Helix - Incident Response & Computer Forensics Live CD by e-fense, Inc.

Hallo Amagosa.

Zitat:

den erwähnten Schädling kenne ich zwar nicht

schonmal schlecht.

Zitat:

aber es sieht aus als würde eine Art ROOTKIT Funktion laufen

worauf begründest du diese Annahme?
Wahrscheinlich hast du den Namen gesehen den Avst ausgespuckt hat, dabei das .gen übersehen und überhaupt den Thread nicht richtig gelesen.

Halte dich also bitte mit unqualifizierten Aussagen zurück um den TO nicht zu verunsichern.

Zitat:

Zitat von undoreal

Hallo Amagosa.

schonmal schlecht.

worauf begründest du diese Annahme?
Wahrscheinlich hast du den Namen gesehen den Avst ausgespuckt hat, dabei das .gen übersehen und überhaupt den Thread nicht richtig gelesen.

Halte dich also bitte mit unqualifizierten Aussagen zurück um den TO nicht zu verunsichern.

deswegen:
im taskmanager ist ein prozess der heißt spoolsv.exe.
Er ist nicht auffällig und schlingt nur 4mb. Aber als ich HijackThis geöffnet habe kam wieder ne malware meldung und der prozess war auf 45mb.
Dann hab ich ihn beendet und nochmal HijackThis gestartet und der prozess hat sich wieder geöffnet unter dem diesmal aber ohne v nur spools.exe. Die virusmeldung kam wieder.

solltest Du evtl. mal lesen Rootkit-Detection | Server | TecChannel.de
Rootkit-Detection
Hacker hinterlassen, einmal im System eingebrochen, häufig ein Hintertürchen, damit sie später umso leichter wieder reinkommen. Wie Sie solche „Rootkits“ auf Ihren Systemen entdecken, zeigt dieser Artikel.

Wenn der Prozess im Taskmanager läuft so nenne ich das nicht grade Rootkit. Aber gut, das ist Definitionsgelaber.
Bereinigen kann man den Agent jedenfalls und Backdoor Funktionalität scheint er nicht zu haben.

ok was genau verrät Dir denn das er keine Backdor hat??? hast Du aus der exe nen code gemacht (FreeIDA Pro) ??? was man im Taskmanager sieht muss noch lange nicht stimmen und da kommt mir es schon mehr als kommisch vor wenn sich mal eben name und grösse ändern deswegen auch die Aufforderung mit netstat um eben zu sehen ob da wer von aussen evtl. zugriff hat.....

ich hab in diverse virus listen geschaut hab aber nicht wirklich was brauchbares gefunden da z.B. Kaspersky ihn als Trojaner listet und Bitdefender keine Aussage macht....

aber viele Trojaner und auch anderere Malware haben eben Rootkit funktionalitäten, daher eben die Vermutung

Zitat:

ok was genau verrät Dir denn das er keine Backdor hat???

Wenn du google nicht bedienen kann ich dir auch nicht helfen.
Troj/Agent-GXN - Google-Suche
Erster Treffer.

Hier wird jetzt erstmal der Agent beseitigt und danach folget eine Systemanalyse nach allen Regeln der Kunst, so wie sich das in diesem Forum gebührt.
Sollte dabei eine Backdoor Funktion auftauche so wird selbstverständlich empfohlen den Rechner neuaufzusetzten. Auch das ist in diesem Forum Standard. Evtl. solltest du erstmal zusehen wie hier gearbeitet wird bevor du überall hereinplatzt..

So hab das jetzt im abgesicherten gemacht.

Nachdem Neustart im Normalen Modus waren aber alle registry einträge wieder da. Hab aber hundert prozentig sie gelöscht.

Mir ist da aber noch ein Registry Eintrag aufgefallen.
Hab ihn aber nicht gelöscht weil ich nciht wusste ob ich dass soll
Den sollte ich nämlich nicht löschen. Hat undoreal zumindestens nicht auffgefordert. Er heißt HKCU\Software\Mircrosoft\Windows\CurrentVersion\Run
CTFMON.EXE
C:\WINDOWS\system32\ctfmon.exe

Die Warnmeldung von Avst kommen immer noch.

Soll ich den Registry Eintrag auch löschen und alle anderen nochmal bevor ich Avenger ausführe.

PS:Bitte um hilfe

Zitat:

Soll ich den Registry Eintrag auch löschen und alle anderen nochmal bevor ich Avenger ausführe.

Ja bitte.

Wir schieben da aber noch einen Schritt ein.


1) Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.


Wechsel in den abgesicherten Modus.


2)Blacklight bitte laufen lassen und das log posten.. Sollte er was finden lasse die Dateien umbennen.

3) Arbeiten mit regedit.

Starte den Rechner im abgesicherten Modus

Start->ausführen-> " regedit "->#ENTER# drücken!

Datei->exportieren->speichern an einem Platz wo du sie wiederfindest..

Die Datei die erstellt wurde dient als Sicherung falls etwas bei der Bearbeitung der Registrierung schief geht kannst du sie durch die Import-Funktion wiederherstellen.

Dann navigierst du links zu den folgenden Schlüsseln und löscht sie:

Zitat:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
ntuser
C:\WINDOWS\system32\drivers\spools.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
autoload
C:\Dokumente und Einstellungen\Master\cftmon.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ntuser
C:\WINDOWS\system32\drivers\spools.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
autoload
C:\Dokumente und Einstellungen\Master\cftmon.exe

HKLM\SYSTEM\CurrentControlSet\Services\Schedule

Falls folgender Eintrag vorhanden sein sollte ändere den Wert bitte von 1 auf 0:

Zitat:

HKCR\exefile\shell\open\command
(default)
C:\Dokumente und Einstellungen\Master\cftmon.exe "%1" %*

4) Danach lasse cCleaner dein System bereinigen. -Punkt 1 und 2 !


5) Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:






2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here")

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|ntuser <Achtung ev. Blanks entfernen!
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|autoload
 
Files to delete:
C:\Dokumente und Einstellungen\Master\cftmon.exe
C:\WINDOWS\system32\drivers\spools.exe
C:\Dokumente und Einstellungen\Master\ftp34.dll
C:\WINDOWS\system32\ftp34.dll
         

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet.


4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.


PS: Hast du eine Windows CD zur Hand?

Nein keine Windows Cd zur Hand.

hab gesehen das ich was vergessen habe und habe bevor deinem post nochmal die anleitung von davor gemacht.

Avenger hat was erstellt kann ich dir aber net posten denn hab jetzt an dem geschädigtem pc ein problem.

Wollte Windows wieder normal starten um ins internet zu können.
Hab also in ausführen msconfig eingegeben damit ich den haken von safeboot wegmachen kann.

Msconfig geht aber net genau wiee regedit cmd oder sonstiges unter ausführen.

Es kommt immer Waählen sie ein programm aus der Liste aus um msconfig zu öffen.
Wenn ich msconfig suche und dann öffne kommt dasselbe.

Jetzt hänge ich hier im abgeschichetem modus und komme net raus.

Hab dann noch ne alte tastatur geholt um f8 zu drücken. ging auch bloss egal was man da dann drückt normal starten oder so es kommt immer wieder der abgeschichete modus.


Wass soll ich tun.

meinen Mutter bringt mich um wenn ich ihr sage das ich da net rauskomme.


Bitte helft mir

Uaaa. Was machst du denn bloß?

Wir fangen nochmal ganzvon vorne an. Sonst geht das hier alles furchtbar schief. Und du musst genau lesen was ich dir so poste.!.
Hab' mir schon fast gedacht, dass du was vergessen hattest..
Was war's denn?

Stelle nun bitte erstmal die Registry wieder her. Klicke mit einem Doppelklick auf die .reg Datei die du als Sicherung angelegt hast. Das war dieser Punkt in meiner Anleitung:

Zitat:

Start->ausführen-> " regedit "->#ENTER# drücken!

Datei->exportieren->speichern an einem Platz wo du sie wiederfindest..

Sollte dann nicht automatisch nachgefragt werden was du tuen möchtest so öffne regedit und wähle Datei->importieren und wähle die Sicherungs.reg Datei aus. Danach müsste eigentlich wieder alles funktionieren.

So falls du mir nicht zugehörst hast.

Ausführen geht nix

Gar keinen anwendung

Bin jetzt aber aus dem safemode raus udn hab die registry wieder korriegiert.
Problem besteht auch im normaln modu.

Egal was mann öffnen will es kommt immer diese fenster wo man auswählen kann mit welchem programm man die exe datei öffnen will.

Liegt dies vielleicht an CCleaner und avanger das waren die programme wo nach dem neustart von avenger nix mehr funktionierte.

Das heißt mein Pc hat auch kein Avst mehr da ich denn ja nicht öffnen kann.

Also wenn ihr kein Idee mehr habt dann geb ich denPc an einen Freund von dem ich den Pc neugekauft habe. Eint IT spezalist. Der macht Windoof dann platt und installiert es neu

Sorry, kann geloescht werden......

Hi,

ich denke mal, dass in der Registry in HKCR\exefile\shell\open\command noch ein Problem vorliegt.
Der Wert (Standard) muss folgendes enthalten:

Code: Alles auswählenAufklappen

ATTFilter

"%1" %*
         

Den Zugriff auf die Registry kannst Du dir hoffentlich dadurch ermöglichen, dass Du von regedit.exe eine Kopie anfertigst und die regedit.com nennst (Auf .com kommt es an).

Wenn Du dir unsicher bist, poste erstmal, was in dem Registryeintrag steht.

Gruß, Karl