Hallo liebes Team,
habe seit 5 Tagen folgendes Problem. Nach Windows- und Adobe Update (eins von beiden wirds wohl sein) habe ich Trojaner an Bord. Trend Micro hat das System komplett blockiert, deshalb habe ich Trend Micro deinstalliert und Malwarebytes installiert. Beim Scann fallen immer diese 4 Trojaner im Installer Verz. auf, die nach Quarantäne und Neustart schnell wieder da sind.
Was tun?

hier das Logfile:
Malwarebytes Anti-Malware (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.16.04

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
chef :: IBL-PC-LL71 [Administrator]

Schutz: Aktiviert

16.07.2012 11:25:31
mbam-log-2012-07-16 (11-33-10).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 305856
Laufzeit: 6 Minute(n), 56 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 1
C:\Program Files\RelevantKnowledge (PUP.Spyware.MarketScore) -> Keine Aktion durchgeführt.

Infizierte Dateien: 5
C:\Windows\Installer\{10c1ddf6-d431-0328-1fde-564604bae3f3}\U\00000004.@ (Rootkit.0Access) -> Keine Aktion durchgeführt.
C:\Windows\Installer\{10c1ddf6-d431-0328-1fde-564604bae3f3}\U\00000008.@ (Trojan.Dropper.BCMiner) -> Keine Aktion durchgeführt.
C:\Windows\Installer\{10c1ddf6-d431-0328-1fde-564604bae3f3}\U\000000cb.@ (Rootkit.0Access) -> Keine Aktion durchgeführt.
C:\Windows\Installer\{10c1ddf6-d431-0328-1fde-564604bae3f3}\U\80000000.@ (Trojan.Sirefef) -> Keine Aktion durchgeführt.
C:\Program Files\RelevantKnowledge\shfscp.dat (PUP.Spyware.MarketScore) -> Keine Aktion durchgeführt.

(Ende)


Vielen Dank im voraus für die Hilfe
Grüsse
Venividi

Hi,

das ist ein Rootkit, meist ist noch ein regulärer Treiber infiziert.
Das geht nicht so einfach, auch musst Du einen Fullscan machen... Teile davon liegen noch in anderen Bereichen...

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe

• Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen

• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output

• Unter Extra Registry, wähle bitte Use SafeList

• Klicke nun auf Run Scan links oben

• Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)

• Poste die Logfiles hier in den Thread

TDSS-Killer
Download und Anweisung unter: Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft?
Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)!
Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe.
Stelle den Killer wir folgt ein:

Dann den Scan starten durch (Start Scan).
Wenn der Scan fertig ist bitte "Report" anwählen (eventuelle Funde erstmal mit Skip übergehen). Es öffnet sich ein Fenster (Report anklicken), den Text abkopieren und hier posten...

chris

Lieber Chris,

bevor ich starte: soll ich jetzt gleich beide Tools nacheinander laufen lassen, oder erst das eine, dann Ergebnis posten und dann das andere ?

Hi,

ist egal, beides sind nur Analyseläufe...

chris

lieber Chris
hier die Dateien
Wie kann man sich eigentlich erkenntlich zeigen? Kontonummer?

Grüssle
Venividi

Hallo Chris,

hier noch Ergebnis "Vollständiger Scan" Laufwerk C:

Grüssle

Hi,

Fix für OTL (vor dem Fix die Antivirenlösung ausschalten):

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKLM..\Run: []  File not found
O4 - HKCU..\Run: []  File not found
[2012.07.16 13:26:04 | 000,232,960 | ---- | C] () -- C:\Windows\Installer\{10c1ddf6-d431-0328-1fde-564604bae3f3}\U\00000008.@
[2012.07.16 13:25:56 | 000,012,288 | ---- | C] () -- C:\Windows\Installer\{10c1ddf6-d431-0328-1fde-564604bae3f3}\U\80000000.@
[2012.07.16 13:25:54 | 000,001,632 | ---- | C] () -- C:\Windows\Installer\{10c1ddf6-d431-0328-1fde-564604bae3f3}\U\000000cb.@
[2012.07.16 13:25:49 | 000,002,048 | ---- | C] () -- C:\Windows\Installer\{10c1ddf6-d431-0328-1fde-564604bae3f3}\U\00000004.@
[2012.07.13 14:07:47 | 000,095,744 | ---- | C] () -- C:\Windows\Installer\{10c1ddf6-d431-0328-1fde-564604bae3f3}\U\80000032.@
[2012.07.12 07:36:15 | 000,000,804 | ---- | C] () -- C:\Windows\Installer\{10c1ddf6-d431-0328-1fde-564604bae3f3}\L\00000004.@
[2012.01.13 09:11:30 | 000,002,048 | -HS- | C] () -- C:\Windows\Installer\{10c1ddf6-d431-0328-1fde-564604bae3f3}\@
[2012.01.13 09:11:30 | 000,002,048 | -HS- | C] () -- C:\Users\chef\AppData\Local\{10c1ddf6-d431-0328-1fde-564604bae3f3}\@

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = dword:0x01
 
:Commands
[emptytemp]
[Reboot]
         

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL

MAM alle Funde bereinigen lassen!

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\ProgramData\479C140FFB.sys
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.

Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß!

Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen. Das Log solltest Du unter C:\ComboFix.txt finden...

chris

hi,
bin gerade beim Neustart nach dem OTL Scan,
nur kurze Zwischenfrage:
was ist "MAM"? alles bereinigen lassen?
Vielen Dank!

All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
C:\Windows\Installer\{10c1ddf6-d431-0328-1fde-564604bae3f3}\U\00000008.@ moved successfully.
C:\Windows\Installer\{10c1ddf6-d431-0328-1fde-564604bae3f3}\U\80000000.@ moved successfully.
C:\Windows\Installer\{10c1ddf6-d431-0328-1fde-564604bae3f3}\U\000000cb.@ moved successfully.
C:\Windows\Installer\{10c1ddf6-d431-0328-1fde-564604bae3f3}\U\00000004.@ moved successfully.
C:\Windows\Installer\{10c1ddf6-d431-0328-1fde-564604bae3f3}\U\80000032.@ moved successfully.
C:\Windows\Installer\{10c1ddf6-d431-0328-1fde-564604bae3f3}\L\00000004.@ moved successfully.
C:\Windows\Installer\{10c1ddf6-d431-0328-1fde-564604bae3f3}\@ moved successfully.
C:\Users\chef\AppData\Local\{10c1ddf6-d431-0328-1fde-564604bae3f3}\@ moved successfully.
========== REGISTRY ==========
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\\"cval" |dword:0x01 /E : value set successfully!
========== COMMANDS ==========

[EMPTYTEMP]

User: administrator
->Temp folder emptied: 477538455 bytes
->Temporary Internet Files folder emptied: 22864299 bytes
->Flash cache emptied: 456 bytes

User: All Users

User: chef
->Temp folder emptied: 178789377 bytes
->Temporary Internet Files folder emptied: 337738250 bytes
->Java cache emptied: 6814308 bytes
->FireFox cache emptied: 32811405 bytes
->Google Chrome cache emptied: 6165168 bytes
->Apple Safari cache emptied: 0 bytes
->Flash cache emptied: 9571 bytes

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: mkg
->Temp folder emptied: 2026136 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Public

User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: User
->Temp folder emptied: 81614002 bytes
->Temporary Internet Files folder emptied: 6929873 bytes
->Flash cache emptied: 326 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 6432 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 123041788 bytes
RecycleBin emptied: 33030 bytes

Total Files Cleaned = 1.217,00 mb


OTL by OldTimer - Version 3.2.54.0 log created on 07172012_122022

Files\Folders moved on Reboot...
File move failed. C:\Windows\temp\hlktmp scheduled to be moved on reboot.

PendingFileRenameOperations files...
[2012.07.17 12:26:35 | 008,405,015 | ---- | M] () C:\Windows\temp\hlktmp : Unable to obtain MD5

Registry entries deleted on Reboot...




Hi Chris,
dies ist nach dem Reboot nach OTL Scan gekommen.
Wie soll ich jetzt weitermachen?

was hat es mit dem OTL Fix Log auf sich. Brauchst Du den?
MAM?

Grüssle
Andi

Hi,

ist soweit ok, bitte die angegebene Datei mit Virustotal überprüfen lassen, das Ergebnis posten und dann umgehen ComboFix laufen lassen.
Das Ding infiziert normalerweise einen Treiber, solange der da ist, kann er sich der Trojaner "wiederherstellen"...
Poste das CF-Log und ein neues OTL-Log...

chris

Hi,
hier das Ergebnis
ich mach jetzt gleich weiter
vorher habe ich halt nix mit MAM gesäubert weil ich nicht weiß was das ist?

Grüssle







Community
Statistics
Dokumentation
FAQ
About
Join our community
Sign in













SHA256:

9d7d948ef1329cc1db5fb77cbe9ed7bbf7d74cd8be1ad214689ebbe52a2267cb



SHA1:

2fa91927668fb0b3a4da32722825e15080cb5c21



MD5:

0641a46f1e58529a42ead4573a3a0861



File size:

8 Bytes ( 8 bytes )



File name:

C:\ProgramData\479C140FFB.sys



File type:

unknown



Detection ratio:

1 / 42



Analysis date:

2012-07-17 12:49:50 UTC ( 1 Minute ago )







1



0


More details





Antivirus

Result

Update




AhnLab-V3

-

20120716



AntiVir

-

20120717



Antiy-AVL

-

20120717



Avast

-

20120717



AVG

-

20120717



BitDefender

-

20120717



ByteHero

-

20120716



CAT-QuickHeal

-

20120717



ClamAV

-

20120717



Commtouch

-

20120717



Comodo

-

20120717



DrWeb

-

20120717



Emsisoft

-

20120717



eSafe

Win32.Trojan

20120717



ESET-NOD32

-

20120717



F-Prot

-

20120717



F-Secure

-

20120717



Fortinet

-

20120716



GData

-

20120717



Ikarus

-

20120717



Jiangmin

-

20120717



K7AntiVirus

-

20120716



Kaspersky

-

20120717



McAfee

-

20120717



McAfee-GW-Edition

-

20120717



Microsoft

-

20120717



Norman

-

20120717



nProtect

-

20120717



Panda

-

20120717



PCTools

-

20120717



Rising

-

20120717



Sophos

-

20120717



SUPERAntiSpyware

-

20120717



Symantec

-

20120717



TheHacker

-

20120716



TotalDefense

-

20120717



TrendMicro

-

20120717



TrendMicro-HouseCall

-

20120717



VBA32

-

20120717



VIPRE

-

20120717



ViRobot

-

20120717



VirusBuster

-

20120717

Comments
Votes
Additional information





















































































ssdeep
3:hl/n:r



TrID
MS Flight Simulator Aircraft Performance Info (100.0%)




First seen by VirusTotal
2008-03-02 16:02:20 UTC ( 4 Jahre, 4 Monate ago )



Last seen by VirusTotal
2012-07-17 12:49:50 UTC ( 11 Minuten ago )



File names (max. 25)
1. 1B750485A4.sys
2. E49E9EDFFB.sys
3. 324D31B5AC.sys
4. 6A0E7F0AE1.sys
5. 28D7687CCB.sys
6. C:\ProgramData\479C140FFB.sys
7. F858D43906.sys
8. F5741CB27C.sys
9. 05C8DC04F0.sys
10. 8351305C78.sys
11. 291C0DB28E.sys
12. 2C39797493.sys
13. C:\Documents and Settings\All Users\Application Data\6D14B0649C.sys
14. 403ED8C272.sys
15. 624E33DE84.sys
16. DACF98CD6F.sys
17. 3669FDB406.sys
18. 79E05550D2.sys
19. 0F4F95A719.sys
20. 17254B3A4F.sys
21. 007CE804A4.sys
22. 3CA87D13E6.sys
23. 6A9A50BC18.sys
24. 1DEDE85914.sys
25. 13ADEA7ACE.sys



Blog | Twitter | contact@virustotal.com | Google groups | TOS & Privacy Policy

Hi,

sieht nach f/p aus...
Poste die Logs...

chris

hier die Log.txt

hat 2 mal gebootet und am Ende kam auch noch ne Fehlermeldung

habe gerade nochmals Quickscan laufen lassen, 1 findet er noch? was tun?
sonst alles gut?

Malwarebytes Anti-Malware (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.17.07

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
chef :: IBL-PC-LL71 [Administrator]

Schutz: Deaktiviert

17.07.2012 17:16:23
mbam-log-2012-07-17 (17-25-59).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 307388
Laufzeit: 4 Minute(n), 51 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Windows\assembly\GAC\Desktop.ini (Trojan.0access) -> Keine Aktion durchgeführt.

(Ende)

Hallo Chris,
hier von heute morgen der Quickscan, nachdem ich gestern abend nach dem Quickscan das Teil mit Mwb gelöscht habe. ist jetzt alles ok?

Grüssle
Andi

Malwarebytes Anti-Malware (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.17.07

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
chef :: IBL-PC-LL71 [Administrator]

Schutz: Aktiviert

18.07.2012 07:05:52
mbam-log-2012-07-18 (07-05-52).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 327791
Laufzeit: 7 Minute(n), 8 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Hi,

einige seltsame Sachen...

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

c:\windows\DCEBoot.exe
c:\windows\ouwininit.exe
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Falls die Files erkannt wurden, folgendes Script mit OTL abfahren:

Fix für OTL:

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code: Alles auswählenAufklappen

ATTFilter

:FILES
c:\windows\DCEBoot.exe
c:\windows\ouwininit.exe

:Commands
[emptytemp]
[Reboot]
         

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL

Dann bitte MAM updaten und FULLSCAN, erstelle und poste ein neues
OTL-Log...

chris

Guten Morgen Chris,

was ist MAM? ich blicke nur dies eine nicht!?