Hallo zusammen!
ich habe mir heute abend, erstmalig nach etlichen surf-intensiven jahren, einen trojaner eingefangen. ich schreibe das vorab daher, weil ich somit wenig ahnung im umgang mit log-file erstellungen etc. habe.
ich bin über google recht schnell und zielsicher bei euch gelandet und habe mich jetzt nach 2,3 stdn mitlesen also angemeldet..
also wie geschrieben, über den link in einem forum auf ein rapidshare file wurde der screen weiß mit dem bekannt berüchtigten slogan: "Bitte warten sie während die Verbindung mit dem Internet hergestellt wird." dito in englisch..
da ich keinen rechner mit cd laufwerk zur verfügung hatte und hier nicht weiterkam was das booten via usb angeht, bin ich zuletzt eine zeitlang über die chip.de page und den "Kaspersky Rescue Disc / u.a. WindowsUnlocker" unterwegs gewesen. hat mich ein bißchen zeit gekostet das alles in dem alten IBM thinkcentre im bios einzustellen, was die boot-priorität angeht etc. wie gesagt, habe ich das bisweilen nicht oft bis nie tun müssen.
nach einigen schwierigkeiten läuft jetzt parallel auf dem IBM der kaspersky scan. bereits nach wenigen minuten hat er angeschlagen und besagte "h6s5ruij653.exe" gefunden.
OTL von Oldtimer habe ich auch bereits heruntergeladen und auf dem desktop liegen - allerdings habe ich keine ahnung wie ich das jetzt via usb-stick zum booten bringe.. ist das denn möglich? das CD laufwerk des IBMs habe ich ewig nicht benutzt, es nimmt die CD die ich jetzt bei nachbarn mit dem OTL drauf gebrannt habe nicht an. kann ich also das OTL prog auch via USB laufen lassen?
das entfernen des "h6s5ruij653.exe" files via kaspersky scheint im übrigen nichts gebracht zu haben, der weiße bildschirm erscheint nach wie vor.
ich werde hoffentlich in der lage sein das entsprechende log-file später hier zu posten, allerdings bräuchte ich wirklich hilfe beim booten des OTL tools über USB..
ich schreibe das alles so ausführlich, weil es bestimmt auch andere leute dort draußen gibt die sich den gema whatsoever virus eingefangen haben und sich nicht unbedingt von 0 auf 100 zutrauen über bios boot-menü etc. diesem zu leibe zu rücken.
sobald ich weiterkomme, editiere ich das hier. so soll das ja wohl den regeln nach sein. binnen einer stunde, naja..
dann mal los.
cheers & danke für alles was folgt
m.

..okay, ich kann den beitrag wohl kein zweites mal editieren.
habe jetzt einen thread mit ähnlicher problematik gefunden. wenn jmd mitliest hier:
http://www.trojaner-board.de/100626-...e-problem.html
versuche jetzt mal mit der hilfe dort weiterzukommen. da wird auch auf einem system ohne DVD/CD laufwerk gearbeitet, also via boot-fähig gemachtem USB stick..
more at the time.
m.

nachdem mir die USB variante doch zu kompliziert erschien, habe ich mehrfach auf einem anderen rechner versucht das iso file aus der OTLPENet.exe zu brennen. das scheint auch zu funktionieren, nur kann das laufwerk am betroffenen PC nicht auf die CD zugreifen, d.h. der bildschirm bleibt ewig schwarz. nun ist gerade ein gestrichelter, weißer balken erschienen, darunter steht 'Please wait...'
ist das normal dass die prozedur so lange dauert oder macht das weitere warten jenseits von 10min keinen sinn mehr? gibt es denn keine weitere möglichkeit diesen virus loszuwerden? kann mich eventuell jmd durch combofix via usb-stick leiten, oder ist das zu riskant wenn man selbst einfach zu wenig ahnung hat?
eine kurze rückmeldung wäre sehr nett
lg m.

..okay! "File \i386\system32\KDCOM.DLL could not be loaded. The error code is 32768. Setup cannot continue. Press any key to exit."
nach 'Enter' nun plötzlich doch "Starting Reatogo-X-PE..." und der Balken läuft (seehr langsam allerdings..).

Hi,

in den abgesicherten Modus booten (F8 beim Booten drücken), dann OTL von USB-Stick auf den Desktop kopieren und ausführen, Logs zurück auf den USB-Stick kopieren und hier posten...

OTL downloaden und auf einen USB-Stick kopieren, dann den Rechner im abgesicherten Modus mit Eingabeaufforderung hochfahren (F8 beim Booten drücken).
Kopiere dann die OTL.exe von dem Stick auf den Rechner (copy E:\OTL.EXE .)(wenn E Dein USB-Stick ist). Otl ausführen, Logs zurückkopieren und hier posten...
Wichtig:Du musst mit dem verseuchten Konto booten!

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe

• Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen

• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output

• Unter Extra Registry, wähle bitte Use SafeList

• Klicke nun auf Run Scan links oben

• Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)

• Poste die Logfiles hier in den Thread

chris

Ps.: Die Datei "h6s5ruij653.exe" ist nur der Dropper, der durch die Sicherheitslücke auf den Rechner plaziert wird und dann den Schadcode nachlädt (hohe Wahrscheinlichkeit)...

hallo chris!
vielen dank für die hilfe!
ich habe so ziemlich das gesamte WE damit zugebracht den pc wieder zum laufen zu bekommen. ein (up to date) lösungsweg führte mich dann via kaspersky / malwarebytes / spybot dazu dass ich seit gestern abend sogar wieder meine desktop-icons sehe..
ich hatte wie beschrieben noch nie probleme dieser art und mußte mich daher auch nie mit solchen sachen auseinandersetzen, wenngleich ich viel am rechner arbeite und ein grundverständnis habe. so ein befall ist - für andere zum mitlesen - auf einem solchen kenntnisstand trotzdem in jedem fall grenzwertig selbst zu lösen und mit einer gehörigen portion trial and error behaftet, ob man zum ziel oder auch nur in die nähe dessen gelangt oder nicht. mein problem war zusätzlich dass das laufwerk beschädigt zu sein scheint und ich lange nicht so ohne weiteres OTL zur analyse einsetzten konnte, da ich (zumindest) es nicht auf USB basierend und funktionierend gefunden habe. jetzt nachdem der pc wieder zu laufen scheint, habe ich es übers system geschickt und poste die logs hier.
ich würde mich sehr freuen, wenn sich die mal jemand genauer ansehen könnte, um mir zu sagen was ich weiterhin unternehmen soll / muss.
schon mal besten dank für alles was ich bis dato hier lesen und an möglichen lösungswegen nachverfolgen konnte!
da ich gerade den code nicht finde wie man ein textfeld erstellt in dem die logs dann gepostet werden, häng ich sie als dateien hier an, sorry.
lg m.

hier noch die beiden logs aus spybot und malwarebytes.
die hatte ich so schnell nicht finden können gerade.
dachte ich könnte sie noch nachträglich anhängen, der beitrag scheint aber nur editierbar zu sein, daher jetzt neu, sorry.

lg m.

Hi,


Fix für OTL:

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code: Alles auswählenAufklappen

ATTFilter

:OTL
DRV - (WDICA) --  File not found
DRV - (TFSysMon) --  File not found
DRV - (TfNetMon) --  File not found
DRV - (TfFsMon) --  File not found
DRV - (PDRFRAME) --  File not found
DRV - (PDRELI) --  File not found
DRV - (PDFRAME) --  File not found
DRV - (PDCOMP) --  File not found
DRV - (PCIDump) --  File not found
DRV - (lbrtfdc) --  File not found
DRV - (i2omgmt) --  File not found
DRV - (Changer) --  File not found
O4 - HKLM..\Run: []  File not found
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 0
O32 - AutoRun File - [2012.03.04 18:19:36 | 000,000,000 | ---D | M] - H:\autorun.inf -- [ FAT32 ]
O33 - MountPoints2\{5b4e25fd-6be9-11de-a05c-f95790a86098}\Shell\AutoRun\command - "" = E:\dhrhyje.bat
O33 - MountPoints2\{5b4e25fd-6be9-11de-a05c-f95790a86098}\Shell\open\Command - "" = E:\dhrhyje.bat
O33 - MountPoints2\{e057ccb2-6c56-11de-a063-0011255ec1e9}\Shell\AutoRun\command - "" = E:\dhrhyje.bat
O33 - MountPoints2\{e057ccb2-6c56-11de-a063-0011255ec1e9}\Shell\open\Command - "" = E:\dhrhyje.bat
[2012.03.04 19:47:47 | 000,000,266 | ---- | M] () -- C:\WINDOWS\tasks\RealUpgradeLogonTaskS-1-5-21-484763869-1715567821-725345543-1004.job
[2012.03.02 15:33:00 | 000,001,150 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-484763869-1715567821-725345543-1004Core.job
[2012.03.01 20:01:02 | 000,000,274 | ---- | M] () -- C:\WINDOWS\tasks\RealUpgradeScheduledTaskS-1-5-21-484763869-1715567821-725345543-1004.job
@Alternate Data Stream - 162 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:FB1B13D8
@Alternate Data Stream - 131 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DFC5A2B2
@Alternate Data Stream - 127 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:430C6D84
@Alternate Data Stream - 122 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:C581A570
@Alternate Data Stream - 115 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A8ADE5D8

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = dword:0x00

:Commands
[emptytemp]
[Reboot]
         

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL

TDSS-Killer
Download und Anweisung unter: Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft?
Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)!
Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe.
Stelle den Killer wir folgt ein:

Dann den Scan starten durch (Start Scan).
Wenn der Scan fertig ist bitte "Report" anwählen (eventuelle Funde erstmal mit Skip übergehen). Es öffnet sich ein Fenster, den Text abkopieren und hier posten...

chris

also der "Killing Process" läuft jetzt seit ca. 1std und es steht "do not interrupt.." dahinter. die fläche darüber, wo wohl eigentlich ein balken laufen sollte, ist komplett leer, arbeitsgeräusche des rechners kann ich eigentlich auch keine vernehmen. ist das normal? eher wohl nicht, oder?
hätte ich avira zuvor deaktivieren müssen? habe ich bei den anderen säuberungsaktionen allerdings auch nie tun müssen, daher bin ich gerade überfragt. soll ich wider der angabe trotzdem abbrechen?
danke für eure tipps
lg m.