| |
| |||||||
Log-Analyse und Auswertung: REGEDIT--> Das Bearbeiten der Registrierung wurde durch den Administrator deaktiviertWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
31.10.2009, 20:24
| #1 | |||
 |  REGEDIT--> Das Bearbeiten der Registrierung wurde durch den Administrator deaktiviert Hi, unser PC hat ein großes Problem, wahrscheinlich ein Virus. Wenn man den Task-Manager öffnen möchte kommt folgende Fehlermeldung: Zitat:
Zitat:
Zitat:
 schonmal im vorrausMfG sissi |
|
31.10.2009, 20:49
| #2 |
  | REGEDIT--> Das Bearbeiten der Registrierung wurde durch den Administrator deaktiviert Hi,
__________________ACHTUNG: Eure Internetverbindung wird in die Ukraine umgeleitet, nichts mehr mit Passwörtern/Homebanking etc. Alle Pwd von einen sauberenen Rechner aus sofort ändern... Da liegt einiges im Argen, mal sehen was die Tools davon geradebiegen: O23 - Service: Intelligenter Hintergrundübertragungsdienst (BITS) - Unknown owner - %fystemRoot%\system32\svchost.exe (file missing) O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.46 85.255.112.154 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.46 85.255.112.154 O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing) O10 - Broken Internet access because of LSP provider 'ngmn1.dll' missing ... Erweitertes Vorgehen: Bitte MAM, RSIT und Gmer: Malwarebytes Antimalware (MAM). Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Fullscan und alles bereinigen lassen! Log posten. RSIT Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. * Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/) * speichere es auf Deinem Desktop. * Starte mit Doppelklick die RSIT.exe. * Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. * Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. * In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". * Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. * Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. * Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. * Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. Gmer: http://www.trojaner-board.de/74908-a...t-scanner.html Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. chris
__________________ Geändert von Chris4You (31.10.2009 um 20:55 Uhr) |
|
31.10.2009, 21:10
| #3 |
| | REGEDIT--> Das Bearbeiten der Registrierung wurde durch den Administrator deaktiviert Danke für die schnelle Antwort. Ich werde die 3 Sachen Morgen machen.
__________________Passwörter hab ich über einen anderen PC (aber im selben Netzwerk) geändert. Ist es denn ein bekannter Virus/Malware (oder wie es heißen mag)? Und kann er/es durch ein Homenetzwerk auf einen anderen PC übertragen worden sein? MfG sissi |
|
31.10.2009, 21:16
| #4 |
| | REGEDIT--> Das Bearbeiten der Registrierung wurde durch den Administrator deaktiviert Hi, kann ich erst sagen wenn die Logs da sind, auf jeden Fall ist ein DNS-Changer beteiligt, die ziehen aber durch die umgeleitet Verbindung alles mögliche noch nach sich... Falls ihr Homebanking macht, unbedingt Konto ggf. sperren lassen... chris
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
31.10.2009, 21:23
| #5 |
| | REGEDIT--> Das Bearbeiten der Registrierung wurde durch den Administrator deaktiviert OK ich werds dann wohl doch jetzt machen. Aber nochmal meine Frage: Kann das auch in irgendeiner Form auf einen anderen PC im Netzwerk übergegangen sein? MfG sissi |
|
31.10.2009, 22:51
| #6 |
| | REGEDIT--> Das Bearbeiten der Registrierung wurde durch den Administrator deaktiviert Hi, ja das ist bei eingen der Teile möglich, Verbreitung über USB-Geräte (Sticks, Festplatten, Kameras etc.), über Freigaben und über gefälschte DNS-Angaben... Kommt darauf an, wie Euer Netzwerk konfiguriert und ausgebaut ist... chris
__________________ --> REGEDIT--> Das Bearbeiten der Registrierung wurde durch den Administrator deaktiviert |
|
01.11.2009, 15:54
| #7 | |
| | REGEDIT--> Das Bearbeiten der Registrierung wurde durch den Administrator deaktiviert Alle Logs bis auf das von GMER sind im Anhang. GMER: Zitat:
Allerdings ist die CPU Auslastung ständig bei 100%. Laut Taskmanager ist der Prozess CLMLService.exe dafür verantwortlich. Wenn man diesen jedoch beendet steigt die CPU auslastung von winlogon.exe auf 95-100. Da das Internet auf dem "infizierten" PC nicht funktioniert, habe ich die erforderlichen Programme auf einem anderen PC heruntergeladen und mit einer Speicherkarte auf den "infizierten" PC übertragen und folglich auch die Logs auf der Karte gespeichert um sie hier posten zu können. Sollte ich jetzt auch den anderen PC durch diese Programme checken lassen und die Logs hier posten? MfG sissi |
|
01.11.2009, 19:28
| #8 |
| | REGEDIT--> Das Bearbeiten der Registrierung wurde durch den Administrator deaktiviert Hi, Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code:
ATTFilter C:\WINDOWS\system32\DRIVERS\atksgt.sys
C:\WINDOWS\System32\drivers\53876cd8.sys
Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:  2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code:
ATTFilter
Files to delete:
D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ngperadq\nihmnwvo.exe
C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet. 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code:
ATTFilter O1 - Hosts: localhost 127.0.0.1
R3 - URLSearchHook: (no name) - {58E57EAA-4422-6FA1-B64E-7E69CD1E98BA} - 321102.dll (file missing)
R3 - URLSearchHook: (no name) - - (no file)
O4 - HKLM\..\Policies\Explorer\Run: [RM1Ez4O0fr] D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ngperadq\nihmnwvo.exe
O9 - Extra button: Scan and protect your PC - {BF69DF00-4734-477F-8257-27CD04F88779} - C:\Programme\UnSpyPC\UnSpyPC.exe (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Scan and protect your PC - {BF69DF00-4734-477F-8257-27CD04F88779} - C:\Programme\UnSpyPC\UnSpyPC.exe (file missing) (HKCU)
O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
Hosts-Datei (richtig wäre:O1 - Hosts:127.0.0.1 localhost statt: localhost 127.0.0.1...) LSPFix http://www.snapfiles.com/get/lspfix.html LSPfix wird Dir Reparaturvorschläge machen falls es nötig ist gehe n i c h t in den Advanced Mode - befolge nur die Vorschläge - beachte Warnungen "IF YOU REALLY KNOW WHAT YOU ARE DOING !" wenn du das siehst machst du besser Nix - sonst kannst Du Dein Netzwerkteil von Windows zu Fuss neumachen - das ist kein Spass ! MAM updaten und nochmal ein Fullscan... So, und jetzt die schlechte Nachricht: Ihr hattet einen Backdoor auf Eurem Rechner, d.h. jemand hatte vollen Zugriff! Ihr solltet den Rechner platt machen und Neuaufsetzen! Die anderen Rechner mit MAM prüfen! chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
02.11.2009, 15:14
| #9 |
| | REGEDIT--> Das Bearbeiten der Registrierung wurde durch den Administrator deaktiviert So: Virustotal: Datei1: Virustotal. MD5: 6e996cf8459a2594e0e9609d0e34d41f Bei Datei 2 kommt folgende Meldung: Code:
ATTFilter 0 bytes size received / Se ha recibido un archivo vacio
Avenger: Code:
ATTFilter Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Error: file "D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ngperadq\nihmnwvo.exe" not found!
Deletion of file "D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ngperadq\nihmnwvo.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
File "C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
MfG sissi Geändert von sissi (02.11.2009 um 15:34 Uhr) |
|
02.11.2009, 16:32
| #10 |
| | REGEDIT--> Das Bearbeiten der Registrierung wurde durch den Administrator deaktiviert MAM: Code:
ATTFilter Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3085
Windows 5.1.2600 Service Pack 3
02.11.2009 16:23:32
mbam-log-2009-11-02 (16-23-32).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 268077
Laufzeit: 46 minute(s), 15 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{5d63f90d-f193-4277-b27b-fe70c9c55d6f} (Password.Stealer) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c2ceb3ab-feec-45f5-8ade-b2c33a60d85d} (Password.Stealer) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{5d63f90d-f193-4277-b27b-fe70c9c55d6f} (Password.Stealer) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{69504635-de84-4739-8d13-2b5c5616807f} (Password.Stealer) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\BITS\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemRoot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wuauserv\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemroot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> Quarantined and deleted successfully.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\WINDOWS\system32\wrten2.dll (Password.Stealer) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wtmet1.dll (Password.Stealer) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lpomf.dll (Trojan.Agent) -> Quarantined and deleted successfully.
|
|
02.11.2009, 16:53
| #11 |
| | REGEDIT--> Das Bearbeiten der Registrierung wurde durch den Administrator deaktiviert Hi, bitte ein neues RSIT und wir werden noch CF machen (der PWD-Stealer scheint sehr "Entfernungsunwillig" zu sein... RSIT Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. * Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/ * speichere es auf Deinem Desktop. * Starte mit Doppelklick die RSIT.exe. * Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. * Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. * In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". * Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. * Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. * Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. * Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Was macht das Internet am Rechner? chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
02.11.2009, 16:59
| #12 |
| | REGEDIT--> Das Bearbeiten der Registrierung wurde durch den Administrator deaktiviert Internet funktioniert wieder  Von RSIT gabs dieses mal nur ein Log File und kein Info File (Es ist zwar ein Info File vorhanden, jedoch das von gestern). So das ComboFix Log ist jetzt auch im Anhang. MfG sissi PS: Prozessorauslastung ist jetzt auch wieder im normalen Bereich Geändert von sissi (02.11.2009 um 17:45 Uhr) |
|
02.11.2009, 19:36
| #13 |
| | REGEDIT--> Das Bearbeiten der Registrierung wurde durch den Administrator deaktiviert Hi, Mit HJ fixen, danach neues HJ-Log O23 - Service: Automatische Updates (wuauserv) - Unknown owner - C:\WINDOWS\ O23 - Service: Intelligenter Hintergrundübertragungsdienst (BITS) - Unknown owner - C:\WINDOWS\ Hoch gefährlich: c:\windows\ServicePackFiles\i386\sfcfiles.dll wurde wiederhergestellt Wie empfohlen solltet Ihr den Rechner neu aufsetzen, da hat sich jemand an den Systemfiles "vergriffen" und um das zu verschleiern eine manipulierte "Ausschlußdatei" für die Systemintigritätsüberprüfung untergeschoben... Systemdateien prüfen: Start->Ausführen->cmd In der aufgehenden Commandline-Box folgendes eingeben: sfc /scannow Eventuelle Meldungen abkopieren und posten... Combofix deinstallieren: Start->Ausführen-> combofix /u Komplette Überprüfung: Kaskpersky OnlineScanner http://www.kaspersky.com/de/virusscanner chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
02.11.2009, 20:23
| #14 | |
| | REGEDIT--> Das Bearbeiten der Registrierung wurde durch den Administrator deaktiviert Hi, Zitat:
svc /scannow ist durchgelaufen aber es gab kein Log ect. Der Kasperky Online Scanner wird leider gerade überarbeitet und ist deswegen nicht verfügbar. MfG sissi Geändert von sissi (02.11.2009 um 20:55 Uhr) |
|
02.11.2009, 21:40
| #15 |
| | REGEDIT--> Das Bearbeiten der Registrierung wurde durch den Administrator deaktiviert Hi, immer noch dabei (Kaspersky), das geht jetzt schon Tage so... Nehmen wir mal Dr.Web/Cureit... http://www.trojaner-board.de/59299-a...eb-cureit.html Wenn Sfc nichts gebracht hat, ist es okay... Im RSIT-Log sind die Einträge noch drin, bitte noch mal ein HJ-Log posten.. chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
| Themen zu REGEDIT--> Das Bearbeiten der Registrierung wurde durch den Administrator deaktiviert |
| adobe, antivirus, bho, dsl, einstellungen, excel, fehlermeldung, hijack, hijackthis, internet, internet explorer, internet security, logfile, monitor, object, plug-in, problem, proxy, realtek, rundll, security, shortcut, software, sweetim, symantec, system, tuneup.defrag, usb, userinit.exe, windows, windows xp |
Linear-Darstellung
