|
MBRCheck sagt: "Found non-standard or infected MBR." Hallo Trojaner-Board-Team, hab seit längerer Zeit den Eindruck, dass ein Rootkit in meinem System persistiert, da sich die Titlebar im Firefox manchmal abrupt in chinesische Zeichen verwandelte. Nach einem Standard-Scans mit Kaspersky konnte ich einen Trojaner im Programme-Verz. entfernen, im System-Verz. selbst war aber alles sauber. Das Problem mit den chinesischen Zeichen ist nun behoben aber vom Bauchgefühl her hatte ich die ganze Zeit den Verdacht, dass da noch was ist, v.a. auch deshalb weil Mozilla Firefox nach dem Beenden immer noch fleißig im Task-Manager (also im Hintergrund) weiter läuft und dabei ohne Ende RAM frisst. In der Folge habe ich mein System nochmal komplett mit Kaspersky gescannt, mit SUPERAntiSpyware, Malwarebytes, A2, TrendMicro HouseCall, Dr. Web CureIt! (im abgesicherten Modus), Hitman Pro, PrevX, F-Secure BlackLight, Gmer MBR, AVZ 4 sowie Avira, alle ohne Befund! Gmer im abgesicherten Modus meldete nebenbei eine rootkit-ähnliche Aktivität in irgendeinem Sektor, was meine Bedenken ja zu bestätigen schien! Ein letzter Scan mit MBRCheck ergab dann das: MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows XP Home Edition Windows Information: Service Pack 3 (build 2600) Logical Drives Mask: 0x000003fc Kernel Drivers (total 132): 0x804D7000 \WINDOWS\system32\ntkrnlpa.exe 0x806E5000 \WINDOWS\system32\hal.dll 0xF7A10000 \WINDOWS\system32\KDCOM.DLL 0xF7920000 \WINDOWS\system32\BOOTVID.dll 0xF7510000 klbg.sys 0xF73E0000 ACPI.sys 0xF7A12000 \WINDOWS\system32\DRIVERS\WMILIB.SYS 0xF73CF000 pci.sys 0xF7520000 isapnp.sys 0xF7AD8000 pciide.sys 0xF7790000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS 0xF7530000 MountMgr.sys 0xF73B0000 ftdisk.sys 0xF7798000 PartMgr.sys 0xF77A0000 pavboot.sys 0xF7540000 VolSnap.sys 0xF7398000 atapi.sys 0xF7550000 disk.sys 0xF7560000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS 0xF7378000 fltmgr.sys 0xF7366000 sr.sys 0xF7570000 PxHelp20.sys 0xF734F000 KSecDD.sys 0xF733C000 WudfPf.sys 0xF72AF000 Ntfs.sys 0xF7282000 NDIS.sys 0xF7A14000 speedfan.sys 0xF7580000 ohci1394.sys 0xF7590000 \WINDOWS\system32\DRIVERS\1394BUS.SYS 0xF71B5000 Mup.sys 0xF7AD9000 giveio.sys 0xF76E0000 \SystemRoot\system32\DRIVERS\intelppm.sys 0xF5CA6000 \SystemRoot\system32\DRIVERS\nv4_mini.sys 0xF5C92000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS 0xF5C6A000 \SystemRoot\system32\DRIVERS\HDAudBus.sys 0xF7810000 \SystemRoot\system32\DRIVERS\usbuhci.sys 0xF5C46000 \SystemRoot\system32\DRIVERS\USBPORT.SYS 0xF7818000 \SystemRoot\system32\DRIVERS\usbehci.sys 0xF7820000 \SystemRoot\system32\DRIVERS\RTL8139.SYS 0xF76F0000 \SystemRoot\system32\DRIVERS\nic1394.sys 0xF7830000 \SystemRoot\system32\DRIVERS\fdc.sys 0xF7700000 \SystemRoot\system32\DRIVERS\serial.sys 0xF7175000 \SystemRoot\system32\DRIVERS\serenum.sys 0xF5C32000 \SystemRoot\system32\DRIVERS\parport.sys 0xF7710000 \SystemRoot\system32\DRIVERS\imapi.sys 0xF7720000 \SystemRoot\system32\DRIVERS\cdrom.sys 0xF7730000 \SystemRoot\system32\DRIVERS\redbook.sys 0xF5C0F000 \SystemRoot\system32\DRIVERS\ks.sys 0xF7838000 \SystemRoot\System32\Drivers\Asapi.SYS 0xF7740000 \SystemRoot\system32\DRIVERS\klim5.sys 0xF7B90000 \SystemRoot\system32\DRIVERS\audstub.sys 0xF7750000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0xF79A8000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0xF5BF8000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0xF7760000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0xF7770000 \SystemRoot\system32\DRIVERS\raspptp.sys 0xF7840000 \SystemRoot\system32\DRIVERS\TDI.SYS 0xF5BE7000 \SystemRoot\system32\DRIVERS\psched.sys 0xF7780000 \SystemRoot\system32\DRIVERS\msgpc.sys 0xF7848000 \SystemRoot\system32\DRIVERS\ptilink.sys 0xF7850000 \SystemRoot\system32\DRIVERS\raspti.sys 0xF680F000 \SystemRoot\system32\DRIVERS\termdd.sys 0xF7858000 \SystemRoot\system32\DRIVERS\kbdclass.sys 0xF7860000 \SystemRoot\system32\DRIVERS\mouclass.sys 0xF7A62000 \SystemRoot\system32\DRIVERS\swenum.sys 0xF5B89000 \SystemRoot\system32\DRIVERS\update.sys 0xF79B0000 \SystemRoot\system32\DRIVERS\mssmbios.sys 0xF67FF000 \SystemRoot\system32\DRIVERS\cledx.sys 0xF67EF000 \SystemRoot\System32\Drivers\NDProxy.SYS 0xF3641000 \SystemRoot\system32\drivers\RtkHDAud.sys 0xF361D000 \SystemRoot\system32\drivers\portcls.sys 0xF67DF000 \SystemRoot\system32\drivers\drmk.sys 0xF67CF000 \SystemRoot\system32\DRIVERS\usbhub.sys 0xF7A68000 \SystemRoot\system32\DRIVERS\USBD.SYS 0xF3572000 \SystemRoot\system32\DRIVERS\klif.sys 0xF7890000 \SystemRoot\system32\DRIVERS\usbccgp.sys 0xF7A70000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0xF7BEB000 \SystemRoot\System32\Drivers\Null.SYS 0xF7A76000 \SystemRoot\System32\Drivers\Beep.SYS 0xF78A0000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS 0xF78A8000 \SystemRoot\System32\drivers\vga.sys 0xF7A78000 \SystemRoot\System32\Drivers\mnmdd.SYS 0xF7A7A000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0xF78B0000 \SystemRoot\System32\Drivers\Msfs.SYS 0xF78B8000 \SystemRoot\System32\Drivers\Npfs.SYS 0xF79D8000 \SystemRoot\system32\DRIVERS\rasacd.sys 0xF300A000 \??\C:\WINDOWS\system32\drivers\kl1.sys 0xF2FF7000 \SystemRoot\system32\DRIVERS\ipsec.sys 0xF2F9E000 \SystemRoot\system32\DRIVERS\tcpip.sys 0xF2F4E000 \SystemRoot\system32\DRIVERS\netbt.sys 0xF2F28000 \SystemRoot\system32\DRIVERS\ipnat.sys 0xF679F000 \SystemRoot\system32\DRIVERS\wanarp.sys 0xF2F06000 \SystemRoot\System32\drivers\afd.sys 0xF678F000 \SystemRoot\system32\DRIVERS\netbios.sys 0xF2EE4000 \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS 0xF677F000 \SystemRoot\system32\DRIVERS\arp1394.sys 0xF78C0000 \??\C:\Programme\SUPERAntiSpyware\SASDIFSV.SYS 0xF2E19000 \SystemRoot\system32\DRIVERS\rdbss.sys 0xF2DA9000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0xF75C0000 \SystemRoot\System32\Drivers\Fips.SYS 0xF2D97000 \SystemRoot\system32\DRIVERS\cmiucr.SYS 0xF2BB9000 \SystemRoot\system32\DRIVERS\VX3000.sys 0xF7600000 \SystemRoot\system32\DRIVERS\STREAM.SYS 0xF7610000 \SystemRoot\system32\drivers\usbaudio.sys 0xF3A2C000 \SystemRoot\system32\DRIVERS\hidusb.sys 0xF7620000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS 0xF2B95000 \SystemRoot\System32\Drivers\Fastfat.SYS 0xF2B5A000 \SystemRoot\system32\DRIVERS\rt2500usb.sys 0xF78D0000 \SystemRoot\System32\Drivers\x10ufx2.sys 0xF3A10000 \SystemRoot\system32\DRIVERS\kbdhid.sys 0xF3A0C000 \SystemRoot\system32\DRIVERS\mouhid.sys 0xF7660000 \SystemRoot\system32\DRIVERS\klmouflt.sys 0xF2B1A000 \SystemRoot\System32\Drivers\dump_atapi.sys 0xF7AAE000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS 0xBF800000 \SystemRoot\System32\win32k.sys 0xF2F96000 \SystemRoot\System32\drivers\Dxapi.sys 0xF7900000 \SystemRoot\System32\watchdog.sys 0xBF000000 \SystemRoot\System32\drivers\dxg.sys 0xF7B9B000 \SystemRoot\System32\drivers\dxgthk.sys 0xBF012000 \SystemRoot\System32\nv4_disp.dll 0xBFFA0000 \SystemRoot\System32\ATMFD.DLL 0xF77F0000 \SystemRoot\system32\DRIVERS\AegisP.sys 0xBA4F4000 \SystemRoot\system32\DRIVERS\ndisuio.sys 0xB91EB000 \SystemRoot\system32\DRIVERS\mrxdav.sys 0xB9042000 \SystemRoot\System32\Drivers\HTTP.sys 0xB8F65000 \SystemRoot\system32\drivers\wdmaud.sys 0xB9143000 \SystemRoot\system32\drivers\sysaudio.sys 0xB8DF8000 \SystemRoot\system32\DRIVERS\srv.sys 0xB8BA6000 \??\C:\Programme\Sandboxie\SbieDrv.sys 0xB8B26000 \SystemRoot\System32\Drivers\Cdfs.SYS 0xB5F6C000 \SystemRoot\system32\drivers\kmixer.sys 0x7C910000 \WINDOWS\system32\ntdll.dll Processes (total 55): 0 System Idle Process 4 System 936 C:\WINDOWS\system32\smss.exe 1344 csrss.exe 1368 C:\WINDOWS\system32\winlogon.exe 1420 C:\WINDOWS\system32\services.exe 1432 C:\WINDOWS\system32\lsass.exe 1616 C:\WINDOWS\system32\svchost.exe 1672 svchost.exe 1720 C:\WINDOWS\system32\svchost.exe 1772 C:\WINDOWS\system32\svchost.exe 2004 svchost.exe 176 svchost.exe 496 C:\WINDOWS\system32\spoolsv.exe 744 svchost.exe 868 C:\Programme\a-squared Free\a2service.exe 888 C:\WINDOWS\explorer.exe 932 C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE 10\avp.exe 1000 C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe 1052 C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe 1136 C:\WINDOWS\system32\svchost.exe 1200 C:\Programme\Java\jre6\bin\jqs.exe 1308 C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe 1980 C:\Programme\Microsoft LifeCam\MSCamS32.exe 1820 C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe 200 C:\WINDOWS\system32\nvsvc32.exe 268 C:\Programme\CyberLink\Shared Files\RichVideo.exe 420 C:\Programme\Sandboxie\SbieSvc.exe 764 C:\WINDOWS\system32\svchost.exe 1192 C:\WINDOWS\system32\svchost.exe 1984 C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe 2236 wmpnetwk.exe 3608 C:\WINDOWS\RTHDCPL.EXE 3676 C:\WINDOWS\mHotkey.exe 3748 C:\WINDOWS\CNYHKey.exe 3880 C:\WINDOWS\system32\CmUCREye.exe 3956 C:\Programme\ScanSoft\PaperPort\pptd40nt.exe 1844 C:\WINDOWS\vVX3000.exe 1812 C:\Programme\Brother\ControlCenter3\BrccMCtl.exe 1948 C:\Programme\Medion Info Display\MdionLCM.exe 2072 C:\Programme\Winamp\winampa.exe 2256 C:\Programme\Microsoft LifeCam\LifeTray.exe 2388 C:\Programme\QuickTime\QTTask.exe 2432 C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE 10\avp.exe 2456 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe 2472 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe 2632 C:\Programme\DivX\DivX Update\DivXUpdate.exe 3056 alg.exe 3592 C:\WINDOWS\system32\ctfmon.exe 3668 C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe 4000 C:\Programme\Windows Media Player\wmpnscfg.exe 848 C:\WINDOWS\system32\wbem\wmiapsrv.exe 1628 C:\Programme\Mozilla Firefox\firefox.exe 2296 C:\Programme\Mozilla Firefox\plugin-container.exe 1496 C:\Dokumente und Einstellungen\*****\Desktop\MBRCheck.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS) \\.\D: --> \\.\PhysicalDrive0 at offset 0x0000001d`1a8eb800 (NTFS) \\.\E: --> \\.\PhysicalDrive0 at offset 0x00000038`14eb4600 (FAT32) PhysicalDrive0 Model Number: ST3250823AS, Rev: 3.03 Size Device Name MBR Status -------------------------------------------- 232 GB \\.\PhysicalDrive0 Unknown MBR code SHA1: 385FC9BA2E9D8FDD04EDA0C3892EABE49AB09584 Found non-standard or infected MBR. Enter 'Y' and hit ENTER for more options, or 'N' to exit: Options: [1] Dump the MBR of a physical disk to file. [2] Restore the MBR of a physical disk with a standard boot code. [3] Exit. Enter your choice: Done! Ich tat jetzt erstmal nix, weil ich mal eure Meinung lesen wollte. Scheint ja doch ein MBR-Rootkit zu sein. Schöne Grüße |
ok, starte mbrcheck klicke y for more options, enter klicke 1 für "dump of mbr" enter drücke "0" for hardisk 0 schreib jetzt nen namen für den mbr, tippe enter schließe mbrcheck. die von dir erstellte datei befindet sich im selben ordner wie mbrcheck. uploade den mbr zu uns http://www.trojaner-board.de/54791-a...ner-board.html |
Erst mal danke für die schnelle Antwort! Gehen Daten verloren, wenn ich den MBR fixe? |
du sollst ihn nicht fixen, das wäre ja option 2 du sollst einen dump erstellen und ihn hochladen, wie ich beschrieben hab. |
Ich wollte ihn auhc nicht fixen ;) ich wollte es nur allgemein wissen! Hab mich ein bisschen missverständlich ausgedrückt. So, hab das File geuppt. Was schließt du nun daraus? |
du hast die datei vor nicht mal ner minute hochgeladen. das kann schon n bissel dauern. 1. download malwarebytes. http://www.trojaner-board.de/51187-a...i-malware.html instalieren, öffnen, registerkarte aktualisierung, programm updaten. schalte alle programme aus, auch antivirus, trenne die internetverbindung. starte nun nen komplett scan, funde löschen, log posten. |
Also doch nochmal MB... der Scan wird aber Stunden dauern, hab ne Menge Daten aufer HDD... Und sry, bin halt nur en bisschen ungeduldig^^ |
Ok, MB-Scan fertig, wusste doch, dass da nix gefunden wird! Alle von mir oben aufgezählten Tools fanden NIX! Was nun? |
ich hätte gern noch das gmer log bitte. |
So, ich hab jetzt verschissene 4 Stunden versucht 2x hintereinander mit GMER erneut das System zu scannen, weil ich das Logfile vom letzten Scan ja nicht gespeichert hatte! Und beide Male (das eine im abgesicherten Modus) stürzt GMER ab, und das immer kurz bevor der Scan beendet ist. :koch: Ich kann nur noch mal darauf hinweisen, dass KEINE roten Einträge und KEINE Rootkit-Warnung angezeigt wurden! Lediglich diese Anmerkung eines "rootkit-like behavior" in irgendwelchen Sektoren nach dem Scan vor 3 Tagen sind mir aufgefallen. Und bevor ich es vergesse zu erwähnen: RootkitRevealer schmiert auch dauernd ab! :snyper: |
ja irgendwelche bringt mich nicht weiter :-) versuchen wir erst mal combofix. bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
Yo, is fertig, hier: |
ok versuchen wir folgendes. download radix. Radix Antirootkit - Download - CHIP Online entpacken in einen eigenen ordner. schalte alle laufenden programme aus, auch antivirus, klicke auf die radixgui.exe aktiviere auf der sich öffnenden registerkarte alles, starte den scan, nachfragen mit yes bestätigen. nichts löschen am ende. das log wird warscheinlich zu groß, also hochladen: File-Upload.net und download link posten |
Nä, vergiss es!! Ich hab's jetzt 3x versucht, Radix crasht nach 15 Minuten einfach immer (ich konnt aber haufenweise hidden Registry-Einträge sehen)!! Ich hab langsam keinen Bock mehr, v.a. weil ich eigtl. NIE Probleme mit GMER & Co. hatte aber seit gestern crasht alles! Zum Kotzen :headbang::headbang::headbang: |
hi, ja sorry is net meine schuld :-) hast du einen "fertig" pc von hp zb oder ist das ne eigene windows instalation? |
Wollt dich net angreifen, du kannst ja nix dafür.. Also ich versuche es gerade zum 4. mal mit Radix, bisher schmierte das immer bei dem Punkt "Patched modules" ab, müsste also gleich wieder crashen. Ich hab einen "Fertig-PC" wenn du so willst. So, ich hab es geschafft noch schnell einen Teil des Logs zu saven, ich uppe das mal. Versuche den Rest seperat zu scannen, evtl. klappt das so. Ich uppe das gleich nochmal neu, moment |
wenn nicht lasse patched modules weg, evtl. klappt es dann. ich muss leider auf die analyse des mbrs noch warten, sorry :d |
So hab beide Logs zus.-gefügt: hxxp://www.file-upload.net/download-2810241/Radix1.log.html Scheint ja ganz schön nasty zu sein, wenn ich mir die Berge an Hidden Registry-Files so ansehe^^ Yo, hat auch geklappt als ich das Häkchen da entfernt hatte. |
ok das dauert jetzt n bissel. |
Kein Problem... |
edit!!!!!!! |
vergiss meinen beitrag von oben. lass tdss killer laufen: http://www.trojaner-board.de/82358-t...tml#post640150 poste das log |
Also TDSS scheint es nciht zu sein. Bist du davon überzeugt, dass eine Rootkit-Infektion vorliegt? |
bis eben ja. ich melde mich im laufe des heutigen tages, fang aber schon mal an daten zu sichern. mir gehen langsam die ideeen aus. |
Ooooohhhh neeeeiiiin, bitte nicht! :heulen::heulen: Das würde mindestens 1 Woche dauern, bis ich alles wieder so hergestellt hab, wie das jetzt ist! Schon alleine das Kopieren der Datenberge würde 2 Tage dauern (ich spreche aus Erfahrung, musste schon 4x Auslieferungszustand wiederherstellen! :eek:) und das wäre echt das Allerletzte, was ich tun möchte. Außerdem könnt ich mir dann auch direkt Win 7 drauf hauen, wenn ich eh das System neu aufsetzen muss! Gäbe es ne Möglichkeit, dass ich die Festplatte klonen könnte ohne hintereinander alles wieder neu installieren und updaten zu müssen und ohne das verfuckte Rootkit mitzusichern?? Was sagt denn die Analyse des MBRs eigtl. und was hast du für sichere Indizien gefunden, die die Infektion bestätigen, würd mich mal interessieren? |
wir könnten den mbr neu schreiben, wenn du keine recovery partitition nutzt. aber da gibts halt viele einträge die mir nicht gefallen und wegen derer ich mich erkundigt hab gestern abend, aber so ne anfrage kann schon mal 1 2 tage dauern. fang trotzdem schon mal mit daten sichern an. wenn du die recovery partition nicht nutzt: du hast doch bei systemstart die auswahl zwischen windows start und recovery konsole, wähle die konsole, drücke enter. dort gib ein fixmbr enter evtl. nachfrage mit yes (y) bestätigen, enter pc neu starten in den normalen modus. |
Ja, muss noch schnell ne Bewerbung schreiben leider. Danach mach ich das dann. Erstmal vielen Dank für die bisherige Hilfe! V.a. möcht ich mal wissen, wieso kein Tool dieses Rootkit aufspürt aber is ja relativ normal wenn das Rootkit im MBR sitzt. |
Ach es ist doch zum Heulen, wenn ich die Recovery Console starte, kommt erst mal ne Frage, von welchem Windows ich installieren will!?!?! offenbar kann ich als Antwort auch nur einen Buchstaben eingeben und die ersten Wörter der Frage sind hinter der Monitorbegrenzung, was für ein Scheiß, psiakrew nochmal! Ah ich glaub, ich muss da ne "1" eintippen oder? |
aja sorry, 1 und enter dnn sollte es gehen. |
Wenn ich die Bestätigungsfrage nach dem Befehl "fixmbr" bejahe, kommt, abgesehen von der Warnung dass ich keinen Standard-MBR benutzen würde, wieder eine Eingabeaufforderung. Was muss ich da eingeben, damit der Recovery Modus beendet wird? Weil ich hab das jetzt mit der Reboot-Taste abgebrochen, weil ich da net mehr rauskam. |
exit und dann enter. also war das fixen des mbrs erfolgreich? download hijackthis: HijackThis Logfileauswertung instaliere das programm, starte den pc neu, bitte öffne keinen browser! öffne hijackthis, scan and safe log und das log jetzt hier reinkopieren und posten. |
Aaaasoo also exit, ok! HijackThis hab ich schon auf der Festplatte, bis gleich. |
Ok, MBR konnte erfolgreich gefixt werden, HijackThis-Log im Anhang. Ist da iwas auffälliges? Wenn ja, was genau? |
nichts. ich melde mich später erneut. hatt sich irgendwas gebessert nach dem fixen des mbrs |
Inwiefern gebessert? Symptome (China-Deko im Firefox) habe ich seit der Entfernung des einen Trojaners da keine. Bis halt nur darauf, dass Firefox nach dem Beenden im Hintergrund hängen bleibt, wobei ich das auch bei dem Windows Media Player beobachtet habe und das schon seit sehr langer Zeit so ist. Und ich kann ein gecuttetes Segment eines Videos, welches ich im Videoordner gespeichert hatte, nicht löschen, weil angeblich die Datei von einem anderen Programm verwendet würde, und das auch ohne Inet-Verbindung und im abgesicherten Modus. Find ich zwar was obskur aber na ja. Ich kann aber nochmal versuchen, GMER laufen zu lassen, weil normalerweise ging das immer. |
ja versuch das mal |
Will nur mal wissen, warum der PC unmittelbar nach dem Start von GMER immer einfriert und der CPU um die 80% ausgelastet ist... o.O... das ist auch erst seitdem ich mir GMER neu runtergeladen habe.... Na ja egal: |
ok sieht gut aus, aber erst mal warten was noch zu dem radix log raus kommt |
Ich schätze, das wird noch ein wenig dauern... :D Brauchst du noch ne GMER-Untersuchung im abgesicherten Modus? Und ich hab noch 'ne Frage: War das Fixen des MBRs mit der von ComboFix auf dem potenziell infizierten PC installierten Recovery Console korrekt oder hätte ich das mit der Windows-CD machen sollen? Das fällt mir nämlich gerad ein^^ |
Und, wie isses nun? |
also ich bleib bei meinem vorschlag, daten sichern und dann gleich auf windows 7 umsteigen, da geb ich dir dann tipps zum absichern |
Mit Win 7 wird erstmal nix, weil ich a) kein Geld hab und b) einige Programme sowie Geräte installiert habe, die nicht mit Win 7 kompatibel sind! Ist denn jetzt irgendein klares Ergebnis gekommen über das Radix Log? |
Na ja, ich hab nochmal mit MBRCheck + Bootkit Remover gescannt, der MBR ist jetzt wohl sauber, scanne gerade nochmal mit MB, vllt. entdeckt es ja evtl. vorher gestealthte Malware... |
ja der mbr is sauber, wir haben ihn ja erneuert :-) |
So MB ist fertig, hat nichts gefunden... War ja zu erwarten. Ich würd echt mal gern wissen, was Radix da gefunden hat, was über 13 (!) Tools verborgen geblieben sein soll... War da in dem MBR jetzt ein Parasit drin, was sagt das Analyse-Ergebnis denn jetzt?? Und was kam jetzt wegen der Anfrage bzgl. Radix-Scan da raus?!? |
also der mbr war ok. der autor von radix hat sich gestern abend gemeldet und sieht sich das an. aber du sagst ja selbst, das du probleme hast, wenn du einige programme schließt etc. so in der zeit wo wir jetzt auf die antwort warten hättest du schon daten sichern können und vllt auch schon das system neu aufgesetzt haben können. dann hätte ich dir tipps zum absichern etc gegeben, dazu gehört auch ne backup software, da dauert das zurücksetzen nur noch 15 minuten. |
Das System war vorinstalliert, ich kann nur den Auslieferungszustand wiederherstellen. Als Backup hab ich mir mal Acronis True Image als Trial runtergeladen. Aber wenn ich jetzt ein Festplatten-Image mache, sicher ich dann nicht auch die hidden Registry Files mit? Und die Probleme mit dem Programme schließen (im Prinzip nur Firefox) hab ich schon sehr lange und ich hab schon 4x den Auslieferungszustand wiederhergestellt und das Problem wurde dadurch nie behoben. Glaub dass das einfach am Firefox selber liegt, der soll ja allgemein öfter mal nen Hänger haben^^. Ich bin trotzdem mal gespannt, was der Radix-Autor darauf antworten wird :D |
du sollst deine dateien sichern, bilder etc. dann die festplatte formatieren und zb auf windows 7 umsteigen, dass dann absichern und davon nen image erstellen. und dann in regelmäßigen abständen, vllt alle 2 wochen das image aktualisieren, damit du, falls du zurücksetzen musst, ein aktuelles image hast, was sowieso sinnvoll ist, was machst du denn wenn deine festplatte mal kaputt is? |
Ich bin doch schon längst dabei die verfluchten Daten zu sichern, ich hab außerdem gesagt, dass ich KEIN GELD für Windows 7 hab und Soft- + hardware die nicht kompatibel mit Windows 7 ist auf/an dem Pc hab und ich so auf der XP Home Edition sitzen bleibe!! Alleine das Kopieren der Daten dauert Tage, hab ich auch schon mal erwähnt und ich wollte wissen, ob ich mit der Trial Version von Acronis ein Image machen kann und damit VERHINDERE, dass ich alle Programme, Treiber etc. KOMPLETT NEU konfigurieren/installieren muss, weil ich in Zukunft dafür fast keine Zeit haben werde weil das so viel Zeuch ist! Außerdem wollte ich wissen, ob ich mit einem Image die versteckten Registry-Werte mitsicher, was ja kontraproduktiv wäre und das diese option von vornherein ausschließt!! Darauf bekam ich noch keine Antwort :P |
ja wenn du ein image des gesammten systems machst, dann sicherst du natürlich alles mit, du musst schon neu aufsetzen. ich nutze die trial von true image nicht, deswegen weis ich im moment nicht, welche beschrenkungen, auch zeitlich gesehen, es gib, also mal auf deren homepage lesen. auch windows xp können wir nach dem neu aufsetzen so konfigurieren das es für trojaner schwer wird, auf deinem pc fuß zu fassen. du wirst dann wohl schon mal das zeug neu konfigurieren müssen und dann halt mit dem sauberen system images erstellen, sonst hat das ja wohl nicht viel sinn |
Fuck, großartig ich hab's geahnt, das wird so viel Arbeit, ich könnt kotzen :koch: Aber schreib trotzdem dann mal was bei dem Log rausgekommen ist bitte, bis dann |
lösche deine version von radix, lade die neueste version: http://www.usec.at/downloads3/radix_installer.zip versuche wieder einen scan mit allen optionen aktiev und lad das log wieder hoch bitte. internet + alle andern laufenden programme abschalten. |
Yo, done. V.a. zeigt Radix diese Dokumente in dem 3-?-Ordner als "hidden files" an, obwohl die überhaupt nicht versteckt sind und ich die selbst angelegt habe. Ich weiß zwar nicht, was diese vielen hidden Registry Files zu bedeuten haben aber kann ich evtl. Probleme nicht mit diesem Fix Selected-Button behandeln? Hier der Link: hxxp://www.file-upload.net/download-2816125/radix_912.log.html Btw hab gestern noch mit Catchme und Nemesis Anti-Spyware von USEC gescannt. Nemesis fand einen infizierten Value, den ich gelöscht habe, sonst war da nix. Ich wollt's vllt. nochmal mit RootkitRevealer probieren und mit Rootkit Buster. |
hast du dir eigendlich mal eigene malware gebastelt? es gibt hinweise darauf "BatSword 2010 Malware Constructor" "Windows Scripting Host Worm Contructor" "Zed's Word Macro Virus Constructor "Virus Construction Kits" |
Die Tools bekam ich mal zum testen in der Sandbox, und das eigtl. auch nur, um Malware als solche besser verstehen zu können! Ich wollte einfach mehr über verschiedene Malware erfahren, um herauszufinden, wie sie funktioniert, einfach auch damit ich mich besser davor schützen und anderen evtl. helfen kann. Schließlich bin ich neugierig und ich möchte schon wissen, wie ein Wurm, Trojaner oder ein Virus genau funktioniert, um den Feind einfach besser zu kennen. Da ist doch nix verbotenes dran. Und keine Sorge, damit wurde garantiert keine Scheiße angestellt, würde abgesehen davon auch überhaupt nicht gehen, weil das alles sehr einfache und alte Modelle sind, die zu 100% von jedem gewöhnlichen Scanner erkannt werden. Außerdem hab ich die Constructor schon längst alle wieder entfernt. Es sind außerdem deshalb mehrere, weil ich prüfen wollte, ob das Funktionsschema immer gleich ist. War also nur zum Vergleich für mich selber, damit wurde niemand geschädigt und wird es auch nie, weil ich wie gesagt die Tools nicht mehr habe. |
immer mit der ruhe, war nur ne frage. ok hab das neue log weiter gereicht. zum testen ist übrigens ne vm besser geeignet, da sicherer. |
Yo, danke :-) Ich weiß aber ich muss erst noch mal genau schauen ob es da auch ne wirklich gute VM als Freeware gibt weil VMWare kostet... Rootkit Buster fand nix. |
Ist da mal was neues rausgekommen über das Radix-Log? |
nein, für einige einträge nicht. und ich hab ja meine meinung schon gesagt, format. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 06:17 Uhr. |
Copyright ©2000-2025, Trojaner-Board