|
Virenscanner funktionieren nicht mehr , Mozilla spinnt - H8RST Files gefunden Erstmal einen Guten Abend allen zusammen! Also das Ganze fing vorgestern Nacht an , als ich mein youtube Browser fenster schloß. Aufeinmal hatte ich ein Fenster mit einer Viren Warnung , die dem Windows Security Center ähnlich sah, was allerdings kaum sein kann , da ich da alles abgeschaltet habe. Mein AntiVir sprang auch sofort an und hörte gar nich mehr auf zu Piepsen. Als dann ein automatischer Install des Programms anfing hab ich den Rechner erstmal abgeschoßen , da ich keine andere Möglichkeit sah , dies zu Unterbrechen. Beim wieder hochfahren ging dann AntiVir nicht mehr auch nach mehrmaliger Neuinstallation. Bin dann recht schnell auf eure Seite gestoßen und hab gesehen , dass der Trojaner sich grad wohl fleissig ausbreitet. Hab mir dann auch gleich mal Malwarebytes gezogen und durch umbennenen es sogar geschafft zu installieren , aber sobald ichs starten wollte war Ende. Als nächstes hab ichs mit Sophos Anti Rootkit versucht und auch mehrere Hidden gefunden. Die in der Überschrift schon erwähnten H8RST Files. In der Regestry und auf C. Hab dann versucht , das Ganze mit Hilfe von Kill Box selber zu entfernen, aber irgendwie war das nich wirklich von Erfolg gekrönt. Hab mir dann , das AVZ Antiviral Toolkit gezogen und der erste Scan hat sagenhafte 25 Stunden gebraucht. Hatte ja damit gerechnet , dass es lang dauert , aber so lang. Naja egal im Anhang sind die beiden Log-Files und jetzt hoffe ich ja auf Hilfe, wie ich den vermaledeiten Plagegeist vollends los werde. :) Schon mal vielen Dank im voraus , ohne eure Seite wüsst ich noch nichmal , was mich gerade erschlagen hat. Und natürlich in der Hoffnung auf baldige Antwort mit dem ein oder anderen Tipp, wie ich das Vieh wieder los werd. :) mfg Trizzle |
nach weiterem Umschauen hier im Forum , ist mir ein Thread aufgefallen, den ich bisher wohl übersehen habe , in dem die Lösung meines Problems schon beschrieben wird. http://www.trojaner-board.de/82004-m...lft-mir-2.html Habe mir wie auf Seite 2 beschrieben den Avenger gezogen und ihn das 2-zeilige Skript ausführen lassen , da es sich ja exakt um den Trojaner handelt, den ich mithilfe von Sophos schon gefunden hatte. Ergebnis ist , das sich Malwarebytes starten ließ. Habs sofort geupdatet und atm läuft grad der Komplettscan! Hier schonmal das Log-File von Avenger , das von Malwarebyts folgt sobald der Scan abgeschloßen ist :) Logfile of The Avenger Version 2.0, (c) by Swandog46 Swandog46's Public Anti-Malware Tools Platform: Windows Vista ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. Hidden driver "H8SRTd.sys" found! ImagePath: \systemroot\system32\drivers\H8SRTepcbbtjida.sys Start Type: 4 (Disabled) Rootkit scan completed. Driver "H8SRTd.sys" deleted successfully. Completed script processing. ******************* Finished! Terminate. |
so ... hier jetzt das Malwarebytes Log-File : Malwarebytes' Anti-Malware 1.44 Datenbank Version: 3612 Windows 6.0.6002 Service Pack 2 Internet Explorer 7.0.6002.18005 22.01.2010 06:59:24 mbam-log-2010-01-22 (06-59-24).txt Scan-Methode: Vollständiger Scan (C:\|D:\|F:\|G:\|H:\|) Durchsuchte Objekte: 359633 Laufzeit: 1 hour(s), 20 minute(s), 12 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 1 Infizierte Dateien: 21 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\H8SRT (Rootkit.TDSS) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: C:\Program Files\malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully. Infizierte Dateien: C:\!KillBox\H8SRTepcbbtjida.sys (Trojan.TDSS) -> Quarantined and deleted successfully. C:\!KillBox\H8SRTepcbbtjida.sys( 12) (Trojan.TDSS) -> Quarantined and deleted successfully. C:\!KillBox\H8SRTepcbbtjida.sys( 22) (Trojan.TDSS) -> Quarantined and deleted successfully. C:\!KillBox\H8SRTppmrivxrpp.dll (Rootkit.TDSS.Gen) -> Quarantined and deleted successfully. C:\!KillBox\H8SRTppmrivxrpp.dll( 13) (Rootkit.TDSS.Gen) -> Quarantined and deleted successfully. C:\!KillBox\H8SRTppmrivxrpp.dll( 23) (Rootkit.TDSS.Gen) -> Quarantined and deleted successfully. C:\!KillBox\H8SRTyrlerivqtf.dll (Rootkit.TDSS.Gen) -> Quarantined and deleted successfully. C:\!KillBox\H8SRTyrlerivqtf.dll( 14) (Rootkit.TDSS.Gen) -> Quarantined and deleted successfully. C:\!KillBox\H8SRTyrlerivqtf.dll( 24) (Rootkit.TDSS.Gen) -> Quarantined and deleted successfully. C:\Program Files\Malware Defense\mdext.dll (Trojan.TDSS) -> Quarantined and deleted successfully. C:\Program Files\Malware Defense\uninstall.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Windows\System32\H8SRTppmrivxrpp.dll (Rootkit.TDSS.Gen) -> Quarantined and deleted successfully. C:\Windows\System32\H8SRTqbdpxcqwos.dll (Rootkit.TDSS.Gen) -> Quarantined and deleted successfully. C:\Windows\System32\H8SRTyrlerivqtf.dll (Rootkit.TDSS.Gen) -> Quarantined and deleted successfully. C:\Windows\System32\drivers\H8SRTepcbbtjida.sys (Trojan.TDSS) -> Quarantined and deleted successfully. C:\Program Files\malware Defense\md.db (Rogue.MalwareDefense) -> Quarantined and deleted successfully. C:\Windows\System32\h8srtkrl32mainweq.dll (Rootkit.TDSS) -> Quarantined and deleted successfully. C:\Windows\System32\h8srtshsyst.dll (Rootkit.TDSS) -> Quarantined and deleted successfully. C:\Windows\System32\H8SRTwfjenmmauj.dll (Rootkit.TDSS) -> Quarantined and deleted successfully. C:\Windows\System32\H8SRTgopiibsvoq.dat (Rootkit.TDSS) -> Quarantined and deleted successfully. C:\Users\user\AppData\Local\Temp\H8SRTd53d.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully. alles erfolgreich entfernen lassen . Hab grad auch nochmal CCleaner drüber gejagt und werd mir jetzt wieder ne aktuelle Version von AntiVir antun. Sieht alles so weit so gut aus oder? Was sollte/muss ich jetzt noch tun ? Also mal abgesehen von nem kompletten Scan mit AntiVir. |
Hi, gute Arbeit! Avira wie schon beschrieben, ggf. die Systemwiederherstellung plätten und mit GMER noch mal prüfen ob das Teil wirklich weg ist... Du hattest schonmal versucht ihn über die Killbox zu entfernen? Systemwiederherstellung löschen BSI-Faltblattt (https://www.bsi.bund.de/cln_134/Cont...irenundCo.html) und dort unter Viren entfernen Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt: Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung -> anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten; Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder). Einen ersten Restorepunkt setzten: Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen chris |
Danke :) Alles Dank der überaus nützlichen Infos , die man hier im Forum so findet, wenn man nur richtig sucht :) Dafür schon mal ein Riesen-Lob an euch ! Und vielen Dank für die Mühe die ihr euch hier gebt... weiß gar nich was ich gemacht hät ohne eure Seite! AntiVir Scan läuft und hat zu meinem Bedauern auch schon 9 Funde :( TR/Spy.40960.248 heißt der Letzte ... also wohl andere Baustelle. Naja mal schauen wie´s aussieht wenn der Scan fertig ist ... Joar wie im Eingangspost geschrieben , hab ichs nach dem Scan mit Sophos mit KillBox relativ erfolglos probiert. Wollt eigentlich erst den Avenger nehmen , aber bin nich auf die Seite gekommen. Was daran lag , dass sie halt durch den Trojaner gesperrt wurde, wie ich jetzt nachträglich gemerkt hab. Die namentlich veränderte Version konnt ich mir ja einwandfrei ziehen! Allerdings hät mir der Avenger zu dem Zeitpunkt eh noch nix gebracht , da ich ja nichmal gewusst hätte was ich bei Script reinschreiben soll... Werd , wenn der AntiVir Scan fertig ist alles weitere Umsetzen , was du mir grad netterweise empfohlen hast und mich dann hier wieder mit Ergebnissen melden , sobald ich alles erledigt habe ;) Also bis später ;) |
AntiVir ist grad fertig geworden, hier schonmal das Log . Den Rest werd ich jetzt in Angriff nehmen ! Was mich allerdings etwas beunruhigt , dass er jetzt wieder H8SRT Dateien gefunden hat ^^ dachte Malwarebyte hätte die alle entfernt :( Code: |
Hi, die Funde sind unkrititsch, da sie aus dem Backup von der Killbox stammen: Zitat:
|
ja das ist doch mal eine erfreuliche Nachricht :) Systemwiederherstellung war bei mir schon vorher deaktiviert ^^ will heißen gibt keine Punkte , die ich da entfernen müsste. Anbei noch das Log von GMER , damit sollte sich die Sache dann ja jetzt erledigt haben , oder ? Code: |
Hi, Log von GMER sieht sauber aus! chris |
:party: :Boogie: das wollt ich hören :) dann nochmal vielen Dank für die ausführliche und gute Hilfe ! Werde ab jetzt sicher öfter mal hier ins Forum schauen... gibt doch einige Interessante Beiträge hier und man weiß ja auch nie wann man´s brauchen kann :D |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:14 Uhr. |
Copyright ©2000-2025, Trojaner-Board