|
Ernsthafte Probleme bei der Bekämpfung von Virtumonde.prx und TR/Agent Servus Leute, neulich hat mir mein AntiVir mal wieder nach einem kompletten Systemcheck etliche Viren und Trojaner gemeldet, von denen es nicht alle löschen konnte. Ich habe zunächst dann mit CCleaner mein System und die Registry aufgeräumt. Anschließend habe ich f-Secure BlackLight Rootkit Scan durchgeführt, aber das hat nix gefunden. Schließlich habe ich mit SpyBot Search & Destroy mehrfach mein System gescannt und auch einige der problematischen Programme entfernen können. Im Anschluss an diese Scans findet AntiVir nichts mehr, S&D aber findet bei jedem neuen Durchlauf immer wieder die folgenden Dateien: Microsoft.windowsSecurtyCenter.firewallBypass Virtumonde.dll Virtumonde.prx Sofort nachdem ich den Rechner mit dem Netz wieder verbunden hatte, um diesen Post zu erstellen, meldet mir AntiVir außerdem einen TR/Agent.bjxa. Hier mal das HiJack This Log, das ich grade noch angefertigt habe: Logfile of HijackThis v1.99.1 Scan saved at 18:02:18, on 25.01.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Bonjour\mDNSResponder.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\slserv.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Winamp\winamp.exe C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrobat.exe C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe C:\Dokumente und Einstellungen\***\Desktop\Neuer Ordner\This.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://go.microsoft.com/fwlink/?LinkId=33568 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: {0a48e783-83ed-8afb-6ad4-4b38746fe064} - {460ef647-83b4-4da6-bfa8-de38387e84a0} - C:\WINDOWS\system32\cbkxpl.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O2 - BHO: (no name) - {d5e45ab4-cb0d-496c-8071-53d4deea464a} - C:\WINDOWS\system32\zamivoru.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [yazewukadu] Rundll32.exe "C:\WINDOWS\system32\luzotahu.dll",s O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - h**p://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-48.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - h**p://messenger.zone.msn.com/binary/ZIntro.cab53083.cab O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - h**p://messenger.zone.msn.com/binary/Chess.cab55200.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{470ED760-8729-4807-AB7B-D3CA68B83475}: NameServer = 192.168.0.1 O20 - AppInit_DLLs: c:\windows\system32\dimadadu.dll cbkxpl.dll C:\WINDOWS\system32\fitipuwa.dll c:\windows\system32\kagohaku.dll O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing) O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - (no file) O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - C:\Programme\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe (file missing) O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: SPYWAREfighterRP - Unknown owner - C:\Programme\SPYWAREfighter\spfprc.exe (file missing) O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: VundoFix Service (VundoFixSvc) - Atribune.org - C:\WINDOWS\SYSTEM32\VundoFixSVC.exe Ich hoffe jemand kennt sich mit den angegebnen Störenfrieden aus, ich werde bei Bedarf auch noch mit filelist die jeweiligen logs posten. MfG, Copperhead |
Hi, 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://saved.im/mzi3ndg3nta0/aven.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code: Registry values to replace with dummy: 3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet. 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Unbedingt muß der Teatimer von Spybot ausgeschaltet sein! Code: O2 - BHO: {0a48e783-83ed-8afb-6ad4-4b38746fe064} - {460ef647-83b4-4da6-bfa8-de38387e84a0} - C:\WINDOWS\system32\cbkxpl.dllAnleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html Fullscan und alles bereinigen lassen! Log posten. Ein neues HJ-Log... chris |
Hallo Chris, ich hab zwischenzeitlich noch diese Aktionen durchgeführt (http://www.trojaner-board.de/69142-v...zt-sauber.html) sind deine Anweisungen jetzt noch so gültig? |
Hi, da müssten wir jetzt vergleichen ob die Files im Script bzw. die Reg.-Einträge noch da sind... Aber eigentlich sollte jetzt ruhe sein... SilentRunner: Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen. Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten. http://www.silentrunners.org/Silent%20Runners.zip chris |
Servus Chris, ich wollte es grad ausführen, aber mein PC sagt mir das ich darauf keinen Zugriff habe. Wo stelle ich als Admin ein, das ich diese vbs files ausführen kann?? (hab xp pro sp3) Außerdem meldet mir Antivir grad noch nen BDS/Eggdrop.HF. Ich werd nochmal Antimaleware suchen lassen und poste dan das Log und nen HijackThis Log. MfG, Copperhead |
Hi, Falls Silentrunner nicht läuft: - starte regedit.exe über Start => Ausführen (oder Windowstaste+R) - navigiere zu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings - stell sicher, dass dort die Zeichenfolge "Enabled" ist und den Wert 1 hat chris Ps.: Sonst lass mal combofix von der Leine, der bringt auch sehr gute Logs (ist aber nicht ganz ungefährlich): Combofix Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/comb...x-benutzt-wird Hinweis: unter : C:\WINDOWS\erdnt wird ein Backup angelegt. |
Hallo Chris, ich habs doch noch hingekriegt, hier das Log: Zitat:
Zitat:
Zitat:
MfG, Copperhead |
Hi, mir schwant da was... So ein ähnliches Konstrukt ist mir schon mal über den Weg gelaufen... Führe bitte das Avengerscript aus und fixe die Einträge mit HJ (wie angegeben), die Einträge sind alle immer noch da... Dann bitte umgehend Combofix laufen lassen und alle Logs posten... chris |
Servus Chris, hab den Avenger laufen lassen, der hat aber scheints diese Dateien nicht gefunden: Zitat:
Zitat:
Zitat:
MfG, copperhead |
So hier noch das combofix Log: Anmerkung: Als Combofix den Rechner neu starten wollte, war nur noch das Hintergrundbild zu sehen, keine Symbole mehr. Nachdem der Rechner dann 30 Min. idle dastand, hab ich ihn manuell neugestartet. combofix hat nach dem neustart gleich weiter gearbeitet. Außerdem wurde nen Desktop Icon vom I-Net Explorer hinzugefügt. Zitat:
Copperhead |
Hi, Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code: c:\windows\system32\rimuwuka.exe
Falls die Dateien erkannt wurden: Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://saved.im/mzi3ndg3nta0/aven.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") (Achtung: Pfade anpassen *** ersetzten!) Code: Files to delete:4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Bitte MAM updaten und nachmal komplett alles scannen lassen. Wenn sich es bewahrheitet, dass ein Backdoor auf dem Rechner war/ist, dann sollest Du über das Neuaufsetzen nachdenken... So, das hier gibt mir noch zu denken: [HKEY_USERS\S-1-5-21-507921405-2052111302-839522115-1004\Software\Microsoft\Windows\CurrentVersion\She ll Extensions\Approved\{9D716CB9-9577-DBBF-63AF-DC8313490779}*] "bbllckehmkeookgheaadpahjkajaocnpjfkj"=hex:61,61,0 0,00 "abllckehmkeookgheancmkngcepgajiiee"=hex:61,61,00, 00 Download Registry Search by Bobbi Flekman <http://virus-protect.org/artikel/tools/regsearch.html> und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) 9D716CB9-9577-DBBF-63AF-DC8313490779 in edit und klicke "Ok". Notepad wird sich oeffnen - poste den text chris |
Servus Chris, also beim Ausdruck Backdoor läufts mir schon kalt den Rücken runter. aber hier erstmal die Logs: rimuwuka.exe Zitat:
Zitat:
Zitat:
Zitat:
MfG, Copperhead |
Servus, MAM hat nichts gefunden, aber AntiVir meldet ab und zu noch TR/Agent und nen anderen. MfG, Copperhead |
Hm, kein Scanner findet was, google spuckt auch nicht viel aus... Fragen wir mal PrevX: http://www.prevx.com/freescan.asp Der Scannt zwar nur, findet aber sehr viel (und über das Log der Funde können wir dann bereinigen)... chris |
Servus, hier das Log von dem Programm, leider etwas groß. Ich schicks als Anhang in mehreren Portionen. AntiVir hat grad wieder TR/Agent gemeldet. Aber halt immer wieder andere Dateien im System. MfG, Copperhead |
|
|
|
Hi, Meldungen über Funde hat es nicht ausgespuckt, oder? Chris |
Nein hat er nicht. Aber weil AntiVir dauernd diesen TR/Agent meldet mach ich mir doch Sorgen, das sich irgendwo auf den Festplatten noch was versteckt. Oder kann es sein das AntiVir da was falsches meldet?? Es sind halt immer wieder andere Dateien, tw. auch nicht auf Festplatte C:\> MfG, Copperhead |
Hi, poste mal genau den Fundort, den Dateiname... Mal schauen ob wir was über RSIT finden: Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/ speichere es auf Deinem Desktop. Starte mit Doppelklick die RSIT.exe. Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. Dann noch: Datfind (Neusten Dateien finden) Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html chris |
Servus, hier die log.txt von RSIT: Zitat:
|
Und Hier die info.txt: Zitat:
|
Und noch die dirdat.txt: Zitat:
Zitat:
Zitat:
|
Hi, Schluß mit lustig: Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code: C:\WINDOWS\system32\drivers\awhz0whe.sys
Falls das File erkannt wird, unten beim Avenger aufnehmen (unter Files to delete)... Also: 2009-01-25 15:10:27 ----SH---- C:\WINDOWS\system32\rimuwuka.exe ->http://www.prevx.com/filenames/X853914847761751808-0/RIMUWUKA2EDLL.html 2009-01-16 15:29:17 ----SH---- C:\WINDOWS\system32\gakilime.dll http://www.prevx.com/filenames/X1758877430890115655-0/GAKILIME2EDLL.html Wo die sich starten kann ich nicht sehen, aber ich denke wir killen das einfach mal (außerdem legt Avenger ein Backup an). Auch den seltsamen Treiber aus einem Tempverzeichnis killen wir jetzt... Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://saved.im/mzi3ndg3nta0/aven.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code: Files to delete:4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. chris |
Zitat:
MfG, Copperhead |
So hier das Ergebnis von VirusTotal: Zitat:
|
So hier der Avenger Log: Zitat:
|
Hi, bitte lösche auch die C:\WINDOWS\system32\drivers\awhz0whe.sys per Avenger... Avira-Antirootkit Downloade Avira Antirootkit und Scanne dein system, poste das logfile. http://dl.antivir.de/down/windows/antivir_rootkit.zip Danach noch mal alle Platten scannen lassen (Scanner vorher updaten). Wenn es wirklich ein Rootkit ist, sollte der ungehindert Zugriff nach entfernen möglich sein... chris |
Servus Chris, also ich hab versucht die Dati zu löschen, hier das Avenger Log: Zitat:
Zitat:
Zitat:
Was ist das für nen Prozess?? MfG, Copperhead |
Hi, Zitat:
Wird PrevX installiert, so prüft er täglich einmal den Rechner... Lass bitte noch mal MAM laufen/prüfen und lösche vorher den Ordner: C:\DOKUME~1\ALEXAN~1\LOKALE~1\Temp komplett... chris |
Servus Chris, du hattest recht, da hat noch was gesteckt: Zitat:
|
So, MAM hats behoben, aber ich weiß nicht ob es das endgültig war: Zitat:
|
Hi, bitte folgendes abarbeiten und alle Logs posten, Vundo-Generelle Beseitigung (ccleaner, combfix, vundofix): http://virus-protect.org/artikel/tools/vundofixx.html zusätzlich noch dss: Download dss zum Desktop (http://www.techsupportforum.com/sectools/Deckard/dss.exe) Schliesse alle Anwendungen und Doppelklicke dss.exe Während DSS läuft, keine anderen Aktionen ausführen! Kopiere den Inhalt des Berichts C:\main.txt und extra.txt in Deinen Thread In mir keimt der Verdacht, das da ein Rootkit noch auf dem Rechner liegt, das wir nicht zu Gesicht bekommen... chris |
So, ich hab jetzt CCleaner und Combofix durchlaufen lassen: Zitat:
DSS lass ich jetzt laufen. |
So und hier noch die DSS Logs: main: Zitat:
|
Und hier noch das extra.log: Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:16 Uhr. |
Copyright ©2000-2025, Trojaner-Board