|
Rechner neu aufgesetzt und schon infiziert (unbekannte Malware) Hallo zusammen Meine Nachbarn haben mir ihren Notebook gegeben zum Neuaufsetzen gegeben, da das Gerät mit Malware verseucht war. Zum Notebook hat es keine Windows Installations-DVD gegeben, offenbar sind die Installationsdateien in einer versteckten Partition abgelegt. Ein komplettes Formatieren der gesamten Harddisk war mir deswegen nicht möglich. Ich habe also den Rechner neu aufgesetzt (Windows Vista Home), auf einem anderen Rechner das aktuelle ServicePack und den Virenscanner Avast heruntergeladen, dann auf dem neu aufgesetzten System installiert, und erst dann das erste Mal das Netzwerkkabel eingesteckt, um Windows Update zu starten. Und dort haben dann die Probleme angefangen: Updates schlagen fehl. Fehlercode 80072EFE. Die Seite windowsupdate.microsoft.com ist per Browser ebenfalls nicht erreichbar (die Seite war zu dieser Zeit nicht down, ich habe es am anderen Rechner auch probiert, Seite war online). Ich habe mich dann mal im Web auf die Suche gemacht, und dabei festgestellt, dass der Internet Explorer immer wieder anstelle des angeklickten Links Seiten mit Malware aufzurufen versucht. Avast blockiert dann den Zugriff auf diese Seiten. Also habe ich auf einem neu aufgesetzten Rechner offenbar schon wieder - oder eher immer noch - Malware drauf. Meine Vermutung ist, dass sie sich auf der versteckten Partition mit den Installationsdateien eingenistet und deshalb ein Neuaufsetzen überlebt hat. In der Datenträgerverwaltung ist die Harddisk übrigens gar nicht sichtbar (wollte dort nachschauen, ob ich die zweite Partition sehe). Ich habe mich dann auf dieser Seite schlau gemacht, wie ich Hilfe bekomme, und deshalb Load.exe heruntergeladen, ausgeführt, und die Logs angehängt. Jetzt hoffe ich, dass mir irgendjemand weiterhelfen kann. Ich selbst bin am Ende meines Lateins. Besten Dank im Voraus und Gruss aus der Schweiz Markus |
Zitat:
Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! |
Hallo Arne Besten Dank für deine Antwort. Habe gestern Abend bereits einen Vollscan gemacht, da ich damit gerechnet hatte, dass dies verlangt würde. Konnte dann aber meinen ersten Post nicht mehr editieren. Auch der Vollscan hat nichts gefunden. Ich hätte noch ein Log von zwei Tage zuvor, dieser Scan hatte aber auch keine infizierten Objekte gefunden. Konntest du in meinen anderen Logs schon einen bestimmten Schädling erkennen? Vielen Dank im Voraus und Gruss Markus |
Log ist unauffällig. Hast du zufällig einen Router, bei dem das Passwort nicht geändert wurde? Gibt mittlerweile Schädlinge, die schwache Routerpasswörter ausnutzen und DNS-Server-Adressen auf dem Router verändern. |
Habe einen Router. Und das Passwort habe ich auch geändert. Ich habe zwar keine grosse Ahnung von Netzwerken, aber wären dann nicht alle Clients hinter meinem Router von den manipulierten DNS-Einträgen betroffen? Weil auf meinem Notebook (mein eigener, nicht der vom Nachbar), der am gleichen Router angeschlossen ist, funktionieren die Windows Updates, und ich habe auch keine Weiterleitungen auf Werbeseiten. Vielleicht muss ich noch ein wenig weiter ausholen. Das verseuchte Gerät hatte schon vor dem Neuaufsetzen diese Probleme (Weiterleitung auf Werbeseiten z.B. bei Klicks auf Google-Links UND Windows Update hat nicht mehr funktioniert). Was kann ich noch liefern, damit wir dem Missetäter auf die Spur kommen? Häufig wird man im Browser (IE7 und Firefox) auf blinkx.com umgeleitet. Vielleicht hilft dies weiter? Edit: Gerade habe ich nochmals den Avast eine intensive Prüfung machen lassen. Dieser hat jetzt den Trojaner win32:Alureon-IJ im C:\Windows\MEMORY.DMP gefunden. Hier das Logfile: * avast! Bericht * Diese Berichtdatei wurde automatisch erstellt * * Prüfungsname: Intensive Prüfung * Start: Samstag, 27. November 2010 01:22:52 * VPS: 101126-2, 26.11.2010 * C:\Windows\MEMORY.DMP [L] Win32:Alureon-IJ [Trj] (0) Infizierte Dateien: 1 Dateien gesamt: 387320 Ordner gesamt: 13001 Gesamtgröße: 50.8 GB * * Prüfung beendet: Samstag, 27. November 2010 01:49:15 * Laufzeit war 26 Minute(n), 23 Sekunde(n) Die Datei MEMORY.DMP kann ich wohl gefahrlos löschen, da es sich m.M.n. um einen Memory-Dump handelt. Oder bist du anderer Meinung? |
Das in der memory.dmp kann gut ein Fehlalarm sein. Lass die Datei erstmal. Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
Okay, hab die memory.dmp nicht berührt. Hier das Log von der MBRCheck.exe: Code: MBRCheck, version 1.2.3 |
Hast Du noch andere Betriebssysteme außer Vista installiert? Wenn nicht: Schau mal hier => Vista Notfall/Recovery-CD 32-Bit - Dr. Windows Lad das iso runter, brenn es zB mit ImgBurn per Imagebrennfunktion auf eine CD und starte damit den Rechner (von dieser CD booten). Falls Du eine normale Vista-Installations-DVD hast, brauchst Du das o.g. Image nicht sondern kannst einfach von der Vista-DVD booten. Klick auf Computerreparaturoptionen, weiter, Eingabeaufforderung - die Konsole öffnet sich. Da bitte bootrec.exe /fixboot eintippen (mit enter bestätigen), dann bootrec.exe /fixmbr eintippen (mit enter bestätigen) - Rechner neustarten, CD vorher rausnehmen. |
Nein, nur Vista ist installiert. Habe das Image heruntergeladen, gebrannt, den Notebook ab CD gestartet, Eingabeaufforderung gestartet, die zwei Kommandos eingegeben (beide Male kam 'Der Vorgang wurde erfolgreich beendet'), dann den Rechner neu gestartet (CD zuvor entfernt). Und siehe da, nach dem Login meldet sich Windows mit 'Installieren von Gerätetreibersoftware'. 'Hitachi HTS545050B9A300 ATA Device installiert' -> Neustart erforderlich. Rechner neu gestartet, jetzt ist die Harddisk in der Datenträgerverwaltung sichtbar! Sie hat zwei Partitionen, eine 9.77 GB grosse EISA-Konfiguration, und eine 455.99 GB grosse Systempartition. Was jetzt? Nochmals MBRCheck? Ich möchte zwischendurch wieder mal :dankeschoen: sagen für deine Hilfe! Hier werde ich wirklich geholfen. :) Edit: Sorry, was ich noch vergessen hatte zu erwähnen: Ich habe vor dem Reboot ab CD die MBRCheck.exe ohne weitere Eingabe geschlossen. |
Vorher muss die Platte auch sichtbar gewesen sein... :wtf: Mach bitte ein neues Log mit mbrcheck. |
Die Harddisk war aber vorher ganz ehrlich nicht sichtbar. Nur das DVD-Laufwerk wurde angezeigt. Hier der Inhalt von MBRCheck_11.27.10_20.11.14.txt: Code: MBRCheck, version 1.2.3 |
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
mbam-log-2010-11-27 (21-11-55).txt: Code: Malwarebytes' Anti-Malware 1.46Code: SUPERAntiSpyware Scan Log |
Sieht alles ok aus. Noch Probleme? |
Sieht sehr gut aus! Windows Update funktioniert wieder wie gewünscht, und auch beim Surfen kommen die Werbe- und Malware-Seiten nicht mehr. Problem gelöst! Vielen herzlichen Dank! Was empfiehlst du, soll ich den Rechner nochmal neu aufsetzen? Oder ist er jetzt wirklich sauber? Falls nicht neu aufsetzen; was mache ich jetzt mit den Programmen, die ich zur Schädlingsbekämpfung heruntergeladen/installiert habe? - load.exe - Ordner MFtools - defogger.exe (sollte ich die CD Emulator Drivers wieder aktivieren?) - erunt.exe - gmer.exe - MBRCheck.exe Malwarebytes und SASW lasse ich sicher drauf. Und was war eigentlich das Problem, weisst du das? War es ein Rootkit, das sich im MBR eingenistet hat, und deshalb auch das Neuaufsetzen unbeschadet überlebt hat? Oder was kann es gewesen sein? Wie auch immer, nochmals ein recht herzliches :dankeschoen: Markus |
Zitat:
Zitat:
|
Die Tools stören mich selber nicht. Aber ich möchte meinen Nachbarn, die im Umgang mit Computern eher unbedarft sind, keine Tools auf dem Desktop präsentieren, mit denen sie das System problemlos zerschiessen können. :) Nochmals vielen Dank! Wie kann ich den Status von diesem Thread auf 'gelöst' stellen? |
Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:40 Uhr. |
Copyright ©2000-2025, Trojaner-Board