|
Befall mit diverser Malware u.a. : C:\WINDOWS\btrd32.dll (Trojan.Hiloti); -TR/Crypt.XPACK.Gen3' Hallo Ich bräuchte bitte eure Hilfe bei folgendem Problem. Seit letzter Woche bekomme ich vom AntivirGuard immer wieder diverse Funde angezeigt. Angefangen hat dies vor einer Woche mit AV Guard Meldung: Zitat:
Zitat:
Untenstehend findet ihr den Report des letzten Scans mit Malwarebytes und im Anhang die OTL Log Dateien. Wie soll ich weiter verfahren? Schonmal vielen Dank für eure Hilfe!!!!!! Edit: Im Anhang findet ihr jetzt noch zusätzlich die Log Datei vom letzten AntiVir Scan -------------------------------------------------------------------------- Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Database version: 4715 Windows 5.1.2600 Service Pack 3 Internet Explorer 7.0.5730.13 29.09.2010 14:23:26 mbam-log-2010-09-29 (14-23-26).txt Scan type: Full scan (C:\|D:\|) Objects scanned: 218276 Time elapsed: 1 hour(s), 26 minute(s), 0 second(s) Memory Processes Infected: 0 Memory Modules Infected: 1 Registry Keys Infected: 0 Registry Values Infected: 2 Registry Data Items Infected: 0 Folders Infected: 0 Files Infected: 5 Memory Processes Infected: (No malicious items detected) Memory Modules Infected: C:\WINDOWS\btrd32.dll (Trojan.Hiloti) -> No action taken. Registry Keys Infected: (No malicious items detected) Registry Values Infected: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\dseha (Trojan.Hiloti) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\dfrgsnapnt.exe (Trojan.Downloader) -> No action taken. Registry Data Items Infected: (No malicious items detected) Folders Infected: (No malicious items detected) Files Infected: C:\WINDOWS\btrd32.dll (Trojan.Hiloti) -> No action taken. C:\Dokumente und Einstellungen\erl\Lokale Einstellungen\Temp\0.5548023950281677.exe (Trojan.Dropper) -> No action taken. C:\Dokumente und Einstellungen\erl\Lokale Einstellungen\Temp\0.6773774254357416.exe (Trojan.Dropper) -> No action taken. C:\Dokumente und Einstellungen\erl\Lokale Einstellungen\Temp\topwesitjh (Trojan.Agent) -> No action taken. C:\Dokumente und Einstellungen\erl\Lokale Einstellungen\Temp\dfrgsnapnt.exe (Trojan.Downloader) -> No action taken. |
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. |
Hallo Arne Vielen Dank für die schnelle Hilfe. Hier ist der Log von OTL: All processes killed ========== OTL ========== Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Qqunoka deleted successfully. C:\WINDOWS\afugohewatebic.dll moved successfully. D:\AUTOEXEC.BAT moved successfully. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5151e45e-67bf-11dd-865e-806d6172696f}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5151e45e-67bf-11dd-865e-806d6172696f}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5151e45e-67bf-11dd-865e-806d6172696f}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5151e45e-67bf-11dd-865e-806d6172696f}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5151e45e-67bf-11dd-865e-806d6172696f}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5151e45e-67bf-11dd-865e-806d6172696f}\ not found. File F:\setup.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f1145c4a-50a4-11df-8055-0022435dd41b}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f1145c4a-50a4-11df-8055-0022435dd41b}\ not found. File autorun\autorun.exe not found. Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls\\noteices:C:\WINDOWS\system32\forconui.dll deleted successfully. C:\WINDOWS\system32\forconui.dll moved successfully. C:\Dokumente und Einstellungen\erl\Lokale Einstellungen\Anwendungsdaten\{7FEA4C8E-D39F-4D11-8D80-83B7DB101030}\chrome\content folder moved successfully. C:\Dokumente und Einstellungen\erl\Lokale Einstellungen\Anwendungsdaten\{7FEA4C8E-D39F-4D11-8D80-83B7DB101030}\chrome folder moved successfully. C:\Dokumente und Einstellungen\erl\Lokale Einstellungen\Anwendungsdaten\{7FEA4C8E-D39F-4D11-8D80-83B7DB101030} folder moved successfully. File C:\WINDOWS\System32\forconui.dll not found. C:\WINDOWS\Pmanebi.dat moved successfully. C:\WINDOWS\Pdujutivo.bin moved successfully. ========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: Administrator ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 32969 bytes ->FireFox cache emptied: 46859923 bytes ->Flash cache emptied: 2209 bytes User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 32902 bytes User: erl ->Temp folder emptied: 474551393 bytes ->Temporary Internet Files folder emptied: 158563 bytes ->Java cache emptied: 40224707 bytes ->FireFox cache emptied: 59000851 bytes ->Google Chrome cache emptied: 193283679 bytes ->Flash cache emptied: 89305 bytes User: LocalService ->Temp folder emptied: 66016 bytes ->Temporary Internet Files folder emptied: 486440 bytes ->Flash cache emptied: 829 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 25464543 bytes ->Flash cache emptied: 38978 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 90112 bytes %systemroot%\System32 .tmp files removed: 3771271 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 28662589 bytes RecycleBin emptied: 314315206 bytes Total Files Cleaned = 1.132,00 mb OTL by OldTimer - Version 3.2.14.1 log created on 10012010_101117 Files\Folders moved on Reboot... File\Folder C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PMJWLGRB\CategoryDisplay[1].htm not found! File\Folder C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PMJWLGRB\products[1].htm not found! C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PMJWLGRB\raise-your-game[1].htm moved successfully. C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PMJWLGRB\XMLHttpRequest[1].js moved successfully. File\Folder C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\H0EMJ8FD\infection[1].htm not found! File\Folder C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\H0EMJ8FD\search[1].htm not found! C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\H0EMJ8FD\topic[1].htm moved successfully. C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6TNGOTH1\language_tools[2].htm moved successfully. Registry entries deleted on Reboot... |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Hallo Arne Danke für die schnelle Antwort. Unten findest du die Log von ComboFix. Leider ging beim Ausführen von Combofix etwas schief: beim neustart um vorhandene Rootkits zu überprüfen startete Windows nicht mehr. Dies ist allerdings vor Virenbefall auch schon häufiger vorgekommen. Nach 20 min hab ich dann den Pc ausgeschaltet und manuell hochgefahren. Nach diesem Start öffnete sich dann Antivir aus dem Autostart und brachte mir irgendeine Befallsmeldung über ein Rootkit. Combofix lief nicht weiter bis ich nach längeren warten den Prozess von Antivir im Taskmanager beendete habe. Danach lief dann Combofix ohne Probleme zu Ende. Ich hoffe der Scan ist trotzdem brauchbar. Grüße Daniel Combofix Logfile: Code: ComboFix 10-09-30.03 - erl 01.10.2010 13:01:53.1.2 - x86 |
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus. Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen. Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt. |
Hallo Arne. War über das Wochenende verhindert. Hab jetzt die Scans mit GMER und OSAM durchgeführt. Grüße und Danke GMER: GMER Logfile: Code: GMER 1.0.15.15281 - hxxp://www.gmer.net............................. OSAM: OSAM Logfile: Code: Report of OSAM: Autorun Manager v5.0.11926.0If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru |
Ok. Das andere Log brauch ich auch noch. |
Ah ok, den bootkit remover hatte ich vergessen. Hier die Ausgabe: Bootkit Remover (c) 2009 eSage Lab www.esagelab.com Program version: 1.2.0.0 OS Version: Microsoft Windows XP Home Edition Service Pack 3 (build 2600) System volume is \\.\C: \\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 Boot sector MD5 is: 5ddc20efcc4d1dab37c348c7db7289cf Size Device Name MBR Status -------------------------------------------- 149 GB \\.\PhysicalDrive0 Unknown boot code Unknown boot code has been found on some of your physical disks. To inspect the boot code manually, dump the master boot sector: remover.exe dump <device_name> [output_file] To disinfect the master boot sector, use the following command: remover.exe fix <device_name> Done; Press any key to quit... |
Ah ok, den bootkit remover hatte ich vergessen. Hier die Ausgabe: Bootkit Remover (c) 2009 eSage Lab www.esagelab.com Program version: 1.2.0.0 OS Version: Microsoft Windows XP Home Edition Service Pack 3 (build 2600) System volume is \\.\C: \\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 Boot sector MD5 is: 5ddc20efcc4d1dab37c348c7db7289cf Size Device Name MBR Status -------------------------------------------- 149 GB \\.\PhysicalDrive0 Unknown boot code Unknown boot code has been found on some of your physical disks. To inspect the boot code manually, dump the master boot sector: remover.exe dump <device_name> [output_file] To disinfect the master boot sector, use the following command: remover.exe fix <device_name> Done; Press any key to quit... |
Zitat:
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
Hallo Arne Hier die Logs von Malwarebytes und SuperAntispyware. Letztere shat etwas gefunden. Äh peinlich:pfeiff:.... Naja danke schonmal Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Database version: 4747 Windows 5.1.2600 Service Pack 3 Internet Explorer 7.0.5730.13 05.10.2010 21:12:28 mbam-log-2010-10-05 (21-12-28).txt Scan type: Full scan (C:\|D:\|) Objects scanned: 212095 Time elapsed: 56 minute(s), 34 second(s) Memory Processes Infected: 0 Memory Modules Infected: 0 Registry Keys Infected: 0 Registry Values Infected: 0 Registry Data Items Infected: 0 Folders Infected: 0 Files Infected: 0 Memory Processes Infected: (No malicious items detected) Memory Modules Infected: (No malicious items detected) Registry Keys Infected: (No malicious items detected) Registry Values Infected: (No malicious items detected) Registry Data Items Infected: (No malicious items detected) Folders Infected: (No malicious items detected) Files Infected: (No malicious items detected) SUPERAntiSpyware Scan Log hxxp://www.superantispyware.com Generated 10/05/2010 at 10:35 PM Application Version : 4.44.1000 Core Rules Database Version : 5635 Trace Rules Database Version: 3447 Scan type : Complete Scan Total Scan Time : 01:08:48 Memory items scanned : 626 Memory threats detected : 0 Registry items scanned : 7216 Registry threats detected : 0 File items scanned : 69773 File threats detected : 3 Adware.Tracking Cookie files.youporn.com [ C:\Dokumente und Einstellungen\erl\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\ASE68UM9 ] youporncams.com [ C:\Dokumente und Einstellungen\erl\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\ASE68UM9 ] Trojan.Agent/Gen-CDesc[Gen] C:\SYSTEM VOLUME INFORMATION\_RESTORE{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP2\A0005301.SYS |
Sieht ok aus, da wurden nur Cookies gefunden. Und naja ein Überrest in der Systemwiederherstellung. Noch Probleme oder weitere Funde in der Zwischenzeit? |
Nein keine Beschwerden mehr. Wenn wir soweit fertig sind dann bedank ich mich schonmal für die super schnelle und kompetente Hilfe von dir. Bin sehr froh das mir das Neuaufsetzten des Systems erspart wurde. Klasse das es die Seite gibt. Gruß Daniel l:dankeschoen::dankeschoen::dankeschoen: |
Dann wären wir durch! :abklatsch: Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 06:21 Uhr. |
Copyright ©2000-2025, Trojaner-Board