Conficer-A in Globalroot ? ? ?
 

Hallo zusammen


(eins vorweg, ich kenn mich mit PC`s nicht mega gut aus, habe mich aber jetzt 2 Tage mit dem Problem rumgeschlagen und komm nicht mehr weiter...)

anscheinend habe ich mit einer DVD mit selbstgebrannten Fotos, den genannten "Kollegen" mitgebrach ... Mein Virenscan "Sofos" hat in einem Ordner entdeckt und auch gelösch. Zusätzlich gibt er noch an, ihn hier zu finden:
\\GLOBALROOT\Device\HarddiskVolumeShadowcopy14\Users\***\Recycler\...jwgkvsq.vmx

kann ihn hier aber weder löschen, bereinigen, noch sonstwas unternehmen.

Der Scan mit MAM hat jetzt grad nix ergeben, irgendwie blick ich jetzt nicht mehr ganz durch... kann mir wohl jemand helfen??? (das System wurde auch mit Ccleaner bereinigt)

Gruss

Markus

p.S. anbei der log des Scans

hier noch der log vom RSIT...

Guetz

:hallo:

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite bitte folgendes ab.

Poste bitte alle Logfiles in Code-Tags.
Klicke antworten --> #
danach [code]text[/code]
So sollte das dann hier aussehen nach dem antworten:

• alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.

Gmer scannen lassen

• Lade Dir Gmer von dieser Seite herunter
  (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Gmer ist geeignet für => NT/W2K/XP/VISTA.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
• Vista-User mit Rechtsklick und als Administrator starten.
• Sollte sich ein Fenster mit folgender Warnung öffnen:
  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?
  Unbedingt auf "No" klicken.
• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet.
• Füge das Log aus der Zwischenablage in Deine Antwort hier ein.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Vielen Dank für die Antwort, Gmer läuft gerade. (Bin mit dem Laptop im Netz...)
Ist eine Verbreitung über das WLAN möglich, sollte ich entsprechend auch den Laptop überprüfen (Sophos hat nichts gefunden...)

Markus

Gmer hat folgende Probleme verursacht:

1. zuerst meldete der Bildschirm kein Signal, etwas später war wider alles iO mit einer Meldung Windows habe ein Problem mit dem Bildschirm behoben

2. nach ca. 10 minuten die Meldeung dass das Programm nicht ordnungsgemäss ausgeführt wird und beendet wird.

3. nach nochmaligem Starten des Programmes nach kurzer Zeit blauer Bildschirm, einige Textzeilen die ich nicht entziffern konne, und der PC startet neu...

wie weiter???

wurde folgendes eingehalten ?

Wenn nicht, nocheinmal versuchen ;)

sonst folgendes versuchen

Während dieser Scans soll(en):

• alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.

Rootkitscan mit RootRepeal

• Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
• Entpacke die Datei auf Deinen Desktop.
• Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
• Klicke auf den Reiter Report und dann auf den Button Scan.
• Mache einen Haken bei den folgenden Elementen und klicke Ok.
  .
  Drivers
  Files
  Processes
  SSDT
  Stealth Objects
  Hidden Services
  Shadow SSDT
  .
• Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
• Wähle C:\ und klicke wieder Ok.
• Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
• Wenn der Suchlauf beendet ist, klicke auf Save Report.
• Speichere das Logfile als RootRepeal.txt auf dem Desktop.
• Kopiere den Inhalt hier in den Thread.

habe es natürlich als Administrator versucht, hat nix gebracht, auch neues downloaden hat nichts genützt.

dann den RootRepeal laufen lassen, nach ca. 2h erneuter Abbruch. Root repeal hat folgenden CrashReport erstellt:

hab die Kiste mal abgestellt, hoffe Du hast noch weitere Ideen???

schritt 1

Rootkit mit AVZ Antiviral-Toolkit entfernen

AVZ Antiviral Toolkit ist ein russisches Projekt, welches auch in englisch verfügbar ist. Das Programm prüft auf Viren, Adware, Spyware, Dialer, verdächtige Software (Risktools), Hacktools und Rootkits. AVZ ist ein sehr mächtiges Tool, bitte nichts "auf eigene Faust" machen.

Bitte lade AVZ4 herunter und entpacke es auf den Desktop.
Dort sollte sich nun der Ordner avz4 befinden.

• Öffne den Ordner avz4 und starte die avz.exe durch Doppelklick.
• Aktualisiere die Signaturen:
  Im Menü => File => Database Update => Start-Button drücken => OK
• Im Menü => AVZPM
• Dort aud "Install extended monitoring driver" drücken
• AVZ wird nun einen Neustart verlangen, also neustarten.
• Setze Häkchen vor die Laufwerke, die gescannt werden sollen.
• Setze ein Häkchen rechts vor "Enable malware removal mode:"
• Setze ein Häkchen vor "Copy suspicious files to Quarantine".
  .
  http://image.hijackthis.eu/upload/avz.jpg
  .
• Drücke auf den Button "Start", um den Suchlauf zu starten.
• Geduld, der Suchlauf kann eine Weile dauern.
• Wenn der Suchlauf beendet ist (Scanning finished), drücke rechts auf auf das Diskettensymbol, um das Logfile als Text-Datei zu speichern.
• Poste das Logfile hier in den Thread.

Eine ausführliche und bebilderte Anleitung findest Du bei virus-protect.org.


schritt 2

RSIT erneut das System scannen lassen

• Schließe alle Fenster und Programme inkl. Browser.
• Lösche C:\rsit\info.txt manuell.
• Start => ausführen (bei Vista: im Feld "Suche starten")
• "%userprofile%\desktop\rsit.exe" /info (reinkopieren),
  damit die alten Logdateien von RSIT überschrieben werden.
• Bitte poste den Inhalt folgender Logs hier in den Thread:
  C:\rsit\log.txt und C:\rsit\info.txt (<= wird minimiert in der Taskleiste dargestellt).

Bitte poste in Deiner nächsten Antwort
Beide RSIT logfiles
Logfile von AVZ

So, hat jetzt alles soweit geklappt :applaus:

hier das AVZ-logfile:
die beiden RSIT Dateien sind angehängt, gäbe sonst etwa 6 Teile...

soweit also alles abgearbeitet, bin schon ganz neugierig wie weiter...

gruss

Markus

Einen Versuchen wir noch :)

Rootkitsuche mit SysProt

• Lade dir SysProt auf den Desktop und starte das Tool
• Gehe dort auf den Reiter "Log"
• Setze nun einen Haken bei:
  • Kernel Modules
  • Kernel Hooks
  • Hidden Files
  • Und unten bei "Hidden Objects Only"
• Drücke nun auf "Create Log"
• Es erscheint nach einem kurzen Scan die ein Dialogfenster. Wähle dort "Scan All Drives"
• Wenn der Scan abgeschlossen ist, beende SysProt.
• Poste den gesamten Inhalt der "SysProtLog.txt", die auf dem Desktop zu finden ist.

Leider funktioniert der Link zu SysProt nicht...

Was meinst du mit einen Versuchen wir noch, ich hab keinen Plan wo ich stehe, kurz vor dem Sieg, oder eher in der Nähe des Formatieren???

Nimm den hier

bitteschön, läuft ja wie am schnürchen :D

Specialfall :/

here we go

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Servus

also Ccleaner ist wunderbar gelaufen, dann cofi, verlangte einen neustart (Vorher systemwiederherstellungspunkte hat wohl geklappt), beim runterfahren kam ne meldung dass ein dienst (konnte nicht schnell genug lesen was genau) nicht gestartet werden konnte

auf jeden fall war nach dem Aufstarten keine Aktivität von Combofix auszumachen???

nochmals Combofix starten? oder doch :killpc:???

Lösche bitte die Cofi.exe händisch :)

Führe bitte den Schritt mit Combofix von Hier nocheinmal aus.
Bitte die Anweisungen genau lesen.
Ohne CCleaner

hat geklappt, hier die logdatei
Gruss

Markus

RSIT erneut das System scannen lassen

• Schließe alle Fenster und Programme inkl. Browser.
• Lösche C:\rsit\info.txt manuell.
• Start => ausführen (bei Vista: im Feld "Suche starten")
• "%userprofile%\desktop\rsit.exe" /info (reinkopieren),
  damit die alten Logdateien von RSIT überschrieben werden.
• Bitte poste den Inhalt folgender Logs hier in den Thread:
  C:\rsit\log.txt und C:\rsit\info.txt (<= wird minimiert in der Taskleiste dargestellt).

Anbei die beiden Dateien . . .

Gruss

Markus

schritt 1

Software deinstallieren

Deinstalliere bitte folgende Programme aus der Code-Box
Start--> Systemsteuerung--> Software
Nach der Bereinigung werden wir sehen, welche dieser Du wieder installieren kannst


schritt 2

Einträge mit HijackThis fixen

Starte HijackThis-->do a system scan only-->setze ein Häckchen bei den Einträgen aus der Code-Box
Nun auf Fix checked klicken
Rechner neu starten


schritt 3

start --> suche starten --> notepad (reinschreiben) ---> OK
Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument.
Links oben auf Speichern unter

• Dateiname: Larusso.bat (reinschreiben)
• Dateityp: Alle Dateien (auswählen)
• Codierung: ANSI (auswählen)

Speicher Dir die Larusso.bat auf dem Desktop (wichtig)
Rechtsklick, als Admin starten.


schritt 4

Java aktualisieren

Deine Javaversion ist veraltet. Da einige Schädlinge (z. B. Vundo) über Java-Exploits in das System eindringen, muss Java aktualisiert werden und alte Versionen müssen vom System entfernt werden, da die alten Versionen ein Sicherheitsrisiko darstellen. Lade JavaRa von prm753 herunter und entpacke es auf den Desktop. JavaRA ist geeignet für Windows 9x, 2k, XP und Vista (mit deaktivierter Benuterkontensteuerung).

• Schließe alle Browserfenster.
• Doppelklicke die JavaRa.exe, um das Programm zu starten.
• Die Sprache auswählen, nimm Englisch und klicke "Select".
• Klicke auf Additional Task, mache Haken bei Remove Useless JRE Files und [b]Remove Sun Download Manager[b].
• Klicke auf Go und jeweils auf Ok und schließe das Fenster "Additional Tasks" wieder.
• Klicke auf Remove Older Versions, um alte Java-Versionen, die auf dem Rechner installiert sind, zu entfernen.
• Klicke auf Yes wenn es verlangt wird. Wenn JavaRa fertig, erscheint eine Notiz, dass ein Logfile erstellt wurde, klicke OK.
• Das Logfile wird im Editor geöffnet, bitte speichern und später hier posten.
• Kontrolliere in Systemsteuerung => Programme, ob noch Java-Versionen vorhanden sind und deinstalliere diese.
• Rechner neu starten.

Downloade nun Java (Java Runtime Environment (JRE) 6 Update 16) von http://www.trojaner-board.de/105213-java-update-einstellungen.html]SUN[/url] und installiere es. Vor dem Download musst Du die Lizenzbedingungen akzeptieren, indem Du "Accept License Agreement" aktivierst. Erweiterte Optionen anhaken, Sponsoren-Programm (Toolbar oder ähnliches) ggfs. abwählen.


schritt 5

Deinstalliere bitte deine aktuelle Version von Adobe Reader
Start--> Systemsteuerung--> Software--> Adobe Reader
und lade dir die neue Version von Hier herunter
Als alternative würde ich dir den schlankeren Foxit Reader empfehlen :)


schritt 6

Bitte downloade Dir den IE 8 auch wenn Du diesen nicht als Standard Browser verwendest sollte sich die aktuelle Version auf Deinem Rechner befinden.


schritt 7

RSIT erneut das System scannen lassen

• Schließe alle Fenster und Programme inkl. Browser.
• Lösche C:\rsit\info.txt manuell.
• Start => ausführen (bei Vista: im Feld "Suche starten")
• "%userprofile%\desktop\rsit.exe" /info (reinkopieren),
  damit die alten Logdateien von RSIT überschrieben werden.
• Bitte poste den Inhalt folgender Logs hier in den Thread:
  C:\rsit\log.txt und C:\rsit\info.txt (<= wird minimiert in der Taskleiste dargestellt).

Servus

so, bin endlich wieder dazu gekommen, mich dem Patienten zu widmen:sword2:

im anhang das Logfile von JavaRa und die beiden Files von RSIT. habe sie mir mal angeschaut, aber ich versteh da weniger als bahnhof, meine Taktik in solchen Fällen wäre :killpc: ;)

noch zwei anmerkungen:
ich habe Java (TM) 6 Update 15 manuell deinstalliert, und auf der HP habe ich dann "nur" JRE 6 Update 17 gefunden und installiert.

Das wars erstmal von mir, warte auf weitere Anweisungen und vorab schonmal ein grosses :dankeschoen: ! ! !

Gruss

Markus

Ja update 17 ist gerade erst raus :)

Die Logfiles werde ich mir morgen ansehen.

Sorry, aber der Rechner scheint ja keine Probs mehr zu machen. Sonst hättest Dich sicher früher schon gemeldet :D

Wurde die ASK Toolbar deinstalliert?
Es ist ein Eintrag noch in der RSIT zu sehen :)

schritt 1

AVZ4 Antiviral-Toolkit deinstallieren

• Öffne den Ordner avz4 und starte die avz.exe durch Doppelklick.
• Im Menü => File => Standard Scripts => Nr.6 wählen (Delete all AVZ drivers and registry keys)
  und auf den Button "Execute selected scripts" drücken und mit Yes bestätigen => OK
• Programmfenster schließen.
• Den Ordner avz4 vom Desktop löschen und den Papierkorb leeren.

schritt 2

Tool-Bereinigung mit OTC

Bitte lade Dir OTC von OldTimer herunter.

• Speichere es auf Deinem Desktop.
• Doppelklick auf OTC.exe, um das Programm auszuführen.
• Klicke auf den Button CleanUp! und bestätige die Cleanup Prozedur mit Yes.
• OTC fragt nach einem Neustart, lasse das bitte zu.

Nach dem Neustart werden OTC selbst und die meisten anderen Helferprogramme, die wir im Laufe der Bereinigung benutzt haben, nicht mehr vorhanden sein. Evtl. nun noch vorhandene Helferprogramme oder Logfiles bitte manuell löschen und den Papierkorb leeren.



schritt 3

Poste mir eine HJT Logfile