Hallo zusammen,

mir ist ein Laptop vorgelegt worden bei dem in jedem Modus (abgesichert) nach der Anmeldung der weisse Bildschirm kommt. Mit der Meldung das er die Verbindung herstellen will.

Anbei das LOG.

Ich bedanke mich im Voraus für die Mühe!

gruss lole

Hi,



Fix für OTL:

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code: Alles auswählenAufklappen

:OTL
O4 - HKLM..\Run: [c9798u3A8Yxm3bS] C:\Dokumente und Einstellungen\testmember\Anwendungsdaten\DNS_Servicex86.exe ()
O4 - HKU\testmember_ON_C..\Run: [c9798u3A8Yxm3bS] C:\Dokumente und Einstellungen\testmember\Anwendungsdaten\DNS_Servicex86.exe ()
O7 - HKU\testmember_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKU\testmember_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\testmember_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\uwe_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKU\uwe_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\uwe_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\testmember\Anwendungsdaten\DNS_Servicex86.exe) - C:\Dokumente und Einstellungen\testmember\Anwendungsdaten\DNS_Servicex86.exe ()
O20 - HKLM Winlogon: UserInit - (C:\Dokumente und Einstellungen\testmember\Anwendungsdaten\DNS_Servicex86.exe) - C:\Dokumente und Einstellungen\testmember\Anwendungsdaten\DNS_Servicex86.exe ()
O20 - HKU\testmember_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\testmember\Anwendungsdaten\DNS_Servicex86.exe) - C:\Dokumente und Einstellungen\testmember\Anwendungsdaten\DNS_Servicex86.exe ()
O20 - HKU\testmember_ON_C Winlogon: UserInit - (C:\Dokumente und Einstellungen\testmember\Anwendungsdaten\DNS_Servicex86.exe) - C:\Dokumente und Einstellungen\testmember\Anwendungsdaten\DNS_Servicex86.exe ()
O20 - HKU\uwe_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\uwe\Anwendungsdaten\DNS_Servicex86.exe) - C:\Dokumente und Einstellungen\uwe\Anwendungsdaten\DNS_Servicex86.exe ()
O20 - HKU\uwe_ON_C Winlogon: UserInit - (C:\Dokumente und Einstellungen\uwe\Anwendungsdaten\DNS_Servicex86.exe) - C:\Dokumente und Einstellungen\uwe\Anwendungsdaten\DNS_Servicex86.exe ()
O33 - MountPoints2\{16ed9900-6e94-11e0-9443-0022439c1943}\Shell - "" = AutoRun
O33 - MountPoints2\{16ed9900-6e94-11e0-9443-0022439c1943}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{16ed9900-6e94-11e0-9443-0022439c1943}\Shell\AutoRun\command - "" = E:\ting.exe
O33 - MountPoints2\{7cd0de0c-6e8b-11e0-9441-002618129705}\Shell - "" = AutoRun
O33 - MountPoints2\{7cd0de0c-6e8b-11e0-9441-002618129705}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{7cd0de0c-6e8b-11e0-9441-002618129705}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{b522ed0c-6e88-11e0-9440-0022439c1943}\Shell - "" = AutoRun
O33 - MountPoints2\{b522ed0c-6e88-11e0-9440-0022439c1943}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{b522ed0c-6e88-11e0-9440-0022439c1943}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{b522ed0e-6e88-11e0-9440-0022439c1943}\Shell - "" = AutoRun
O33 - MountPoints2\{b522ed0e-6e88-11e0-9440-0022439c1943}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{b522ed0e-6e88-11e0-9440-0022439c1943}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{e8ca5584-a275-11e0-94cd-0022439c1943}\Shell - "" = AutoRun
O33 - MountPoints2\{e8ca5584-a275-11e0-94cd-0022439c1943}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{e8ca5584-a275-11e0-94cd-0022439c1943}\Shell\AutoRun\command - "" = E:\AutoRun.exe
[2012/05/06 07:43:21 | 000,271,360 | ---- | C] () -- C:\Dokumente und Einstellungen\testmember\Anwendungsdaten\DNS_Servicex86.exe
[2012/05/06 07:30:10 | 000,271,360 | ---- | C] () -- C:\Dokumente und Einstellungen\uwe\Anwendungsdaten\DNS_Servicex86.exe

:Commands
[emptytemp]
[Reboot]
         

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL

Der Rechner sollte sich jetzt wieder normal booten lassen...


Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://mbam.malwarebytes.org/program...-installer.php
Danach bitte update der Signaturdateien (Reiter "Aktualisierungen" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

chris

Hallo,

hat wunderbar geklappt. vielen Dank!

hier das log

Code: Alles auswählenAufklappen

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.10.02

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
testmember :: ******** [Administrator]

10.05.2012 14:50:52
mbam-log-2012-05-11 (07-16-47).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 437585
Laufzeit: 1 Stunde(n), 56 Minute(n), 42 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{Ck9w0pkz-jzF4-DS5M-Wavt-dDz6lpkiieJA} (Trojan.Agent) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 6
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\DNS_Servicex86.exe (Rootkit.0Access) -> Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Administrator.******\Anwendungsdaten\DNS_Servicex86.exe (Rootkit.0Access) -> Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Administrator.******.000\Anwendungsdaten\DNS_Servicex86.exe (Rootkit.0Access) -> Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\uwe\Desktop\Download\installer_powerdvd_9_0_1501_0_Deutsch_Deutsch.exe (PUP.SmsPay.pns) -> Keine Aktion durchgeführt.
C:\_OTL\MovedFiles\05102012_164035\C_Dokumente und Einstellungen\testmember\Anwendungsdaten\DNS_Servicex86.exe (Rootkit.0Access) -> Keine Aktion durchgeführt.
C:\_OTL\MovedFiles\05102012_164035\C_Dokumente und Einstellungen\uwe\Anwendungsdaten\DNS_Servicex86.exe (Rootkit.0Access) -> Keine Aktion durchgeführt.

(Ende)
         

Hi,

alles von MAM bereinigen lassen und noch (aktuelles Rootkit auf dem Rechner)...

TDSS-Killer
Download und Anweisung unter: Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft?
Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)!
Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe.
Stelle den Killer wir folgt ein:

Dann den Scan starten durch (Start Scan).
Wenn der Scan fertig ist bitte "Report" anwählen (eventuelle Funde erstmal mit Skip übergehen). Es öffnet sich ein Fenster, den Text abkopieren und hier posten...

Poste danach noch ein neues OTL-Log...

chris

Hallo,

sorry das es solange gedauert hat. Hier nun die 3 Logs.

Auf dem Desktop werden leider immer noch nicht die Icons wieder angezeigt, diese sind aber im Desktopordner vorhanden. Geht das noch zu fixen?

Ich bedanke mich im voraus

lole

Hi,

da ist nochmal ein Fix erforderlich:
Fix für OTL:

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code: Alles auswählenAufklappen

:OTL
O20 - HKCU Winlogon: Shell - (c:\dokumente und einstellungen\testmember\anwendungsdaten\dns_servicex86.exe) -  File not found

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = dword:0x00

:Commands
[emptytemp]
[Reboot]
         

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL

Unhide
Lade Dir unhide von folgender Adresse runter und dann per Doppelklick als Admin ausführen:
http://download.bleepingcomputer.com/grinler/unhide.exe
Es werden alle versteckten Dateien sichtbar gemacht, ggf. welche die versteckt sein sollten wieder unsichtbar machen (Auswählen im Explorer->Eigenschaften->versteckt)

Das nachfolgende geht länger (ca. 4-5h)...
Cureit
Folge der Anleitung: Anleitung: DrWeb - CureIt
Nach Beendigung des Scans findes Du das Log unter %USERPROFILE%\DoctorWeb\CureIt.log.
Bevor du irgendwelche Aktionen unternimmst, kopiere bitte den Inhalt des Logs und poste ihn.
Die Log Datei ist sehr groß, ca. über 5MB Text. Benutzt einfach die Suche nach "infiziert" und kopiert betreffende Teile heraus, bevor Du sie postet.

chris

sollen eigentlich die funde im TDSS-Killer beseitigt werden? oder mache ich jetzt wie beschrieben weiter?

thx

schonmal

Hi,

die Funde sind nicht signierte Treiber, das kommt öfter mal vor.
Daher nicht löschen lassen, sonst tut was anschließend nicht mehr.... daher weiter wie beschrieben...

chris