Hallo zusammen,

habe ein wirkliches Problem! Hab mir was eingefangen, dass mein komplettes Windows Sicherheitssystem deaktiviert hat. (Firewall, Windows Updates usw.). Das alles ist auch nicht mehr unter dem Reiter "Dienste" zu finden. Zudem ist es so, dass wenn ich im Internet auf die HP von nem Firewallanbieter möchte (Bullgard, Antivir usw.) ... mir die google-Meldung "error 404" erscheint.

Habe jetzt mit malwarebytes, otl und GMER diverse Suchläufe gemacht und die hänge die Ergebnisse mal als Anhang hierher!

hab bei dem Malwarebytes suchlauf ein paar infizierte Dateiein entdeckt (7-10 stück) und und unter Quarantäne gestellt.

Bin dankbar für jede Hilfe

Hi,

sieht nicht so gut aus, TDSS-Rootkit und noch einiges anderes...

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen!
  (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“
  und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\Windows\System32\drivers\4f946c6da9f54222.sys
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

OTL: (Achtung: die *** durch den richtigen Pfad ersetzten, sonst funktioniert das Script nicht!)

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.
O4 - HKLM..\Run: [k0kcwz1xjp] C:\ProgramData\k0kcwz1xjp.exe ()
O4 - HKCU..\Run: [Ahpekequ] C:\Users\***\AppData\Roaming\Maehn\ebxo.exe (Verbatim)
O4 - HKCU..\Run: [camuyyk] "c:\users\***\appdata\local\camuyyk.exe" camuyyk File not found
O4 - HKCU..\Run: [k0kcwz1xjp] C:\Users\***\k0kcwz1xjp.exe ()
O4 - HKCU..\Run: [Regedit32] C:\Windows\system32\regedit.exe File not found
[2012.07.20 21:05:46 | 000,000,000 | ---D | C] -- C:\$WINDOWS.~LS
[2012.07.20 20:59:31 | 000,000,000 | ---D | C] -- C:\$UPGRADE.~OS
[2012.06.23 20:28:16 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Oqce
[2012.06.23 20:28:16 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Maehn
[2012.06.23 20:28:16 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Gige
[2012.07.21 15:57:52 | 000,019,456 | ---- | C] () -- C:\Windows\Installer\{5d0bfe5b-df15-abd5-df05-6296931e53e1}\U\800000cb.@
[2012.06.23 22:43:02 | 000,045,568 | ---- | C] () -- C:\ProgramData\k0kcwz1xjp.exe
[2012.06.23 10:04:58 | 000,013,312 | ---- | C] () -- C:\Users\***\AppData\Local\{5d0bfe5b-df15-abd5-df05-6296931e53e1}\U\80000000.@
[2012.06.23 10:04:57 | 000,001,696 | ---- | C] () -- C:\Users\***\AppData\Local\{5d0bfe5b-df15-abd5-df05-6296931e53e1}\U\00000001.@
[2012.06.21 14:59:08 | 000,013,312 | ---- | C] () -- C:\Windows\Installer\{5d0bfe5b-df15-abd5-df05-6296931e53e1}\U\80000000.@
[2012.06.21 14:59:08 | 000,001,696 | ---- | C] () -- C:\Windows\Installer\{5d0bfe5b-df15-abd5-df05-6296931e53e1}\U\00000001.@
[2012.06.21 14:58:22 | 000,045,568 | ---- | C] () -- C:\Users\***\k0kcwz1xjp.exe
[2009.05.18 19:20:53 | 000,000,092 | ---- | C] () -- C:\Users\***\AppData\Local\oiceu.bat
[2009.05.01 19:03:57 | 000,000,092 | ---- | C] () -- C:\Users\***\AppData\Local\mkakuig.bat
[2009.01.21 21:02:40 | 000,000,094 | ---- | C] () -- C:\Users\***\AppData\Local\ekecgmy.bat
[2006.11.02 10:31:23 | 000,002,048 | -HS- | C] () -- C:\Windows\Installer\{5d0bfe5b-df15-abd5-df05-6296931e53e1}\@
[2006.11.02 10:31:23 | 000,002,048 | -HS- | C] () -- C:\Users\***\AppData\Local\{5d0bfe5b-df15-abd5-df05-6296931e53e1}\@

:REG
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = dword:0x01

:Commands
[purity]
[emptytemp]
[CREATERESTOREPOINT]
[Reboot]
         

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL

TDSS-Killer
Download und Anweisung unter: http://www.trojaner-board.de/82358-t...tml#post640150
Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)!
Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe.
Stelle den Killer wir folgt ein:

Dann den Scan starten durch (Start Scan).
Wenn der Scan fertig ist bitte "Report" anwählen (eventuelle Funde erstmal mit Skip übergehen). Es öffnet sich ein Fenster (Report anklicken), den Text abkopieren und hier posten...

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.
Ggf. die Chameliontechnologie ausprobieren...

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet!

Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß!

Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen. Das Log solltest Du unter C:\ComboFix.txt finden...

chris

chris

@Chris
danke schon mal für deine Antwort!
Nur leider hab ich schon ziemlich früh Probleme! .. die Verbindung zur VirusTotal Seite wird sofort umgeleitet (Error 404) .. habs schon über mehrere Direklinks von anderen Seiten probiert... aber keine Chance!
Gibts nen Plan B?

Hi,

lass das Scannen über Virustotal weg und beginne mit dem Abfahren des OTL-Scripts. Danach sollte ein Gutteil der Viecher zumindest angeschossen sein... Notfalls dazu in den abgesicherten Modus (F8 beim Booten) gehen...
Gilt auch für den Rest der Anweisungen...

chris

@Chris

hab alles nach bestem Wissen und Gewissen erledigt!
Hier die Ergebnise:

Hi,

wir haben da ein Problem, einige Teile entziehen sich den Löschversuchen sowohl von OTL als auch Combofix (und das will was heißen -> Shit)...

Erstelle und poste ein neues OTL-Logfile, werde dann versuchen Combofix zu scripten... Parallel dazu bitte folgende Boot-CD vorbereiten:

Dr. Web-Live-CD
Lade Dir das Abbild (Dr.Web LiveCD) runter (jeweils die neuste Version, z. Z. http://download.geo.drweb.com/pub/dr...livecd-600.iso) und brenne es auf CD/DVD. Stelle dann im BIOS die Bootreihenfolge um (zuerst von CD booten), boote dann von der erstellten CD und starte Dr. Web Live CD (default). Lass dann alle Festplatten untersuchen...
Bei Funden bitte Name und Pfad notieren, bevor du sie von Dr. Web beseitigen lässt...
Weiter Anweisungen: Dr.Web LiveCD

Weiterhin rate ich Dir dringend, Deine Daten in Sicherheit zu bringen (Backup)...

chris

hier jetzt mal das Ergebnis vm letzten OTL

Hi,

erstelle & poste bitte ein neues OTL-Logfile, das alte hilft mir nicht weiter...
Der Eintrag ist trotz löschversuche immer noch da:
O4 - HKCU..\Run: [k0kcwz1xjp] C:\Users\Fam. Weiß\k0kcwz1xjp.exe ()
Das muss ich verifizieren...

• Doppelklick auf die OTL.exe

• Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen

• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output

• Unter Extra Registry, wähle bitte Use SafeList

• Klicke nun auf Run Scan links oben

• Wenn der Scan beendet wurde poste das Logfile

chris

Hier das neuste OTL-Logfile! Hoffe, es hilft dir weiter

Hi,

ja, ist noch da...
In den abgesicherten Modus booten (F8 beim Booten) und das als Admin folgendes Script von OTL abfahren lassen:

OTL:

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKCU..\Run: [k0kcwz1xjp] C:\Users\Fam. Weiß\k0kcwz1xjp.exe ()
O4 - HKCU..\Run: [Regedit32] C:\Windows\system32\regedit.exe File not found
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - Reg Error: Value error. File not found
[2012.06.24 09:56:24 | 000,066,488 | ---- | C] () -- C:\Windows\System32\drivers\4f946c6da9f54222.sys
[2012.06.23 22:43:02 | 000,045,568 | ---- | C] () -- C:\ProgramData\k0kcwz1xjp.exe
[2012.06.21 14:58:22 | 000,045,568 | ---- | C] () -- C:\Users\Fam. Weiß\k0kcwz1xjp.exe
[2008.05.19 17:32:25 | 000,000,096 | ---- | C] () -- C:\Users\Fam. Weiß\AppData\Local\sydjhus.bat

:Commands
[purity]
[emptytemp]
[Reboot]
         

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL

chris

hab deine Anweisungen soweit befolgt.
Hier das Ergebnis:

Hi,

bitte umgehend ein neues OTL-Log erstellen, das Teil ist eine neue Variante eines Rootkits (Rootkit Cutwail)....

chris

Hoffe, du kannst hiermit was anfangen

Hi,

ist noch da...
OTL konnte es nicht verschieben, ich setze jetzt CF darauf an...

ComboFix-Script
Die nachfolgenden Zeilen (ohne Zitat!) abkopieren und in den Windows-Editor(start->Programme->zubehör->edior)
kopieren und auf dem Desktop unter dem Namen "CFScript.txt" speichern (ohne Anführungszeichen!).

Code: Alles auswählenAufklappen

ATTFilter

File::
C:\ProgramData\k0kcwz1xjp.exe
C:\Users\Fam. Weiß\k0kcwz1xjp.exe
         

Danach die CFScript.txt mit der Mause anklicken und gedrückt halten und über dem ComboFix-Symbol fallen lassen
(Maustaste loslassen, nennt man "Drag-and-Drop";o).
Jetzt sollte combofix starten und das script ausführen, poste das combofix-Log!

Neues OTL-Log erstellen und posten...

chris

bin entsprechend deiner Vorgaben vorgegangen!
hier die Ergebnisse: