|
WORM/Kido.IH.40 [worm] und TR/Trash.Gen [trojan] Hallo an die Erste-Hilfe-Gruppe... Folgendes Problem: Vor einer Woche, am 30.7., hatte ich von meinem Avira die Meldung: Virus or unwanted program 'WORM/Kido.IH.40 [worm]' detected in file 'G:\autorun.inf. Da ich zu dem Zeitpunkt grad aus der Küche kam, konnte ich gerade noch sehen wie der Countdown für eine Aktion „2...1...0“ sagte, dann verschwand die Meldung. Hab den Avira dann gleich geöffnet, und fand unter dem Eintrag noch das hier: Virus or unwanted program 'TR/Trash.Gen [trojan]' detected in file 'C:\System Volume Information\_restore{F044C542-2B91-4BD3-B373-06DB772150D3}\RP45\A0011753.exe. Und zwar eine halbe Std vor dem „aktuellen“ Ereignis, und noch eine Std davor genau dasselbe. Bei allen 3 stand als „Action performed“ „Deny Access“ darunter. Nachdem ich da grad am aufbrechen war und mir keine Sorgen machte hab ich das dann vergessen. Heute wollte ich meinen Bluetooth-Manager aus dem Autorun löschen, dabei habe ich festgestellt dass ich da eine „dumprep 0-k“ drinhab, die ich noch nie vorher gesehen hab, und dass die Einträge „ctfmon“ und „reader_s“ plötzlich doppelt drin hatte. Beide hab ich vor Wochen schon per Mausklick im Systemstart deaktiviert, und beide tauchen jetzt doppelt auf, einmal aktiv und einmal nicht aktiv.Bei der aktiven ist vor der Dateipfadangabe, die ansonsten die gleiche ist, ein HKML.Ist das normal? Die Dumprep scheint ja nach dem was ich gelesen hab harmlos zu sein. Dann hab ich mir weil ich unsicher war den Avira nochmal aufgemacht- und siehe da: Die TR/Trash.Gen [trojan] hatte ich seither noch weitere 8 mal.Ich lass den Rechner zur Zeit tagsüber viel laufen, aber in dieser Zeit liefen eig kaum p2p-Programme, ich bin da nicht mal aktiv gesurft, war ja bei sämlichen Meldungen nicht mal am Rechner.Übrigens kam jetzt grad während ich den Text schreibe die neunte, da bin ich dann mal auf „Delete“ gegangen. Ich hab mal versucht den Pfad „C:\System Volume Information“ zu suchen, aber da kam nur die Meldung „Zugriff verweigert“. Die Meldung vom Postanfang, das „WORM/Kido.IH.40 [worm]' detected in file 'G:\autorun.inf.“ deutet auf entweder einen meiner USB-Sticks hin oder auf meine externe Festplatte, aber ich kann nicht genau sagen welches von beiden, da ich grad in der letzten Woche die Laufwerke ein paarmal umgesteckt hatte und mir deswegen bei den Buchstabenzuordungen nicht sicher bin. Während dem Geschreibse hier hab ich „Anti-Malware“ upgedatet und drüberlaufen lassen, ohne Ergebnis...Hijack-This Log fange ich jetzt an, folgt demnächst... Ähm-Symptome wie langsam, Abstürze etc hatte ich keine. Danke schonmal für den langen Atem beim lesen... |
Logfile HJT: Code: Logfile of Trend Micro HijackThis v2.0.2 |
Logfile Anti-Malware: Code: Malwarebytes' Anti-Malware 1.40 |
Hallo und Herzlich Willkommen! :) In deinem HiJackThis Log kann ich nicht falsches entdecken, aber das noch lange nicht bedeutet, dass dein System sauber ist - Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe: 1. ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen:: → Klicke unter Start auf Arbeitsplatz. → Klicke im Menü Extras auf Ordneroptionen. → Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen → Geschützte und Systemdateien ausblenden → Haken entfernen → Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen. → Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein. 2. Für XP und Win2000 (ansonsten auslassen) → lade Dir das filelist.zip auf deinen Desktop herunter → entpacke die Zip-Datei auf deinen Desktop → starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen → kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread ** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen! 3. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool ccleaner herunter installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein 4. Zitat:
Test - 1:
Test - 2: Honeynet-Conficker-Analyse Berichte über den `Staus`(Ergebnis) Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post: → vor dein log schreibst du:[code] hier kommt dein logfile rein → dahinter:[/code] 5. um uns noch eine zweite Meinung einzuholen: Den kompletten Rechner zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online - Scanner - wähle "My Computer" aus: im Internet Explorer: - "Extras→ Internetoptionen→ Sicherheit": - alles auf Standardstufe stellen - Active X erlauben - speichere die Ergebnis als *.txt Datei und poste das Logfile des Scans gruß Coverflow |
So...also ersma danke schon mal für die präzisen Anweisungen zur Hilfestellung, mir als Anfänger tut das gut :) Dann- beim durchführen der ganze Aktion ist klargeworden woher das ganze kam-als ich einen meiner USB-Sticks reinhab kam sofort die oben erwähnte "Worm"-Meldung vom Avira.Ich bin dann auf Delete gegangen und hab danach den kompletten Stick nochmal eigens vom Avira überprüfen lassen, dabei hat der in einer Datei noch den "TR/Dropper.Gen' [trojan]" gefunden, die hab ich dann auch reparieren lassen.Der Stick bleibt, bis der Rechner selber wieder klar ist,weg.Sämtliche Auflistungen sind also OHNE diesen Stick erfolgt, ich habe den Rechner zwischen der Entnahme des Sticks und dem Erstellen der Listen nicht heruntergefahren, falls das was zu sagen hat. Ähm-by the way...was bewirkt das drücken der "Shift-Taste" beim anstöpseln? Logfile Filelist: Code: ----- Root ----------------------------- Code: Adobe Flash Player 10 ActiveX |
Conficker Test 1: erste Spalte--> Test negativ Conficker Test 2: Auch negativ angegeben. Beim Kaspersky kommt eine Fehlermeldung, Dass das update failed und ich das nur machen kann wenn ich online bin...am Schluss der Fehlermeldung steht [Error:Key is Expired], kann das an der ActiveX-Geschichte liegen? Wie aktivier ich das?Mein Browser ist der FF...geht das? |
hi Zitat:
Zitat:
gehe bitte wie folgt vor: Zitat:
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren! |
So, nächste Runde... Kaspersky funzt immer noch nicht, obwohl ich bei den Active-X-Geschichten so ziemlich alles erlaubt hab was ich gefunden hab. Dann hab ich Gmer runtergeladen, den WLAn-Stick rausgerupft, Avira deaktiviert, Win Firewall deaktiviert, Gmer durchlaufen lassen.Da ich beim ersten Versuch das ganze aus Versehen wieder weggeklickt hab anstatt das Logfile zu kopieren ab ich das Ganze 2 mal gemacht :-) Ich hoffe es gibt kein Schadprogramm das das erkennt und sich beim 2. Versuch versteckt hat :) Beim Bildschirm vom Gmer war rechts alles angehakt, in dem kleinen Fenster hab ich sowohl C als auch F (meine ext Festplatte) angehakt, die ist aber glaub nicht durchsucht worden...beschränkt sich Gmer auf die Systemplatte?Na-vielleicht hab ich´s auch nur nicht mitbekommen. Meine angeschlossenen USB-Sticks wurden da gar nicht aufgeführt. Darunter war noch ein Kästchen "ADS", das war auch aktiviert. Logfile Gmer: Code: GMER 1.0.15.15020 [m5gd08ln.exe] - http://www.gmer.netBin ja gespannt was die Auswertung sagt. |
hi wegen Kaspersky: Zitat:
- Speichermedien wie Externe Festplatte/USB-Stick usw bitte anschließen, halte dabei die Shift-Taste gedrückt! - Lade das Combofix von einem der folgenden Download Spiegel herunter: BleepingComputer - ForoSpyware - Wichtig!: installiere auf den Desktop - Antiviren, - und andere Schutz/Spyprogramme bitte deaktivieren - Schließe jeder externe Datenträger (USB Stick und USB Festplatte etc) an dein Computer an - dabei die Shift-Taste bitte unbedingt gedrückt halten! - Per Doppelklick die ComboFix.exe starten und den Anweisungen folgen - Falls die Microsoft-Windows-Wiederherstellungskonsole auf dein Rechner nicht installiert ist, und wenn du direkt gefragt wirst, es zu ermöglichen stimme dem Lizenzvertrag zu. Danach erscheint ein Fenster zur Bestätigung, ansonsten wird ComboFix mit der Arbeit fortfahren - bestätige mit "ja", damit den Suchlauf automatisch beginnen kann Zitat:
** Eine bebilderte Anleitung findest Du hier: bleepingcomputer.com/combofix/Anleitung |
Also...ich deaktiviere Avira und die Win-Firewall. Schliesse sämtliche Programme. Stöpsel alles ein was geht-auch den Stick von dem ich weiss dass er infiziert war/ist (siehe oben)? Ähm-WLan-Stick auch weg? Combo vorher auf den Desktop, starten, ich weiss grad gar nicht ob die Systemwiederherstellung aktiv ist... Dass wir Combofix laufen lassen, heisst das dass da was grösseres ist oder ist das ne weitere Vorsichtsmassnahme?Glaub den nutzt ihr sonst nur wenn eigentlich schon fast alles zu spät ist. Dachte das wär ne Art Tool mit dem man vorhandene bösartige Infektionen vielleicht noch retten kann. Ähm...Combofix als Combofix laufen lassen oder sicherheitshalber umbenennen? Und...beim lesen der Combofix-Anleitung ist mir aufgefallen dass er ja zum installieren derWiederherstellung Internet braucht, geht das dass ich Combo anfange, mit Internet bis zu diesem Punkt, und nach dieser Installation das Internet kappe und mit dem eigentlichen Scan fortfahre? Und, als letztes...anfangs hattest du mich sämtliche versteckten und Systemdateien sichtbar machen lassen, das braucht man für solche Programme wie Combofix nicht, oder? |
- Stöpsel alles ein was geht-auch den Stick von dem ich weiss dass er infiziert war/ist (siehe oben)? ** richtig - Combo vorher auf den Desktop, starten, ich weiss grad gar nicht ob die Systemwiederherstellung aktiv ist... ** das ist prinzipiell egal, wird ein Systempunkt erstellt - Dass wir Combofix laufen lassen, heisst das dass da was grösseres ist oder ist das ne weitere Vorsichtsmassnahme?Glaub den nutzt ihr sonst nur wenn eigentlich schon fast alles zu spät ist. Dachte das wär ne Art Tool mit dem man vorhandene bösartige Infektionen vielleicht noch retten kann. **besonders Infektion mit Worm.Win32.AutoRun sehr nützlich bzw den möglichen Speichermedien durchzuchecken - Ähm...Combofix als Combofix laufen lassen oder sicherheitshalber umbenennen? ** ist nicht nötig, aber kannst ja vorsichtshalber machen - Und...beim lesen der Combofix-Anleitung ist mir aufgefallen dass er ja zum installieren derWiederherstellung Internet braucht, geht das dass ich Combo anfange, mit Internet bis zu diesem Punkt, und nach dieser Installation das Internet kappe und mit dem eigentlichen Scan fortfahre? ** meinst die `Wiederherstellungskonsole`? Falls noch nicht vorhanden, Combo erledigt die Installation ** lass alles sowie ist, die Verbindung nicht trennen! Anweisungen folgen, dann nicht mehr am Pc etwas machen!! - Und, als letztes...anfangs hattest du mich sämtliche versteckten und Systemdateien sichtbar machen lassen, das braucht man für solche Programme wie Combofix nicht, oder? **Combo braucht nicht, aber ich ;) |
Allllsoooooo...Der erste Versuch schlug fehl, hab das Programm aktiviert, aber als ich dann die Tastatur weglegen wollte hab ich sie blöd wie ich bin an der Standby-Taste festgehalten :-) beim nächsten Versuch hat´s hingehauen. Dann wird mein Windows in den Eigenschaften als "Professional" angegeben, deswegen hab ich die Combofix-Frage ob das ne home-ed ist mit "nein" beantwortet-funktioniert hat´s zumindest. Nach dem Combofix-Durchlauf hat mein Rechner etwas gesponnen... 1.Zeigt er mir in der Taskecke meinen WLAn-Stick nicht mehr an, und 2.Haben Maus u. Tastatur etwas rumgezickt...wenn ich irgendwo geklickt hab, dann wurde alles bis dahin markiert, und zum einloggen hab ich 4 Versuche gebraucht weil die "Shift"-Taste nicht funktioniert hat, gleichzeitig hat er alles was ich im Inet angeklickt hab in nem neuen Fenster aufgemacht...aber jetzt läuft´s soweit wieder. Hier das Log: Code: ComboFix 09-08-10.06 - Olli 11.08.2009 14:24.2.1 - NTFSx86 |
hi 1. Gmer kannst entfernen das Malwarebytes deinstallieren 2. Adobe Reader: sehe nach, ob neuere Versionen vorhanden sind 3. Zitat:
am besten deinstallieren: unter "Start→ Systemsteureung→ Software→ Ändern/Entfernen..." 4. mache einen Neustart und berichte ob alles in Ordnung ist? |
So...Gmer ist weg, Combo hab ich auch gleich weg.Adobe ist upgedatet. Ich weiss, dass der Esel gern von euch kritisiert wird, und bestimmt zurecht...aber ich würd ihn nur sehr ungern deinstallieren, brauch ihn halt schon ab und zu, bin aber vorsichtig.Sofern man das bei dem sein kann. Malwarebyts hab ich deinstalliert, aber warum? Funktionieren tut jetzt alles-aber das war vorher auch schon der Fall, hatte ja keine Ausfälle sondern bin nur auf ein paar Sachen aufmerksam geworden. War mein Rechner jetzt unter´m Strich richtig infiziert oder hat mein Avira zwar viel gemeldet aber alles unter Kontrolle gehalten? Ich kann mit den Logfiles wenig anfangen. Die Sticks sind auch wieder sauber? Soll ich in den Windows-Einstellungen die automatischen upsdates aktivieren oder nicht?Betrifft dass Progs wie Adobe, firefox auch oder muss ich das bei denen eigens aktivieren?Wie wichtig sind die? Ich dachte sowas sei besser etwas einzuschränken, dass der Rechner nicht ganz soviel auf eigene Faust in der Gegend rumagiert. |
hi **Ich weiss, dass der Esel gern von euch kritisiert wird, und bestimmt zurecht...aber ich würd ihn nur sehr ungern deinstallieren, brauch ihn halt schon ab und zu, bin aber vorsichtig.Sofern man das bei dem sein kann. - es geht um Dein Rechner nicht meins ;) **Malwarebyts hab ich deinstalliert, aber warum? - Technische Manipulation: Die Praxis zeigt, es gibt sehr viele verschiedene Arten der Malware, die installierte Schutzprogramme auf dem PC deaktivieren, bzw. löschen können. Als Surfer sollte Dir deshalb immer bewusst sein, dass auch Schutz und Spyprogramme etc. keinen 100%igen Schutz bieten! - Allgemein gilt: Das Installieren von `zuviel` Software beeinträchtigt die Systemleistung und Sicherheit, verlangsamt den Start-Vorgang enorm und belastet den Arbeitsspeicher (weil laufen ja die Programme nebeneinander gleichzeitig, die viel Performance fressen, aber wenig Qualität bringen). Im Laufe der Zeit wird der rechner durch zu viel unnötigen Ballast immer langsamer, und unsicherer. Um so mehr Programme installiert sind, um so häufiger treten Probleme auf, die dann unter Umständen nur schwer lösen können. Dazu kommt noch, das einige Programme große Sicherheitsrisiken mit sich bringen;) **Die Sticks sind auch wieder sauber? - sieht gut aus **Soll ich in den Windows-Einstellungen die automatischen upsdates aktivieren oder nicht?Betrifft dass Progs wie Adobe, firefox auch oder muss ich das bei denen eigens aktivieren?Wie wichtig sind die? Ich dachte sowas sei besser etwas einzuschränken, dass der Rechner nicht ganz soviel auf eigene Faust in der Gegend rumagiert. - Genauso wichtig sind natürlich regelmäßige Updates der Software (nicht nur Windows), da immer wieder neue Gefahren in Form von Viren auftreten können. Kritische Sicherheitslücken in Browsern wie IE, Firefox, aber alle Anwendungen sollte man immer auf dem neuesten Stand halten Wenn du nicht so vergesslich bist...Du kannst das Update manuell durchführen - eventuell kannst Du noch dein Sytem mit mindestens 3 Onlinescanner prüfen/reinigen: - Speichermedien bitte anschließen! - Einstellungen Internet Explorer: Extras → Internetoptionen → Sicherheit → Stufe anpassen: alles auf Standardstufe stellen - Active X erlauben - nach jedem Scanvorgang starte dein system neu auf - speichere und poste das Logfile des Scans - die Ergebnisse als*.txt Datei speichern |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 21:35 Uhr. |
Copyright ©2000-2025, Trojaner-Board