|
Google Umleitung Hallo, seit zwei Wochen plage :headbang: ich mich mit einem Trojaner, der Links von Google, Yahooo etc. umleitet. Nachdem ich schon einige Tools (u.a. HijackThis, CCleaner und mbam, Zonealarm) ausprobiert und eine ganze Reihe von Dateien ("uacdXXXX.sys") über die Windows Wiederherstellungskonsole entfernt habe, ist es nicht wirklich besser geworden :
Gibt's eine Chance, diesen Plagegeist ohne Neuaufsetzen loszuwerden ? Unten die Logs von mbam, ROOTREPEAL und GMER, HijackThis und RootkitRevealer. RSIT meldet bei "Continue" den Fehler: "Error: Variable used without being declared." mbam Code: Datenbank Version: 2388ROOTREPEAL Code: ROOTREPEAL (c) AD, 2007-2009Code: GMER 1.0.15.14972 - http://www.gmer.netCode: Logfile of Trend Micro HijackThis v2.0.2Code: |
Hallo und :hallo: Poste bitte beide Logs von RSIT => http://www.trojaner-board.de/74910-a...tion-tool.html Du hast zwei Möglichkeiten: 1.) Lade dir Download Trojan Remover Das Programm ist im Gegensatz zu den sonst hier eingesetzten Programmen keine Freeware, kann aber 30 Tage lang kostenlos genutzt werden. Das Log bekommst du über Menüzeile: File => View Logfile. Poste es hier. 2.) Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an. ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. ciao, andreas |
Hallo Andreas, Danke für die Antwort. RSIT Wie schon geschrieben läuft RSIT leider nicht bei mir. Wenn ich auf "Continue" klicke, poppt ein Fenster mit dem Titel "AutoIt Error" mit folgender Fehlermeldung auf: "Line -1: Error: Variable used without being declared." Klingt wie eine Fehlermeldung von AutoIt für ein Script. AutoIt habe ich aber nicht installiert. Wie soll ich da weiter vorgehen ? Alternativ habe ich ersteinmal mbam laufen lassen (siehe Log unten). Trojan Remover Habe ich installiert und laufenlassen. Es hat hjgruippkhifsw.sys auch als versteckten Prozess gemeldet.(siehe Log unten) Nach einem Neustart ist jetzt der Eintrag unter "Hidden or inaccessible Services" weg. Fehlerstatus
Also aktueller Stand: Redirection anscheinend weg, Avira etwas "taub", immer noch Trojaner im system32 Verzeichnis. Was kann ich als nächstes tun ? Hier der Link zum Trojan Remover Log: http://w*w.file-upload.net/download-1782406/TRLOG_2009-07-23b.TXT-.html Und der Report von mbam: Code: Malwarebytes' Anti-Malware 1.39 |
Hast du bei Malwarebytes auch gelöscht? Dort steht No action taken. Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
ciao, andreas |
Malwarebytes bringt die Dateien nicht weg. Nach einem Scan meldet es zwar Code: Infizierte Dateien:Hier die Links zu den Logs von OTL: http://w*w.file-upload.net/download-1783732/Twibble_OTL_2009-07-23.txt-.html http://w*w.file-upload.net/download-1783739/Twibble_OTL-Extras_2009-07-23.txt-.html |
Setze ComboFix ein. Alles andere hat keinen Sinn. Die Kiste ist verseucht ohne Ende. ciao, andreas |
ok, ComboFix ist gelaufen und hat dabei die Wiederherstellungskonsole installiert. Hier der Link zum Log: http://w*w.file-upload.net/download-1784348/Twibble_ComboFix_2009-07-23.txt-.html |
1.) Deinstalliere (falls möglich):
3.) Vorher die Sternchen durch deinen Anmeldenamen ersetzen! Beim nächsten Log nicht editieren! Scripten mit Combofix
Code: KILLALL::
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. ciao, andreas |
Hi, ich habe so ungefähr dasselbe Problem wie Twibble. Mein Problem ist jetzt aber das sich Combofix nicht starten lässt. Grüße |
zu Schokobaer: john.doe schreibt unten Zitat:
|
Zuersteinmal ein dickes Lob für die kurzen Antwortzeiten hier im Forum, speziell john.doe! Da kann keine kommerzielle Hotline mithalten. So die Progs aus der Liste unten habe ich de-installiert. Danke für's Zusammenstellen des ComboFix Scripts. Bevor ich ComboFix damit wüten lasse, nur noch ein paar Fragen: Die Einträge im Script unter Registry:: [HKEY_LOCAL_MACHINE\...\Run] geben doch an, was ComboFix aus den Autostart-Einträgen löschen soll. Ich nehme mal an, das "-" bedeutet "Diesen Autostart-Eintrag nicht löschen". "NeroFilterCheck"=- okFolgende Einträge sind noch im Combofix-Log von Anwendungen, die ich kenne/selbst installiert habe : Könnten die Treiber infiziert sein und sollen deshalb aus dem Autostart? "NvCplDaemon" NvCpl.dll NVIDIA-Treiber (=NVidiaControlPaneL)Files:: c:\windows\Tasks\Kompletter Virenscan.job c:\windows\Tasks\Update Virenscanner.job Diese Jobs habe ich selbst angelegt. Einer macht täglich einen Update vom AVIRA Datensatz, der andere macht einen Scan alle zwei Tage. Kann ich natürlich wieder anlegen, wenn's ComboFix beim Durchlauf stört... |
Zitat:
Zitat:
Schädlinge benutzen zunehmend Jobs um sich selbst nachzuladen oder wiederherzustellen. ciao, andreas |
Ok, ComboFix ist gelaufen. Hier der Link zum Log: http://w*w.file-upload.net/download-1789035/Twibble_ComboFix_2009-07-25.txt.html
In der Registry habe ich übringens unter HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services den verdächtigen Eintrag hjgruipojeemov gefunden. Code: [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hjgruipojeemov]Irgendein Virusscanner hatte irgendwann vorher mal gemeldet, das hjgruipojeemov von einer Windows Systemdatei als Service geladen wird. Jetzt wird das aber nicht mehr gemeldet. Ich vermute, bei den 3 Kandidaten oben wird das ähnlich sein. Nur habe ich keine entsprechenden Schlüssel in der Reg finden können. Will sagen, vielleicht sollten wir in Richtung Registry weitersuchen ? |
Der Downloadlink funktioniert nicht, bei der Größe kannst du es hier direkt posten, bitte mit HTML-Code: [quote]CF-Log[/quote]-Befehlen.Code: KILLALL::Zitat:
ciao, andreas |
Unten das ComboFix-Log. Zitat:
im windows\system32 Ordner sichtbar und ich konnte sie löschen. Nach dem nächsten Windows-Start kam die Meldung von Malwarebytes wieder. Gerade hab ich nochmal nahgesehen, alles ok. Und in der Liste "Durch laufende Prozesse gestartete DLLs" in der Log-Datei unten sind die Dateien ja auch nicht drin. ComboFix lasse ich später noch mal mit dem neuen Script laufen und poste das Log dazu. Zitat:
|
Das sieht schon fast gut aus. Hast du im Security Center die Antivirenprogramm- und Firewallüberprüfung abgeschaltet? ciao, andreas |
So, wieder ist ComboFix gelaufen (siehe unten). Der Eintrag war danach immer noch in der Registry. Allerdings konnte ich ihn via Regedit löschen (kaum setzt man die Rechte richtig, schon geht's - sorry für die Umstände :) ). Firewall und Avira waren beim Lauf deaktiviert, wie im Log unten steht. Siehst Du da sonst noch etwas Verdächtiges ? Zitat:
|
Teste ob Malwarebytes noch immer die Dateien findet. Ein Quickscan reicht. Wenn ich richtig liege, dürfte er die nicht mehr finden. Zitat:
Die gehören da nicht hin: Code: 2009-07-11 13:33 . 2009-07-11 13:33 4212 ---h--w- c:\windows\system32\zllictbl.datCode: [HKEY_LOCAL_MACHINE\software\microsoft\security center]Code: [HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile]Code: KILLALL:: |
ComboFix hat gelöscht, was es sollte. Malwarebytes bleibt hartnäckig und meldet die bekannten 3 Dateien. Vielleicht sind das nur Dateifragmente und ich sollte mal chkdsk laufen lassen ... Zitat:
|
1.) Rootkitsuche mit SysProt
2.) Um sicher zu gehen (und einen Streit zu schlichten) lasse bitte dieses Script laufen. Log von ComboFix brauchst du nicht zu posten, aber das von Malwarebytes (Quickscan reicht). Code: KILLALL::4.) Kaspersky - Onlinescanner Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware. ---> hier herunterladen => Kaspersky Online Scanner => Hinweise zu älteren Versionen beachten! => Voraussetzung: Internet Explorer 6.0 oder höher => die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter => Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken => Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als => Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten => Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen 5.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte. ciao, andreas |
So hier schon mal ein Zwischenbericht, während ich mit Kaspersky und PrevXCSI weitermache und ComboFix de-installiert ist. Also Sysprot hat zunächst gemeckert: "Failed to start service. SysProt AntiRootkit needs to be run with Admin privileges!", obwohl mein Benutzer ****** vom Typ "Computeradministrator" ist, also volle Admin-Rechte hat. Als Admin eingeloggt ist SysProt dann gelaufen, wollte aber zwischendurch ständig, dass ich in Laufwerk A etwas einlege - Laufwerke A/B habe ich nicht. Unten das Sysprot-Log. Laufwerke M und N sind noch zwei weitere eingebaute Festplatten nur mit Daten. Ich hoffe jetzt, dass ComboFix & Co nicht generell "administrator" als Accountnamen voraussetzen. Die weiteren Tests habe ich jedenfalls wieder mit dem Account ****** gemacht. Zitat:
Malwarebytes nach ComboFix mit Script das Übliche ... Zitat:
|
Kontrolliere bitte die Quarantäne von Malwarebytes, ob dort überhaupt etwas ist. ciao, andreas |
so nun der zweite Teil: Malwarebytes In der Quarantäneliste steht schon einiges, z.B. uacinit.dll, UACKymxvhetjmwsyno.dll oder a99k.bin. Kaspersy habe ich erstmal "Wichtige Objekte" und "Memory" testen lassen (siehe unten). Den Komplett-Check lasse ich heute Nacht durchlaufen. Zitat:
combofix.exe (hatte ich nach dem Download nach C:\tmp kopiert) und avenger.exe, dazu noch diverse faxlib.dll (die ich nicht nutze, weil ich keine ISDN Karte habe) : Zitat:
|
Zitat:
Code: c:\windows\system32\UACthluqrjagstidbs.dll (Trojan.Agent) -> No action taken.Zitat:
Avenger wird von fast allen als schädlich angesehen. Das liegt aber nicht an Avenger, sondern einem Schädling, der sich der Technik des Avenger bedient, um Systemdateien zu löschen. Interessant dabei ist, dass der Programmierer von Avenger und Malwarebytes eine Person ist und Malwarebytes munter lustig Avenger immer weglöscht. :lach: Ich benutze eine umbenannte Version des Avengers (Hopsassa.exe) um die TDSS-Varianten auszutricksen. Hier mein Kommentar: http://www.trojaner-board.de/423128-post11.html ciao, andreas |
sorry, Missverständnis Zitat:
Prevx ist wieder gelöscht. ToDo:
|
Zitat:
ciao, andreas |
Zitat:
Ich hatte chkdsk vor zwei Tagen mal laufen lassen (ohne /f). In Phase 2 von 3 wurde dann die Meldung "Fehler in Index $0 der Datei weiss-ich-nicht-mehr" angezeigt. Vielleicht spricht Malwarebytes auf Dateifragmente an. Das wollte ich mit dem Test ausschließen ... |
Gute Idee. :daumenhoc ciao, andreas |
Zwischenbericht Kaspersky. Auch nichts neues. Nur zwei Meldungen in ungesehen gelöschten E-Mails. Ansonsten ziemlich viele gesperrte Objekte. Wie schon geschrieben, Laufwerke M und N sind noch zwei weitere eingebaute Festplatten nur mit Daten. Nächster Schritt: chkdsk /f Zitat:
|
Hi Andreas, ckhdsk ist gelaufen, hat auch ein paar Kleinigkeiten gefunden, aber das hat auch nichts am Malwarebytes-Ergebnis geändert. Ansonsten ist der Rechner seit einer Woche symptomfrei. Ab morgen bin ich ersteinmal für 3 Wochen weg. Hast Du noch eine Idee wie wir weitermachen können ? Zitat:
|
Zitat:
Kontrolliere, ob RSIT mittlerweile läuft und poste die Logs. Falls nicht, dann poste ein aktuelles HJT-Log. Jetzt bleibt noch deine Software aufzuräumen und das HJT-Log zu säubern. Dann sind wir durch. Die Hälfte deiner Software kenne ich allerdings nicht. Deinstalliere alle Javaversionen und installiere dir die aktuelle. Bei Secunia gibt es die Möglichkeit die Software automatisch zu aktualisieren. Entweder Online als Java-Applet oder als Programm auf dem Rechner. ciao, andreas |
So alte Java Versionen sind weg, die 6.14 wieder drauf und hier das HJT Log: RSIT funktioniert nach wie vor nicht. Die Checks von Secunia habe ich noch nicht laufen lassen. Zitat:
|
Da kommt jetzt erstmal SP3 und MSIE8 drauf. Zitat:
Zitat:
Hast du die schon jemals genutzt? Ich habe beide bei mir gefixt. Mein Rechner läuft immer noch. :) Starte HJT => Do a system scan only => Markiere: Code: Alle R0, R1 und O16-EinträgeDu bist entlassen. :) Schönen Urlaub, Andreas |
Okidoki. Die Tray-Einträge sind weg. Um die Updates kümmer ich mich dann später. Vielen Dank für die kompetente Hilfe und die ultrakurzen Antwortzeiten. Superservice :daumenhoc und weg. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:14 Uhr. |
Copyright ©2000-2025, Trojaner-Board