|
Malwarebytes und andere geblockt... Hallo, seid gestern ist mein Laptop befallen. Malwarebytes, Spybot und andere Tools (SpyHunter, gmer und SuperAntiSpyware) werden geblockt oder lassen sich nicht installieren. Ich poste mal meine Hijack, fsecure und mbr.exe logfiles und hoffe, dass jemand mir helfen kann. LG Psychoaki Hijack Code: Logfile of Trend Micro HijackThis v2.0.2Code: 04/30/09 13:20:26 [Info]: BlackLight Engine 2.2.1092 initializedCode: Stealth MBR rootkit detector 0.2.4 by Gmer, hxtp://www.gmer.net |
Hi, da brauchen wir wohl combofix: Combofix Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird Hinweis: unter : C:\WINDOWS\erdnt wird ein Backup angelegt. Alternative downloads: http://subs.geekstogo.com/ComboFix.exe Danach sofort MAM: Malwarebytes Antimalware (MAM). Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html Fullscan und alles bereinigen lassen! Log posten. Alternativer Download: http://filepony.de/download-malwarebytes_anti_malware/, http://www.gt500.org/malwarebytes/mbam.jsp chris |
Vielen Dank für die Antwort. Combofix wird leider auch geblockt... PS:WinPc Defender ging ursprünglich immer auch und hat mein Sytem gescannt und versucht updates zu laden. Ich habe es jetzt über msconfig aus dem Startprozess entfernt, da das vorherige löschen auch nichts gebracht hat... EDIT: Nach einem Umbennnen der GMER.exe ging diese wieder. Hier das log file Code: GMER 1.0.15.14972 - hxxp://www.gmer.net |
Hi, versuche bereits im downloaddialog die exe umzubenennen auf z.B. test.com... wie sieht es im abgesicherten Modus (F8 beim Booten) aus? Halt: Habe jetzt erst Dein Mail gesehen... Wie folgt vorgehen: Alternativ: Arbeitsplatz->rechte Maustaste->Eigenschaften->Hardware->Gerätemanager->Ansicht->ausgeblendete Geräte anzeigen->Nicht PnP-Treiber und dort den Treiber "UACd.sys" oder aehnlich deaktivieren und neu starten. Bitte melden ob gefunden und was gefunden (jaja, die netten kleinen Rootkits...) Zum dem Rootkit gehört: %System%\uacinit.dll %System%\drivers\UAC[RANDOM CHARACTERS].sys Schauen wir mal ob wir über RSIT was rausbekommen: RSIT Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. * Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/) * speichere es auf Deinem Desktop. * Starte mit Doppelklick die RSIT.exe. * Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. * Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. * In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". * Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. * Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. * Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. * Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. chris Ps.: Den kriegen wir! |
Hi, also im Gerätemanager war kein Treiber mit dem entsprechenden Anfang (UAC) vorhanden. ComboFix läuft gerade (hat direkt am Anfang die UAC-Rootkits gemeldet), danach werde ich versuchen MAM durchlaufen zu lassen und abschließend noch einmal alle logfiles (inklusive RSIT) posten. Grüße, Psychoaki |
Hi, muss zu cheffe bin jetzt erstmal wech... chris |
Hallo, ich habe zunächst einmal die Combofix durchgeführt, hier das log Code: ComboFix 09-04-29.07 - Administrator 30.04.2009 14:08.6 - NTFSx86 |
Dann habe ich MAM durchgeführt Code: Malwarebytes' Anti-Malware 1.34 |
dann die mbr.exe Code: Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.netCode: ComboFix 09-04-29.07 - Administrator 30.04.2009 16:44.7 - NTFSx86 |
das log file von silent runners ist zu lang um es hier zu posten, daher zum abschluss neues HiJack log: Code: Logfile of Trend Micro HijackThis v2.0.2LG, psychoaki |
Hi, ein notify-eintrag muß noch raus, und einige files geprüft werden... Da ist etwas, was mir nicht gefällt, TMP-Dateien mit der identischen Größe wie vitale Windowsdateien...unterschiedliche Zeitstempel... Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code: c:\windows\system32\SET20.tmp
Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://saved.im/mzi3ndg3nta0/aven.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code: registry keys to delete:4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. chris |
Hi, danke für Deine Antwort. Bin jetzt wieder aus dem Kurzurlaub zurück. Hier kommen nacheinander die files...(es passt leider nicht alles in einen Beitrag, daher poste ich es einzelnd...) wininet.dll Code: Antivirus Version letzte aktualisierung Ergebnis |
SET20.tmp Code: a-squared 4.0.0.101 2009.05.04 -Code: Antivirus Version letzte aktualisierung Ergebnis |
SET8C.tmp Code: Antivirus Version letzte aktualisierung ErgebnisCode: Antivirus Version letzte aktualisierung Ergebnis |
Bei der Bit45.tmp gab es dann eine Meldung. In dem Moment, in welchem ich die Datei bei Virus Total hochladen wollte hat auch Antivir (avira) Alarm geschlagen (TR/FakeRean.A.19), ebenso bei einer pcdefender.exe datei, die im gleichen ordner enthalten war. habe beide datein durch antivir löschen lassen. hier der virustotal bericht der bit45.tmp BIT45.tmp Code: Antivirus Version letzte aktualisierung Ergebnis |
Und schließlich der avenger output Code: Logfile of The Avenger Version 2.0, (c) by Swandog46 |
Hi, bitte noch ein neues HJ - Log und folgendes: Aktualisiere Antivir, stelle dein Antivir ein, wie hier beschrieben: http://www.trojaner-board.de/54192-anleitung-avira-antivir-agressive-einstellungen.html Dann einen Fullscan über alle Festplatten... chris |
Vielen Dank für Deine Antworten und Hilfen. Hier ist das Hijack Logfile. Antivir scant gerade. Code: Logfile of Trend Micro HijackThis v2.0.2 |
und hier kommt das avira log file...das sieht immer noch nicht wirklich gut aus, oder? vor allem TR/FakeRean.A wurde oft gefunden, dazu noch eine SmitFraud und eine DR/Delphi.Gen Meldung...au mann, ich werd´bekloppt...zur besseren übersicht kann man sich das logfile von avira hier hxxp://rapidshare.com/files/229033919/1.txt.html downloaden Code: Avira AntiVir Personal |
Code: [FUND] Enthält Erkennungsmuster der Anwendung APPL/PsExec.E |
Code: |
Code: --> Object |
Code: C:\System Volume Information\_restore{91BDBC61-70F8-4901-A2B3-A158822D5D42}\RP64\A0014371.exe |
Code: C:\WINDOWS\system32\UACkdddovnltkoaiki.dll.XXX |
Hi, die Dateien mit der Endung "XXX" sind die, die wir schon identifiziert haben (die werden von den Tools umbenannt um sie unschädlich zu machen). Dann kommen die Tools selber (das ist ein false/positive), da die Tools (combofix und Konsorten) die gleichen Mechanismen wie die Trojaner/Viren verwenden... Und einiges in der Systemwiederherstellung die wir jetzt sicherheitshalber "putzen" werden. Systemwiederherstellung löschen http://www.systemwiederherstellung-deaktivieren.de/windows-xp.html Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt: Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung -> anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten; Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder). Einen ersten Restorepunkt setzten: Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen Dann bitte noch mal ein scan mit Avira... chris |
Hallo, ich habe die punkte von oben abgearbeitet und hier kommt das neue log file von avira Code: Avira AntiVir Personal |
Hi, ja, ist OKay. Combofix wird meistens (fälschlicherweise) erkannt... Die anderen Sachen sind Okay... chris |
Hi, super, vielen Dank!!! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:45 Uhr. |
Copyright ©2000-2025, Trojaner-Board