Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Sicherheitssystem durch evtl. Trojaner defekt

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 21.07.2012, 18:54   #1
Hleb0815
 
Sicherheitssystem durch evtl. Trojaner defekt - Standard

Sicherheitssystem durch evtl. Trojaner defekt



Hallo zusammen,

habe ein wirkliches Problem! Hab mir was eingefangen, dass mein komplettes Windows Sicherheitssystem deaktiviert hat. (Firewall, Windows Updates usw.). Das alles ist auch nicht mehr unter dem Reiter "Dienste" zu finden. Zudem ist es so, dass wenn ich im Internet auf die HP von nem Firewallanbieter möchte (Bullgard, Antivir usw.) ... mir die google-Meldung "error 404" erscheint.

Habe jetzt mit malwarebytes, otl und GMER diverse Suchläufe gemacht und die hänge die Ergebnisse mal als Anhang hierher!

hab bei dem Malwarebytes suchlauf ein paar infizierte Dateiein entdeckt (7-10 stück) und und unter Quarantäne gestellt.

Bin dankbar für jede Hilfe

Alt 21.07.2012, 20:58   #2
Chris4You
 
Sicherheitssystem durch evtl. Trojaner defekt - Standard

Sicherheitssystem durch evtl. Trojaner defekt



Hi,

sieht nicht so gut aus, TDSS-Rootkit und noch einiges anderes...

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“
    und suche folgende Datei/Dateien:
Code:
ATTFilter
C:\Windows\System32\drivers\4f946c6da9f54222.sys
         
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

OTL: (Achtung: die *** durch den richtigen Pfad ersetzten, sonst funktioniert das Script nicht!)
  • Doppelklick auf die OTL.exe, um das Programm auszuführen.
  • Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.
  • Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code:
ATTFilter
:OTL
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.
O4 - HKLM..\Run: [k0kcwz1xjp] C:\ProgramData\k0kcwz1xjp.exe ()
O4 - HKCU..\Run: [Ahpekequ] C:\Users\***\AppData\Roaming\Maehn\ebxo.exe (Verbatim)
O4 - HKCU..\Run: [camuyyk] "c:\users\***\appdata\local\camuyyk.exe" camuyyk File not found
O4 - HKCU..\Run: [k0kcwz1xjp] C:\Users\***\k0kcwz1xjp.exe ()
O4 - HKCU..\Run: [Regedit32] C:\Windows\system32\regedit.exe File not found
[2012.07.20 21:05:46 | 000,000,000 | ---D | C] -- C:\$WINDOWS.~LS
[2012.07.20 20:59:31 | 000,000,000 | ---D | C] -- C:\$UPGRADE.~OS
[2012.06.23 20:28:16 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Oqce
[2012.06.23 20:28:16 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Maehn
[2012.06.23 20:28:16 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Gige
[2012.07.21 15:57:52 | 000,019,456 | ---- | C] () -- C:\Windows\Installer\{5d0bfe5b-df15-abd5-df05-6296931e53e1}\U\800000cb.@
[2012.06.23 22:43:02 | 000,045,568 | ---- | C] () -- C:\ProgramData\k0kcwz1xjp.exe
[2012.06.23 10:04:58 | 000,013,312 | ---- | C] () -- C:\Users\***\AppData\Local\{5d0bfe5b-df15-abd5-df05-6296931e53e1}\U\80000000.@
[2012.06.23 10:04:57 | 000,001,696 | ---- | C] () -- C:\Users\***\AppData\Local\{5d0bfe5b-df15-abd5-df05-6296931e53e1}\U\00000001.@
[2012.06.21 14:59:08 | 000,013,312 | ---- | C] () -- C:\Windows\Installer\{5d0bfe5b-df15-abd5-df05-6296931e53e1}\U\80000000.@
[2012.06.21 14:59:08 | 000,001,696 | ---- | C] () -- C:\Windows\Installer\{5d0bfe5b-df15-abd5-df05-6296931e53e1}\U\00000001.@
[2012.06.21 14:58:22 | 000,045,568 | ---- | C] () -- C:\Users\***\k0kcwz1xjp.exe
[2009.05.18 19:20:53 | 000,000,092 | ---- | C] () -- C:\Users\***\AppData\Local\oiceu.bat
[2009.05.01 19:03:57 | 000,000,092 | ---- | C] () -- C:\Users\***\AppData\Local\mkakuig.bat
[2009.01.21 21:02:40 | 000,000,094 | ---- | C] () -- C:\Users\***\AppData\Local\ekecgmy.bat
[2006.11.02 10:31:23 | 000,002,048 | -HS- | C] () -- C:\Windows\Installer\{5d0bfe5b-df15-abd5-df05-6296931e53e1}\@
[2006.11.02 10:31:23 | 000,002,048 | -HS- | C] () -- C:\Users\***\AppData\Local\{5d0bfe5b-df15-abd5-df05-6296931e53e1}\@

:REG
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = dword:0x01

:Commands
[purity]
[emptytemp]
[CREATERESTOREPOINT]
[Reboot]
         
  • Den roten Run Fixes! Button anklicken.
  • Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.
  • Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:
  • %systemroot%\_OTL

TDSS-Killer
Download und Anweisung unter: http://www.trojaner-board.de/82358-t...tml#post640150
Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)!
Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe.
Stelle den Killer wir folgt ein:

Dann den Scan starten durch (Start Scan).
Wenn der Scan fertig ist bitte "Report" anwählen (eventuelle Funde erstmal mit Skip übergehen). Es öffnet sich ein Fenster (Report anklicken), den Text abkopieren und hier posten...

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.
Ggf. die Chameliontechnologie ausprobieren...

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet!

Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß!

Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen. Das Log solltest Du unter C:\ComboFix.txt finden...

chris

chris
__________________

__________________

Geändert von Chris4You (21.07.2012 um 21:06 Uhr)

Alt 22.07.2012, 10:53   #3
Hleb0815
 
Sicherheitssystem durch evtl. Trojaner defekt - Standard

Sicherheitssystem durch evtl. Trojaner defekt



@Chris
danke schon mal für deine Antwort!
Nur leider hab ich schon ziemlich früh Probleme! .. die Verbindung zur VirusTotal Seite wird sofort umgeleitet (Error 404) .. habs schon über mehrere Direklinks von anderen Seiten probiert... aber keine Chance!
Gibts nen Plan B?
__________________

Alt 22.07.2012, 11:00   #4
Chris4You
 
Sicherheitssystem durch evtl. Trojaner defekt - Standard

Sicherheitssystem durch evtl. Trojaner defekt



Hi,

lass das Scannen über Virustotal weg und beginne mit dem Abfahren des OTL-Scripts. Danach sollte ein Gutteil der Viecher zumindest angeschossen sein... Notfalls dazu in den abgesicherten Modus (F8 beim Booten) gehen...
Gilt auch für den Rest der Anweisungen...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 22.07.2012, 14:15   #5
Hleb0815
 
Sicherheitssystem durch evtl. Trojaner defekt - Standard

Sicherheitssystem durch evtl. Trojaner defekt



@Chris

hab alles nach bestem Wissen und Gewissen erledigt!
Hier die Ergebnise:


Alt 22.07.2012, 20:08   #6
Chris4You
 
Sicherheitssystem durch evtl. Trojaner defekt - Standard

Sicherheitssystem durch evtl. Trojaner defekt



Hi,

wir haben da ein Problem, einige Teile entziehen sich den Löschversuchen sowohl von OTL als auch Combofix (und das will was heißen -> Shit)...

Erstelle und poste ein neues OTL-Logfile, werde dann versuchen Combofix zu scripten... Parallel dazu bitte folgende Boot-CD vorbereiten:

Dr. Web-Live-CD
Lade Dir das Abbild (Dr.Web LiveCD) runter (jeweils die neuste Version, z. Z. http://download.geo.drweb.com/pub/dr...livecd-600.iso) und brenne es auf CD/DVD. Stelle dann im BIOS die Bootreihenfolge um (zuerst von CD booten), boote dann von der erstellten CD und starte Dr. Web Live CD (default). Lass dann alle Festplatten untersuchen...
Bei Funden bitte Name und Pfad notieren, bevor du sie von Dr. Web beseitigen lässt...
Weiter Anweisungen: Dr.Web LiveCD

Weiterhin rate ich Dir dringend, Deine Daten in Sicherheit zu bringen (Backup)...

chris
__________________
--> Sicherheitssystem durch evtl. Trojaner defekt

Alt 24.07.2012, 18:16   #7
Hleb0815
 
Sicherheitssystem durch evtl. Trojaner defekt - Standard

Sicherheitssystem durch evtl. Trojaner defekt



hier jetzt mal das Ergebnis vm letzten OTL

Alt 25.07.2012, 08:04   #8
Chris4You
 
Sicherheitssystem durch evtl. Trojaner defekt - Standard

Sicherheitssystem durch evtl. Trojaner defekt



Hi,

erstelle & poste bitte ein neues OTL-Logfile, das alte hilft mir nicht weiter...
Der Eintrag ist trotz löschversuche immer noch da:
O4 - HKCU..\Run: [k0kcwz1xjp] C:\Users\Fam. Weiß\k0kcwz1xjp.exe ()
Das muss ich verifizieren...
  • Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde poste das Logfile

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 28.07.2012, 14:11   #9
Hleb0815
 
Sicherheitssystem durch evtl. Trojaner defekt - Standard

Sicherheitssystem durch evtl. Trojaner defekt



Hier das neuste OTL-Logfile! Hoffe, es hilft dir weiter

Alt 28.07.2012, 22:15   #10
Chris4You
 
Sicherheitssystem durch evtl. Trojaner defekt - Standard

Sicherheitssystem durch evtl. Trojaner defekt



Hi,

ja, ist noch da...
In den abgesicherten Modus booten (F8 beim Booten) und das als Admin folgendes Script von OTL abfahren lassen:

OTL:
  • Doppelklick auf die OTL.exe, um das Programm auszuführen.
  • Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.
  • Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code:
ATTFilter
:OTL
O4 - HKCU..\Run: [k0kcwz1xjp] C:\Users\Fam. Weiß\k0kcwz1xjp.exe ()
O4 - HKCU..\Run: [Regedit32] C:\Windows\system32\regedit.exe File not found
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - Reg Error: Value error. File not found
[2012.06.24 09:56:24 | 000,066,488 | ---- | C] () -- C:\Windows\System32\drivers\4f946c6da9f54222.sys
[2012.06.23 22:43:02 | 000,045,568 | ---- | C] () -- C:\ProgramData\k0kcwz1xjp.exe
[2012.06.21 14:58:22 | 000,045,568 | ---- | C] () -- C:\Users\Fam. Weiß\k0kcwz1xjp.exe
[2008.05.19 17:32:25 | 000,000,096 | ---- | C] () -- C:\Users\Fam. Weiß\AppData\Local\sydjhus.bat

:Commands
[purity]
[emptytemp]
[Reboot]
         
  • Den roten Run Fixes! Button anklicken.
  • Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.
  • Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:
  • %systemroot%\_OTL

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 29.07.2012, 13:32   #11
Hleb0815
 
Sicherheitssystem durch evtl. Trojaner defekt - Standard

Sicherheitssystem durch evtl. Trojaner defekt



hab deine Anweisungen soweit befolgt.
Hier das Ergebnis:

Alt 30.07.2012, 08:05   #12
Chris4You
 
Sicherheitssystem durch evtl. Trojaner defekt - Standard

Sicherheitssystem durch evtl. Trojaner defekt



Hi,

bitte umgehend ein neues OTL-Log erstellen, das Teil ist eine neue Variante eines Rootkits (Rootkit Cutwail)....

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 04.08.2012, 17:01   #13
Hleb0815
 
Sicherheitssystem durch evtl. Trojaner defekt - Standard

Sicherheitssystem durch evtl. Trojaner defekt



Hoffe, du kannst hiermit was anfangen

Alt 04.08.2012, 19:50   #14
Chris4You
 
Sicherheitssystem durch evtl. Trojaner defekt - Standard

Sicherheitssystem durch evtl. Trojaner defekt



Hi,

ist noch da...
OTL konnte es nicht verschieben, ich setze jetzt CF darauf an...

ComboFix-Script
Die nachfolgenden Zeilen (ohne Zitat!) abkopieren und in den Windows-Editor(start->Programme->zubehör->edior)
kopieren und auf dem Desktop unter dem Namen "CFScript.txt" speichern (ohne Anführungszeichen!).
Code:
ATTFilter
File::
C:\ProgramData\k0kcwz1xjp.exe
C:\Users\Fam. Weiß\k0kcwz1xjp.exe
         
Danach die CFScript.txt mit der Mause anklicken und gedrückt halten und über dem ComboFix-Symbol fallen lassen
(Maustaste loslassen, nennt man "Drag-and-Drop";o).
Jetzt sollte combofix starten und das script ausführen, poste das combofix-Log!

Neues OTL-Log erstellen und posten...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 05.08.2012, 14:05   #15
Hleb0815
 
Sicherheitssystem durch evtl. Trojaner defekt - Standard

Sicherheitssystem durch evtl. Trojaner defekt



bin entsprechend deiner Vorgaben vorgegangen!
hier die Ergebnisse:

Antwort

Themen zu Sicherheitssystem durch evtl. Trojaner defekt
anhang, antivir, deaktiviert, defekt, dienste, diverse, eingefangen, entdeck, ergebnisse, error, error 404, firewall, gen, gmer, hallo zusammen, infizierte, internet, malwarebytes, nicht mehr, problem, quarantäne, sicherheitssystem, trojaner, updates, windows, windows updates



Ähnliche Themen: Sicherheitssystem durch evtl. Trojaner defekt


  1. Volksbank Trojaner: Modernisierung Sicherheitssystem
    Plagegeister aller Art und deren Bekämpfung - 11.10.2015 (10)
  2. Windows 8.1: evtl. BKA-Virus und Funde durch MBAM
    Log-Analyse und Auswertung - 20.12.2013 (13)
  3. diverse Trojaner und Malware gefunden, infektion evtl. durch 22kB dateianhang
    Log-Analyse und Auswertung - 31.01.2013 (3)
  4. verschlüsselte Dateien durch Trojaner - auch Adressbuch in Thunderbird defekt
    Log-Analyse und Auswertung - 17.06.2012 (3)
  5. Sicherheitssystem Blockiert Windows Kostenpflichtige Uploads nötig
    Log-Analyse und Auswertung - 10.02.2012 (3)
  6. Hacker überwinden angeblich Sicherheitssystem der Xbox 360
    Nachrichten - 31.08.2011 (0)
  7. Hacker überwinden angeblich Sicherheitssystem der Xbox 360
    Nachrichten - 29.08.2011 (0)
  8. 27C3: Sicherheitssystem der Playstation 3 ausgehebelt
    Nachrichten - 30.12.2010 (0)
  9. kompromittierte Email u. gameaccounts evtl. durch H@tkeysh@@k.dll
    Log-Analyse und Auswertung - 05.12.2010 (27)
  10. Virus deaktiviert Windows Sicherheitssystem
    Plagegeister aller Art und deren Bekämpfung - 06.01.2010 (3)
  11. Winadm.exe / Parents Friend evtl durch hack
    Plagegeister aller Art und deren Bekämpfung - 09.08.2009 (18)
  12. ntoskrnl.exe defekt durch 2. Betriebssystems Installation...
    Alles rund um Windows - 26.05.2009 (1)
  13. Habe Beschwerden durch evtl. Viren etc.
    Plagegeister aller Art und deren Bekämpfung - 15.10.2008 (21)
  14. Ram evtl defekt?
    Netzwerk und Hardware - 18.06.2008 (7)
  15. Hilfe !!! Festplatte durch partitionieren defekt! Wie kann ich meine Daten retten?! ?
    Netzwerk und Hardware - 19.08.2007 (5)
  16. Internet defekt durch WebHancer?! Bitte um Hilfe!!
    Plagegeister aller Art und deren Bekämpfung - 04.04.2007 (1)
  17. Defekt von Spiel CD durch Virus?
    Plagegeister aller Art und deren Bekämpfung - 11.10.2005 (3)

Zum Thema Sicherheitssystem durch evtl. Trojaner defekt - Hallo zusammen, habe ein wirkliches Problem! Hab mir was eingefangen, dass mein komplettes Windows Sicherheitssystem deaktiviert hat. (Firewall, Windows Updates usw.). Das alles ist auch nicht mehr unter dem Reiter - Sicherheitssystem durch evtl. Trojaner defekt...
Archiv
Du betrachtest: Sicherheitssystem durch evtl. Trojaner defekt auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.