Virus/Rootki Problem:R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyS
 

Hallo! neues Mitglied erbittet Hilfe bei Problem ^^

Also mit diesem Problem habe ich mich zunächst an ein anderer Forum (ja Schande über mich) gewandt (Giga.de). Dort hat man mir auch früher schonmal geholfen. Die größten Schwierigkeiten konnte ich mit deren Hilfe auch beseitigen =)
ABER als es dann zu den letzten Schritten kam wurden mein Problem und ich wohl vergessen :( und mir wäre das irgendwie unangenehm, meinen Helfer extra zu errinnern...
Aufjedenfall vermute ich, dass sich noch immer auf meinem Netbook ein Rootkit befindet und ich kriegs nicht weg >.> Ich bin mir jetzt ehrlich gesagt nicht sicher ob ich die gesamte Vorgeschichte meines Viruses auch posten sollte... Das lasse ich erstmal... auf Anfrage, werd ich das aber natürlich nachholen! Im Folgenden werde ich dann ein HJT Logfile, ein neues OTL und von den letzten Scans, die ich im Rahmen der letzten Bearbeitung bei Giga.de ausführen sollte hochladen.

--HJT Logfile mit Verweis auf mein Problem:
Wie schon im Titel genannt liegt mein Problem wohl hier:
-------------------

---OTL Logfiles neueste:
OTL.txt
Extra.txt:
--------------------------

So nun das interessantere und zwar hab ich da noch 2 weitere Scans.
Einmal von GMER das von GMER ist etwas älter... aber ich hab seitdem wirklich nichts an meinem Netbook gemacht also wird sich da doch nichts geändert haben, denke ich. Naja und dann eben noch von RootRepeal.

das erste Logfile vom automatische Scan von GMER:

Dann das ausführliche, mit den Häkchen an: Drivers,Files,Processes,SSDT,Stealth Objects,Hidden Services,Shadow SSDT

-----------------------------------
UND last but not least von Rootrepeal, alle Häkchen aktiviert:

--------------------

Ok ich gebe zu, das ist nicht wenig :rolleyes: aber dann dürften fürs erste keine Fragen offen bleiben ;). Ich hoffe wirklich, dass mir hier jemand helfen kann und möchte und dass ich nicht wieder vergessen werde :D
Nun gut Spaß beiseite, ich fänds also echt klasse, wenn mir jemand helfen köönnte und lasst euch nicht von der Masse von Infos erschlagen!

Grüße
Demonico

Wenn Du schon ein Crossposting machst dann musst Du auch netterweise den Link zu dem Strang im anderen Board posten.

Oh tut mir leid :stirn:hab ich doch glatt das wichtigste vergessen ...
Mit dem Crossposting hab ich mir auch wirklich viel Zeit gelassen, wie man ja an dem Datum der letzten Posts in dem anderen Board sehen kann. Ich wollte das ja auch vermeiden und deshalb eben sichergehen, dass dieser Fall, dass mehrere Foren sich damit beschäftigen nicht eintritt... deswegen hab ich ja auch so lange gewartet :(

Link:
hxxp://forum.giga.de/showthread.php?p=1058535628#post1058535628

Ist schon ein bisschen her....
Mach als erstes nochmal nen Vollscan mit aktuellem Malwarebytes.

Ok erledigt hier das Logfile:

Der hat doch tatsächlich noch was gefunden! Bislang hab ich das noch nicht unter Quarantäne gestellt... sollte ich aber doch lieber machen nehme ich an oder? Ich bin mir da bloß so unsicher, weil das eben in meinem Reconnector Ordner hockt, aber das hat bestimmt wieder nichts zu sagen. Soll ich das vllt vorher bei Virustotal oder so hochladen?

Gruß,
Demonico

Das Programm musst Du doch kennen! Wieso liegt es sonst auf dem Desktop?
Diese nc.exe wird aber oft von Malwarebytes bemängelt...

Mach mal neue OTL-Logs:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Das Programm kenn ich schon deshalb, war ich ja so vorsichtig und habs erstmal nicht gelöscht ;) aber hier der OTL Scan:
So das Otl.txt:
OTL Logfile:
--- --- ---

[/code]

und die extras.txt:

OTL Logfile:
--- --- ---

[/code]

Gruß und Danke
Demonico

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

ok Erledigt ! :

Gruß
Demonico

Offensichtlich scheint jetzt alles wieder in Ordnung zu sein :daumenhoc
Jetzt kann ich endlich wieder beruhigt schlafen :D
Also danke vielmals!
Ich geb einen aus :D :party:

Führ nochmal CF aus, mit ner neuen combofix.exe zu cofi.exe umbenannt:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Gesagt getan! Mit dem CCleaner hab ich alles gelöscht und es sind keine unlöschbaren Registries übrig geblieben.
Zu Combofix:
Erstmal allgemein: Warum musste man die .exe eigentllich umbenennen?
Dann als ich Combofix gestartet habe, kam erstmal ne leere Textbox, mit dem Titel Fehler, da hab ich dann auf "ok" gedrückt und das System hat sich neugestartet, dann ging alles ohne Probleme, kp was das jetzt war. Aber hier das Abschlusslog:

[Code]
Combofix Logfile:
--- --- ---

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Sohooo here we go:

[code]
Combofix Logfile:
--- --- ---


Gruß
Demonico

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. (das letzte GMER Log ist auch schon 2 Monate alt :rolleyes: )
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Hier hätten wir zunächst den Scan von GMER:

Dann noch den von OSAM:

und zuletzt noch den kleinen MBRCheck :

So ich bin auch done :D und wie siehts aus?? Die Ergebnisse sind doch recht positiv oder ? ^^ Wenn ja wär das ja echt klasse =)

Gruß,
Demonico

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hey! eigentlich wollte ich die Logs schon gestern abend posten, aber dann hab ich gemerkt, dass ich bei dem Scan von SuperAntiSpyware vergessen hab die Preferences einzustellen, also muss ich den Scan nochmal machen...
Allerdings muss ich übers Wochenende weg und muss auch schon jetzt los... das heißt ich kann die Scans frühestens Sonntag Abend, oder Montag posten...
Ich hoffe das ist für dich in Ordnung. Wollte auf jedenfall vorher eben bescheid sagen.

Gruß,
Demonico

Ja ist ok ;)
Danke für die Info :)

Ohje ist doch noch was dazwischen gekommen ^^
naja aufjedenfall bin ich endlich dazu gekommen die Logs zu posten.
Ich hatte ja schon erwähnt, dass ich den SuperAntispyware scan nochmal machen musste, weil ich da vergessen hab die Prferences einzustellen. Deshalb sind das jetzt 2 Logs das erste ohne die Preferences, das zweite mit diesen.

1. Log

2.Log:

und hier mit Malewarebytes: noch der Scan von letzter Woche, da wurde wohl noch einiges gefunden und noch einer von heute mit Akualisierung:

Log letzter Woche:

und das von heute:

Da bin ich ja wieder freudig auf die Auswertung gespannt ^^

Gruß,
Demonico

Sieht ok aus, da wurden nur Cookies gefunden von SASW und im neues MBAM Log garnichts.
Noch Probleme oder weitere Funde in der Zwischenzeit?

Oh man, ich meld mich schonwieder so spät...
Tut mir leid, aber ich hab momentan so viel mit dem Studium zu tun, das ich zu nichts mehr komme... da vergisst man glatt seine mehr oder minder gute Erziehung :twak:
Auf jedenfall wollte ich die Gelegenheit nutzen mich wirklich nochmal direkt zu bedanken!

Also vielen, vielen Dank für den Aufwand und die Zeit, die du in die Lösung meines Problem investiert hast! :dankeschoen: Ich verspreche auch keine Crosspostings mehr zu machen =)
Also ich geb einen aus ! xD :party:

Du fragtest noch, ob es noch zu irgendwelchen Problemen gekommen sei, nach der Bearbeitung.
Da sind so Kleinigkeiten, um die ich mich allerdings selber kümmern werde.
Eine Frage hab ich aber noch und zwar:
Kommt nach ner gewissen Zeit, nachdem ich das Netbook gestartet habe die Meldung: " Generic Host Processes for Win32 Services hat ein Problem festgestellt und muss beendet werden" ist das ein größeres Problem oder eher nicht?
[Edit: Gerade schon wieder :D ]
Ich frag auch nur, weil als ich das eine Mal darauf eingegangen bin und den Prozess beendet habe, mein System vollkommen abgestürzt ist. Da ging nix mehr. In allen anderen Fällen sind "nur" Mozilla/IE abgestürzt und haben nicht mehr reagiert. Da ist wohl bei der Entfernung noch irgendwas sinnvolles draufgegangen ^^ Falls du keine Idee hast woran das liegt werd ich mich mal in anderen Foren noch schlau machen.

Also nochmals vielmals Danke für deine Hilfe !! :singsing:

Gruß
Demonico