Trojaner-Board
Seite 1 von 3 1 23
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Spätfolgen von Thinkpoint (https://www.trojaner-board.de/92310-spaetfolgen-thinkpoint.html)

Poldyxxx 29.10.2010 10:40
Spätfolgen von Thinkpoint
 
Hallo,
zuerst einmal möchte ich mich bei Euch bedanken, das Board hat mir bisher bei der Virenbekämpfung sehr viel geholfen.
Leider scheint aber noch nicht alles entfernt zu sein.
Ich habe mir diese Woche den Thinkpoint UND den Antimalware Doctor zeitgleich eingefangen. Die Auswirkung lasse ich mal weg, denn die wurden ja in anderen Threads schon geschildert.
Über den DOS Modus konnte ich Malwarebytes und Rkill starten. Mit dieser Kombination habe ich ca 10 Scans durchgeführt und jedes mal wurden neue andere Viren gefunden. Unter anderem auch ein Rootkit, dieser hat 2 neue Admin Benutzer angelegt, die es vorher nicht gab.
TDSS habe ich zum Schluß auch nochmal verwendet, da kam auch noch ein Treffer zum vorschein
Es ist zwar alles entfernt aber ich habe noch nicht wieder alle Rechte, denn ich kann z.b. keine Programme installieren.
Da kommt eine Meldung von Presetup, das ich nicht ausreichende Rechte hätte.
Könnt Ihr mir bitte bei dieser Sache mal persönlich helfen, denn jetzt komme ich nicht mehr weiter.
Logs von OTL und Mbam sind mit dabei, aber nur die letzten.

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Database version: 4986

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

29.10.2010 11:14:04
mbam-log-2010-10-29 (11-14-04).txt

Scan type: Quick scan
Objects scanned: 147788
Time elapsed: 5 minute(s), 54 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)


OTL:

cosinus 31.10.2010 13:59
Zitat:
TDSS habe ich zum Schluß auch nochmal verwendet, da kam auch noch ein Treffer zum vorschein
Log bitte posten. Auch alle Malwarebytes Logfiles nachreichen, sofern es nochmehr davon gibt.

Poldyxxx 31.10.2010 19:28
Hier sind alle Logs von Malwarebytes die etwas gefunden haben und die beiden von TDSS kommen kurz danach.

Ich habe ein diesem Tag mehrere Updates von Malwarebytes gemacht und meistens wurde direkt danach noch was gefunden.
Ich habe inzwischen gemerkt, das mein Rechner stabil läuft. solange ich keine Verbindung zum Internet habe. Sobald es eine Verbindung gibt öffnen sich bei den Prozessen im Taskmanager mehrere Internet Explorer, die sind aber nicht sichtbar.

Poldyxxx 31.10.2010 19:30
Und die beiden TDSS Logs

cosinus 31.10.2010 19:36
Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.

Poldyxxx 01.11.2010 14:31
So, hier noch der aktuelle Log von OTL

cosinus 01.11.2010 18:17
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
O4 - HKCU..\Run: [ajndufhiad.exe] C:\ajndufhiad.exe\ajndufhiad.exe File not found
O4 - HKCU..\Run: [HPUnQURrtc] C:\DOKUME~1\User\LOKALE~1\Temp\sysedit.exe File not found
O32 - AutoRun File - [2002.12.31 13:00:00 | 000,000,112 | R--- | M] () - D:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{2fe25c03-3114-11df-a103-0015c5ba2c51}\Shell - "" = AutoRun
O33 - MountPoints2\{2fe25c03-3114-11df-a103-0015c5ba2c51}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{2fe25c03-3114-11df-a103-0015c5ba2c51}\Shell\AutoRun\command - "" = E:\setup_vmc_lite.exe -- File not found
O33 - MountPoints2\{4635e439-76f5-11df-a12e-0018de707224}\Shell\AutoRun\command - "" = E:\InstallTomTomHOME.exe -- File not found
O33 - MountPoints2\{6ffe385a-1bda-11df-a0e2-0018de707224}\Shell\AutoRun\command - "" = E:\PowerSeller\NeuKunden.exe -- File not found
O33 - MountPoints2\{f3dabbf2-337d-11df-a104-001e101f305f}\Shell\AutoRun\command - "" = E:\setupSNK.exe -- File not found
O33 - MountPoints2\{ff708ad9-2f70-11df-a100-0018de707224}\Shell - "" = AutoRun
O33 - MountPoints2\{ff708ad9-2f70-11df-a100-0018de707224}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{ff708ad9-2f70-11df-a100-0018de707224}\Shell\AutoRun\command - "" = E:\setup_vmc_lite.exe -- File not found
O33 - MountPoints2\{ff708ae0-2f70-11df-a100-0018de707224}\Shell - "" = AutoRun
O33 - MountPoints2\{ff708ae0-2f70-11df-a100-0018de707224}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{ff708ae0-2f70-11df-a100-0018de707224}\Shell\AutoRun\command - "" = E:\setup_vmc_lite.exe -- File not found
[2010.10.29 09:32:24 | 000,000,000 | ---D | C] -- C:\tssdd
[2010.10.26 08:37:15 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Dokumente\Server
[2010.11.01 14:25:21 | 000,765,952 | ---- | M] () -- C:\WINDOWS\System32\drivers\fwuwegd.sys
[2010.10.29 08:43:40 | 000,294,912 | ---- | M] () -- C:\Programme\71gybnqp.exe
[2010.10.29 07:55:10 | 000,000,120 | ---- | M] () -- C:\WINDOWS\Prubuqug.dat
[2010.10.29 07:55:05 | 000,000,000 | ---- | M] () -- C:\WINDOWS\Ovofuyutomob.bin
[2010.10.28 19:15:51 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\WebReg 20101028201550.job
[2010.10.27 15:42:29 | 000,471,642 | ---- | M] () -- C:\Programme\Load.exe
[2010.10.26 10:52:26 | 000,364,032 | ---- | M] () -- C:\Programme\rk.com
[2010.10.26 10:52:26 | 000,364,032 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Desktop\rk.com
[2010.10.07 20:51:45 | 000,316,640 | ---- | M] () -- C:\WINDOWS\WMSysPr9.prx
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Poldyxxx 02.11.2010 10:50
So, hier das Textfile nach dem Fix mit OTL. Komischerweise konnte ich es als File nicht anhängen.

All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\ajndufhiad.exe deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\HPUnQURrtc deleted successfully.
File move failed. D:\AUTORUN.INF scheduled to be moved on reboot.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2fe25c03-3114-11df-a103-0015c5ba2c51}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2fe25c03-3114-11df-a103-0015c5ba2c51}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2fe25c03-3114-11df-a103-0015c5ba2c51}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2fe25c03-3114-11df-a103-0015c5ba2c51}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2fe25c03-3114-11df-a103-0015c5ba2c51}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2fe25c03-3114-11df-a103-0015c5ba2c51}\ not found.
File E:\setup_vmc_lite.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4635e439-76f5-11df-a12e-0018de707224}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4635e439-76f5-11df-a12e-0018de707224}\ not found.
File E:\InstallTomTomHOME.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6ffe385a-1bda-11df-a0e2-0018de707224}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6ffe385a-1bda-11df-a0e2-0018de707224}\ not found.
File E:\PowerSeller\NeuKunden.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f3dabbf2-337d-11df-a104-001e101f305f}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f3dabbf2-337d-11df-a104-001e101f305f}\ not found.
File E:\setupSNK.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ff708ad9-2f70-11df-a100-0018de707224}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ff708ad9-2f70-11df-a100-0018de707224}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ff708ad9-2f70-11df-a100-0018de707224}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ff708ad9-2f70-11df-a100-0018de707224}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ff708ad9-2f70-11df-a100-0018de707224}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ff708ad9-2f70-11df-a100-0018de707224}\ not found.
File E:\setup_vmc_lite.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ff708ae0-2f70-11df-a100-0018de707224}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ff708ae0-2f70-11df-a100-0018de707224}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ff708ae0-2f70-11df-a100-0018de707224}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ff708ae0-2f70-11df-a100-0018de707224}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ff708ae0-2f70-11df-a100-0018de707224}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ff708ae0-2f70-11df-a100-0018de707224}\ not found.
File E:\setup_vmc_lite.exe not found.
C:\tssdd folder moved successfully.
Folder move failed. C:\Dokumente und Einstellungen\All Users\Dokumente\Server scheduled to be moved on reboot.
File move failed. C:\WINDOWS\system32\drivers\fwuwegd.sys scheduled to be moved on reboot.
C:\Programme\71gybnqp.exe moved successfully.
C:\WINDOWS\Prubuqug.dat moved successfully.
C:\WINDOWS\Ovofuyutomob.bin moved successfully.
C:\WINDOWS\tasks\WebReg 20101028201550.job moved successfully.
C:\Programme\Load.exe moved successfully.
C:\Programme\rk.com moved successfully.
C:\Dokumente und Einstellungen\User\Desktop\rk.com moved successfully.
C:\WINDOWS\WMSysPr9.prx moved successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 15439689 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 3366 bytes

User: User
->Temp folder emptied: 274932134 bytes
->Temporary Internet Files folder emptied: 11314529 bytes
->Java cache emptied: 13 bytes
->FireFox cache emptied: 27787117 bytes
->Flash cache emptied: 893 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2244925 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 683056 bytes
RecycleBin emptied: 6410165 bytes

Total Files Cleaned = 323,00 mb


OTL by OldTimer - Version 3.2.17.1 log created on 11022010_103842

Files\Folders moved on Reboot...
File move failed. D:\AUTORUN.INF scheduled to be moved on reboot.
Folder move failed. C:\Dokumente und Einstellungen\All Users\Dokumente\Server scheduled to be moved on reboot.
File move failed. C:\WINDOWS\system32\drivers\fwuwegd.sys scheduled to be moved on reboot.

Registry entries deleted on Reboot...

cosinus 02.11.2010 15:14
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Poldyxxx 02.11.2010 15:46
DIe CCleaner Anweisung habe ich komplett ausgeführt. Allerdings kann ich Combofix nicht ausführen. Ich habe es umbenannt, auf dem Desktop gespeichert und Viren Scanner und Firewall abgeschaltet.

Es kommte eine Meldung " Auf das angegebene Gerät, bzw den Pfad oder die Datei......Berechtigungen um auf das Element zugreifen zu können"

Die selbe Meldung , die ich seit ver Virus Infektion immer beim Installieren von anderen Programmen bekommen habe. Nach "Ok" kommt diese Meldung noch von ca 20 anderen Programmen.

cosinus 02.11.2010 15:50
Starte den Rechner neu und probier es bitte nochmal.

Poldyxxx 02.11.2010 15:57
Leider passiert auch nach einem Neustart dasselbe (Viren Scanner wieder ausgeschaltet)

cosinus 02.11.2010 16:05
Fraglich ob wir Dein System noch retten können, denn Du sagtest 20 andere Programme haben auch diesen Fehler :balla:

Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

Poldyxxx 02.11.2010 16:13
EIne Kleinigkeit muß ich korrigieren. Es sind insgesamt nur 4 Programme, die versuchen sich aber immer wieder zu öffnen, daher kam die Meldung so oft.

Es sind der Iexplorer, n.pif, hider.exe und nircmd.cfxxe (findet kein Programm zum öffnen)

cosinus 02.11.2010 20:00
Zumindest die nircmd wird von CF benutzt. Mach mal bitte die anderen Logs, CF läuft ja (noch) nicht bei Dir.


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:49 Uhr.
Seite 1 von 3 1 23
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131