autochk.dll, protect.dll und andere, etwas komplizierter
 

Moin,

ich habe seit gestern mehere Trojaner drauf die mir etwas kopfschmerzen bereiten.:headbang::headbang::headbang:
Angefangen hat es damit das ich bei mozilla auf falsche links verlinkt wurde. Nachdem ich über SuperAntispyware mehere Sachen gefunden habe und diese versucht habe zu löschen waren sie natürlich nach dem neustart noch da, über msconfig habe ich im autostart jene Programme gefunden die vorher nich da waren: autochk, protect und chkdisk, nach manueller suche ist mir der pc jedesmal abgestürzt als er diese dateien geunden hat mit Bluescreen, von wegen wird auf grund eines fehlers heruntergefahrn mit den anmerkungen ich möchte doch bitte meine antivirenprogramme und ähnliches ausmachen falls das problem weiterhin bersteht.
Dann bin ich auf diese seite hier gestoßen, als erstes habe ich versucht mit ccleaner was zu machen, ist mir aber ebenfalls beim beginn des scannvorgangs abgestürzt.
Dann gings weiter mit Malwarebytes.....nach 21 min scannen stürzt auch er mir ab, nachdem er etwa 33 infektionen gefunden hat.
Nur wenn ich den Scannvorgang manuell abbreche stürzte er nicht ab,
hier der LOG:

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2809
Windows 5.1.2600 Service Pack 3

16.09.2009 14:15:46
mbam-log-2009-09-16 (14-15-46).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 19404
Laufzeit: 4 minute(s), 5 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 3
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\reginv.dll (Backdoor.ProRat) -> Delete on reboot.
C:\Documents and Settings\Igoel\protect.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\winkey.dll (Backdoor.ProRat) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5y99ae78-58tt-11dw-be53-y67078979y} (Backdoor.ProRat) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autochk (Trojan.Agent) -> Delete on reboot.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\reginv.dll (Backdoor.ProRat) -> Delete on reboot.
C:\Documents and Settings\Igoel\protect.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\winkey.dll (Backdoor.ProRat) -> Delete on reboot.
C:\WINDOWS\system\sservice.exe (Backdoor.ProRat) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\autochk.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wisdstr.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Nach reboot sind die dateinen immer noch da und die er schon vorher gelöscht haben soll, sind auch wieder da.

Dazu muss ich sagen das er mir auch nach einiger Zeit diesen Bluescreen gerne mal anzeigt, nur halt nicht immer.

Wäre sehr dankbar wenn mir jemand helfen könnte. Würde nur ungern win neuinstallieren.


Mfg Igoel

Hallo und Herzlich Willkommen! :)

hier wäre "Format C " angesagt...Backdoor & vermutlich Rootkit


versuche mal bitte folgendedes (als Notlösung":

Gibt es einen "relativ einfachen Weg",wenn eine frische Infektion vorliegt,oder mal bestimmte Probleme bekommt man auch gelöst, was man sogleich ausprobieren sollte:
Setzt doch dein Windows über die Systemwiederherstellung ganz zurück (falls nötig kannst Du es im abgesicherten Modus auch tun - (drücke beim Hochfahren des Rechners [F8] solange, bis du eine Auswahlmöglichkeit hast, da "abgesicherten Modus " wählen)
Auf jeden Fall positive als auch negative Rückmeldungen erwünscht :)

gruß
Coverflow

Moin,

habs mit systemwiederherstellung versucht auch mehrmals, aber jedesmal zeigt er mir nur an, das es nicht geht :schmoll::schmoll:

habt ihr vvlt noch ne andere idee : (

trotzdem danke : )

hi

dann einen Coctail für deinen Rechner:
- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
Achtung!::
gleich beim Download/speichern, musst Du die Installdatei also gmer.exe umbenennen! Wähle eine beliebige Dateiname, die Endung soll *.com sein!

• - also lade Dir Gmer herunter
  - entpacke es auf deinen Desktop
  - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
  - Starte gmer.exe<-hier "umbenannt.com".
  - Achte darauf, dass "Show all" soll nicht angehakt sein! - dann klicke auf "Scan", um das Tool zu starten
  - bitte nichts am Pc machen während der Scan läuft!
  - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
  - mit "Ok" wird Gmer beendet.
  - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

2.
Lade das SDFix von AndyManchesta eine der folgenden Links herunter:
bleepingcomputer.com
andymanchesta.com
2. auf deinem Desktop speichern
3. per Doppelklick SDFix.exe starten
4. wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken
5. starte den Rechner im abgesicherten Modus - die Taste [F8] drücken, bevor das Windows-Logo angezeigt wird
6. öffne den neu entstandenen SDFix Ordner
7. mit einem Doppelklick auf die RunThis.bat kannst Du das Skript starten
8. gib ein Y ein, um den Reinigungsprozess zu beginnen
9. nun wirst Du aufgefordert, eine beliebige Taste zu drücken, damit dein Rechner neu aufstarten kann
10. nachdem Neustart, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
11. nachdem der Lauf beendet ist - Finished - drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden

- Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern. Kopiere den Inhalt dieses Report.txt und poste ihn!

Achtung!:
Falls SDFix sich nicht installieren lässt o. nicht laufen bekommst, fahre mit Punkt 3 fort!

3.
Reinige dein System mit *SuperAntiSpyware*<- Download & Anleitung

4.
lade Dir HijackThis 2.0.2 von *von hier* herunter
HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen"

5.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

6.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

7.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool ccleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Moin,
Hier die einzelnen Logfiles:
SDfix konnte ich leider nicht ausführen, da ich nicht in den abgesicherten modus kam, da mir der bluescreen (der gleiche wie erwähnt) mir dazwischen kommt beim hochfahren.


filelist:
ccleaner:

Hier die nächsten:

SuperAntispyware:
HijackThis:

Gmer:

da es sich um über 76000 zeichen handelt habe ich sie im anhang hochgeladen.

hi

Ich muss dir ehrlich sagen, selten so einen verseuchten PC gesehen wie deins
Eine ungesunde Mischung aus mehrere Backdoors und Rootkits und noch Rogue Software drauf. Als ob´s nicht alles schlimm genug wäre, deine Internetverbindungen werden in die Ukraine umgeleitet, zumindest über einem ungewollte ausländische Server:o
Mein Vorschlag: Dir eine Menge Zeit und Ärger zu ersparen (nicht wochenlang herumbasteln, und dann festzustellen, dass es doch nicht geht), mache eine Datensicherung der für dich wichtigen persönlichen Daten, formatiere dein System & auch Speichermedien (falls Du während die Infektion an den PC angeschlossen hast - USB-Stick, externe Platte etc) und setze dein System neu auf.
Wenn Du etwas Risikofreudig bist, können wir versuchen die Schädlinge zu entfernen, Voraussetzung ist, dass dein PC die Löschvorgang durchhalten kann bzw überlebt...
Also überleg Dir gut und gib mir deine Entscheidung bekannt!
Wenn Du dich jedoch für das Formatieren entscheidest, wir müssen vorher noch ein Tool laufen lassen, den MBR (Master-Boot-Record) zu prüfen
Ohne es zu wissen, ob den MBR auch ev. infiziert, ein Formatierung ergibt keinen Sinn

gruß
Coverflow

nabend

hmmmm joa hatte ich mir schon fast gedacht das es darauf hinaus läuft, da is man nur einmal kurz auf klo, und dann ging alles nich mehr ordentlich -.-.....
najut ich denke dann werde ich mich wohl fürs formatieren entscheiden:mad:

mfg igoel

na Ok

Master Boot Record überprüfen:

• Lade Dir die MBR.exe von Gmer herunter
• Speichere auf deinem Desktop
• Per Doppelklick starten.
• wenn das Programm fertig ist, das erhaltene Log "mbr.log" hier bitte posten

ok hier die logdatei:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x17499f00 size 0x1c1 !
copy of MBR has been found in sector 62 !
PE file found in sector at 0x017499F00 !

: ))))

so hab nochma was anderes ausprobiert und zwar ist er mir ja immer bei malwarebytes abgestürzt, habe deshalb über ccleaner bei autostart die autochk und so deaktiviert und entfernt, danach habe ich mit malware einen komplettscan auf meiner win partion gemacht....kein absturz:)
die logdatei dazu.....bitte nicht erschrecken ^^

danach hat er auch alles ordentlich entfernt und das sogar nach dem neustart...dann nochma durchlaufen lassen:

das sieht doch jetzt schon ganz anders aus nich : ) :singsing::singsing:

soweit funktioniert auch alles denke ich, trotzdem vielen vielen dank für deine unterstützung (sonst wäre ich ja auch nicht auf die einzelenen Programme gekommen :) )

falls du noch ne idee hast um zu überprüfen ob auch alles weg ist, immer her damit : )

Mfg Igoel
:party::party::party::party::party:

hi

Das ist zu früh, wenn man Party machen will...:twak:
nämlich dein MBR scheint infiziert zu sein...:rolleyes:

zur Nachkontrolle empfehle ich Dir das hier abarbeiten:

1.
- Kopiere den Text aus der Code-Box in ein Notepad-Dokument und speichere ihn als remove.txt auf deiner Festplatte C:\
→ Lade den Avenger herunter und entzippe ihn auf den Desktop. (direkt als `EXE` *hier* erhältlich )
→ die avenger.exe per Doppelklick starten
→ füge den Inhalt aus der Codebox vollständig und unverändert in das leere Textfeld bei "Input script here" ein
→ dann klicke auf "Execute"
→ wirst Du gefragt, ob Du das Script ausführen willst. Beantworte die Frage "Ja".
→ auf die Fragae ob dein Rechner jetzt neu starten soll "Rebot now" bejahe bitte auch
→ nach Neustart wird ein Dos Fenster aufgehen.
→ wenn wieder geschlossen ist, es öffnet sich der Editor mit die Scanergebnisse : C:\avenger.txt
→ kopiere und füge den Inhalt direkt aus der Textdatei hier rein

2.
Falls existieren - Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked"klicken→ PC neu aufstarten):
3.
→ besuche die Seite von virustotal und die Datei/en aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren:
→ Klicke auf "Durchsuchen"
→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox)
→ "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist
→ das Ergebnis wie Du es bekommst da reinkoperen (inklusive Dateigröße und Name, MD5 und SHA1):

4.
poste erneut:
Trend Micro HijackThis-Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!
filelist.bat - den letzten sechs Monaten!

5.
MBR wiederherstellen:
Unter "Lösung " nach dieser Anleitung vorgehen,:-> http://virus-protect.org/artikel/tools/mbr.html