Trojaner-Board - System hängt, Avira & Malwarebytes crash nach Trojanerfund durch Avira

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - System hängt, Avira & Malwarebytes crash nach Trojanerfund durch Avira (https://www.trojaner-board.de/83736-system-haengt-avira-malwarebytes-crash-trojanerfund-avira.html)

Hi,

ja, sieht gut aus.

Windows + R Taste drücken --> notepad (reinschreiben)
Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

@echo off

reg add HKLM\SYSTEM\CurrentControlSet\Services\RDSessMgr /v Start /t REG_DWORD /d 0x0 /f

net stop RDSessMgr

net user HelpAssistant /delete >nul 2>&1

net localgroup Administratoren HelpAssistant /delete >nul 2>&1

attrib -s -h -r C:\docume~\HelpAssistant\* /s /d

del /s/q C:\docume~\HelpAssistant\*.*

rmdir /s/q C:\docume~\HelpAssistant

C:\mbr -f

reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-1478199833-3311342813-976847616-1006" /f

reg add HKLM\SYSTEM\CurrentControlSet\Services\TermService\Parameters /v ServiceDll /t REG_EXPAND_SZ /d ^%systemroot^%\System32\termsrv.dll /f

exit

Speichere diese unter file.bat auf Deinem Desktop.
Wähle bei Dateityp alle Dateien aus.
Führe die Datei per Doppelklick aus.

MfG Kathrin

OK Kathrin,

ist gemacht. Und jetzt? Alles klar?

Gruss,
Winfried

Hi,

wir sind fast durch. Wie verhält sich das System denn jetzt?

Windows + R Taste drücken --> notepad (reinschreiben)
Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

@echo off

net user > log.txt

reg query HKLM\SYSTEM\CurrentControlSet\Services\TermService\Parameters /v ServiceDll >>log.txt

reg delete "HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list" /v "%windir%\system32\drivers\svchost.exe" /f

reg delete "HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list" /v "%windir%\system32\drivers\svchost.exe" /f

log.txt

Speichere diese unter file.bat auf Deinem Desktop.
Wähle bei Dateityp alle Dateien aus.
Doppelklick auf die file.bat, poste mir den Inhalt des Textdokuments.

Mache bitte auch noch nen scan mit Eset:

ESET Online Scanner
- Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
- Button "ESET Online Scanner" drücken.
- Firefox-User müssen ein zusätzliches Addon (esetsmartinstaller_enu.exe) installieren.
- Das Firefox-Addon auf dem Desktop speichern und dann installieren.
- IE-User müssen das Installieren eines ActiveX Elements erlauben.
- Den Haken bei "Remove found threads" nicht setzen und bei "Scan archives" setzen.
- Start drücken.
- Der Scan beginnt automatisch.
- Finish drücken.
- Browser schließen.
- Explorer öffnen.
- C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
- Logfile hier posten.
- Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
- Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

MfG Myrtille

Hallo!

Sorry, war sehr beschäftigt, darum erst jetzt das Log:

Code:

Benutzerkonten fr \\NOTEBOOKC2D
 

-------------------------------------------------------------------------------

Administrator            ASPNET                   Gast                     

Hilfeassistent           SUPPORT_388945a0         Winfried                 

Der Befehl wurde erfolgreich ausgefhrt.
 
 

! REG.EXE VERSION 3.0
 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService\Parameters

    ServiceDll        REG_EXPAND_SZ        \System32\termsrv.dll

ESET kommt gleich.

Gruss,
Winfried

So, also ESET hat seine Arbeit jetzt beendet und "no threats found" angezeigt. Hier der Log:

Code:

ESETSmartInstaller@High as CAB hook log:

OnlineScanner.ocx - registred OK

# version=7

# iexplore.exe=7.00.6000.16981 (vista_gdr.091215-2244)

# OnlineScanner.ocx=1.0.0.6211

# api_version=3.0.2

# EOSSerial=5d585ca00442934eb0dec660b775335e

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2010-03-21 10:50:10

# local_time=2010-03-21 11:50:10 (+0100, Westeuropäische Normalzeit)

# country="Germany"

# lang=1033

# osver=5.1.2600 NT Service Pack 3

# compatibility_mode=512 16777215 100 0 187778 187778 0 0

# compatibility_mode=1797 16775125 100 100 51427 68698993 31209 0

# compatibility_mode=8192 67108863 100 0 3743 3743 0 0

# scanned=77925

# found=0

# cleaned=0

# scan_time=8277

Heisst das nun: "alles wieder klar"?

Und noch eine letzte Frage: Ich habe ja noch einen weiteren Rechner an meinem LAN. Wie stelle ich fest, dass dieser nicht auch diese Probleme hat? Reicht Malwarebytes oder soll ich da auch mal ESET drüberlaufen lassen? Bitte um Rat!

Vielen Dank für die extensive Hilfe und beharrliche Problembearbeitung!

Beste Grüsse,
Winfried

Hi,

ja das sieht nach klar schiff aus! :) Freut mich, dass der PC wieder läuft.

Lass neben Malwarebytes auf dem anderen Rechner auch noch folgende Batch laufen und ich kann dir dann sagen ob diese auch von dem MBR Rootkit befallen sind:

Code:

@echo off

net user > log.txt

reg query HKLM\SYSTEM\CurrentControlSet\Services\TermService\Parameters /v ServiceDll >>log.txt

log.txt

Poste das erstellte Log hier in den Thread.

Ein zusätzlicher Scan mit Eset ist in der Regel nicht zwingend notwendig, kann aber auch nicht schaden. ;)

lg myrtille

Hier der Log meines zweiten PCs, der am Netzwerk dranhängt. Mir kommt es sauber vor.

Code:

Benutzerkonten fr \\NOTEBOOKP4P
 

-------------------------------------------------------------------------------

Administrator            Gast                     Hilfeassistent           

SUPPORT_388945a0         SUPPORT_3f151ab9         Winfried                 

Der Befehl wurde erfolgreich ausgefhrt.
 
 

! REG.EXE VERSION 3.0
 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService\Parameters

    ServiceDll        REG_EXPAND_SZ        %SystemRoot%\System32\termsrv.dll

Malwarebytes muss ich noch laufen lassen.

Gruss,
Winfried

Hi,

das sieht gut aus. :)

MfG myrtille

So, das wäre dann also geschafft!

Ich bedanke mich bei allen Helfern, die mich durch diesen "Dschungel" geleitet und letztendlich das Problem beseitigt haben! SUPER gemacht

:Boogie: :huepp:

Winfried
PS: Das Thema kann als "erledigt" markiert werden.

Hi,

du kannst die programme die wir benutzt haben, indem du OTC.exe herunterlädst und ausführst. Alle verbleibenden Batches kannst du dann auch einfach entfernen.

lg myrtille

Zitat:

Zitat von myrtille (Beitrag 510825)

Hi,

du kannst die programme die wir benutzt haben, indem du OTC.exe herunterlädst und ausführst. Alle verbleibenden Batches kannst du dann auch einfach entfernen.

lg myrtille

Sorry, in Deinem Satz fehlt irgendwie das entscheidende Wort... :dummguck:
Gruss,
Winfried

Hi,

das kann eigentlich gar nicht sein. :balla: Ich vergesse nie was.:blabla:

Zitat:

du kannst die programme die wir benutzt haben entfernen, indem du OTC.exe herunterlädst und ausführst. Alle verbleibenden Batches kannst du dann auch einfach von hand entfernen.

lg myrtille