Trojaner-Board - Security Tool komplett entfernt?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Security Tool komplett entfernt? (https://www.trojaner-board.de/84411-security-tool-komplett-entfernt.html)

Security Tool komplett entfernt?

Hallo!

Zunächst mal vielen Dank an diese Community und die Admins: Ich habe heute die Rogue-Malware "Security Tool" kennengelernt und hier glücklicherweise hilfreiche Hinweise zum Umgang damit gefunden.

Wenn ich das richtig verstanden habe, dann soll man trotz einer möglicherweise erfolgreichen Entfernung noch einige Logs posten, um mit Eurer Hilfe sichergehen zu können, daß man die Malware auch wirklich komplett entfernt hat.

Diese zusätzliche Hilfe nehme ich gerne an!

Ich habe versucht, mich an folgende Anleitung zu halten: http://www.trojaner-board.de/81432-s...tml#post493413

- rkill laufen lassen
- Malwarebytes scan
- HostsXpert laufen lassen
- CCleaner laufen lassen (mehrfach)
- RSIT Logfiles erstellen lassen

Anbei die Logfiles.

Mit der Bitte um Eure Begutachtung
und besten Grüssen zum Osterfest!

achilleus

Hallo und :hallo:

Bitte mal den Avenger anwenden:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

http://mitglied.lycos.de/efunction/tb123/avenger.png

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code:

files to delete:

C:\WINDOWS\system32\srv32.exe
 

drivers to delete:

Srv32

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei file-upload.net hochladen und hier verlinken

Hallo cosinus,

vielen Dank für Deine Hilfe!

Leider funktioniert der Reboot nicht.
Ich komme immer zur Auswahl "Windows starten...aus dem abgesicherten Modus" etc. und habe, um erst mal rückfragen zu können, "mit letzter funktionierender Konfiguration" neu gestartet - und damit dann also ohne Skript-Lauf, oder?

Gruß
achilleus

Höh? Du hast den Avenger nun angewendet aber kommst jetzt nicht mehr in den normalen Modus? :confused:

Genau,

ich führe Deine Anweisungen bis einschließlich Schritt 6 durch und komme beim Neustart immer zum erwähnten Auswahlschirm und kann nicht "normal" starten...

Ich werde es aber noch mal versuchen...

Gruß
achilleus

Hallo cosinus,

es bleibt leider dabei: Kein normaler Start möglich.
Würde ein Start im abgesicherten Modus Sinn machen?

Gruß
achilleus

Ja, nimm den abgesicherten.

Hallo cosinus,

geht leider auch nicht. Das System läßt sich ausschließlich mit der letzten bekannten funktionierenden Konfiguration starten...

Gruß
achilleus

Dann poste mal aus der Konfig frische RSIT Logfiles.

Moin cosinus,

anbei die aktuelle Logfile.

Vielen Dank und Gruß
achilleus

Tipp mal bitte ein in Start, Ausführen:

sc delete Srv32 und bestätige mit enter.

Findest Du ein Logfile vom Avenger (c:\avenger.txt)? Wenn ja bitte posten!

Hallo cosinus,

habe ich ausgeführt, es wurde aber leider keine Logfile erstellt.

Sollte ich den Rechner noch neu starten?

Gruß
achilleus

Das erstellt auch kein Log ;)
Ja, versuch bitte den Neustart :)

Hallo cosinus,

das hat geklappt! Systemneustart ohne Probleme und das RSIT Logfile hat keine "srv32"-Einträge mehr...

:dankeschoen:

Schon geheilt?

Gruß
achilleus

Fein! :)

Code:

2010-04-04 19:39:31 ----A---- C:\WINDOWS\xvwmm.txt

2010-04-02 21:57:03 ----A---- C:\WINDOWS\system32\xywkwwki.txt

2010-04-02 19:58:48 ----A---- C:\Programme\ksdc.txt

Diese drei Dateien bitte hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

Upload erledigt.

Vielen Dank und Gruß
achilleus

Ach jetzt weiß ich was das für Textdateien sind. Die hat der Avenger benutzt um die Datei und den Dienst zu löschen. Was aber nicht geklappt hat. Die Dateien sind völlig ungefährlich! :)

Mach bitte Kontrollscans (Vollscans) mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Autsch!

SASW hat einen gefunden:

Trojan.Dropper/Gen
C:\PROGRAMME\T-ONLINE\BSW3\DRELREST.EXE

Wie soll ich die Logs posten?
Hier im Text? Als Datei-Anhang? Oder im Upload-Channel?

Soll ich die Prüfung im abgesicherten Modus sowie die SafeBootKey-Prüfung aus der SASW-Anleitung ebenfalls durchführen?

Ich starte jetzt noch den Malwarebytes-Vollscan. SASW hat 2:38 Stunden gebraucht...

Gruß
achilleus

Hier im Beitrag einfach alles posten...

Au weia,

ist wohl immer noch einiges los:

Code:

SUPERAntiSpyware Scan Log

hxxp://www.superantispyware.com
 

Generated 04/08/2010 at 06:36 PM
 

Application Version : 4.35.1000
 

Core Rules Database Version : 4781

Trace Rules Database Version: 2593
 

Scan type       : Complete Scan

Total Scan Time : 02:38:08
 

Memory items scanned      : 547

Memory threats detected   : 0

Registry items scanned    : 5956

Registry threats detected : 0

File items scanned        : 120781

File threats detected     : 1
 

Trojan.Dropper/Gen

        C:\PROGRAMME\T-ONLINE\BSW3\DRELREST.EXE

Code:

Malwarebytes' Anti-Malware 1.45

www.malwarebytes.org
 

Datenbank Version: 3941
 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702
 

10.04.2010 15:04:53

mbam-log-2010-04-10 (15-04-53).txt
 

Art des Suchlaufs: Quick-Scan

Durchsuchte Objekte: 171312

Laufzeit: 35 Minute(n), 19 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 3
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\WINDOWS\system32\drivers\qphwv.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\drivers\tzlrt.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\drivers\uyovjn.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

Gruß
achilleus

Der Fund von SASW sieht nach einem Fehlalarm aus, das andere hat Malwarebytes gelöscht. mach bitte Logs mit OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

Hallo cosinus,

anbei die beiden Log-Files.

Vielen Dank
und Gruß
achilleus

Das sieht gut aus. Noch Probleme?

Moin cosinus,

nein, keine aktuellen Probleme. Vielen, vielen Dank!!!

Darf ich noch fragen, warum der SASW-Fund eher eine Fehlanzeige war?

Gruß
achilleus