Browser lassen sich nach Troj.-Befall nicht öffnen windows\system32\svchost.exe Trojan.Downloader
 

Hallo miteinander,

ich habe ein hartnäckiges Problem auf einem Rechner, welcher einen Trojaner-Befall hat/hatte. Auch nach durchlaufen aller Programme und Tools gemäß der Anleitung hier, ist es weiterhin so, dass sich sowohl Internet Explorer als auch Safari nicht öffnen lassen. Beim InternetExplorer war es teilweise so, dass er sich gleich wieder geschlossen hat oder abgestürzt ist (MS-Windows-Fehlermeldung).

Bevor ich die Tools gemäß der Anleitung hier genutzt habe, hatte ich bereits einmal MBAM laufen lassen. Daher habe ich im Anhang zwei Logfiles von MBAM. Daneben habe ich unter Software eine Zylon-Toolbar installiert und ein Programm "Uninstall 1.0.0.1".
MBAM hat bei einem zweiten Durchlauf nichts mehr gefunden, aber weiterhin bestand die Problematik, dass sich der InternetExplorer nicht öffnen ließ. Dabei fiel mir auf, dass die Norton Internet Security beim Versuch diesen zu öffnen einen Angriff über die Datei c:\windows\system32\svchost.exe meldete. Dies ist auch der Grund, warum diese von mir temporär auf _svchost.exe umbenannt wurde.

Danach habe ich die Vorgehensweise gemäß Eurer FAQ vollzogen und dementsprechend lade ich im Anhang die Logfiles hoch.

Ich danke Euch bereits im Voraus für Eure Hilfe.

Viele Grüße


Heiko

P.S.: Ich habe versucht alle Eure Regeln und Anforderungen die Ihr zu Recht an einen Hilfesuchenden stellt versucht zu befolgen. Sollte ich etwas übersehen haben, so bitte ich um Nachsicht und einen dementsprechenden Hinweis, dass ich darauf im weiteren Verlauf achten kann.

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Hallo Arne,

herzlichen Dank für die Hilfe!
Habe den "Fix" wie beschrieben mit dem benutzerdefinierten Text von Dir durchgeführt.
OTL wollte einen Neustart, nach welchem der Nachfolgende Text in einem Log angezeigt wurde. Ich habe den Rechner weiterhin nicht ans Netzwerk angeschlossen. Internet Explorer hat sich nach dem anklicken geöffnet, hängt allerdings mit Sanduhr. Safari ließ sich öffnen. Internet Explorer bei einem zweiten Versuch nach killen der iexplore-Prozesse auch. Allerdings bei einem weiteren Versuch hing er wieder.

Danke schon mal für weitere Hilfe und Input, ob ich noch etwas in Sachen Problembehebung machen muss, was die Schadsoftware angeht oder ob ich wieder ans Netz kann und ggf. den Internet Explorer neu installieren muss?!

Viele Grüße


Heiko

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo Arne,

herzlichen Dank. Habe Deine Anweisungen befolgt und schilder nachfolgend in kurzer Zusammenfassung, da ich hoffe alles korrekt verstanden und durchgeführt zu haben:
Habe erst den CCleaner ausgeführt (erst Cleander, dann Registry mehrfach mit Sicherungen). Nachdem alles behoben war, habe ich wie empfohlen Combofix als cofi.exe umbenannt gestartet. In meinem Fall wollter er die Wiederherstellungskonsole installieren, weswegen ich kurz das Netzwerkkabel für die Internetverbindung angeschlossen habe. Nach erfolgter Installation hat Combofix gestartet und konnte einen Rootkit auffinden, weswegen es zu einem Neustart aufgefordert hat. Bei diesem habe ich auch die Gelegenheit genutzt und das Netzkwerkkabel wieder abgezogen. Nach dem Neustart ist Combofix weiter durchgelaufen. Ich habe dabei den Hinweis befolgt keine weiteren Programme zu starten. Da auch der Hinweis dabei war währenddessen keine Maus und Tastatur zu nutzen, habe ich Autostartprogramme nicht manuell abgebrochen, sondern ganz normal starten lassen und gar nichts am Rechner gemacht. Hoffe das ist richtig so oder hätte ich die Autostartprogramme schließen sollen?

Das Logfile von Combofix poste ich nachfolgend:
[CODE]
Combofix Logfile:
--- --- ---


Herzlichen Dank vorab für weitere Hilfe.

Viele Grüße



Heiko

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Habe Combofix mit dem Script ausgeführt. Es wurde erneut ein Rootkit erkannt und neu gestartet. Nach dem Durchlaufen des Programms wurde die nachfolgende Logdatei angezeigt:

[CODE]
Combofix Logfile:
--- --- ---

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Vorgehensweise wie beim letzten Mal. Logfile nachfolgend:

[CODE]
Combofix Logfile:
--- --- ---

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Downloade Dir anschließend bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Dankeschön. Nachfolgend die gewünschten Logs



GMER Logfile:
--- --- ---



OSAM-Log:

OSAM Logfile:
--- --- ---

--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru[/CODE]

MBRCheck-Log:

Hast Du außer WinXP noch andere Betriebssysteme installiert?

Nein bisher nicht (auf diesem Rechner).

Hätte das einen Vorteil oder fragst Du wegen einem Log und suchst nach einer Erklärung?
Falls letzteres der Fall ist - es war ein USB-Stick (Cruzer) am Rechner auf welcher eine Funktion hat, die ein CD-Rom-Laufwerk (und ggf. auch ein OS?!) emuliert.

Wir müssen den MBR neu schreiben. Deswegen.

Starte den Rechner neu und wähle im Bootmenü die Wiederherstellungskonsole aus.

Tipp dort den Befehl fixmbr ein (dann Enter, mit j bestätigen) danach den Befehl fixboot (dann Enter, mit j bestätigen)

Mit exit (dann enter drücken) wird der Rechner neu gestartet. Führe im normalen Windowsmodus den Bootkit Remover nochmals aus und poste das neue Log.

Hoffe das ist jetzt keine "saudumme Frage" und begebe mich mal noch gleich auf die Suche, aber welches der Programme, die ich bisher genutzt habe ist der Bootkit Remover? Oder kann es sein, dass ich das bisher noch nicht genutzt habe und es das unter folgendem Link ist?:

hxxp://www.trojaner-board.de/86574-bootkit-remover.html