Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: drive-by Infektion

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 14.02.2012, 20:21   #31
kira
/// Helfer-Team
 
drive-by Infektion - Standard

drive-by Infektion



habe Dir hier geantwortet bzw die einzig sichere Methode vorgeschlagen:-> http://www.trojaner-board.de/109267-...tml#post773550
.
__________________

Warnung!:
Vorsicht beim Rechnungen per Email mit ZIP-Datei als Anhang! Kann mit einen Verschlüsselungs-Trojaner infiziert sein!
Anhang nicht öffnen, in unserem Forum erst nachfragen!

Sichere regelmäßig deine Daten, auf CD/DVD, USB-Sticks oder externe Festplatten, am besten 2x an verschiedenen Orten!
Bitte diese Warnung weitergeben, wo Du nur kannst!

Alt 14.02.2012, 21:02   #32
popeye2
 
drive-by Infektion - Standard

drive-by Infektion



ok,
danke für die hilfe soweit.
da nun nichts mehr zu retten ist werde ich noch ein bissel mit den Virus/Rootkit rumspielen.
__________________


Alt 16.02.2012, 07:26   #33
kira
/// Helfer-Team
 
drive-by Infektion - Standard

drive-by Infektion



nicht jede Krankheit heilbar...leider ist so!
Trenne deinen PC bitte von der Internetleitung, Du gefährdest somit andere User! Botnetze nennt man "Zombierechner"!
__________________
__________________

Alt 16.02.2012, 13:03   #34
popeye2
 
drive-by Infektion - Standard

drive-by Infektion



Hi Kira,
keine Angst, der Rechner hängt nur unter Linux (Parted Magic bzw ubcd) am Netz.
Habe ein paar infizierte Dateien aus dem recycler entfernt (virustotal online scanner).
Leider bekomm ich die junctions (unknown reparsepoint) unter linux net weg, und unter windows blockt sie das rootkit.
werde heute abend mal mit fsutil per USB an externem Rechner diese nicht löschbaren Hardlinks entfernen und mal einen grub loader aufspielen. dann sollte das eigentliche Virusdatenreservoir erst mal trocken liegen.
Der Virus liegt unter %systemroot%/$NtUninstall15702$ (und vermutlich einem MBR-/Bios schadcode, der diese junction bei jedem boot wieder restauriert).
Kennst du bzw. funktioniert die manuelle Löschung wie unter sirefef.com beschriebben?

Geändert von popeye2 (16.02.2012 um 13:13 Uhr)

Alt 16.02.2012, 16:24   #35
popeye2
 
drive-by Infektion - Standard

drive-by Infektion



edit:
der verborgene Pfad ist
d:\windows\$NtUninstallKB14502$


Alt 17.02.2012, 21:17   #36
kira
/// Helfer-Team
 
drive-by Infektion - Standard

drive-by Infektion



Basteln zahlt sich nicht aus!:-> http://www.trojaner-board.de/109267-...tml#post773550
Dir eine Menge Zeit und Ärger zu ersparen (nicht wochenlang herumbasteln, und dann festzustellen, dass es doch nicht geht), mache eine Datensicherung der für dich wichtigen persönlichen Daten, formatiere dein System und setze es neu auf. Formatieren und Neuaufsetzten geht schneller als das System sauber zu bekommen und nur so kannst Du sicher sein, dass dein Arbeitsspeicher virenfrei ist!
__________________
--> drive-by Infektion

Alt 29.02.2012, 10:49   #37
popeye2
 
drive-by Infektion - Standard

drive-by Infektion



Neues von der Front:
(inzwischen hat mich der Ehrgeiz gepackt das Rootkit zu bezwingen)
1. es ist ein rootkit.0access.h - meldete mir heute mbam mit Platte an externem Rechner
(anscheinend findet der Signaturupdate heute mehr als vor 14 Tagen). 17 dlls aus windows/system32 gelöscht, jeweils rund 6kB groß
2. das rootkit repository kopiert sich als junction in windows/$NtUninstallKB*****$ (zu erkennen an der 5-stelligen Nummer, übliche MS bugfixes sind 6-7 stellig).
Die Junction lässt sich nach der Anleitung unter sirefef.com löschen (sirefef=0access=max+ rootkit).
3. eine weitere Rootkit Repository versteckt sich unter SystemVolumeinformation/_restore******.
Diese kann man wenn die Platte extern gemounted ist (linux oder weiterer Windowspc) löschen
4. jeweils 2 low level Treiber werden unter den SDevicetreibern zufällig ausgewählt und überschrieben- diese Dateien werden von den Virusscannern im infizierten System erkannt, leider nicht die oben genannten, da sich das Rootkit selber abschirmt. Als Folge gehen bei mehrfachen Misserfolgen wegen der nicht vollständigen Reparatur immer mehr Devicetreiber verloren, muss man also wieder über die externe Methode von einem sauberen Windowsrepository ergänzen.
5. In der Registry nisten sich dutzende Fake Devicetreiber (alle mit hohem numerischen Namen) ein, da muss ich heute abend mal sehen wie man das extern bereinigen kann.

verwendete cdimages:
Ultimate boot cd
OTLPE
weiterer windowsrechner

Leider lässt sich nicht alles mit einem Image machen :-(
OTLPE bootet zwar, darauf lässt sich aber kein MBAM oder GMER installieren, Combofix weiß nichts von externer windowspartition etcpp.
Und ein Start des angeschlagenen Windows verhindert wegen der Stealth Technology ein sauberes Bereinigen, so dass sich wieder alles zurückbildet.
auf jeden Fall: es bleibt spannend

Code:
ATTFilter
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.02.29.02

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
*** :: **** [Administrator]

29.02.2012 07:33:44
mbam-log-2012-02-29 (07-33-44).txt

Art des Suchlaufs: Benutzerdefinierter Suchlauf
Aktivierte Suchlaufeinstellungen: Dateisystem | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Heuristiks/Extra | P2P
Durchsuchte Objekte: 15151
Laufzeit: 11 Minute(n), 17 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 17
N:\WINDOWS\system32\msdv.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
N:\WINDOWS\system32\rtl8139.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
N:\WINDOWS\system32\s217mgmt.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
N:\WINDOWS\system32\tfsnpool.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
N:\WINDOWS\system32\VAIOMediaPlatform-MusicServer-UPnP.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
N:\WINDOWS\system32\cqcpu.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
N:\WINDOWS\system32\awlegacy.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
N:\WINDOWS\system32\dot4scan.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
N:\WINDOWS\system32\nvpvrmon.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
N:\WINDOWS\system32\se2Eunic.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
N:\WINDOWS\system32\symsecureport.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
N:\WINDOWS\system32\transactional.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
N:\WINDOWS\system32\UDFReadr.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
N:\WINDOWS\system32\carboncopy32.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
N:\WINDOWS\system32\sonywbms.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
N:\WINDOWS\system32\sprtsvc_dellsupportcenter.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
N:\WINDOWS\system32\pptchpad.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

Geändert von popeye2 (29.02.2012 um 10:57 Uhr) Grund: typo

Alt 29.02.2012, 19:36   #38
popeye2
 
drive-by Infektion - Standard

drive-by Infektion



Moin.
Sind das auch 0-access Leichen?
Wie kann ich ein registry file editieren ohne das zugehörige system zu booten?
Geht das mit OTLPE, und wie wäre der Befehl dafür?
Miniaturansicht angehängter Grafiken
drive-by Infektion-nonpnpdrivers.jpg  

Alt 01.03.2012, 07:00   #39
kira
/// Helfer-Team
 
drive-by Infektion - Standard

drive-by Infektion



Ohne Formatierung kommst Du leider nicht drumm herum! Sichtbare Ebenen kann man ja einiges entfernen, dabei bleiben unsichtbare erhalten. Was ist Rootkit?:-> Rootkit
Festplatte formatieren und Windows neu einrichten dauert ein paar Stunden!
Du hast dich am 06.02.2012 hier bei uns registriert, am 14.02.2012 Dir mitgeteilt, dass man diese Art von Befall durch Systembereinigung nicht beheben kann!
__________________

Warnung!:
Vorsicht beim Rechnungen per Email mit ZIP-Datei als Anhang! Kann mit einen Verschlüsselungs-Trojaner infiziert sein!
Anhang nicht öffnen, in unserem Forum erst nachfragen!

Sichere regelmäßig deine Daten, auf CD/DVD, USB-Sticks oder externe Festplatten, am besten 2x an verschiedenen Orten!
Bitte diese Warnung weitergeben, wo Du nur kannst!

Geändert von kira (01.03.2012 um 07:06 Uhr)

Alt 06.03.2012, 23:01   #40
popeye2
 
drive-by Infektion - Icon35

drive-by Infektion



Hallo Kira,
das System läuft wieder.
Auch wenn es deiner Meinung nach unsicher ist, ohne Neuformatierung.
Habe einiges über den internen Windowsaufbau gelernt, und das war mir den Zeitaufwand eindeutig wert.
---------------------------------------
Für alle die über google auf diesen Thread stoßen:
-Bereinigung gelingt nur über externes System, so dass das Rootkit nicht aktiv ist (Boot über windows rescue cd oder Festplatte per USB an Fremdrechner anschließen)
- Die betroffenen Dateien findet dann ein Virenscanner z.B. MBAM.
- die junctions (getarnt als windows Hotfix) kann man nach Anleitung von sirefef.com entfernen
- die Wiederherstellungspunkte hab ich auch eliminiert (System volume)
- man muss einige überschriebene Systemtreiber von einem sauberen Windowssystem nach system32 kopieren. Sicherheitshalber das ganze dir wiederhergestellt.
- da sich der Virus u.a. im Netzwerktreiber netbt eingenistet hatte, musste ich die Registry in diesem Bereich (Netzwerk) komplett restaurieren, deshalb hatte Kira schon Recht, dass der Zeitaufwand dafür eigentlich nicht lohnt.
- Ich lebe mit der Gefahr, dass die Rootkitrepository (siehe Beschreibung zu zeroaccess bzw sirefef) noch irgendwo verschlüsselt auf der Festplatte rumliegt. Ohne die passenden Dekodierroutinen, die ja vom Virenscanner entfernt wurden, macht das mir nichts aus. Zusätzlich habe ich mit CCleaner den freien Festplattenbereich geschreddert.
Ich danke für den Support.

ps logischerweis benutze ich diesen Rechner vorerst nicht für Homebanking und -shopping :-)

Antwort

Themen zu drive-by Infektion
80000000.@, alert, aswmbr, avast, classpnp.sys, computer, dateisystem, desktop.ini, diverse, drive-by infektion, einstellungen, fake, gelöscht, hal.dll, harddisk, heuristiks/extra, heuristiks/shuriken, infected, internet, kaputt, log, log file, ntdll.dll, registry, scan, sekunden, software, svchost.exe, system, temp, trojaner, windows, windows xp, wireshark, öffnet



Ähnliche Themen: drive-by Infektion


  1. Drive by für iPhone?
    Smartphone, Tablet & Handy Security - 22.12.2014 (2)
  2. Avast: Infektion blockiert , Infektion: URL:Mal (bei Ebay.de)
    Plagegeister aller Art und deren Bekämpfung - 21.05.2014 (3)
  3. Java Drive By
    Log-Analyse und Auswertung - 07.03.2014 (3)
  4. NoScript und Drive-by-Downloads
    Antiviren-, Firewall- und andere Schutzprogramme - 13.12.2013 (9)
  5. Bestmöglicher Schutz vor drive-by-Infektionen
    Diskussionsforum - 14.07.2013 (74)
  6. Drive-by-download & live-System
    Diskussionsforum - 03.05.2013 (3)
  7. Drive-By-Variante von BKA UKash ?
    Plagegeister aller Art und deren Bekämpfung - 05.08.2012 (21)
  8. AKM / BMI Trojaner, OTL via USB-Drive
    Plagegeister aller Art und deren Bekämpfung - 11.06.2012 (1)
  9. Drive-By Infektion und seine Folgen (Bank Phishing)
    Antiviren-, Firewall- und andere Schutzprogramme - 03.04.2012 (9)
  10. Windows 8: Die Rückkehr des Drive Extenders
    Nachrichten - 06.01.2012 (0)
  11. Drive-by-Installation
    Anleitungen, FAQs & Links - 17.09.2010 (1)
  12. Solid State Drive (SSD)
    Netzwerk und Hardware - 28.03.2010 (7)
  13. Drive Cleaner auf Mac - gefährlich?
    Plagegeister aller Art und deren Bekämpfung - 01.10.2007 (3)
  14. Paragon Drive Backup 2007
    Alles rund um Windows - 24.09.2007 (6)
  15. Drive Cleaner
    Plagegeister aller Art und deren Bekämpfung - 15.06.2007 (7)
  16. Drive Cleaner Pop Up
    Log-Analyse und Auswertung - 27.03.2007 (3)
  17. Samsung 48x12x40 CD-RW-Drive?
    Netzwerk und Hardware - 08.01.2003 (14)

Zum Thema drive-by Infektion - habe Dir hier geantwortet bzw die einzig sichere Methode vorgeschlagen:-> http://www.trojaner-board.de/109267-...tml#post773550 . - drive-by Infektion...
Archiv
Du betrachtest: drive-by Infektion auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.