Hi, ich bin neu im Forum und habe mir wohl einen Virus eingefangen,

laut AntiVir Guard handelt es sich um "das Trojanische Pferd TR/TDss.anuv".

Die zugehörige infizierte Datei trägt folgenden Pfad und Namen:

C:\Windows\System32\SKYNETdccvroqx.dll

Die Meldung taucht in Intervallen von 2Sekunden bis 3Minuten auf. Bei höherer Aktivität (Programme oder Fenster öffnen) häufiger. "Löschen", "Quarantäne" oder "Zugriff verweigern" zeigen keine Wirkung.

Habe auf eigene Faust mit "Malwarebytes' Anti-Malware" zunächst einen vollständigen Scan durchgeführt. Da dieser sich aber "aufhing" ("Keine Rückmeldung"), probierte ich es mit einem Quickscan, der scheinbar auch einige Dateien gelöscht haben soll.

Nach der Anmeldung im Forum habe ich dann den CCleaner durchlaufen lassen und nochmals Anti-Malware (Kompletter Scan). Diesmal nur noch einen Fund beim durchlaufen der gesammten C-Festplatte. Meine D-Partition ist noch unbenutzt und bei der Recovery-Partition, genauer bei "E:\Windows\System32\Com\MigRegDB.exe" war Anti-Malware erneut "ohne Rückmeldung", sodass ich es erneut schließen musste. Daher habe ich leider keinen logfile o.ä. erhalten.

Daraufhin habe ich dann noch RSIT gestartet und folgende Dateien erhalten:

*** wegen "Zeichenanzahl überschritten" im nächsten Beitrag ***

Zum Schluss noch meine Systemdaten:

Code: Alles auswählenAufklappen

ATTFilter

Betriebssystemname	Microsoft® Windows Vista™ Home Premium
Version	6.0.6001 Service Pack 1 Build 6001
Zusätzliche Betriebssystembeschreibung 	Nicht verfügbar
Betriebssystemhersteller	Microsoft Corporation
Systemname	XXXXXX
Systemhersteller	Dell Inc.
Systemmodell	Inspiron 531
Systemtyp	X86-basierter PC
Prozessor	AMD Athlon(tm) 64 X2 Dual Core Processor 5600+, 2812 MHz, 2 Kern(e), 2 logische(r) Prozessor(en)
BIOS-Version/-Datum	Dell Inc. 1.0.3, 2007-06-15
SMBIOS-Version	2.5
Windows-Verzeichnis	C:\Windows
Systemverzeichnis	C:\Windows\system32
Startgerät	\Device\HarddiskVolume3
Gebietsschema	Deutschland
Hardwareabstraktionsebene	Version = "6.0.6001.18000"
Benutzername	XXXXXX\XXX
Zeitzone	Mitteleuropäische Sommerzeit
Installierter physikalischer Speicher (RAM)	2.00 GB
Gesamter realer Speicher	2.00 GB
Verfügbarer realer Speicher	862 MB
Gesamter virtueller Speicher	4.23 GB
Verfügbarer virtueller Speicher	2.68 GB
Größe der Auslagerungsdatei	2.29 GB
Auslagerungsdatei	C:\pagefile.sys
         

Ich hoffe ihr könnt damit irgendetwas anfangen und bedanke mich schonmal bei allen, die mir Hilfe und Lösungen anbieten können.

MfG
treee

Hi,

das ist ein bekanntes Rootkit...

So, dann wollen wir mal...

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/comb...x-benutzt-wird

Dann noch:

Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Fullscan und alles bereinigen lassen! Log posten.

RSIT
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.
* Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/)
* speichere es auf Deinem Desktop.
* Starte mit Doppelklick die RSIT.exe.
* Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
* Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
* In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
* Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
* Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
* Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
* Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

chris

Was ist ein rootkit?
Tut mir leid, aber die logs sind zu lang,

"Der Text, den Sie eingegeben haben, besteht aus 26176 Zeichen und ist damit zu lang. Bitte kürzen Sie den Text auf die maximale Länge von 25000 Zeichen."

gibt es eine Alternative diese hochzuladen?

MfG
treee

[EDIT:]
Wie bereits erwähnt, habe ich schon einen RSIT log- und info-file, weiß aber nicht wie ich diese hier ins Forum bekomme, ohne die Zeichenlänge zu überschreiten.

Malwarebytes' Anti-Malware hängt sich an bereits erwähnter Stelle immer auf, also "Keine Rückmeldung", und damit auch keinen Log-File.

*mal reinhüpf*

Rootkit
Ein Rootkit ist eine Sammlung von Softwarewerkzeugen, die nach dem Einbruch in ein Computersystem installiert werden, um Logins des Eindringlings zu verbergen, Prozesse zu verstecken und Daten mitzuschneiden – generell gesagt: sich unsichtbar zu machen. Sie versuchen bereits installierte Spionageprogramme zu aktualisieren und gelöschte Spyware erneut zu installieren.

*raushüpf & gruß an Chris *

Hi,

ein Rootkit verankert sich sehr tief im Betriebssystem (Treiberebene) oder wird sogar noch vor Windows selbst gestartet (MBR-Rootkit). Dann kontrolliert es alle Schreib-/Lesevorgänge und blendet seine eigenen Dateien aus, d.h. sie sind nicht über Windows (Explorer etc.) zu finden. Wenn ein Scanner sich also auf die Windowsfunktionen verlässt, wird das Rootkit nicht gefunden und verrichtet seine zweifelhaften Dienste weiterhin unerkannt "im dunklen" ;o)...

Entweder aufteilen in mehrere Post oder:
Fileuplod:
http://www.file-upload.net/, hochladen und den Link (mit Löschlink) als "PrivateMail" an mich...

chris

PN hab ich gesendet
Lösungsvorschläge zu meinem MAM-Problem?

Hi,

halte Dich an das beschrieben Vorgehensmodell, erst Combofix ausführen, der hebelt normalerweise das Rootkit (das auch den Start von MAM verhindert) aus, danach sollte MAM lauffähig sein, sonst müssen wir noch mal mit GMER nachschauen!

chris

Alle Punkte erfüllt.
AntiVir Guard meldet keine Viren mehr.
Log-Files wegen Überlänge wieder als PN versand.

Vielen Dank schonmal.

Ist der Trojaner zerstört oder welche weiteren Schritte sind nötig?

MfG
treee