamhaus.org/pbl/query/PBL265992

und

-CBL:
Ich hab vor ein paar Tagen Norton Power Eraser, HitmanPro und Malwarebites laufen lassen. Hitmann hat als einziger ein paar Cookies gefunden, sonst wurde nichts gefunden. Ich habe meine IP Adresse bei CBL removed und wollte heut noch mal nachschauen. Tja, da war ich wieder gesperrt. :heulen:

Anbei die Logs:

Defogger:


Der FRST Log
Addition.txt


Bei Gmer gabs Probleme: Ich habe folgende Problemanzeigen im Pop Up Window bekommen:

C:\Windows\system32\config\system: Der Prozess kann nicht auf die Daten zugreifen, da sie von einem anderen Programm verwendet wird

C:User\N***\ntuser.dat:
Der Prozess kann nicht auf die Daten zugreifen, da sie von einem anderen Programm verwendet wird

Danach bekomme ich die Meldung "GMer hasn't found any system modification. Und das Log ist leer.



Könnt ihr mir helfen?? :balla:

Vielen lieben Dank

Yema

hi,

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

Hallo Schrauber,

erst einmal lieben Dank für deine Antwort.

Der Link, welcher zum Programm führen soll, funktioniert leider nicht mehr. Ich hab mir das Programm bei Chip.de runtergeladen.

TDSSKiller.exe hat auch nichts gefunden:

Viele Grüße

Yema

hi,

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

und ein frisches FRST log bitte.

Wieviele Rechner hängen in deinem Netz? Was für einen Router nutzt Du?

Hey Schrauber,

hier die Hausaufgaben:

Malwarebytes

Adware Cleaner

Junkware Remove Tool

FRST frisch


FRST Logfile:
--- --- ---


An meinem Netzwerk hängen nur mein Notebook und mein Smartphone.

Mein Router ist ein docsis 3.0 modem ch6640e von Kabel Deutschland.

Was mir gerade noch einfällt: Kabel Deutschland bietet viele Hotspots an, welche eigentlich private Modems sind. Also ein Kunde bietet über eine spezielle Routereinstellung sein WLan anderen Kabel Deutschland Nutzern an und hat damit ebenso Zugang zu anderen WLAN Spots. Ein solches Modem ist meins auch, allerdings hab ich dies Umstellung damals nicht richtig hinbekommen (meine ich jedenfalls) und hab mich seit dem aber auch nicht mehr damit befasst.

Sprich: Mein Modem könnten theoretisch andere Kabel D Kunden ebenso benutzen, das funktioniert aber praktisch vermutlich nicht.

Liebe Grüße

Yema

.. oh und deine Tattoos können was! :)

Ich würde den Router mal auf Werkseinstellungen zurücksetzen, dann die Verbindungsdaten neu eingeben.



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

und ein frisches FRST log bitte. Noch Probleme? :)

Hey Schrabuer,

Eset hat noch ein paar infizierte Daten gefunden:

Security Check ging leider nicht:

der frische FRT Log:


FRST Logfile:
--- --- ---



der Addition.txt noch:

Soweit ich das mitbekommen habe, hat Eset nur festgestellt aber nichts gemacht.

Den Router werde ich heute noch reseten.

Danke und lieber Gruß

Yema

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Noch Probleme nach Router-Reset?

Hi,

so hier der Fixlog

Den Router hab ich auch reseted.

Ich kann dir aber nicht sagen, ob ich das Problem noch hab, da ich selber ja kein Problem mit meinem Rechner hatte. Wenn hier alles i.O. ist, dann würde ich meine IP wieder versuchen freizugeben. Das dauert allerdings vermutlich alles ein paar Tage, bevor ich sehe, ob meine IP wirklich wieder i.O. ist.

Grüße

Yema

Mach das mal und melde dich wieder :)

Hey Schrauber,

da bin ich wieder, leider mit keinen guten Nachrichten. Seit heute bin ich wieder auf der CBL Blacklist und zwar diesmal mit folgendem Text

Und nun? :(

LG

Yema

Allerdings habe ich die IP Adresse auch erst seit heute.. Ist mir gerade aufgefallen, von dem her bin ich das nicht, oder?

Haben wir den Router schon auf Werkszustand zurückgesetzt?

Ja, das habe ich am 6. Januar gemacht. Bis heute morgen war mit CBL auch alles i.O..
Jetzt hab ich eine neue IP Adresse und bin wieder gesperrt. Ist das eigentlich normal, dass ich erst heute eine neue IP Adresse bekomme?

Du bekommst in der Theorie alle 24h eine neue vom Anbieter. In der Praxis dauert das meist länger :).

Wieviele Rechner hängen in deinem Netz?

Hallo Schrauber,

da schau an, heute hab ich wieder eine neue IP Adresse bekommen und mit der steh ich wieder nicht in CBL. In meinem Netz hängen nur mein Labtop und mein Smartphone. Ich hab auch noch mal im Router nachgeschaut, in meinem WLan hängt auch niemand anderes mit drin.

Ich bin mir sicher, das mein Labtop oder mein Router was hatte, da man im CBL sehen konnte, wann der letzte Kontakt zu dem Sink Hole stattgefunden hat. Und der hat mehrmals täglich stattgefunden. Laut CBL war da der letzte Kontakt am 6.1 gegen 11 Uhr.
Seit dem nix mehr.

Ich werde das noch eine Weile beobachten, aber ich glaube dank deiner Hilfe hab ich den Wurm eleminiert. Oder was meinst du? :)

LG

Yema