|
Trojaner/ Maleware/ falscher DNS Server Eintrag Guten Morgen, bin ganz neu hier und ich habe ein riesiges problem :heulen: Mein PC ist absolut verseucht und ich weiß nichtmal warum, da keine spammails geöffnet werden keine komischen downloads getätigt und nur ganz normal gesurft wird. Chatten über windowslife o.a auch nur mit engen bekannten o. Arbeitskollegen und ohne dateien oder sonstiges zu öffnen. 1. Da ich vorgestern Abend schon veränderungen am PC bemerkt habe, habe ich natürlich gleich alles gescannt, mit Erfolg dachte ich. Aber die Malware hat sich immer wieder selbst reproduziert. Sogar beim Windows starten wurde ich dann mit Fehlermedungen überhäuft, bis hin zu einem komischen Anmelde-Verfahren. :confused: 2. Dann habe ich das komplette System neu aufgesetzt (u formatiert), ging erstmal gut, bis ich das Internetkabel wieder rein gesteckt habe um diverse WindowsUpdates zu machen. Der PC war wieder voll mit der gleichen Malware. DNS Server Adresse wurde geändert. Jetzt kann ich nur im abgesicherten Modus etwas am PC machen. Hijackthis kann ich nicht downloaden sonst würde ich die Log hier anhängen :( Combofix (auch mit Namensänderung der exe/ exe bekam ich vom Support meines Virenprogramms zugesendet per mail/ mit combofix aus diese Forum gleiche Meldung) lässt sich nicht öffnen. Auch nicht wenn von einem anderen PC gedownloadet und per USB Stick angewendet wird. Fehlermeldung: Datei wurde verändert und muss neu gedownloadet werden. RootRepeal Log und Bullguard. Log unten kann die logs nicht hochladen Kann es sein das die schädlinge im modem sitzen? Da sie nach kurzer zeit nach der Neuinstallation wieder da waren :confused: Ganz vielen Dank schonmal :knuddel: Code: ROOTREPEAL (c) AD, 2007-2009Code: 2009/12/01 06:59:30 | C:\WINDOWS\Temp\VRT16C.tmp [QUARANTINED] [process: 1104.\??\C:\WINDOWS\system32\winlogon.exe] [user: ****] [virus: Gen:Trojan.Heur.hmGfvzS7O4eix] [op: CLOSE] |
Nachtrag: DNS Server hat wieder eine gültige IP meines Providers, dank einem kurzen Telefonat und gutem Support. Schädlinge gehen nicht weg. Combofix nicht möglich. Alleinige Herrschaft über meinen PC nur im abgesicherten Modus möglich. Und ich habe die starken Vermutung, dass mein Sohn am PC gewesen sein könnte auch wenn er es abstreitet. Wenn alles wieder laufen sollte (hoffen, hoffen, hoffen) wird mein PW geändert soviel steht fest ;) |
- HijackThis geht jetzt. - kann nur Seiten im IE8 aufrufen wenn ich die Adresse per Hand eingebe ansonsten werde ich auf WerbeSeiten geleitet oder es wird angezeigt, dass die jeweilige Seite nicht angezeigt werden kann (Verbindungsprobleme) HijackLog Zitat:
|
Guten Morgen nochmal ;) Werde jetzt malwarebytes starten (nach erfolgreichem download) und dann die anderen nochmal scannen lassen. Komisch ist aber auch; Ich habe 3 Dateien im Papierkorb auf d. Desktop. Ordneroption besagt versteckte Datein sind sichtbar. Diese 3 Dateien aber nicht. Beim Versuch den Papierkorb zu leeren kommt folgende Meldung: Dc12 kann nicht gelöscht werden ... stellen sie sicher das der datenträger nicht voll ist oder die datei gerade verwendet wird .. (so ähnlich.. ) Bitte! Ich wäre echt ganz arg dankbar wenn sich jemand meine logs mal anschauen könnte und vielleicht weiß was zu tun ist :) Wie schon geschrieben, System ist ganz neu aufgesetzt un formatiert MfG |
Hi, moment... Es wird ein MBR-Rootkit gemeldet... Zusätzlich: MBR-Rootkitscanner Lade den MBR-Rootkitscanner von Gmer auf Deine Bootplatte: http://www2.gmer.net/mbr/mbr.exe Merke Dir das Verzeichnis wo Du ihn runtergeladen hast; Start->Ausführen->cmd Wechsle in das Verzeichnis des Downloads und starte durch Eingabe von mbr das Programm... Das Ergebnis sollte so aussehen: Zitat:
poste es im Thread; Here we go: Aus dem HJ-Log kommt noch das hier raus: Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code: C:\WINDOWS\system32\msnjgrac.dll
Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://saved.im/mzi3ndg3nta0/aven.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code: Registry values to delete:4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code: O4 - HKLM\..\Run: [myizzo] RUNDLL32.EXE C:\WINDOWS\system32\msnjgrac.dll,wCombofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Chris |
Morgen :) und danke! Hat geklappt mit gmer bis jetzt. Hier die Log: Zitat:
Grüße |
Hi, bitte den Rest vom Posting (s. oben) ebenfalls noch abarbeiten... Start->Ausführen cmd eingeben. Dann in das Verzeichnis wo Du die mbr.exe abgelegt hast hinnavigieren (oder vorher die EXE in ein geeignetes Verzeichnis kopieren), dann wie angegeben mbr -f eingeben... Ein ACPI-Treiber, das wird lustig, unbedingt Combofix (wäre das Beste) oder GMER laufen lassen ev. verdacht auf TDSS V3... chris |
Hi, wa mir zusätzlich Sorgen macht, bei den Meldungen von Bullgard sind jede Menge Windowsfiles enthalten, das sieht nach einem Fileinfector (Sality) aus, dann muss der Rechner platt gemacht werden... Meldet MAM (AntiMaleWareBytes) schon was... Für den Fileinfector Dr. Web/Cureit: Cureit http://www.trojaner-board.de/59299-a...eb-cureit.html chris Ps.: Es ist zwar noch nicht Ostern, aber ich finde Sohnemann sollte lange Ohren bekommen ;o) |
Virustotal klappt nicht. Egal wie, ich kann die Seite nicht aufrufen Bei Neustart hatte ich unzählige Prozesse (svchost, av_md, reader_s, 7.. tmp.exe) Avenger und Hijack Logs hier: Zitat:
Hier erstmal die HJTlog: Code: Logfile of Trend Micro HijackThis v2.0.2Code: Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, h**p://www.gmer.netIst es eigentlich richtig, das Rootkits nich agieren können, wenn man etwas von CD aus starten? :confused: Wäre dies eine Möglichkeit Combofix drauf zu bekommen? |
Hi, habe mir gerade einen Kaffee eingeworfen... Ja, von CD booten hindert die netten Tierchen vom Starten... Wenn CF bzw. Gmer nicht klappt (was hat Antimalewarebytes gemeldet), dann basteln wir uns an einem sauberen Rechner eine Boot-CD (hast du eine XP-Boot-CD?) Wenn Du aber erst kürzlich den Rechner neu aufgesetzt (s. http://www.trojaner-board.de/51262-a...sicherung.html) hast, was hindert Dich daran es noch mal zu tun (bevor wir uns hier den Wolf scannen)? Wichtig dabei ist, das die komplette Festplatte wirklich formatiert wird und der Bootsector neu geschrieben wird. Bevor du dann online gehst, die DNS-Einstellungen kontrollieren (nicht das Du gleich wieder auf einer verseuchten Seite landest... BootCd erstellen: Antivir, Rescue-CD http://www.avira.de/de/support/support_downloads.html Dort bitte das Rescue System sowie das update dazu runterladen. Beim Start der Anwendung leere CD in den Brenner, CD brennen lassen. Zweite CD brennen mit dem ausgepackten Update. Von CD booten (Einstellung im BIOS vornehmen)... http://www.pcwelt.de/start/sicherhei...s/news/149200/ Boote aber zuerst von der XP-CD in die Rettungskonsole und führe dort dann fixmbr aus (wie von Gmer empfohlen). Dann XP-CD raus, Avira-CD rein, von CD booten und avira scannen lassen... chris |
Hallo, danke für Deine Hilfe :knuddel: ich habe jetzt das System wieder neu aufgesetzt, gab keine andere Möglichkeit. Da egal welches Programm ich geöffnet habe (Malwarebyte, Bullguard etc) bekam ich dann sofort 3 XXXordner auf dem Desktop. Also alles platt gemacht und den mit infizierten USB Stick gleich mitentsorgt. Nun habe ich alle meine wichtigen Dateien (Bilder usw) auf einer externen Festplatte und bin mir nicht sicher ob diese vielleicht auch infinziert ist. Habe das System ja jetzt innerhalb von 3Tagen 2mal neu aufgesetzt. Wie komme ich jetzt sicher an meine Dateien von der externen Platte ran? achja.. dem Sohnemann wurden erstmal die Löffel lang gezogen, natürlich nur wörtlich :D und er hat zugegeben irgend etwas gedownloadet zu haben da er zu faul war auf sein zimmer hoch zu gehen :blabla::blabla: das soll mal einer verstehen. Sicherheitshalber habe ich alle PCs im Netzwerk neu aufgesetzt. DANKE nochmal und eine schöne Woche inklusive Wochenende wünsche ich grüße |
War wohl nichts :schmoll: ES ist wieder da :snyper: :confused::confused::confused: Wie schon geschrieben, System neu aufgesetzt. Neu formatiert, alle Partitionen! Inklusive Speicher der Festplatte neu zugeteilt. Also ich habe folgendes der Reihe nach gemacht: - Windows XP neu drauf gemacht von Original CD - Servicepack 2 von CD installiert - Motherboardtreiber von CD + AcrobatReader - Windowshomepage restlichen Updates gezogen - Treiber Nvidia von d. Nvidia Homepage - Directx von Chip.de - Mediaplayer 11 microsoft.com - Windows live von original Homepage - alle Google Dinge von Google.com - Malwarebytes + HJT von Links aus diesem Forum - 2 Programme von Original CDs installiert Dann wollte ich Bullguard wieder downloaden und erneut registrieren und konnte den Download nicht ausführen. Weitere downloads wie combofix und all die anderen sind auch nicht mehr möglich. Hatte plötzlich wieder diese 3 xxxOrdner auf dem Desktop :confused: Meine externe Festplatte wurde nicht angeschlossen und auch kein USB-Stick oder sonstiges! Bis Dato ist zum Glück nur dieser PC wieder am Netzwerk, die anderen noch nicht. Ich bin jetzt echt ratlos... So jetzt auch erstmal ein Kaffee für mich, nach dem Schock am frühen Morgen Und hier die Logs: Code: Logfile of Trend Micro HijackThis v2.0.2Code: Malwarebytes' Anti-Malware 1.41 |
Hi, seltsam... Ist die Festplatte partitioniert? Wenn ja, alles komplett platt machen, Partitionsgrößen ändern, deepformat (nicht quickformat). Es ist ein Rootkit/Backdoor auf dem Rechner gelandet (lsm32.sys)... Die CD etc. sind sauber? Packe MAM von einem sauberen Rechner aus auf CD. Gibt es Freigaben auf dem Rechner, auf anderen Rechnern? Es gibt einige nette Sachen, die sich im Netzwerk automatisch verteilen, daher den Rechner erstmal komplett ohne Netzwerkanbindung hochziehen, MAM einspielen und prüfen lassen. Dann Netzwerk anschließen, nichts runterladen und nach einer weile wieder prüfen... Schrittweise vom Internet installieren und die runtergeladenen EXEen vor dem installieren prüfen... Noch was: Beim Formatieren Partitionen anlegen bzw. bereits angelegte Partitionen in der Größe variieren (es gibt (z.B. der Yoyo-Virus) Teile, die sich in geschützte Bereiche am Partitionsende ablegen und die mit Formatieren nicht wegzubringen sind, erst wenn sich die Partionsgröße ändert werden sie "geplättet"). Prüfe die Einstellungen des Routers (falls einer verwendet wird). Einige Arten des DNS-changers knacken das Routerpassword (einfach wenn es das defaultpasswort ist) und ändern die Einstellungen für DNS direkt im Router! Wenn das alles passt, ist wohl eine der CDs nicht sauber... chris |
Guten Morgen Chris, danke mal wieder für Deine schnelle Antwort :-) Die Festplatte wurde wieder in 3 Parttionen aufgeteilt C/D/E und auch anders verteilt. Router habe ich nicht, nur ein ganz normales Kabeldeutschland Modem. Und dieser verseuchte PC ist der Einzige PC der seit dem Befall wieder am Netzwerk ist. Zum Glück Könnte es denn wirklich sein, dass auf z.B. der Original Windows XP CD etwas drauf ist? Habe diese CD aber schon Jahrelang, die anderen CDs sind jünger ;) aber es lief ja vorher alles ohne Befall (Treiber, 2 Programme f.d. Arbeit). Das mit dem Programm auf Cd werde ich heute versuchen, hoffentlich klappt das. Achso.. eine komische exe, vermute die ist böse und aktiv, nennt sich sdra64.exe sitzt im System32.. lässt sich nicht löschen/entfernen auch nicht mit Malwarebytes. Wie bekomme ich dieses Ding weg oder ruhig gestellt? grüße :) |
Hi, prüfe mal ob der Pfad zur sdra64.exe stimmt (s.u.), ggf. im script anpassen: Nehme den Rechner nach Download von GMER und Avenger vom Netzt... Erst zum posten der Logs wieder kurz dran gehen... Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://saved.im/mzi3ndg3nta0/aven.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code: Registry values to delete:3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet. 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code: O4 - HKLM\..\Run: [10228] C:\WINDOWS\system32\EB.tmp.exechris Ps.: In mir keimt der Verdacht, das eine der Webpages die Du besuchst infiziert ist... |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:19 Uhr. |
Copyright ©2000-2025, Trojaner-Board