Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Tool.Obfuscator und Alureon

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 07.09.2009, 12:41   #1
GriM_ReaPer
 
Tool.Obfuscator und Alureon - Icon21

Tool.Obfuscator und Alureon



Hallo zusammen,

hab zwar hier schon ein paar Infos zu meinem Problem gefunden, aber ein paar Fragen hätte ich trotzdem noch dazu:

Habe gestern festgestellt das in meiner Taskliste ein Programm aufgetaucht ist, noch dazu doppelt, das sich hartnäckig jedem Versuch den Prozess abzuschiessen widersetzt hat. Das Teil hatte einen zufälligen Namen ete*******.exe und war dann in Windows/Temp zu finden, allerdings nicht sichtbar.
Avira förderte dann bei der Suche nach versteckten Dateien noch unter windows/system32/ 4 dll´s und 2 dat´s zutage namens kbiwkm*****.
In drivers war dann noch eine sys selben namens zu finden.
Wie bereits vermutet waren die auch nicht sichtbar und natürlich nicht zu löschen. Auch in der Registry tauchten die Namen versteckt auf.

Naja, als erstes hab ich den Netzwerkstecker gezogen und dann probiert... interessanterweise liess sich weder Knoppix noch Knoppicillin starten, beide blieben während des Hochfahrens hängen, obwohl Knoppix und Suse schon auf dem Rechner gelaufen sind.
Ausserdem ist kein Benutzerwechsel mehr möglich, da sofort nach dem anklicken des anderen Icons unter diesem "Abmelden" zu lesen steht und der Auswahldialog wieder erscheint.

Heute morgen bevor ich auf die Arbeit bin hab ich noch ein paar Sachen durchprobiert und auch einen Komplettscan von Avira nochmal hab machen lassen wobei noch ein Agent.FV.17 zutage gefördert wurde, den ich aber nicht zuordnen kann, da keine Pfadangabe dabei war.
Avira bot an die verdächtigen Sachen in Quarantäne zu verschieben, was aber die Problematik ja nicht beseitigt.

Nach verschiedenen Aktionen mit GMER scheint ein Teilerfolg zu verzeichnen, die ***.exe ist nicht mehr in der Taskliste zu finden und auch die dat´s und dll´s scheinen zumindest vorübergehend verschwunden zu sein. Allerdings hält sich die *.sys in drivers hartnäckig, den Status konnte ich zwar auf Disabeled verstellen, jedoch löschen lässt sich der Service nicht.

Ich nehm mal an das liegt an der Registry. Gibt es da eine Möglichkeit wie man de Einträge sichtbar bekommt um die Zweige komplett rauszulöschen?

Logs kann ich jetzt schlecht anhängen, da ich auf der Arbeit bin und ich wenn ich dann wieder heim komm den Rechner auch nicht allzugern wieder ins Netz hängen würde solange nicht alles soweit wieder sauber ist.

Im Protokoll tauchen am Schluss noch verschiedene Einträge zum MBR auf, die teilweise Rootkit behavior -> copy of MBR oder so ähnlich lauten.

Würde hier ein mbr /fix was bringen oder hab ich damit gute Karten mir alles zu verschiessen?

Hab ich da jetzt bisher schon etwas erreicht durch das eliminieren der verschiedenen Teile oder hängt das alles an der Registry und dieser *.sys?
Bzw. ist es vertretbar den Rechner in diesem Zustand wieder ins Netz zu hängen um das live weiterzuverfolgen?

Wär nett wenn mir da jemand sagen könnte wie am sinnvollsten weiter zu verfahren wäre. Passwörter für Ebay und Mailkonten hab ich zumindest mal vorsorglich hier von der Arbeit aus ausgewechselt, das da keiner Unfug damit treiben kann, Onlinebanking hab ich eh noch nie recht vertraut! ;-)

Alt 07.09.2009, 20:09   #2
GriM_ReaPer
 
Tool.Obfuscator und Alureon - Standard

Tool.Obfuscator und Alureon



also ich habs jetzt einfach mal ausprobiert und hab GMER nochmal neu geladen und laufen lassen, mit folgendem ergebnis:

GMER 1.0.15.15077 [7ubenv7y.exe] - http://www.gmer.net
Rootkit scan 2009-09-07 21:04:17
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.15 ----

SSDT BAF1A2D6 ZwCreateKey
SSDT BAF1A2CC ZwCreateThread
SSDT BAF1A2DB ZwDeleteKey
SSDT BAF1A2E5 ZwDeleteValueKey
SSDT BAF1A2EA ZwLoadKey
SSDT BAF1A2B8 ZwOpenProcess
SSDT BAF1A2BD ZwOpenThread
SSDT BAF1A2F4 ZwReplaceKey
SSDT BAF1A2EF ZwRestoreKey
SSDT BAF1A2E0 ZwSetValueKey
SSDT BAF1A2C7 ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!ZwCallbackReturn + 2D1C 80503BF8 4 Bytes JMP 4CBAF1A2

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\Explorer.EXE[2516] WININET.dll!InternetCloseHandle 441EDA89 5 Bytes JMP 1350A748
.text C:\WINDOWS\Explorer.EXE[2516] WININET.dll!HttpOpenRequestA 441F4341 5 Bytes JMP 13508FA4
.text C:\WINDOWS\Explorer.EXE[2516] WININET.dll!InternetConnectA 441F499A 5 Bytes JMP 13508E4C
.text C:\WINDOWS\Explorer.EXE[2516] WININET.dll!InternetReadFile 441FABBC 5 Bytes JMP 1350A548
.text C:\WINDOWS\Explorer.EXE[2516] WININET.dll!InternetQueryDataAvailable 441FADFD 5 Bytes JMP 1350A368
.text C:\WINDOWS\Explorer.EXE[2516] WININET.dll!InternetOpenA 441FC869 5 Bytes JMP 13508DFC
.text C:\WINDOWS\Explorer.EXE[2516] WININET.dll!HttpSendRequestA 441FCD40 5 Bytes JMP 13509968
.text C:\WINDOWS\Explorer.EXE[2516] WININET.dll!HttpSendRequestW 4421100D 5 Bytes JMP 13509D6C
.text C:\WINDOWS\Explorer.EXE[2516] WININET.dll!InternetReadFileExW 44213296 5 Bytes JMP 1350A6F8
.text C:\WINDOWS\Explorer.EXE[2516] WININET.dll!InternetReadFileExA 442132CE 5 Bytes JMP 1350A6A8

---- Disk sectors - GMER 1.0.15 ----

Disk \Device\Harddisk0\DR0 sector 01: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 02: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 03: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 04: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 05: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 06: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 07: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 08: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 09: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 10: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 11: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 12: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 13: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 14: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 15: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 16: copy of MBR
Disk \Device\Harddisk0\DR0 sector 17: copy of MBR
Disk \Device\Harddisk0\DR0 sector 18: copy of MBR
Disk \Device\Harddisk0\DR0 sector 19: copy of MBR
Disk \Device\Harddisk0\DR0 sector 20: copy of MBR
Disk \Device\Harddisk0\DR0 sector 21: copy of MBR
Disk \Device\Harddisk0\DR0 sector 22: copy of MBR
Disk \Device\Harddisk0\DR0 sector 23: copy of MBR
Disk \Device\Harddisk0\DR0 sector 24: copy of MBR
Disk \Device\Harddisk0\DR0 sector 25: copy of MBR
Disk \Device\Harddisk0\DR0 sector 26: copy of MBR
Disk \Device\Harddisk0\DR0 sector 27: copy of MBR
Disk \Device\Harddisk0\DR0 sector 28: copy of MBR
Disk \Device\Harddisk0\DR0 sector 29: copy of MBR
Disk \Device\Harddisk0\DR0 sector 30: copy of MBR
Disk \Device\Harddisk0\DR0 sector 31: copy of MBR
Disk \Device\Harddisk0\DR0 sector 32: copy of MBR
Disk \Device\Harddisk0\DR0 sector 33: copy of MBR
Disk \Device\Harddisk0\DR0 sector 34: copy of MBR
Disk \Device\Harddisk0\DR0 sector 35: copy of MBR
Disk \Device\Harddisk0\DR0 sector 36: copy of MBR
Disk \Device\Harddisk0\DR0 sector 37: copy of MBR
Disk \Device\Harddisk0\DR0 sector 38: copy of MBR
Disk \Device\Harddisk0\DR0 sector 39: copy of MBR
Disk \Device\Harddisk0\DR0 sector 40: copy of MBR
Disk \Device\Harddisk0\DR0 sector 41: copy of MBR
Disk \Device\Harddisk0\DR0 sector 42: copy of MBR
Disk \Device\Harddisk0\DR0 sector 43: copy of MBR
Disk \Device\Harddisk0\DR0 sector 44: copy of MBR
Disk \Device\Harddisk0\DR0 sector 45: copy of MBR
Disk \Device\Harddisk0\DR0 sector 46: copy of MBR
Disk \Device\Harddisk0\DR0 sector 47: copy of MBR
Disk \Device\Harddisk0\DR0 sector 48: copy of MBR
Disk \Device\Harddisk0\DR0 sector 49: copy of MBR
Disk \Device\Harddisk0\DR0 sector 50: copy of MBR
Disk \Device\Harddisk0\DR0 sector 51: copy of MBR
Disk \Device\Harddisk0\DR0 sector 52: copy of MBR
Disk \Device\Harddisk0\DR0 sector 53: copy of MBR
Disk \Device\Harddisk0\DR0 sector 54: copy of MBR
Disk \Device\Harddisk0\DR0 sector 55: copy of MBR
Disk \Device\Harddisk0\DR0 sector 56: copy of MBR
Disk \Device\Harddisk0\DR0 sector 57: copy of MBR
Disk \Device\Harddisk0\DR0 sector 58: copy of MBR
Disk \Device\Harddisk0\DR0 sector 59: copy of MBR
Disk \Device\Harddisk0\DR0 sector 60: copy of MBR
Disk \Device\Harddisk0\DR0 sector 61: copy of MBR
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR
Disk \Device\Harddisk0\DR0 sector 63: rootkit-like behavior; copy of MBR

---- EOF - GMER 1.0.15 ----


also keine warnung mehr vor irgendwelchen schadsachen...
kann ich mir da jetzt halbwegs sicher sein oder sieht da ein fachmann mehr?
__________________


Antwort

Themen zu Tool.Obfuscator und Alureon
bot, dateien, ebanking, ebay, festgestellt, frage, gmer, hängen, hängt, icons, karte, klicke, live, namen, netzwerkstecker, nicht mehr, problem, programm, prozess, rechner, registry, rootkit, scan, starten, suche, suse, versteckte



Ähnliche Themen: Tool.Obfuscator und Alureon


  1. Problem mit ExploitJava/Obfuscator.AH
    Plagegeister aller Art und deren Bekämpfung - 28.06.2015 (22)
  2. Virus: virtool:win32/obfuscator.xz entfernen Hilfe?
    Log-Analyse und Auswertung - 03.02.2015 (86)
  3. PC infiziert (vorher) + Win32/Obfuscator.XZ
    Plagegeister aller Art und deren Bekämpfung - 29.10.2014 (34)
  4. Obfuscator.ALA Trojaner gefunden - Wie werde ich den wieder los?
    Plagegeister aller Art und deren Bekämpfung - 21.10.2014 (19)
  5. Windows 7, Habe ein: VirTool:Win32/Obfuscator.ALA
    Plagegeister aller Art und deren Bekämpfung - 08.10.2014 (7)
  6. VirTool:Win32/Obfuscator.ALA
    Plagegeister aller Art und deren Bekämpfung - 04.10.2014 (44)
  7. Trojan:Win32/Obfuscator , wie bekomme ich diesen Trojaner wieder weg?
    Plagegeister aller Art und deren Bekämpfung - 26.10.2013 (3)
  8. WIN7: Obfuscator, IframeRef, Urntone ... wilde Mischung soll weg.
    Log-Analyse und Auswertung - 28.08.2013 (9)
  9. Windows7: Win32/Reveton. diverse., BAT/Reveton und JS/Obfuscator eingefangen
    Log-Analyse und Auswertung - 26.08.2013 (14)
  10. Obfuscator.xz entdeckt.. eingentlich nicht neu, aber...
    Plagegeister aller Art und deren Bekämpfung - 05.06.2013 (4)
  11. Win32/Obfuscator.xz entdeckt..
    Plagegeister aller Art und deren Bekämpfung - 03.01.2013 (10)
  12. Trojan.Agent.CK + Riskware.Tool.CK + Riskware.Tool.CK+ PUP.Hacktool.Patcher gefunden :(
    Plagegeister aller Art und deren Bekämpfung - 23.11.2012 (1)
  13. AV meldet Obfuscator.ER und Spy.Agent.xps
    Plagegeister aller Art und deren Bekämpfung - 24.06.2009 (28)
  14. TR/Obfuscator.ER und TR/Alureon.BU.1 stellen sich immer wieder her
    Plagegeister aller Art und deren Bekämpfung - 15.06.2009 (0)
  15. Trojan:Win32/Alureon!inf gefunden von "MS Windows-Tool zum Entfernen bösartiger Sw"
    Plagegeister aller Art und deren Bekämpfung - 05.05.2009 (18)
  16. Conficker/ cleanup tool oder removal tool ?
    Plagegeister aller Art und deren Bekämpfung - 23.04.2009 (0)
  17. VirTool:Win32/Obfuscator.CT u. Trojan:Win32/Delflob.I - wie zu beseitigen?
    Plagegeister aller Art und deren Bekämpfung - 29.09.2008 (0)

Zum Thema Tool.Obfuscator und Alureon - Hallo zusammen, hab zwar hier schon ein paar Infos zu meinem Problem gefunden, aber ein paar Fragen hätte ich trotzdem noch dazu: Habe gestern festgestellt das in meiner Taskliste ein - Tool.Obfuscator und Alureon...
Archiv
Du betrachtest: Tool.Obfuscator und Alureon auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.