|
Trojan.Win32.Agent.ahze Liste der Anhänge anzeigen (Anzahl: 1) [edit] bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/22771-a...tml#post171958 danke GUA http://www.smilies.4-user.de/include...lie_be_027.gif [/edit] |
So Anlauf 2 Sorry nochmals für den Fehler. Habs jetzt überarbeitet und ich hoffe nichts übersehen zu haben. Hallo, leider war ich so so dumm und bin auf den Trojaner von Kino.to reingefallen. Ich hab gleich den Prozess im Taskmanager beendet und die die EXE Datei gelöscht auch unter Windows. Leider kam aber auch schon gleich ne Meldung von Avast (siehe Anhang) die infizierte Datei liegt jetzt im Container. Danach Pc im Abgesicherten Modus gestartet und Avast + Malwarebyte laufen lassen - mit einer Fehlermeldung bei Avast. Die ich gleich gelöscht habe. Zuletzt Systemwiederherstellung von vor zwei Tagen gemacht. Zur Sicherheit hab ich jetzt meine Rechner bei Kaspersky scannen lassen mit diesem Ergebniss. Zitat:
Zitat:
Zitat:
MfG Urmel |
nach oben schieb |
Hi, bitte ein neues HJ-Log, zusätzlich Silentrunner. Das meiste ist in der Systemwiederherstellung zu finden, die wir noch "putzen" müssen. Das heben wir uns aber auf, bis die Logs da sind.... Prüfe ob in den Verzeichnissen C:\Windows bzw. C:\windows\system32\drivers eine svchost.exe vorkommt... (die wird/wurde untergeschoben...) SilentRunner: Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen. Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten. http://www.silentrunners.org/Silent%20Runners.zip chris |
HALLO! Zitat:
Aber unter C:/Windows war diese Datei, die ich aber schon gelöscht habe. Wurde zumindest in anderen Foren empfohlen. So nun zum Silentrunner: Code: "Silent Runners.vbs", revision 58, http://www.silentrunners.org/Code: Logfile of Trend Micro HijackThis v2.0.2Gruß Urmel |
Hi, das Silentrunner-Log sieht nicht vollständig aus... HJ-Log ist bis auf das hier i. O.: R3 - URLSearchHook: (no name) - - (no file) Der Eintrag kann mit HJ gefixt werden. chris |
Guten Morgen, Zitat:
Code: "Silent Runners.vbs", revision 58, http://www.silentrunners.org/ |
Hi, sieht gut aus.... chris |
Zitat:
was ist damit? Zitat:
|
Hi, stimmt, sicher ist sicher: Systemwiederherstellung löschen http://www.systemwiederherstellung-deaktivieren.de/windows-xp.html Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt: Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung -> anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten; Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder). Einen ersten Restorepunkt setzten: Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen 100% Sicherheit gibt es nicht und kann Dir keiner geben... Schauen wir noch kurz nach Rootkits: MBR-Rootkit Lade den MBR-Rootkitscanner von Gmer auf Deine Bootplatte: http://www2.gmer.net/mbr/mbr.exe Merke Dir das Verzeichnis wo Du ihn runtergeladen hast; Start->Ausführen->cmd Wechsle in das Verzeichnis des Downloads und starte durch Eingabe von mbr das Programm... Das Ergebnis sollte so aussehen: Zitat:
http://www.ccleaner.com/ccleaner-20 Anleitung: http://www.trojaner-board.de/51464-anleitung-ccleaner.html Die Registry (blaues Würfel-Symbol linke Seite) musst du mehrmals durchsuchen und bereinigen lassen, bis nichts mehr gefunden wird. Installation des cCleaners ohne die Toolbar! Benutzerdefinierte Installation wählen. Lass auch alle temporären Daten löschen... Dann startest du den Rechner im normalen Modus neu. Papierkorb leeren nicht vergessen... Dann nochmal mit Kaspersky-Onlinescanner prüfen... (Der sollte dann weder die gelöschten Sachen, noch in der Systemwiederherstellung was finden...) chris |
Zitat:
Ccleaner und systemwiederherstellungspunkte erledige nach dem rootkit-test. oder soll ich das vorher machen? urmel |
Hi, dürfte ein Falschalarm sein false/positiv. MBR.exe geht mit den gleichen Hilfmitteln auf den Bootblock bzw. mbr los, wie die Rootkits, daher wird er wohl anschlagen... Die Reihenfolge ist egal, ich denke MBR wird nichts melden.... chris |
hi chris, Zitat:
copy of MBR has been found in sector 37 ! denke mal dass das progamm sich da selber gefunden hat?! Zitat:
besten Dank :daumenhoc und weiter so:aplaus: gruß urmel |
Hi, war das die gesamte Meldung von MBR? Nicht etwa sowas: [quote] malicious code @ sector 0xe4f8121 size 0x1a8 ! copy of MBR has been found in sector 62 ! [/qoute] Das gefällt mir nicht... Avira-Antirootkit Downloade Avira Antirootkit und Scanne dein system, poste das logfile. http://dl.antivir.de/down/windows/antivir_rootkit.zip Rootkitbuster (Trendmicro): http://www.trendmicro.com/download/rbuster.asp chris |
Hello Chris, MBR Scans auf Platte C: D: zeigen die gleich Meldung Zitat:
Code: Avira AntiRootkit Tool - Beta (1.0.1.17)Code: +----------------------------------------------------Zitat:
|
Hi, kennst Du Dich etwas mit dem Regedit aus...? Den Schlüssel "C09C5BC9-8988-54fe-6f0a-79e7fa85a35f" suchen und den Zweig mit dem InprocServer posten... oder ......RegisterySearch: Download Registry Search by Bobbi Flekman <http://virus-protect.org/artikel/tools/regsearch.html> und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) C09C5BC9-8988-54fe-6f0a-79e7fa85a35f in edit und klicke "Ok". Notepad wird sich oeffnen - poste den text Würde mich interessieren, was hinter dem "Hidden Key" steckt... Ein Inproc-Service mit Threading-Modell -> Anwendung, bzw. DLL... chris |
hi, in regedit war ich schon des öfteren unterwegs. ich versuchs gleich mal. urmel |
Zitat:
Wenn ich diesen öffnen möchte, kommt eine Fehlermeldung "Fehler beim öffnen des Schüßels". |
Hi, probiere mal ob Du mit Flekmann weiterkommst... Ein versteckter Schlüssel den man nicht aufbekommt -hmmm- und zu dem nichts im I-Net zu finden ist...???? Frage mal nach .... Gruß, chris |
Flekmann Code: ,Windows Registry Editor Version 5.00Unter dem Schlüßel sind weiter die ich ebenfalls nicht öffnen kann. Diese haben auch den selben Anfang c09c5bc9-8988 und Endung a85a35f' urmel |
Hi, habe mal nachgefragt, vielleicht schafft Gmer einen Export... http://gmer.net/files.php Gmer-Applikation downloaden, dann in ein Verzeichnis auspacken uns starten. Er scannt dann sofort den Rechner, nach Abschluß auf den Reiter >>> klicken, dort gibt es dann einen Reiter "Registry". Den auswählen, zu dem Schlüssel navigieren und dann versuchen den Schlüssel zu exportieren... chris |
Liste der Anhänge anzeigen (Anzahl: 1) also, zuerst wird der Ordner InprocServer rot angezeigt. dann hat er sich öffenen lassen. Darin steht (siehe Anhang). Zitat:
|
Hi, da wird die OLE32.dll benutzt (Object-Linking-and embedding), aber zu wem der Schlüssel gehört (welche Anwendung die CLS-ID benutzt), haben wir leider nicht rausgefunden (Flekman findet auch nur die CLSID selbst). Tja, Risiko: Hauen wir den Schlüssel raus oder verändern wir ihn, läuft u. U. Windows oder eine App nicht mehr, es kann auch völlig bedeutungslos sein... Sag mal, hast Du was von Buhl Data auf dem Rechner? Die Benutzen eine Hiddenkey: C09C5BC9-8988-f68b-da76-d126fa4b099f, wir haben: C09C5BC9-8988-54fe-6f0a-79e7fa85a35f ...? Ich würde das mal so lassen und die Sache beobachten... chris |
Zitat:
Zitat:
Zitat:
ich habe diese schlüßel gemeint, welche den selben anfang und das selbe ende haben wie der von dir genannte. Code: Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-590e-8f70-00f9fa85a35f}\InprocServer32 -> classhttp://www.trojaner-board.de/62452-t...tml#post385079 Beitrag von mir. |
Hi, wir prüfen noch mit einem anderen Rootkitscanner: http://www.winpower.de/sicherheits-faqs/anleitung-rootkit-scanner-blacklight-rootkitrevealer-sophos-anti-rootkit-gmer-8976/ Folge dort der Anleitung zu RootkitRevealer. Poste das Log; chris |
Hier das Log, wobei ich nicht sicher bin ob der scann zuende war. Bei dem Scanner erscheint links unten in der Ecke, wo er gerade scannt. Nach dem er ne weile gelaufen war, war dann nur noch "Cleaning up..." da gestanden. Als sich 10min nichts mehr getan hat, war ich der Meinung er sei fertig. Ich hab auf das Feld "Abort" gedrückt, macht das was? Code: HKU\.DEFAULT\Control Panel\International 2008-04-14 23:41 0 bytes Security mismatch. |
NACHTRAG hab den Scan nochmals gestartet und einfach laufen lassen. Scan wurde beendet mit diesem Ergebinss. Code: HKU\.DEFAULT\Control Panel\International 2008-04-14 23:41 0 bytes Security mismatch. |
Hi, die Teile enthalten NUL und sind daher nicht "normal" Handhabbar! Daher Backup machen (zumindestens von der Registry), und dann wie folgt vorgehen: http://virus-protect.org/artikel/tools/regdelnull.html Drucke Dir vorher die CLS-IDs aus, die gelöscht werden sollen. Danach noch mal mit dem Rootkitrev. prüfen ob sie tatsächlich weg sind (und so Gott will, laufen auch noch alle Anwendungen danach [mit hoher Wahrscheinlichkeit: JA]). Dann suche noch die Datei IEExecRemote.dll und lasse sie online prüfen, die hat nach Rootkitrev. 8KB zuviel auf den Rippen... chris |
Zitat:
wenn doch anders gemeint - einen link mit Anleitung bitte. Zitat:
danke urmel |
Zitat:
aber IEExecRemote.dll gibts ganze 5mal mit 8kb bei mir auf dem rechner. haber davon noch 2 gescant, sind ebenfalls sauber. Zitat:
hier noch der scanbericht. Code: HKU\.DEFAULT\Control Panel\International 2008-04-14 23:41 0 bytes Security mismatch.Was Du gemeint hast war bestimmt die Schlüßel mit samt dem Ordener zu copieren, richtig?! Gruß Urmel |
Hi, Systemwiederherstellungspunkt sollte ausreichen... Sieht gut aus, Rechner sollte sauber sein... chris |
danke für deine mühen:daumenhoc bist ein super helfer :aplaus: Gruß Urmel |
hi chris hier das log messenger ist wider an obwohl ausgemacht Code: Logfile of Trend Micro HijackThis v2.0.2Code: Malwarebytes' Anti-Malware 1.30 |
Hi, lass die gefunden Dateien bitte bereinigen von MAM; Scanne bitte mit Kaspersky, poste das Log; Combofix Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/comb...x-benutzt-wird Es gibt von dem Teil Varianten, die beliebige EXE-Dateien infizieren... Ausserdem solltest Du von einem sauberen Rechner Deine Passwörter ändern...! chris |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 22:35 Uhr. |
Copyright ©2000-2025, Trojaner-Board