|
Browser öffnet Webseiten im Hintergrund / Rootkit.Agent Hallo, liebes Trojaner-Forum, ich habe mir - wo auch immer - einen lästigen Quälgeist eingefangen. Symptom: In der Chronik von Firefox tauchen Webseiten (Spam, XXX, etc.) auf, die ich nie geöffnet habe. Vermutlich tut der Browser das im Hintergrund. Setup: Windows XP SP3, Default-Browser: Firefox, Avira AnitVir, Windows-Firewall Meine Aktivitäten bisher: CCleaner hat aufgeräumt (ohne wesentlichen Befund: Caches gelöscht, etc.) Malwarebytes meldet: Code: Malwarebytes' Anti-Malware 1.41Code: Logfile of Trend Micro HijackThis v2.0.2Ergänzung II: Interessanter Nebeneffekt: Seit heute früh haben einige Icons (so auch die von MS Office) ihre eigentlichen Icons verloren und werden nur noch mit Standard-Icons angzeigt. Nicht, dass das so fürchterlich störend ist, aber vielleicht hats ja etwas mit dem Virus zu tun? Ich bin mir bewusst, dass es nicht einfach sein wird, das Rootkit zu entfernen, würde es aber dennoch gern (naja, eher nolens volens) versuchen. Was ist zu tun? Vielen Dank für Eure Hilfe swabedoo |
Hallo, Erstell mal bitte Logfiles mit RSIT und poste diese oder lad sie am besten bei file-upload.net hoch und verlink das ganze. Nimm bitte diese umbeannte Version von RSIT!! Lade dir danach Lop S&D herunter. Führe Lop S&D.exe per Doppelklick aus. Wähle die Sprache deiner Wahl und anschließend die Option 1. Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen). |
Hallo Arne, sehr gerne. RSIT-Log ist angehängt. Btw, ich hatte in MBAM den Rootkit.Agent noch nicht entfernen lassen. Soll ich? Anbei noch das LodS&D Log: Code: --------------------\\ Lop S&D 4.2.5-0 XP/VistaThanx 4 your Help Frank |
Bitte mal den Avenger anwenden Vorbereitungen: a) Deaktiviere den Hintergrundwächter vom Virenscanner. b) Stöpsele alle externen Datenträger vom Rechner ab. Danach: 1.) Lade Dir von hier Avenger als gehweg.exe => File-Upload.net - gehweg.exe auf den Desktop 2.) Doppelklick die Datei "gehweg.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen: http://mitglied.lycos.de/efunction/tb123/avenger.png 3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code: Registry keys to delete:5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. |
Hallo und Guten Morgen, Avenger spricht Code: Logfile of The Avenger Version 2.0, (c) by Swandog46Beim Neustart sind die Services des AntiVir normal gestartet. Hätte ich die auch für den Neustart stilllegen müssen? Gruß, Frank |
Mach nun nochmal bitte einen Durchlauf mit MalwareBytes (Signauren updaten vorher!!) und lass alle Funde beseitigen. Poste wieder das Log, dann denke gehts an Combofix dran - werden wir aber noch sehen, also bitte nichts voreilig ausführen! |
Hallo Arne, Signatur aktualisiert, Malwarebytes durchgelaufen. Ergebnis: 'nur' der gleiche Rootkit.Agent. Unter Quarantäne gestellt und entfernt. Das Log: Code: Malwarebytes' Anti-Malware 1.41Einen schönen Abend noch, viele Grüße in den hohen Norden Frank |
Hallo und guten Morgen Arne, Bad News :-(( von heute morgen: Das Symptom ist noch nicht beseitigt. Auch heute morgen (nach den Reinigungsaktionen von gestern und vorgestern) habe ich wieder in der Chronik von Firefox entspreche Webseitenaufrufe gesehen... Habe ich einen Fehler gemacht? Der TDSSserv-Treiber ist auf jeden Fall nicht mehr sichtbar... (das lässt mich hoffen). Grüße, Frank |
Mach bitte einen Durchlauf mit Combofix: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Guten Morgen Arne, anbei das Log. Code: ComboFix 09-11-22.04 - Master 23.11.2009 8:00.1.1 - x86Darüberhinaus hatte ich eine Fehlermeldung, das Windows ein Laufwerk nicht finden konnte (da war offensichtlich noch irgendwo eine alte Laufwerkszuordnung, habe vor kurzem "Eigene Dateien" umgezogen... (habe "Weiter" ausgewählt)). Wiederherstellungskonsole wurde sauber installiert, der Rest von ComboFix lief problemlos durch. ... ich hatte es noch nicht erwähnt... Besten Dank für deine Hilfe so weit schon mal... Nochmal meine Frage bzgl. C:\Windows\Tasks\SA.dat - wie kann ich die sehen? Gruß, Frank |
TDSS-Rootkit dürfte weg sein, mach mal eine Kontrolle mit MalwareBytes und aktuellen Signaturen. Zitat:
Zitat:
|
Hallo Arne, im Lop S&D war unter Code: --------------------\\ Geplante Aufgaben unter C:\WINDOWS\TasksCode: [18.11.2009 08:09][--ah-----] C:\WINDOWS\tasks\SA.DATMBAM-Scan mache ich heute abend und poste die Ergebnisse. Was muss/kann/sollte ich sonst noch machen (außer abwarten und Daumen drücken, dass die unschicklichen Aufrufe nicht mehr auftreten)? Klar: Passworte ändern, alte Wiederherstellungen entfernen, neuen Punkte setzen und eine Sicherung wäre auch kein Fehler... Gruß, Frank |
Hallo Arne, immerhin das sieht schon mal gut aus :) Code: Malwarebytes' Anti-Malware 1.41Frank |
Mach nun bitte ein Filelisting mit diesem script:
Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist. |
|
Sieht soweit gut aus. Mach mal bitte noch ein Logfile mit GMER - Anleitung (zwecks Kontrolle) |
Hallo Arne, sollte ich da ComboFix vorher deinstallieren? Wenn ja, wie? Gruß, Frank |
Combofix brauchst Du nicht zu löschen. Geht aber normalerweise über Start, Ausführen combofix /U |
Guten Morgen Arne, oh, oh... ... ich glaube, das sieht nach weiterem Aufräumen aus: Code: GMER 1.0.15.15252 - http://www.gmer.netGruß, Frank |
Das Log von GMER ist rel. kryptisch...typische TDSS-Rootkit Anzeichen seh ich da so aber nicht. Was ist denn nun bzgl. der geöffneten Seiten im Hintergrund? Meldet irgendein Virenscanner noch den TDSS? |
Hallo Arne, ich habe aktuell keine unschicklichen Aufrufe mehr. Der TDSSserv-Treiber ist nicht mehr sichtbar. Einen Scan mache ich heute abend nochmal. Ich deute diese Einträge im GMER als gesperrte Registry-Einträge, die vermutlich entfernt werden können/sollten/müssen. Gruß, Frank |
Guten Abend Arne, ich habe mich zu früh gefreut - und könnt :pukeface: Die Aufrufe sind wieder da (oder vielleicht immer noch) :heulen: Aber: Ich sehe den TDSSserv-Treiber nicht. Ich sehe die c:\windows\kb913800.exe, die Combofix entfernt hat, nicht. Ich sehe die Registry keys, die Avenger entfernt hat, nicht: "HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TDSSserv.sys" und "HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\network\TDSSserv.sys" Malwarebytes meldet mit aktuellen Signaturen: Nix. Keine Infektionen Interessanter Weise meldet RootkitRevealer unter anderem Code: HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32* 14.11.2005 20:41 0 bytes Key name contains embedded nulls (*)Aber welches Programm steuert die Aufrufe des Browsers :confused: Trotz allem noch einen schönen Abend. Frank |
Welche Aufrufe, die Webseiten öffnen sich wieder? Die gleichen oder die ähnlichen? Wird sonst irgendwas gefunden bzgl TDSS? Die Rootkit Revealer Funde deuten IMHO Nicht auf TDSS hin. Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
|
Hallo und guten Morgen, strukturell laufen die Aufrufe immer wie folgt ab (so zumindest das, was ich aus der Chronik von Firefox entnehmen kann): 1. Es wird Google aufgerufen mit einer Kombination aus vergangenen Suchbegriffen und dem Wort "sexviedeos" (das ist tatsächlich so falsch geschrieben) 2. Dann klappert das Programm (oder was auch immer) die Suchergebnisse ab. 3. Irgendwann endet das, das geschieht aber unterschiedlich lange. Ich teile deine Ansicht, TDSS scheint verschwunden zu sein. Dafür nochmal vielen vielen Dank - sehr gute Arbeit. Bleibt nur die Frage, was da sonst noch diese Aufrufe auslöst.... :( Log erstelle ich heute abend, bis dahin viele Grüße. Frank |
Guten Abend Arne, anbei hier OTL.Txt und hier Extras.Txt btw, ich glaube die merkwürdigen Einträge HKLM\SOFTWARE\Classes\CLSID\etc. kommen von einem Pinnacle-Produkt auf meinem Rechner . Ich werde das heute abend mal deinstallieren, dann werden wir weiter sehen. Einen schönen Abend noch. Gruß, Frank |
Die Deinstallationsroutinen entfernen nicht immer alle Registry Einträge, die beim Setup auch angelegt wurden. Klingt doof ist aber (auch) so :rolleyes: :mad: Nur mal so als Hinweis. |
Hallo Arne, du hattest leider Recht... ... aber ich denke (wie du auch), dass die Einträge in der Registry nichts mit den Browser-Aufrufen zu tun haben. Was sprechen die OTL-Logs? Gruß, Frank |
Ich seh dort nichts Böses. Du kannst ja noch einen letzten Kontrollscan machen: Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte oder poste Namen und Pfade. |
... mit anderen Worten: Wenn der PrevXCSI auch nichts findet, muss ich den Rechner neu aufsetzen, um die Webseitenaufrufe loszuwerden? Gruß, Frank |
Du könntest es nochmal mit einem neuen Firefox-Profil testen. Letzter Ausweg Formatieren und Neuaufsetzen ist immer drin ;) |
Hallo, wo kann ich denn im Firefox solche Aufrufe unterbinden? Vermutlich habe ich den Hinweis mit dem Profil noch nicht verstanden... Gruß, Frank |
|
Hallo Arne, so richtig komfortabel ist das Teil in der Free-Version nicht. Aber immerhin: 4 Funde. Damit wir das richtig verarbeiten können, hab ich die mal abgetippt, soweit ich sie sehen konnte. THREAT - no23recorder.exe in c:\programme\n23 recorder\ - High Risk Worm THREAT - Nº Recorder.lnk in \??\C:Dokumente und Einstellungen\Ma - Infected Entry: [no23r... THREAT - gksui20.exe in c:\windows\system32 - Medium Risk Malware THREAT - Uninstall.lnk in \??\Dokumente und Einstellungen\Master\St... - Infected Entry: [gksui...] Bei den Punkte endete die Bildschirmausgabe von Prevx 3.0. Wenn es hilft, auf den No23 Recorder verzichte ich gern. Soll ich den geregelt deinstallieren? Aber vielleicht ist ja gksui20.exe ein echter Treffer... Schönen Abend noch Frank |
Der no23recorder müsste ok sein, aber dieser hier Code: THREAT - gksui20.exe in c:\windows\system32 - Medium Risk Malware |
Hallo Arne, hmmm... Virustotal: Analyse von gksui20.exe Nur PrevX meldet sich. Wo auch immer das Teil her ist, auch darauf kann ich sicher verzichten. Gruß, Frank |
Sieht nach einem Fehlalarm aus. Werden die Seiten jetzt noch immer geöffnet? Auch beim neuen Profil? |
Hallo Arne, das neue Profil im Firefox habe ich soeben fertig gestellt (und das alte gelöscht), von daher kann ich leider noch keine Aussagen machen, ob das jetzt die Aufrufe eliminiert haben könnte. Bis vor dieser Umstellung hatte ich noch die Aufrufe in der Chronik :koch: Ich werde weiter berichten... Gruß, Frank |
Hallo Arne, trotz neuem Profil: keine Änderungen. Weiterhin Aufrufe von Websites in der Firefox-Chronik, die ich nie getätigt habe. :koch: Hast du noch eine Idee außer :killpc:? Gruß, Frank |
Die Frage ist ob Du auch noch Lust hast, ewig Logfiles zu erstellen oder nicht doch lieber den Neuanfang zu wagen... Das einzige was ich nochmal ausprobieren würde: Ein neues Benuterkonto erstellen und damit mal mit dem Firefox surfen und beobachten |
Hallo Arne, für den "Neuanfang" brauche ich mal zwei Tage Zeit am Stück - die habe ich heute und bis Weihnachten eher nicht. Mal ein Log zu erstellen oder einen Scanner laufen - kein Problem, das braucht ja kaum 'ne Stunde oder einen Abend. Natürlich möchte ich deine Zeit nur weiter in Anspruch nehmen, wenn du das auch für sinnvoll hältst. Wenn du jetzt sagst: "Tut mir Leid, das Teil ist nicht zu finden", dann werde ich das selbstverständlich akzeptieren und mir die Zeit für das Neuaufsetzen des Rechners freiräumen. Immerhin hast du - nachhaltig - dafür gesorgt, das TDSSServ sich verzogen hat. Dafür nochmal vielen Dank. Die Frage ist also mehr: Ist dein Jagdtrieb soweit geweckt, dass du noch Lust hast, dich mit diesem blöden Problem zu beschäftigen.... Gruß, Frank |
Statt dem neuen Benutzerkonto könntest Du es auch nochmal mit einem Rescue-System probieren zB die hier => Kaspersky Rescue Disk - Download @ NETZWELT.de |
Hallo, dann werde ich das morgen abend mal laufen lassen und berichten... Gruß, Frank |
Hallo Arne NETZWELT.de meldet: "Dieser Download ist zurzeit leider nicht verfügbar". Tuts auch der Kaspersky-Scanner von der Knoppicilin-CD von c't von Anfang diesen Jahres? Gruß, Frank |
Gibts nicht mehr *hmpf* :mad: Probier das => Avira AntiVir Rescue System |
Hallo Arne, einen extract error in der Datei winzip90.exe (Datei habe ich gelöscht) und einen Heuristik-Fund in der psexec.exe von sysinternals. Diese Datei habe ich drauf gelassen. Dazu noch eine Warning bzgl. Avenger.zip. Das war nicht das Gewünschte, sach ich ma. Gruß, Frank |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:41 Uhr. |
Copyright ©2000-2025, Trojaner-Board