Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Rootkit.TDSS kbiwkmbk...

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 17.09.2009, 10:05   #1
redbomb
 
Rootkit.TDSS kbiwkmbk... - Standard

Rootkit.TDSS kbiwkmbk...



Hallo!

habe mir am Wochenende ein Rootkit eingefangen. Bei allem was ich tue, also z.B. einen Ordner/Programm öffnen, erhalte ich immer folgende Fehlermeldung:

"Dateiname" - Ungültiges Bild

globalroot\systemroot\system32\kbiwkmbkfpvsgn.dll ist entweder niht für die Ausführung unter Windows vorgesehen oder enthält einen Fehler. Installieren Sie das Programm mit den Originalinstallationsmedien erneut, oder wenden Sie sich an den Systemadministrator oder Softwarelieferanten, um Unterstützung zu erhalten.

Kaspersky erkennt es zwar, aber desinfizieren bzw. lösche funktioniert nicht. Combofix konnte ich einmal starten, danach schien das Problem auch gelöst zu sein, doch dann fing alles wieder von vorn an. Seitdem kann ich Combofix auch nicht mehr starten.
Mittlerweile komm ich nicht mal mehr ins Internet.
Ich will das System nicht neu aufsetzen.

Ich hoffe, mir kann hier jemand helfen!?
Achj ja, habe Vista Home Premium, 32-bit auf meinem Laptop.

Danke im Voraus
redbomb

Alt 17.09.2009, 12:35   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Rootkit.TDSS kbiwkmbk... - Standard

Rootkit.TDSS kbiwkmbk...



Hallo und

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (etx. Platten, SD-Cards, ... mit anklemmen!!
Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.
__________________

__________________

Alt 17.09.2009, 20:19   #3
redbomb
 
Rootkit.TDSS kbiwkmbk... - Standard

Rootkit.TDSS kbiwkmbk...



habs leider nicht eher geschafft... hoffe das nützt was:

http://www.file-upload.net/download-1895697/logs.zip.html
__________________

Alt 18.09.2009, 19:49   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Rootkit.TDSS kbiwkmbk... - Standard

Rootkit.TDSS kbiwkmbk...



Bitte das nächste Mal die Logdateien so belassen wie sie sind. Es gibt keinen Grund, reinen Text als MS-Worddatei abzuspeichern!

Dein System sieht so ziemlich im Eimer aus, bei diesem Patchstand eigentlich kein allzu großes Wunder:

Code:
ATTFilter
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16609)
         
Hast Du jemals Updates für Windows eingespielt?

Bitte mal den Avenger anwenden

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.


Danach:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
Code:
ATTFilter
files to delete:
C:\Windows\system32\cmd.execf
c:\windows\system32\inethttpfilter.dll

folders to delete:
C:\32788R22FWJFW
C:\Program Files\EZ Save MHT
         
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.


Dann sehen wir weiter.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 18.09.2009, 21:27   #5
redbomb
 
Rootkit.TDSS kbiwkmbk... - Standard

Rootkit.TDSS kbiwkmbk...



Hab vielleicht am Anfang Updates aufgespielt aber habs dann im Laufe der Zeit irgendwie verschwitzt.


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\Windows\system32\cmd.execf" deleted successfully.
File "c:\windows\system32\inethttpfilter.dll" deleted successfully.
Folder "C:\32788R22FWJFW" deleted successfully.
Folder "C:\Program Files\EZ Save MHT" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


Alt 18.09.2009, 22:44   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Rootkit.TDSS kbiwkmbk... - Standard

Rootkit.TDSS kbiwkmbk...



Okay, probiers wieder mit Combofix. Besorg Dir auf jeden Fall ComboboFix neu, der Link folgt gleich in der Anleitung. ComboFix bitte wieder mit unter Vista mit Rechtsklick => Als Admin ausführen:

Die Anweisungen bitte genau so umsetzen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK

Wichtig! Bitte die combofix.exe per Rechtsklick, "Ziel speichern unter" unter smss.exe abspeichern!
Besonders hartnäckige Malware erkennt eine combofix.exe und würde sich vor ihr gezielt verstecken!


Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die in smss.exe umbenannte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:
[code] Hier das Logfile rein! [/code]
__________________
--> Rootkit.TDSS kbiwkmbk...

Alt 19.09.2009, 10:53   #7
redbomb
 
Rootkit.TDSS kbiwkmbk... - Standard

Rootkit.TDSS kbiwkmbk...



Ich habe Combofix unter smss.exe auf dem Desktop abgespeichert, aber es will nicht starten. D.h. es erscheint so ein kleines Dialogfeld mit einer Fortschrittsanzeige und danach passiert nix mehr.
Außerdem habe ich noch festgestellt, dass in meinen Netzwerkverbindungen ein Linux Internet Gateway Device drin steht, der da nicht hingehört. Und bei meiner Internetverbindung steht dann da: Verbindung mit nicht identifiziertem Netzwerk (Sitecom)...
Bin kurz davor, den Laptop gegen die Wand zu schmeißen

Alt 19.09.2009, 12:23   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Rootkit.TDSS kbiwkmbk... - Standard

Rootkit.TDSS kbiwkmbk...



Da sind noch Reste vom alten Combofix, geh mal auf Start, Ausführen (oder Win-Taste + R) und tipp ein:

combofix /U

Dann mit Enter bestätigen. Versuch dann erneut die umbenannte Combofix Datei zu starten.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 19.09.2009, 14:10   #9
redbomb
 
Rootkit.TDSS kbiwkmbk... - Standard

Rootkit.TDSS kbiwkmbk...



Combofix startet jetzt, allerdings tauchen da immer wieder diese Fehlermeldungen "... - Ungültiges Bild" auf. Und wenn ich die nicht bestätige, dann passiert auch nix mehr bei Combofix. Kann ich das irgendwie umgehen?

Alt 19.09.2009, 14:36   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Rootkit.TDSS kbiwkmbk... - Standard

Rootkit.TDSS kbiwkmbk...



Wüsste ich jetzt aus dem Stehgreif nicht genau wie. Bestätige die einfach alle mal. Wie wieviele sind das denn?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 20.09.2009, 07:46   #11
redbomb
 
Rootkit.TDSS kbiwkmbk... - Standard

Rootkit.TDSS kbiwkmbk...



Guten Morgen!

Das waren Unmengen von Anzeigen. Wie wenn man in ein Bienennest sticht und die wütend werden.
Bin das Rootkit jetzt aber los geworden. Nachdem Combofix nicht funktioniert hat, hab ich mir Sophos Anti-Rootkit runtergeladen, und seitdem habe ich nicht mehr die nervigen Warnmeldungen und es wird auch nix mehr gefunden
Nur mein Internet will noch nicht funktionieren. Es wurde zwar eine Verbindung zu Sitecom hergestellt, aber im Netzwerk- und Freigabecenter steht bloß eine Verbindung bis zu "Nicht identifiziertes Netzwerk", aber nicht weiter ins Internet.
Gestern stand bei mir auch noch ein "Linux Internet Gateway Device" als Netzwerk drin. Hab dann noch etwas recherchiert und daraufhin UPnP im Router deaktiviert. Jetzt steht das Netzwerk nicht mehr da, aber die Verbindung klappt immer noch nicht

Alt 20.09.2009, 15:33   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Rootkit.TDSS kbiwkmbk... - Standard

Rootkit.TDSS kbiwkmbk...



Wegen der verbindung: Ich vermute da ist irgendwas falsch an den Netzwerkeinstellungen. Geh mal in die Konsole cmd.exe und führe diesen Befehl aus:

ipconfig /all > c:\ipconfig.txt

Öffne danach die Datei c:\ipconfig.txt und poste den Inhalt hier mit Codetags umschlossen.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 20.09.2009, 19:13   #13
redbomb
 
Rootkit.TDSS kbiwkmbk... - Standard

Rootkit.TDSS kbiwkmbk...



internet geht wieder

Habe ipconfig ausgeführt, und habe festgestellt dass beim Standardgateway nichts mehr drin steht und der DNS-Server verstellt war. Hab das geändert und jetzt gehts wieder

Vielen, vielen Dank für deine Hilfe und noch einen schönen Sonntagabend!
Heike

Alt 21.09.2009, 13:30   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Rootkit.TDSS kbiwkmbk... - Standard

Rootkit.TDSS kbiwkmbk...



Schön!

Bitte nochmal zur Überprüfung:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu Rootkit.TDSS kbiwkmbk...
.dll, 32-bit, ausführung, combofix, datei, dateiname, desinfizieren, erhalte, erkennt, erneut, fehlermeldung, folge, folgende, funktioniert, gelöst, home, home premium, installieren, nicht mehr, problem, rootkit, rootkit.tdss, starten, system32, systemadministrator, ungültiges, vista, vista home premium, windows, woche, öffnen




Ähnliche Themen: Rootkit.TDSS kbiwkmbk...


  1. Rootkit, Bootkit, Rootkit.win32.tdss.ld4 - ich weiss nicht weiter..
    Log-Analyse und Auswertung - 18.03.2013 (1)
  2. SkyNetBDA_AMD64 (Rootkit.TDSS)
    Log-Analyse und Auswertung - 19.07.2012 (6)
  3. Problem mit Rootkit BOO/TDss.O
    Log-Analyse und Auswertung - 06.05.2012 (8)
  4. Spywaredoctor findet -Rootkit.TDSS.v3 im
    Plagegeister aller Art und deren Bekämpfung - 27.03.2012 (20)
  5. Starforce? Rootkit Rootkit.TDSS! Bluescreens und Mbr laufend beschädigt!
    Plagegeister aller Art und deren Bekämpfung - 02.03.2011 (9)
  6. Rootkit.Win32.TDSS.mbr - Wie entfernen?
    Plagegeister aller Art und deren Bekämpfung - 01.11.2010 (13)
  7. rootkit.win32.tdss.d
    Plagegeister aller Art und deren Bekämpfung - 30.04.2010 (2)
  8. rootkit.win32.tdss.d
    Plagegeister aller Art und deren Bekämpfung - 21.04.2010 (1)
  9. Rootkit.Win32.TDSS.d
    Plagegeister aller Art und deren Bekämpfung - 15.04.2010 (28)
  10. TDSS-Rootkit entfernen - wie?
    Plagegeister aller Art und deren Bekämpfung - 07.03.2010 (9)
  11. Rootkit TDSS entfernen
    Plagegeister aller Art und deren Bekämpfung - 29.09.2009 (54)
  12. Rootkit.TDSS werde ich nicht los!
    Plagegeister aller Art und deren Bekämpfung - 06.09.2009 (43)
  13. Rootkit.Win32.TDSS.a
    Plagegeister aller Art und deren Bekämpfung - 16.05.2009 (15)
  14. 2 ungebetene Gäste: TR/TDss.AT.881 TR/Rootkit.Gen
    Log-Analyse und Auswertung - 20.01.2009 (1)
  15. Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY
    Log-Analyse und Auswertung - 21.12.2008 (28)

Zum Thema Rootkit.TDSS kbiwkmbk... - Hallo! habe mir am Wochenende ein Rootkit eingefangen. Bei allem was ich tue, also z.B. einen Ordner/Programm öffnen, erhalte ich immer folgende Fehlermeldung: "Dateiname" - Ungültiges Bild globalroot\systemroot\system32\kbiwkmbkfpvsgn.dll ist entweder - Rootkit.TDSS kbiwkmbk......
Archiv
Du betrachtest: Rootkit.TDSS kbiwkmbk... auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.