Antimalware Doctor und weitere entfernt, aber GMER hängt. Sauber?
 

Ich versuche, das Notebook von einem Freund zu entwanzen. Er hat Vista 32-Bit drauf und sich den Antimalware Doctor und noch andere Malware eingefangen. Außerdem bringt Vista sofort die Meldung "Kritischer Fehler, System wird heruntergerfahren" sobald man online geht. Das Herunterfahren habe ich in der Systemsteuerung abgestellt, aber es ist wohl ein Hinweis darauf, dass etwas noch nicht in Ordnung ist auf dem System.

Zunächst habe ich ein wenig planlos herumgedoktert (bevor ich auf dieses Forum stieß), mit Malwarebytes einen einen Komplettscan gemacht und ein paar Funde entfernt.

Jetzt habe ich nochmal komplett alle Schritte von vorne gemacht, d.h. mit CCleaner aufgeräumt, neu gebootet, Malwarebytes aktualisiert und einen Komplettscan gemacht und RSIT laufen lassen. Hier sind die Resultate:

Anschließend wollte ich mit GMER nach Rootkits suchen, aber GMER scheint irgendwann einzufrieren. Wie wäre das weitere Vorgehen?

Vielen Dank.

Nachtrag: Antivir Guard hatte ich ausgestellt und in GMER die Option IAT/EAT deaktiviert. GMER hängt bei \Cdfs. Danach ist keine Aktivität mehr bei der Platten-LED und der Rechner reagiert auf nichts (Alt-Tab, Ctrl-Alt-Del) mehr.

Sobald der Rechner eine Netzwerkverbindung hat, kommt ein Popup "Kritischer Fehler" und er fährt sich herunter.

Hier die installierten Programme laut CCleaner.
Hm, wollte gerade einen Screenshot der "Kritscher Fehler" Meldung probieren, aber diesmal kam sie gar nicht. Eine Netzwerkverbindung besteht (ping www.heise.de klappt), aber Windows Update meldet: Es konnte nicht nach neuen Updates gesucht werden. Fehler bei der Suche nach neuen Updates für Ihren Computer. Code 80072EFD Unbekannter Fehler.

Hallo und :hallo:

Es fehlt noch die info.txt von RSIT, die findest du im Ordner C:\rsit.

Deinstalliere vorab: Favorit

Lade und installiere das Tool RootRepeal herunter

• setze einen Hacken bei: "Drivers"-> "Scan"-> Save Report"...
• "Stealth Objects" -> "Scan"-> Save Report"...
• "Hidden Services" -> "Scan"-> Save Report"...
• speichere das Logfile als "RootRepeal.txt" auf dem Desktop und Kopiere den Inhalt hier in den Thread.

ciao, andreas

Hallo und danke, dass Du Dich meines Problems angenommen hast.

Info.txt

RSIT Logfile:RSIT Logfile:RSIT Logfile:
--- --- ---

RootRepeal wirft beim Start diesen Fehler: http://img517.imageshack.us/img517/3739/77093838.png

Danach kommt man zum Startbildschirm, aber ein Versuch zu scannen wird quittiert mit http://img186.imageshack.us/img186/8932/rr2.png

(Avira disabled, als Admin gestartet)

Was sagt dir vdr?
Dann den nächsten, einer wird schon laufen.

Rootkitsuche mit SysProt

• Lade dir SysProt auf den Desktop und starte das Tool
• Gehe dort auf den Reiter "Log"
• Setze nun einen Haken bei:
  • Kernel Modules
  • Kernel Hooks
  • Hidden Files
  • Und unten bei "Hidden Objects Only"
• Drücke nun auf "Create Log"
• Es erscheint nach einem kurzen Scan die ein Dialogfenster. Wähle dort "Scan All Drives"
• Wenn der Scan abgeschlossen ist, beende SysProt.
• Poste den gesamten Inhalt der "SysProtLog.txt", die auf dem Desktop zu finden ist.

ciao, andreas

Video disk recorder, kenn ich nur unter linux, da ist es ein TV-Recorder und Streaming Server. Sieht ok aus.

:)

Ok, scanning...

Hoppla, das ging schneller als erwartet:
Mist, sollte ich nicht Admin gewesen sein? Ich probiers nochmal...

Nee, ich hab es mit Rechtsklick - als Administrator ausgeführt. Trotzdem lauter Access Denieds. *kopfkratz*

Passt schon, that's M$.
Ebenttt. Ergibt überhaupt keinen Sinn an dieser Stelle, aber ist ja nicht so schlimm, ist ja nicht mein Rechner.

Du hast die Wahl zwischen Avenger und ComboFix. Mir persönlich wäre ComboFix lieber, ich vermute da noch mehr, ist aber deine Entscheidung.

ciao, andreas

Ok, danke. Auf geht's mit ComboFix...

Hosts-Datei ist ja eh nicht wild, ein 192.168er-Netz kann nix Böses sein (vor allem, wenn er zu Hause 192.168.1 hat :).

Dann macht es noch weniger Sinn. Der stört mich, wech damit. :kloppen:

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ciao, andreas

Ok, ComboFix hat das hier ausgeworfen Hoppla, da war ich etwas zu vorschnell. Ich hatte ComboFix nicht vorher umbenannt, aber ansonsten alles richtig gemacht (Antivir Guard gestoppt).

CCleaner hatte ich ja schon ganz am Anfang ordnungsgemäß ausgeführt.

Macht nix, ist nur notwendig bei den TDSS-Varianten. Die sind es hier aber nicht.

Deinstalliere (falls noch vorhanden):

• Favorit
• Google Update Helper

Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt auf das Symbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

• Danach das Log von Combofix posten.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Edit: Das hier könnte eine legitime Datei sein:
Falls die von dir angelegt wurde, müssen wir die wiederherstellen.

Edit2: Ist der VeohPlayer bewusst installiert worden?

Favorit ließ sich irgendwie nicht installieren, wird aber ohne Dateigröße angezeigt unter "Programme".

ComboFix wollte in dem Durchlauf einmal neu booten, wollte dann eine Internetverbindung und hat das Angehängte ausgespuckt (war zu groß für [.code.] und auch sogar als Zip zu groß, daher gekürzt:
Danach kam wieder die Meldung Kritischer Fehler und Windows hat neu gebootet. Der Reboot ließ sich auch nicht mit shutdown -a in der Konsole verhindern. Auch die entsprechene Einstellung in der Systemsteuerung wurde ignoriert.

Ist der VeohPlayer bewusst installiert worden?
Räume zum Schluß mit CCleaner die Registry auf, dann verschwindet der.
Das wird noch mehrfach auf dich zukommen. :)
In den Anhang kannst du IMHO 100kB txt-Dateien packen.

Das hier könnte eine legitime Datei sein:
Falls die von dir angelegt wurde, müssen wir die wiederherstellen.
Weil es soviel Spaß gemacht hat, gleich nocheinmal.

Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt auf das Symbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

• Danach das Log von Combofix posten.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Voilà

[code]
Combofix Logfile:
--- --- ---

Deinstalliere bitte AdAware und beantworte die Fragen:

• Ist der VeohPlayer bewusst installiert worden?
• Ist c:\users\mathias grot\Documents\Registry Backup.reg von dir angelegt worden?

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

http://mitglied.lycos.de/efunction/tb123/avenger.png

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei File-Upload.net hochladen und mir den Link als Private Nachricht zuschicken.

9.) Packe den Ordner c:\qoobox mit ZIP oder RAR und gehe wie in Schritt 8.) vor.

ciao, andreas

[QUOTE=john.doe;558104]Deinstalliere bitte AdAware und beantworte die Fragen:
[quote]

Nö, hab ich runtergeworfen.

[quote]Ist c:\users\mathias grot\Documents\Registry Backup.reg von dir angelegt worden?[/qoute]Ja, glaub schon. Aber CCleaner hat eh ein paar Backups gemacht, insofern nicht so wichtig würd ich sagen.


Tja, wär schön, wenn ich mit dem verwanzten Rechner ins Netz könnte. Aber dann macht er ja sofort nen Shutdown. Aber ich hab's aus ner Datei geladen. Ergebnis war unspektakulär:

Du hast PM.

Jo, angekommen, 21MB, da muss ich mich erstmal durchgraben. Vermutlich das letzte Mal CF.

Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt auf das Symbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

• Danach das Log von Combofix posten.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Ich drücke euch die Daumen! Sitze gerade ähnlich verzweifelt vor meinem Rechner und staune, was Andreas für eine tolle "Fernwartung" macht. Ob sich die Mistkerle, die diese Dinger programmieren, eigentlich eine Vorstellung davon machen, was für Arbeit sie damit auslösen?!

Beste Grüße und viel Erfolg,

Wolfgang

Danke nochmal!

Das hat diesemal das ergeben:

Das sieht schon viel besser aus.

Jetzt weiter mit Malwarebytes. Vor dem Scan updaten und Quickscan reicht diesmal. Log posten. Du solltest jetzt wieder ins Netz kommen.

Virustotal will gerade nicht. Laut Jotti handelt es sich um Bubak (Avast) oder Bubnix (F-Secure) und wieder einmal recht neu das Teil.

ciao, andreas

Edit: VT hat es doch noch geschafft.

Das hier kam dabei heraus - diesmal sogar vom befallenen Rechner.

Gut. :daumenhoc

Jetzt Gmer. Beim ersten Mal nur Haken bei Driver und Registry, Log posten. Beim zweiten Durchlauf alles testen. Falls er durchkommt, Log posten.

ciao, andreas

Ist durchgelaufen. "Treiber" oder "Driver" gabs nicht anzuhaken, hab stattdessen Registry und "Modules" durchsucht. Dabei wurde nix gefunden. Dann hab ich alles außer IAT/EAT angehakt. Ist durchgelaufen aber hat nix gesagt. Hab auch keine Logs entdeckt. Schmeißt der die irgendwo ins Dateisystem?

Wenn er nichts findet, dann gibt es auch kein Log. :)

Kontrollscan mit SuperAntispyware ist ziemlich sinnlos, weil er den nicht erkennt. Deshalb noch einmal frische Logs mit RSIT.

Zur Sicherheit noch ein Scan mit F-Secure Security Lab - Online-Scanner

Haben wir keine Anleitung für, versuche irgendwie ein Log oder ein Screenshot mit dem Ergebnis zu posten. Damit sollten wir dann auch schon fast durch sein.

Die Proxyeinstellungen wurden noch vermurkst, das lässt sich aber mit HJT richten.

Gute Nacht,
Andreas

GMER hat gezickt. Der ist zwar scheinbar durchgelaufen, hat danach aber nicht mehr reagiert (im Sinne von "Anwendung reagiert nicht") --> Not-Aus.

Der Online-Scanner von F-Secure war zufrieden mit uns: Ich geh jetzt mal pennen. Vielen herzlichen Dank!

Hmpf, derjenige, dessen Rechner das war, hat offenbar nicht das Bedürfnis, sich nochmal hier zu bedanken. Daher danke von mir, wirklich erstaunlich und unglaublich nett, wie hartnäckig Du das Problem angepackt hast, Andreas.

Ich hoffe, es ist dabei wenigstens ein klein wenig neues Wissen über diesen Schädling abgefallen. Ich hab jedenfalls auch etwas gelernt: Ich sollte noch etwas härter sein, was Hilfegesuche angeht ("Sorry, keine Zeit. Ach so, Du willst linux? Komm doch rein." ;-) )

So ganz fertig sind wir noch nicht. Es fehlt noch das HJT-Log, da ist der Download schiefgelaufen, die Proxyeinstellungen sind noch vermurkst.

Die Software ist z.T. veraltet, da würde sich in dem Fall Secunia anbieten. Es sind gleich 4 Javaversionen installiert, allerdings alle veraltet.

ciao, andreas

Lange her, sorry, dass ich damals gar nicht mehr hier reingeschaut und die letzten Schritte nicht mehr nachvollzogen habe. Ich fürchte, das tun Viele, wenn ihr Problem gelöst wurde (obwohls in diesem Fall gar nicht mein eigenes war). Jedenfalls nochmal danke für die Aktion.