|
Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)? Hallo, Ich mache gerade ein Praktikum in Russland und arbeite an den Rechnern meiner Gastfamilie (falls ihr euch wundert, dass einige Ausgaben in kyrillisch sind). Bevor ich jedoch diesen PC ordentlich bedienen konnte (und wollte) musste ich erst einige Dinge fixen: Es waren weder eine aktuelle Windows-Version noch ein aktuelles Antiviren-Programm auf dem Rechner installiert (der Norton-AV war vom 4. April!), sodass ein Schadbefall groesseren Ausmasses vorprogrammiert war. Ich bin nun folgendermassen vorgegangen: 1) Download des aktuellen Avira Antivir und Malwarebytes’ Anti-Malware 2) Internetverbindung getrennt 3) Mbam drueberlaufen lassen (Kurz- und Langfassung) -> 84 Schaedlinge entdeckt und nach Neustart entfernt (Logs poste ich hier jetzt mal nicht, da es sonst zuviel wird, aber ich kann sie auf Anfrage gerne posten) 4) Norton deinstalliert (ueber Systemsteuerung -> nicht restlos entfernt, da noch Eset-Ordner und –Dateien vorhanden, aber der On-Access-Guard ist weg, sodass ich Avira installieren konnte) 5) Avira installiert -> nach Gesamtcheck 278 Schadprogramme gefunden (Trojaner, Viren, Wuermer, Spyware, Adware, die ganze Palette), und diese in Quarantaene verschoben und spaeter entfernt. Log ist leider zu lang zum posten, bei Bedarf teile ich ihn in kleine Haechen auf und poste ihn Danach habe ich das Internet wieder angeschlossen, Mbam und Avira geupdatet und im abgesicherten Modus drueberlaufen lassen, keine Funde mehr J ; Log hier: Code: |
Teil 2 - Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)? So weit, so gut. Aber dann, 5 Tage spaeter, meldet Avira wieder einige Funde, und nach einem weiteren Suchlauf meldet es wieder 85 Schaedlinge, welche sich alle in den „System Volume Information“ Ordnern der Laufwerke befinden (die gleichenSchaedlinge, die ich 5 Tage vorher schon in Quarantaene geschoben habe). Log hier: Code: |
Teil 3 - Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)? Hier der 2. Teil des Avira Logfiles (die Beschraenkung auf 25000 Zeichen zwingt mich leider zu dieser umstaendlichen Posting-Methode, ich hoffe, das ist ok): Code: Beginning disinfection: |
Teil 4 - Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)? Deshalb habe ich alle Schritte fuer’s posten (Ccleaner, Mbam meldet keine Funde und RSIT) erfuellt und hoffe nun auf eure Hilfe, da ich mit meinem „Rechner-von-Schadrogrammen-befreien“-Latein am Ende bin und mich mit HiJack This - Reporten nicht wirklich gut auskenne (m.E. sind einige merkwuerdige Prozesse im Log- bzw. Infofile, aber sicher bin ich mir nicht). Vielen Dank fuer eure Hilfe im Voraus! Wenn ihr noch irgendetwas braucht, dann meldet euch! Infofile RSIT/HiJack This: Code: info.txt logfile of random's system information tool 1.06 2009-09-01 15:14:27 |
letzter Teil - Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)? Logfile RSIT/HiJack This: Code: Logfile of random's system information tool 1.06 (written by random/random) |
Privet, hallo und guten Tag - Ich würde laut der Funde den PC neuaufsetzen, da ist auch noch viel mehr als nur das was Avira fand. Avira fand auch ne Menge an Malware, das System war Monate oder gar Jahre nicht richtig gepatcht. Dort sind einige Passwordstealer, einiges an Bots drauf und auch noch sehr wahrscheinlich ein Rootkit oder mehrere. Also ich würde das System plätten. Wie willst Du es handhaben (bzw. deine Gastfamilie)? Nach dem Neuaufsetzen würde ich sofort alle Pass- und Kennwörter abändern / abändern lassen, da Passwordstealer (Passwortstehler). |
Plattmachen... Oh, danke fuer die schnelle Antwort!! Hm, das Neuaufsetzen waere auch meine erste Wahl, allerdings sind die Leute hier nicht so begeistert davon... Das System war wie gesagt gut 4 Monate lang ohne aktuellen Virenschutz, geschweige denn Windows-Updates unterwegs (und natuerlich mit IE gesurft) :pfui: Es ist halt bloed, da ich hier auch meine Dokumente, Praesentationen und Tabellen draufhabe, fuer die Arbeit, die ich hier zu erledigen habe, und mich zur Datensicherung auch in Email einloggen muss bzw. meinen USB-Stick anschliessen muss. Und dieser PC ist der einzige Internetzugang und Arbeitsplatz, den ich im Moment habe. :headbang: Was mich ausserdem wundert, ist, dass das System sehr stabil und ressourcenschonend laueft (zumindest laut Taskmanager, der evtl. aber auch kompromittiert ist) und auch keine Fehlermeldungen etc. anzeigt. :confused: Meinst du, dass sich die ganzen Schaedlinge so tief ins System eingenistet haben, dass man auf der normalen Oberflaeche und auch im Safeboot nichts mehr davon mitbekommt? Wie sieht's aus mit speziellen Rootkit-Tools (Blacklight, Avenger, etc.), sollte ich die mal drueberlaufen lassen? Oder ComboFix? Und welche Eintraege findest du besonders auffaellig bzw. besorgniserregend? (vielleicht lerne ich dann irgendwann auch mal, HiJack This Files richtig zu interpretieren). ;-) Ich finde z.B. die beiden Prozesse smlogsvc.exe und mnmsrvc.exe merkwuerdig, da ich den Remote-Service von Windows abgeschaltet habe, und diese Prozesse m.E. hier nichts zu suchen haben. Nochmals vielen Dank fuer deine schnelle Antwort und fuer evtl. weitere Info! |
Zitat:
Naja, das ist deren Entscheidung, wenn sie ihr PC nicht neuaufsetzen wollen, wieso wollen sie ihr PC nicht neuaufsetzen, Gründe? Ich meine begeistert ist keiner von der Nachricht, aber wieso sind sie nicht begeistert? Die können Problemlos ihr Daten sichern wie Bilder, Lieder & Dokumente. Immens besorgniserregend finde ich die beiden Treiber/Dienste: S3 ojcbx;ojcbx; \??\C:\WINDOWS\system32\01.tmp [] S3 iztwg;iztwg; \??\C:\WINDOWS\system32\03.tmp [] google sagt zu beiden nichts. Sind unbekannt somit wohl schädlich. Ich finde zwar die Anzahl der Malware besorgniserregend, aber WAS gefunden wurde ist weitaus besorgniserregender. Zitat:
Zudem ist noch Adobe Reader 7.0 nicht gepatcht, aktuell is 9.1 Und die Google Toolbar for Internet Explorer ist nicht zu übersehen ;) Also meine Tendenz liegt immer noch beim neuaufsetzen. :) Poka :) |
komplizierte Angelegenheit Jaja, meine Gastgeberin hat ihren Rechner selbst als "Zoo fuer Viren" bezeichnet. Als ich ihr von den ueber 400 Tierchen erzaehlte (84 in Mbam + 278 in Avira + 85 beim 2. Suchlauf in Avira) und meinte, dass sie einen neuen Rekord aufgestellt hat (zumindest fuer alle bisher von mir bearbeiteten Rechner) entgegnete sie, dass es das letzte mal mehr als 720 (!!!) waren :eek: Diese beiden .tmp Dateien, die du genannt hast, sind mir erst gar nicht aufgefallen, aber mit Sicherheit was Boesartiges (wahrscheinlich nur die Spitze des Eisberges). Naja, hier zum Problem mit dem Neuaufsetzen: sie finden nicht alle CDs wieder, um die Programme (z.B. Nokia Handy, Office) und um Windows neu zu installieren :twak: Morgen werde ich erst mal eine externe Platte kaufen, sodass ich zumindest die Dateien sichern kann (die ueblichen Multimedien). Dann wuerde ich gerne versuchen, das Ding noch irgendwie zu retten, und sei es mit den radikalsten und verwegensten Mitteln (der Rettungsversuch an sich ist schon verwegen). Dann natuerlich die von dir genannten Programme fixen (Google Toolbar und Adobe Reader) und Windows updaten (Problem: Windows Genuine Advantage will normalerweise eine Registrierungsnummer, und die ist soweit ich weiss auf der Verpackung der Windows-CD, die nicht mehr auffindbar ist...) Ich weiss, dass ich hier zuwider des gesunden Menschenverstandes handele, aber ich wuerde wirklich gerne alles versuchen, um den PC wieder auf den richtigen Weg zu bringen ohne Neuinstallation (nach dem Motto "Trial and Error"). Wenn das nicht funktionieren sollte, kann ich als letztes Mittel immer noch neu installieren, wenn ich auch noch nicht genau weiss, wie das hier gehen soll. Ja, das ist so der aktuelle Stand. Ich danke dir nochmals fuer deinen guten Ratschlag, das System neu aufzusetzen, auch wenn ich ihn vorerst nicht befolgen werde. Koenntest du mir trotzdem vielleicht ein paar Hinweise liefern, welche Programme (Avenger, Blacklight, Combofix) ich am besten zur Reinigung einsetzen soll? Und was mir auch noch Kopfzerbrechen bereitet ist die gute Performanz und geringe Auslastung des total verseuchten Computers. Hast du da vielleicht eine Erklaerung? Spacibo, Sonja |
Hat der PC keine Recovery Console oder ähnliches? Vllt. hat sie ein Backup/Image? Ich kann dir nur anraten erstmal alle Daten zu sichern und dann versuchen den PC irgendwie platt zu machen. Da ist man froh, wenn man ein Image hat, dass man einfach zurückspielen müsste :) Avenger und Combofix sind beides sehr mächtige Tools, damit muss man vorsichtig umgehen. Poste dochmal das Malwarebytes Log, mich würde zudem noch interessieren, was MBAM fand. Zitat:
Aber ich denke da Avira + MBAM inner super Team arbeit bisher viel erledigten und fanden dürfte der Größte Mist weg sein. Lass doch nochmal Superantispyware laufen und deaktiviere die Systemwiederherstellung. Zitat:
|
Mbam-Logs - Teil 1 Privjet, hier sind alle Mbam-Logs (nur die infizierten natuerlich): Code: Malwarebytes' Anti-Malware 1.40Code: Malwarebytes' Anti-Malware 1.40 |
Das schockt mich um ehrlich zu sein sehr, wie deine Gastfamilie da noch so "locker & lässig" sein kann, die Funde sind schon ziemlich interessant und krass. Entferne alles gefundene von MBAM, danach geht es hier entlang zu Gmer, lasse Gmer durchlaufen, wie in der Anleitung beschrieben. Gmer Anleitung: http://www.trojaner-board.de/74908-a...t-scanner.html |
Mbam-Logs - Teil 2 Code: Malwarebytes' Anti-Malware 1.40Ich habe Mbam und Avira beide im SafeBoot ausgefuehrt, bis keines mehr Schadprogramme gefunden hat (im full scan natuerlich). Deinen Rat mit SuperAntiSyware und Gmer werde ich morgen umsetzen, da es hier schon fast 1 Uhr nacht ist und ich doch etwas muede bin (obwohl ich sehr gerne an diesem Rechner weiter rumwerkeln wuerde). Ein Image gibt es (ich bin versucht zu sagen: natuerlich) nicht, und die Systemwiederherstellung kann man vergessen, da diese ja genauso verseucht ist (habe gerade heute den neuen Wiederherstellungspunkt gesetzt, aber war offensichtlich eine relativ sinnlose Aktion). Das waere ja auch zu schoen gewesen. Ja, und diese von dir angesprochene Lockerheit war im Satz "der Rechner ist alt und ein bisschen langsam" enthalten, mit der mir der PC vorgestellt wurde, oder auch in "ach ja, ab und zu gehen ein paar komische Fenster auf".... Mir als Sicherheits-Freak stehen da alle Haare zu Berge!! Ich fuehle mich bei der Benutzung eines "unauffaelligen" Windows-Systems schon unwohl genug... Ich werde mich dann morgen mit neuen Logfiles und einem gesicherten System melden, sodass wir dann weitersehen koennen. Bis dahin erst mal viel Spass mit den Mbam-Logfiles! (wenn du noch mehr willst: ich kann auch gerne das Avira-File mit den 278 Schaedlingen posten ;-) Und wenn dir noch was einfaellt: immer her damit. Spacibo i spokoinoi notsch! Sonja P.S. Linux 4ever!! (for reasons please see above) :daumenhoc |
SuperSpyware-Log Guten Morgen, hier wie erwuenscht der Log von SuperSpyware (nach Anleitung konfiguriert): Code: SUPERAntiSpyware Scan LogInzwischen habe ich auch die Google Toolbar und den Adobe Reader entfernt (ersetzt durch Foxit Reader ohne Toolbars). Was mir noch aufgefallen ist: ich kann im Arbeitsplatz die Festplatte D nicht oeffnen - ich bekomme immer die Meldung, dass es nicht geoeffnet werden kann und ich mir aus der Liste ein Programm aussuchen soll, das ich dann zum oeffnen benutzen kann. Daraus werde ich nicht schlau, da ich das sonst nur von Dateien kenne. Ich kann allerdings auf Dateien von D zugreifen und Ordner ansteuern, halt nur nicht direkt vom Arbeitsplatz aus. Auch im Infolog von RSIT meldet er einen Fehler im Laufwerk D ("Ungültige Block auf dem Gerät" in der Google-Uebersetzung ;-) Irgendwelche Ideen dazu? Ich werde mich dann wieder melden, sobald ich die Daten gesichert und Gmer drueberlaufen gelassen habe. Bin mal gespannt, ob der zur Abwechslung mal was findet... :rolleyes: Bis dann! Sonja |
Zitat:
|
GMER-log Hallo, nachdem ich alle Daten auf 13 DVDs gesichert habe (externe Festplatten sind hier in Russland wahnsinnig teuer), konnte ich nun endlich GMER durchlaufen lassen. Beim ersten Versuch wollte ich die Laufwerke C und D durchsuchen lassen, doch nach 40 Min. hat sich Windows nach einem schwerwiegenden Systemfehler neugestartet. Daraufhin habe ich dann GMER nur C durchsuchen lassen, was relativ schnell ging und mir folgenden Log ausgespuckt hat (leider mit Rootkit-Fund :koch:): Code: GMER 1.0.15.15077 [wqew7rip.exe] - h**p://www.gmer.netDanke fuer die Hilfe! Sonja |
Lade mal diese Datei: Zitat:
|
smlogsvc.exe - Virustotal-Report Here we go... Code: Noch was anderes: die beiden von dir beanstandeten tmp-Dateien scheinen zum Conficker-Wurm gehoert zu haben (ich waehle hier die Vergangenheitsform, da Mbam Conficker "entfernt" hat, die Dienste gestopt sind und mir als Dateigroesse 0 kb angegeben wird, weshalb ich die Dateien auch nicht bei virustotal pruefen lassen konnte). Am meisten Sorgen machen mir die ganzen aktivierten Windows-Remote-Control-Dienste, die eigentlich aufgrund Deaktivierung nicht laufen duerften. Vlt. ein Backdoor? Greetz, Sonja |
Hallo, bist du der russischen Sprache sehr mächtig und kannst du kyrillisch? Wenn ja würde ich bei deinem problem dich lieber an VirusInfo weiterleiten, da dort ebenso gleichsprachig gesprochen wird. Würdest du das tun? Oder sind die Fremdsprachenkenntnisse eher mager? |
Aehem, mein russisch beschraenkt sich leider auf Hoeflichkeitsfloskeln und leichte Fragen, um wieder zurueckzufinden wenn ich mich (mal wieder) verlaufen hab. Ein russischsprachiges Forum kommt somit fuer mich nicht in Frage. Wenn du aber irgendetwas uebersetzt haben moechtest ist das gar kein Problem (Russen gibt es hier schliesslich genug ;-) Also immer her mit den Fragen, ich bin bereit! |
Kann den deine Gastfamilie dir das nicht übersetzen? :) |
Ja, doch, das meinte ich doch gerade? Aber falls du findest, dass ein russischsprachiges Forum deshalb besser sei, so stimme ich dir hier nicht zu, da die Uebersetzung (bzw. Sinnfindung) von Meldungen usw. relativ leicht ist, aber mit den Leuten zu diskutieren und die Anweisungen genau auf Russisch auszufueren, ist wieder eine andere Sache... Und wie du ja schon gesehen hast, sind sie hier was Computer angeht absolute Laien, Manches musste ich mir hier am Rechner selbst zusammensuchen (z.B. Systemsteuerung, etc.) Wie sieht's denn nun aus mit den Logs, soll ich noch irgendein Programm drueberlaufen lassen, oder was uebersetzen lassen? Gmer hat ja ein nettes Rootkit gefunden, oder ist das vlt. ein Fehlalarm (waere ja zu schoen um wahr zu sein)? Und die Remote-Prozesse? Ich geh jetzt mal ins Bett (hab gerade festgestellt, dass es auf 2 Uhr zugeht.. hatte mich schon gewundert, weshalb ich muede bin) und werde mich dann morgen wieder melden, und etwaige Anweisungen ausfuehren (und um vlt. wieder etwas schlauer bzgl. dieses PCs zu sein). Spokoinoi Notch (dafuer reichen meine Kenntnisse noch) ;-) Sonja |
Ne Frage: ist das ein russisches XP? ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Besonders hartnäckige Malware erkennt eine combofix.exe und würde sich vor ihr gezielt verstecken! Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code] |
ComboFix-Log Hallo, hier bin ich wieder Ich hab deine Anleitung befolgt und folgenden Log von ComboFix bekommen: Code: ComboFix 09-09-03.02 - *** 04.09.2009 13:59.1.2 - NTFSx86Kann ich mit Gmer eigentlich auch fixen, oder macht es das sogar automatisch? Und wie sieht's mit HJT-Fixen aus, zumindest die beiden tmp's und die 4 CMD's koennte man damit doch entfernen, oder nicht? :kloppen: Ach ja, und das hier ist die russische Variante des XP, deshalb so viel kyrillisch (und fuer mich eine etwas erschwerte Bedienung). Bin gespannt, was ihr anzubieten habt :daumenhoc Sonja |
RSIT-log Ich hab auch mal gerade noch einmal RSIT drueberlaufen lassen, nach all den Aenderungen gibt's da vielleicht was Neues.... Code: Logfile of random's system information tool 1.06 (written by random/random) |
Anleitung Avenger (by swandog46) Lade dir das Tool Hopsassa und speichere es auf dem Desktop:
Code: files to delete:
|
Avenger-log Hi! Sorry fuer die verzoegerte Antowrt, aber ich war die letzten zwei Tage auf einer Konferenz und konnte somit mich nicht weiter meinem Lieblings-PC kuemmern :uglyhammer: Hier der gewuenschte Log von Avenger: Code: Logfile of The Avenger Version 2.0, (c) by Swandog46Danke vielmals! |
1. Poste ein erneutes Gmer Log bitte. 2. Danach eine neue RSIT (nur die Log.txt) 3. Kaspersky - Onlinescanner Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware. ---> hier herunterladen => Kaspersky Online Scanner => Hinweise zu älteren Versionen beachten! => Voraussetzung: Internet Explorer 6.0 oder höher => die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter => Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken => Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als => Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten => Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen |
GMER-log Nr. 2 Wow, danke fuer die wieder mal schnelle Antwort! Hier Punkt 1, der GMER-log: Code: GMER 1.0.15.15077 [p9i2wwe5.exe] - h**p://www.gmer.netDie russische Meldung "Не удается найти указанный файл.!" zu ajlwr.sys lautet uebersetzt uebrigens "Konnte angegebene Datei nicht finden.!" |
Das Gmer-Log sieht schonmal sehr viel freundlicher aus :) Bitte noch den Rest abarbeiten :) |
RSIT-log Nr. 3 Und hier noch der RSIT-log: Code: Logfile of random's system information tool 1.06 (written by random/random)Morgen werde ich dann das Kaspersky-Ergebnis posten, da es mir fuer heute Nacht doch zu lange wird. Ich bin mal wieder gespannt, was der so alles findet bzw. nicht findet! |
Kaspersky-Online-Scan-Log Hier noch der Log von Kaspersky (hat ganze 5 Stunden gedauert!): Code: -------------------------------------------------------------------------------Was mich wundert ist hingegen der Eintrag "C:\System Volume Information\_restore{604E0E7F-B06F-4102-AEE5-4EE4F8C03AAF}\RP3\change.log", da ich die Systemwiederherstellung deaktiviert habe und eigentlich nix mehr drin sein sollte. Und dann wieder mal unsere Lieblings-02.tmp-Datei. Was mir noch aufgefallen ist: ich kann die D-Platte nicht mehr normal oeffnen (es kommt immer das "Oeffnen mit..." Fenster mit Programmliste). Dieses Verhalten tritt erst auf, seit ich Avira und Malwarebytes installiert habe und mit der Systemreinigung angefangen habe. Deshalb wuerde die Erklaerung von Chris4You ganz gut passen (aus einem anderen Thema, aber zum gleichen Sachverhalt): Zitat:
Thx! |
Radmin <<<Fernsteuerungssoftware, frage mal deine Gastfamilie wozu sie diesen benötigten. Panda Active Scan Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation |
PandaActiveScan-Log Hier der Panda-Log (ging zum Glueck schneller als Kaspersky): Code: ;***********************************************************************************************************************************************************************************Schon wieder sind die Schaedlinge in der "System Volume Information" aufgetaucht, obwohl ich diese ausgeschaltet habe. Nachdem ich jetzt aber mal in der Systemsteuerung nachgeschaut habe, sehe ich, dass sie wieder an ist! Da dies nicht manuell ausgehfuehrt wurde, muss irgendeine Software (entweder die ganzen Rettungsprogramme oder die Schadprogramme) die Systemwiederherstellung wieder eingeschaltet haben. Ich werde jetzt mal die Systemwiederherstellung ausschalten und neustarten, dann lasse ich mal noch Mbam im QuickScan drueberlaufen. Ach ja, ich liebe Computer.... |
weiteres Mbam-Log Hi! So, die Systemwiederherstellung ist jetzt fuer's erste mal wieder lahmgelegt. Der QuickScan mit Mbam hat aber wieder etwas anderes gefunden: Code: Malwarebytes' Anti-Malware 1.40Was mich noch interessieren wuerde: war dieser "svchost.exe", den Gmer beim ersten Mal gefunden hat, wirklich ein Rootkit oder eher ein Fehlalarm? Und noch zu deiner Frage: meine Gastfamilie hier hat noch nie etwas von RAdmin gehoert, geschweige denn diese Programm installiert. Der PC wurde ihnen immer von Bekannten aufgesetzt, die sich mit Computern auskennen, und ich nehme an, dass jemand von denen dieses Programm damals installiert hat. Kann ich eigentlich die nicht mehr notwendigen und nicht erwuenschten Sachen (wie z.B. dieser RAdmin und Dateien der ehemaligen Win2000-Partition) einfach vom Laufwerk D loeschen? Mir ist sowieso nicht ganz klar, weshalb man seine alte Partition konserviert, anstatt nur die gesicherten Mediadateien zu behalten, denn man braucht sie ja definitiv nicht mehr. OK, das war's soweit mal wieder von mir. Sonja |
Zitat:
Entferne alles von Panda gefundene. 1. Rootkitsuche mit SysProt
2. Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte. 3. Neues Avira - Log in diesen Agressiven Einstellungen! 4. Erneute RSIT 5. Wie geht es dem Rechner nun? Auffälligkeiten? |
Sysprot und Prevx Hallo, hier wieder mal ein paar Logs (die Schaedlinge in der Systeme Volume Control wurden durch Deaktivierung der Systemwiederherstellung entfernt, zudem habe ich einige Sachen wie z.B. RAdmin von Volume D runtergeschmissen): 1) Sysprot: Code: SysProt AntiRootkit v1.0.1.0Aehem, ich habe versucht, das Bildchen als .doc-File anzuhaengen, aber die Datei ist zu gross. Eine andere Art und Weise, den Screenshot zu posten, habe ich nicht gefunden, deshalb hier die Transkription der 2 Funde: "2 infections have been identified on your system Status: Threat, Name: user32.dll in c:\windows\system32\, Threat Identified: malware component Status: Threat, Name: winlogon.exe in c:\windows\system32\, Threat Identified: malware component" 3) Avira und RSIT-Log folgen in ca. 2 Stunden |
Avira und RSIT-log 3) Avira: Code: Scanning for 1695182 virus strains and unwanted programs.Code: Logfile of Trend Micro HijackThis v2.0.2Dem Rechner geht es hervorragend, er ist schnell, zeigt keine komischen Fenster oder Aktivitaeten an, aber wie wir wissen, heisst das ja noch lange nicht, dass er auch sauber und frei von Malware ist... :heilig: |
Zitat:
Ich kann nur der Familie anraten den PC neuaufzusetzen, aber naja, das Thema hatten wir ja beide ja ganz am Anfang des Maleurs. Du siehst ja wir sitzen schon sehr lange an dem Rechner und er ist immer noch teils infiziert. Neuaufsetzen ist immer die sicherste und schnellste Variante von allem. Bereinigen dauert Tage, sogar Wochen, wir sitzen ja auch schon fast ne Woche :D Aber nundenn, noch einen Scan dann sind wir durch und schauen dann weiter. Downloade Dr Web Cure IT führe es mit einem Fullscan aus (alle Festplatten - Partitionen scannen). Alles was er findet bitte entfernen und Rückmeldung wie wo und was gefunden wurde. |
Hallo! Zitat:
Dr Web Cure IT mache ich gleich, vorher wollte ich noch Updates posten: - ich habe per Ubuntu-Live-DVD den WinAce und die 02.tmp entfernt; ich wollte auch den RealPlayer10-5GOLD_bb.exe von D entfernen, allerdings wird er mir unter Ubuntu nicht angezeigt (auch wird er bei der Suche nicht gefunden), in Windows hingegen schon (hier kann ich ihn aber wegen eines Fehlers nicht loeschen) :confused: - ich kann auf die D-Platte nach den o.g. Loeschungen wieder normal zugreifen! :singsing: - ich habe die beiden von Prevx beanstandeten Dateien bei virustotal hochgeladen: Code: File user32.dll received on 2009.09.09 01:49:29 (UTC)Code: File winlogon.exe received on 2009.09.09 02:11:34 (UTC)Lustig finde ich, dass Prevx die beiden Dateien, die er hier auf meinem Rechner findet, online nicht als schaedlich einstuft. Evtl. Fehlalarm? OK, dann mache ich mal weiter mit dem naechsten Scanner - so langsam ist der Desktop mit lauter Malwarefindern zugemuellt (11 Icons) ;-) |
Respekt daß du dich da so durchkämpfst. Also ich hätte da nicht lange gefackelt und hätte das komplette Ding platt gemacht und das Windows neu aufgesetzt. Was mich jetzt aber wundert wieso sich deine Gastgeberin so weigert das SP 3 für´s Windows zu installieren? Leben die Russen alle nach dem Motto "No risk, no fun"? :uglyhammer: Gruß Acid |
Dr. Web-log und mehr Hier der Fund von Dr Web Cure It: Code: ComboFix.exe\32788R22FWJFW\c.bat;Ich hab Combofix unangetastet gelassen :) Sollte ich vlt. auch mal einige der Programme deinstallieren (bzw. einfach loeschen)? - SuperAntiSpyware - ComboFix - Avenger - Prevx - PandaOnlineScan - Sysprot - Dr. Web Cure It Malwarebytes und CCleaner finde ich sehr sinnvoll, RSIT lasse ich noch so lange drauf bis wir hier durch sind. Zitat:
@Acid303: Zitat:
Allerdings existiert auf dem Rechner schon ein Ordner namens "Windows Genuine Advantage". Bedeutet das, dass ich ungefaehrdet updaten kann? Das ist bisher naemlich das einzige, was mich davor zurueckschrecken laesst (ich hatte frueher damit schonmal Probleme und musste einen sauberen PC komplett neu aufsetzen). Zitat:
|
Zitat:
Gruß Acid |
MS-Updates @Acid303: Zitat:
Zitat:
Naja, vlt. hat der PC schon die WGA hinter sich, dann kann ich ganz brav bei MS persoenlich laden ;-) Trotzdem danke fuer den Hinweis! |
Ach stimmt ja! Sorry daran hab ich nicht gedacht daß es da kein russisches SP gibt. Aber ich arbeite auch so selten mit russischen Betriebssystemen. ;) Gruß Acid |
russische BS Zitat:
|
Das von DR Web ist ein Fehlalarm. Wie geht es dem Rechner nun? Noch irgendwelche Auffälligkeiten? (bitte nennen auch wenn die noch so klein sind) Poste erneutes RSIT Log. Uninstall List with Hijackthis: >Open the Misc Tool Section >Open Uninstall Manager >Save List > > Liste reinkopieren. |
5. RSIT-Log Hallo! Hier die beiden Logs: Code: Logfile of random's system information tool 1.06 (written by random/random) |
Fixe die R0 und R1 Einträge und die O16 Einträge -> Öffne Hijackthis ->do a system scan only -> fixen (markieren) -> dann auf Fix checked. |
Uninstall-Log und Auffaelligkeiten Code: Adobe Flash Player 10 ActiveXSonstige Auffaelligkeiten: - die Sache mit dem RealPlayer10-5GOLD_bb.exe hatte ich im vorherigen Post ja schonmal beschrieben - die ganzen Netzwerkprozesse, die laut RSIT aktiv sind, gefallen mir nicht, da dieser ganze Remote-Support deaktiviert ist bzw. sein sollte - die beiden "RECYCLER"-Ordner in C und D (laut RSIT erst vor kurzem angelegt) -> kenne ich nur vom Conficker, oder kann es andere Gruende haben, dass diese hier sind? - in der "Systeme Volume Information" in D sammeln sich fleissig Dateien und Ordner (habe mittels Ubuntu mal reingeschaut; aber keine A***.exe-Dateien), obwohl die Systemwiederherstellung immer noch aus ist (und vorerst auch mal aus bleibt); in C tritt dieses Verhalten nicht auf - ich kann die Option "Bekannte Dateiendungen ausblenden" nicht finden und somit auch nicht deaktivieren (ist normalerweise einer der ersten Schritte, die ich auf MS-Systemen mache); aber vlt. ist die russische Uebersetzung komisch und ich kann's deshalb nicht finden So, das waere jetzt mal alles, was mir so spontan und mit kurzem Nachdenken einfaellt. Hast du vlt. auch noch einen Tipp bzgl. der WGA? :dankeschoen: Sonja |
Lösche/Deinstalliere alle Programme (außer Malwarebytes oder Superantispyware) die wir eingesetzt hatten. Löschen combofix geht so: Start - Ausführen - combofix /u Danach nochmal CCleaner. |
Zitat:
Danke fuer die wieder mal schnelle Antwort! |
Wenn Du möchtest tu das. ;) |
Bereinigung und Fixen So, alles ausgefuehrt :applaus: - alle Programme bis auf Mbam, RSIT und HiJackThis runtergeschmissen (der ComboFix geht ja auch beim Deinstallieren heftig zur Sache... der war es uebrigens auch, der mir die Systemwiederherstellung immer wieder auf "aktiviert" gestellt hat) - R0, R1, 09 und 016 Eintraege alle gefixt Code: Logfile of Trend Micro HijackThis v2.0.2 |
Deaktiviere sie dennoch nochmal, da im Verlauf Malware mitgesichert wurde ;) So, wie is dem PC nun? :) |
Nun, ich habe sie natuerlich direkt wieder deaktiviert. Keine Aenderungen im Verhalten zu den vorherigen Posts. |
Ich meine in Bezug auf Auffälligkeiten oder "Macken" ;) Hat eigentlich weniger mit der Systemwiederherstellung zu tun, meine Frage ;) aber nundenn, du bist sauber, (so gut es eben geht) :) aber leider kann ich dir wie gesagt nichts garantieren, dass nicht doch etwas übrig geblieben sein könnte an unbekanntes oder neues, was man so direkt nicht gesehen hat. Ich wünsche deiner Gastfamilie nun viel Spaß mit dem PC und achja, bitte ändert die Kennwörter ab. Egal welche einfach alle. |
sauber, aber noch offene Fragen... Hallo! Vielen Dank fuer deine tolle Hilfe bei der Systembereinigung!! :knuddel: Es waere super, wenn du oder jemand anderes mich ueber die folgenden Ungereimtheiten aufklaeren koennte (bzw. Hypothesen aufstellt): Zitat:
Sonja P.S. Hatte der PC jetzt uebrigens ein Rootkit, oder war es einfach die Unmenge sonstiger Schaedlinge, die das Bereinigen so erschwert hat und ein ungutes Gefuehl zuruecklaesst? |
Der PC hatte ein Rootkit und zwar des, des Confickers. Ich denke mal durch die ganzen Infektionen sind viele Dinge am System verdreht. Meines Erachtens gehört das System immer noch platt gemacht. Wir haben ja nur so gut es geht versucht zu bereinigen. Versuche nochmal OHNE Ubuntu Einsatz die Syswiederherstellung zu deaktivieren dann restart des pcs und wieder zu aktivieren. Welche Fehlermeldung kommt bei dem Deinstallieren der Real Player Gold? Updatet mal dennoch euer Windows, weil ich würde es so unupgedatet keinem weiteren Internetzugang aussetzen, erst recht nicht jetzt. Da das System von vorn bis hinten verseucht war hat der PC nun immense Schwachstellen und Sicherheitsschwäche erlitten. Deswegen ungepatcht never :) |
RealPlayer und Systemwiederherstellung Hallo! Ich habe die Systemwiederherstellung jetzt wieder aktiviert in der Hoffnung, dass trotzdessen keine Trojanerfunde kommen (die letzten waren ja immer nur in der System Volume Information). Beim loeschen der RealPlayer-Datei (das Programm ist nicht installiert, sondern nur ein Ueberbleibsel der letzten Distribution) meldet er mir eine russische Fehlermeldung, in der aber "CSC" vorkommt, weshalb ich daraus auf einen CSC-Fehler schliesse. Ich werde mal am besten die Platte auf Fehler checken. Mmh, bzgl. des Windows-Updates werde ich mich mal genauer ueber die WGA informieren. Vlt. kann ich die ja irgendwie umgehen, um nicht dieses "Ich-kann-mein-Windows-bald-nicht-mehr-starten"-Problem zu riskieren. Zitat:
LG Sonja |
Ich denke schon, aber muss nicht zwingend sein, dass er das machte mit den Recycler Ordnern. Wie ist der Zugriff auf die einzelnen Partitionen und Ordner denn? Stimmt dort sonst alles? |
Recycler Mmh, ansonsten ist soweit alles bzgl. Ordner und Festplatten ok, zumindest soweit ich das auf Russisch beurteilen kann ;-) (ich hatte nur zwischenzeitlich - wie schon erwaehnt - das Problem mit dem Oeffnen der D-Platte). Kann ich diese RECYCLER-Ordner denn einfach komplett loeschen? Oder braucht Windows die fuer irgendwas? LG Sonja |
Das ist der Papierkorb, den du auch normal am Desktop hast ;) Lass den mal drauf xD |
Status Quo und Ende Hallo! Nach zweiwoechiger Ruhepause melde ich mich mit dem aktuellen Stand zurueck, und sehe damit den Thread als geschlossen an (ich werde morgen frueh abreisen, und ich bezweifle sehr stark, dass jemals wieder ein Deutscher die Hand an diesen Computer legen wird): - zuerst hatten wir nach einem Stromausfall diverse Probleme (der PC ist direkt beim Starten mit der Meldung "Overclock failed" haengen geblieben, hat sich dann ausgeschaltet, neu gestartet, hat sogar Windows geladen, hat sich dann wieder ausgeschaltet, usw.), die aber nach mehrmaligen Steckerziehen behoben waren - danach Check der Hardware des PCs (v.a. Motherboard und Lueftung) -> alles i.O. - danach Installation des SP3 und des IE8 (zum Glueck keine Probleme mit der WGA) :) - weder Malwarebytes noch AntiVir finden im Komplettscan den Hauch eines Schaedlings :singsing: - alle Passwoerter geaendert - jetzt sind die Updates auf automatisch gestellt, RSIT, HiJackthis und CCleaner entfernt und einige gutgemeinte Ratschlaege bzgl. Internetnutzung verteilt - zur Abrundung der ganzen Sache noch ein letzter Hijackthis-Log (Nr. 7, wenn ich mich nicht verzaehlt habe): Code: Logfile of Trend Micro HijackThis v2.0.2Das Trojanerboard ist wirklich eine super Sache; allerdings waere es schoener, wenn mehr Leute brain.exe etwas intensiver benutzen wuerden bzw. wenn es schon zu spaet ist sich wenigstens vor dem Posten mit http://www.trojaner-board.de/69886-a...-beachten.html vertraut machten. Ich freue mich jedenfalls nach meiner Heimkehr nach Deutschland ueber meine geliebten Ubuntu-Rechner (Laptop und Stand-PC) und auf die bald folgende Netbook-Erweiterung (mit Kubuntu), damit ich auf Reisen immer ein sauberes System dabei habe (LiveDVD ist fuer dauerhaftes Arbeiten nicht wirklich geeignet). Keep on Rocking!! (neben Rechner flicken ist Musik mein grosses Hobby :Boogie:) Sonja |
HJT Log schaut sauber aus :)......viel Spaß und keine Ursache :) Hoffe ich konnt nicht nur dein Wissenstand erweitern xD, war btw für mich auch eine "Lehre" :) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:41 Uhr. |
Copyright ©2000-2025, Trojaner-Board