Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: bodnet, mebroot

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 04.06.2011, 15:40   #1
zombi9
 
bodnet, mebroot - Standard

bodnet, mebroot



Mein System ist trotz mehrfacher Neuinstallation korrupt. Ich habe die Platte/n komplett gelöscht und richtig wieder aufgesetzt, aber der Mist (Sinowal/Firmware ?) ist immer wieder vorhanden. Avira-Vierenscanner lässt sich zwar installieren, aber wird weder richtig upgedatet noch beim nächst Start installiert.
Die samba-user S-5-18… , S-5-19…, bis S-5-22… übernehmen alle Rechte und steuern über ihre Serverkonstellation die Verbindung zu den Bots.
Selbst ein Update des Bios von F7 auf F11 hat nicht gebracht, da die Schadware sich über den PCI-Bus installiert. Auch beim booten über den abgesicherten Modus installierten sich ca. 40 Treiber, was man auch nicht verhindern kann.
Beim Blick auf die Festplatte (mittels Hex/Edit) fällt auf, dass die Festplatte größer ist als, die Ursprungsangabe von 500GB. Es sieht so aus, als währen einige Cluster der Graphikkarte NIVIA GT 9800 an die Platte angehängt worden.
Beim Gerätemanager fällt auf, dass einige Fantasie-Geräte (4 USB-Generic .. Speicher) eingebunden wurden. Die real vorhandenen Geräte wurden mit falschen Treibern) installiert (verknüpft mit *.dll´s). Die falschen Treiber lassen sich kaum deinstallieren; wenn es gelingt sind sie nach einem erneuten Bootvorgang wieder da. Dabei erscheint die Meldung ihr System wird upgedatet, bitte nicht unterbrechen (dies geschieht auch wenn keine Netzverbindung besteht); also muss es auf dem Rechner bzw. der Graphikkarte sein. Auch die Netzwerkkarte ist mit einem falschen Treiber versehen, mit den Netboot-Eigenschaften.

Wenn ich mit der Umbutu 10,04-CD boote (ohne Installation) kann ich zwar einige falsche files löschen, aber auch trotz Verhinderung der Recyclefunktion kommt der Mist wieder.
Auch die demsg_Ausgabe dieses CD-boots erscheint mir als Linux-Newby sehr lang und ungewöhnlich:
Ich habe nun ca. ein halbes Jahr alles probiert die Schadware los zu werden, aber es ist mir nicht gelungen. Darum bitte ich um ihre Hilfe.:
Angehängte Dateien
Dateityp: txt MBRCheck_06.04.11_00.55.33.txt (11,1 KB, 193x aufgerufen)
Dateityp: txt OTL4.6.11.Txt (73,9 KB, 199x aufgerufen)
Dateityp: txt dmesg20-5-11.txt (32,4 KB, 352x aufgerufen)
Dateityp: txt hijackthis.txt (6,1 KB, 194x aufgerufen)

Geändert von zombi9 (04.06.2011 um 15:47 Uhr)

Alt 05.06.2011, 17:54   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
bodnet, mebroot - Standard

bodnet, mebroot



Zitat:
Mein System ist trotz mehrfacher Neuinstallation korrupt. Ich habe die Platte/n komplett gelöscht und richtig wieder aufgesetzt,
Wie genau bist du vorgegangen?

Zitat:
Die samba-user S-5-18…
Was verstehst du unter Samba-User? Du weißt was Samba ist?
Zitat:
da die Schadware sich über den PCI-Bus installiert.
Wo hast du das denn aufgeschnappt?

Zitat:
dass die Festplatte größer ist als, die Ursprungsangabe von 500GB. Es sieht so aus, als währen einige Cluster der Graphikkarte NIVIA GT 9800 an die Platte angehängt worden.
Häh?? Wie bitte soll man Cluster einer Grafikkarte an die Festplatte(n) anhängen?

Zitat:
Wenn ich mit der Umbutu 10,04-CD boote (ohne Installation) kann ich zwar einige falsche files löschen,
Und was hast du bisher gelöscht, was immer wieder kam?

Sry aber manches was du schreibst ist einfach nur falsch oder nicht nachvollziehbar....
__________________

__________________

Alt 07.06.2011, 01:29   #3
zombi9
 
bodnet, mebroot - Standard

bodnet, mebroot



Hey cosinus hier meine Antworten:
1) Neuinstallation: löschen über wipping zBsp, killdisk von ultimate boot CD 4.1.1,
dann gebootet mit Win7/64 und neuformatiert (nicht schnell); vorher schon Netztrennung für LAN (dauerhaft) - Strom nur kurzzeit, Bios-Batterie aus und wieder eingebaut
2) samba-user S-5-18…; hier habe ich gelesen, dass diese Userkennung bei Samba benutzt wird. Bei mir kontrolliert der Security User S-1-5-18 die Group Policy, den Kernel, die Authenication und WINSOCK; Security User S-1-5-19 das Network, den Dhcp Client, die Firewall sowie den Backup; Security User S-1-5-21 das Recovery, Remote, UAC, Diagnostic_PLA
3)Schadware über den PCI-Bus; hier habe ich mich mißverständlich ausgetrückt. Das PCI-Bios wurde verändert (unter anderem aus !Bios V3.20 UltimatbootCD erkennbar) und beim booten werden die falschen Treiber und Geräte geladen.
4) Festplattengröße wird mit 500.097.024.000bytes gemeldet bei der Nenngröße von 500 GB. Hier habe ich vermutet, dass Grafikkartenspeicher oder HDAT2-Speicher angehängt (verkettete Temp-datei) wurden.
__________________

Alt 07.06.2011, 11:51   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
bodnet, mebroot - Standard

bodnet, mebroot



Zitat:
1) Neuinstallation: löschen über wipping zBsp, killdisk von ultimate boot CD 4.1.1,
Du hast auch die gesamte Platte löschen lassen? Nur eine oder alle Partitionen zu wipen bringt nichts, das überschriebt nämlich nicht den MBR.

Zitat:
2) samba-user S-5-18…; hier habe ich gelesen, dass diese Userkennung bei Samba benutzt wird.
=> Samba (Software) ? Wikipedia
Samba ist freie Software, die das proprietäre SMB-Protokoll von Windows für Linux/UNIX nachmacht. S-5-18... was du hier meinst ist "nur" die interne eindeutige UserID, die ein Benutzerkonto generiert bekommt. Löscht du einen bestehenden User MaxMuster und legst einen neuen mit dem gleichen Namen an, so hat dieses Konto eine andere UserID.

Zitat:
3)Schadware über den PCI-Bus; hier habe ich mich mißverständlich ausgetrückt. Das PCI-Bios wurde verändert (unter anderem aus !Bios V3.20 UltimatbootCD erkennbar) und beim booten werden die falschen Treiber und Geräte geladen.
Würde ich mal in den Bereich Mythen & Legenden einstufen. Was soll man denn mit der UltimateBootCD erkennen können, woher erkennst du ein schädlich manipuliertes BIOS?

Zitat:
4) Festplattengröße wird mit 500.097.024.000bytes gemeldet bei der Nenngröße von 500 GB. Hier habe ich vermutet, dass Grafikkartenspeicher oder HDAT2-Speicher angehängt (verkettete Temp-datei) wurden.
Da hast du falsch vermutet
Festplattenhersteller geben zwar zB 500 GB an, diese Modelle haben dann aber nicht genau 500.000.000.000 Bytes.

Und was hast du jetzt über Ubuntu gelöscht?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 10.06.2011, 01:41   #5
zombi9
 
bodnet, mebroot - Standard

bodnet, mebroot



Sorry meine Antwort ist an einer anderen Stelle gelandet (unter zombi9); bitte verschieben.
Danke


Alt 10.06.2011, 10:45   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
bodnet, mebroot - Standard

bodnet, mebroot



Zitat:
Sorry meine Antwort ist an einer anderen Stelle gelandet (unter zombi9); bitte verschieben.
Kannst du das auch so erklären, dass andere verstehen was damit gemeint ist?
__________________
--> bodnet, mebroot

Alt 11.06.2011, 00:22   #7
zombi9
 
bodnet, mebroot - Standard

bodnet, mebroot



Zum Löschen mit Umbutu: autorun.inf wird dauerhaft gelöscht aber die RECYCLER-Ordner kommen wieder. Wie unter Win7 werden bei Linux vier USB-Laufwerke angezeigt:
Hier die Angaben aus Win7:
Generic- Compact Flash USB Device
ID: USBSTOR\DISK&VEN_GENERIC-PROD_COMPACT_FLASH&REV_1.01\058F63626476&1
Generic- MS/MS-Pro USB Device
ID: USBSTOR\DISK&VEN_GENERIC-&PROD_MS/MS-PRO&REV_1.03\058F63626476&3
Generic- SD/MMC USB Device
ID: USBSTOR\DISK&VEN_GENERIC-&PROD_SD/MMC&REV_1.00\058F63626476&0
Generic- SM/xD-Picture USB Device
ID: USBSTOR\DISK&VEN_GENERIC-&PROD_SM/XD-ICTURE&REV_1.02\058F63626476&2
und wenn man eines der LW mit dem Befehl LW sicher entfernen aufruft sind alle 4 weg.
In den Umbutu-Dateien findet man unter dem Ordner GRUB ebenfalls folgende 4 Dateien:
abi.2.6.32-21.generic; config.2.6.32-21.generic; system.map.2.6.32-21.generic und vm.core.info.-2.6.32-21.generic (Generic-Virus ???). Selbst beim booten mit Umbutu-CD ohne jegliche Festplatte (nur CD-LW) erscheinen die 4 USB-LW und müssen folglich vom Computer (Netz- oder Grafikkartenspeicher; motherboardspeicher oder RAM) herstammen. Bei Gigabyte wird zwar beschrieben wie die Speicher neu geschrieben werden können, aber ich habe es noch nicht versucht; habe bisher nur BIOS-Update auf F1 1durchgeführt.

Meine internetverbindungen werden umgeleitet; erkennbar an verzögertem Aufbau und vor allem beim download. Oft wird man an falsche Seiten (ASK) geleitet und die übermittelten Daten sind oft falsch oder mit zunächst nicht bemerkten Anhängen

Bei Windows n Netbios wird über TCPIP aktiviert und der DHCP-server kontrolliert das netz.
Ca 42 Npnp-Treiber und ca 80 aktivX-Befehle kontrollieren den Rechner. Auch unter Umbutu wird ein pnpbios aufgerufen und hier werden ebenfalls ca. 80 driver installiert.
Ich habe mir den TDSSkiller heruntergeladen, aber entweder sind seine Funktionen begrenzt oder es werden nur Teilbereiche gescannt (nur ca. 190 Dateien) und ohne Befund. Den log kann ich einstellen.

GMER kann gestartet werden, aber es lassen sich nur 3 Häkchen (services, Regisstry + Files) setzen und die restlichen Bereiche werden nicht erfasst..
SCAN ohne Befund.

Einige der letzten Windows-Fehlermeldungen aus den Ereignisdaten:
1) Fehler beim Generieren des Aktivierungskontextes für "C:\Program Files (x86)\Avira\AntiVir Desktop\avwsc.exe". Die abhängige AssemblierungMicrosoft.VC90.MFC,processorArchitecture="x86",publicKeyToken "1fc8b3b9a1e18e3b",type="win32",version="9.0.21022.8"" konnte nicht gefunden werden. Verwenden Sie für eine detaillierte Diagnose das Programm "sxstrace.exe".

2) Fehlerhafter Block bei Gerät \Device\CdRom0.

3)Es wurde festgestellt, dass Ihre Registrierungsdatei noch von anderen Anwendungen oder Diensten verwendet wird. Die Datei wird nun entladen. Die Anwendungen oder Dienste, die Ihre Registrierungsdatei anhalten, funktionieren anschließend u. U. nicht mehr ordnungsgemäß.

DETAIL -
15 user registry handles leaked from \Registry\User\S-1-5-21-3128673434-3542623349-23319308-1000:
Process 1568 (\Device\HarddiskVolume2\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE) has opened key \REGISTRY\USER\S-1-5-21-3128673434-3542623349-23319308-1000
Process 1568 (\Device\HarddiskVolume2\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE) has opened key \REGISTRY\USER\S-1-5-21-3128673434-3542623349-23319308-1000
Process 1568 (\Device\HarddiskVolume2\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE) has opened key \REGISTRY\USER\S-1-5-21-3128673434-3542623349-23319308-1000
Process 1568 (\Device\HarddiskVolume2\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE) has opened key \REGISTRY\USER\S-1-5-21-3128673434-3542623349-23319308-1000

Antwort

Themen zu bodnet, mebroot
abgesicherten, bios, booten, bootvorgang, falsche, festplatte, files, gelöscht, löschen, mebroot, meldung, modus, netzwerkkarte, neuinstallation, rechner, scan, scanner, schadware, speicher, start, system, treiber, trotz, update, verbindung



Ähnliche Themen: bodnet, mebroot


  1. win32/mebroot Trojaner im Arbeitsspeicher
    Log-Analyse und Auswertung - 21.08.2012 (25)
  2. Mebroot/Torpig/Sinowal, Warnung der Uni
    Log-Analyse und Auswertung - 06.06.2012 (22)
  3. Win32/Mebroot
    Plagegeister aller Art und deren Bekämpfung - 23.05.2012 (5)
  4. torpig und/oder Mebroot infizierung
    Log-Analyse und Auswertung - 16.10.2011 (5)
  5. Boot.Mebroot
    Plagegeister aller Art und deren Bekämpfung - 10.10.2011 (46)
  6. win32/mebroot Trojaner
    Log-Analyse und Auswertung - 01.09.2011 (1)
  7. T-Online meldet Torpig und Mebroot
    Log-Analyse und Auswertung - 09.08.2011 (12)
  8. T-Online meldet Torpig und Mebroot
    Log-Analyse und Auswertung - 03.08.2011 (18)
  9. MebRoot Virus
    Plagegeister aller Art und deren Bekämpfung - 07.07.2011 (1)
  10. Nod32 meldet Mebroot.Trojaner
    Plagegeister aller Art und deren Bekämpfung - 16.02.2011 (14)
  11. Problem mit boot.mebroot Entfernung
    Plagegeister aller Art und deren Bekämpfung - 11.02.2011 (17)
  12. boot.mebroot bzw. win32/mebroot.mbr Problem - Bitte um Hilfe
    Plagegeister aller Art und deren Bekämpfung - 28.12.2009 (10)
  13. Win32.Mebroot!IK, JS.LuckySploit!IK
    Plagegeister aller Art und deren Bekämpfung - 12.10.2009 (15)
  14. Mebroot! Wer hilft mir bei Combofixauswertung??
    Plagegeister aller Art und deren Bekämpfung - 22.04.2009 (12)
  15. Boot.Mebroot
    Plagegeister aller Art und deren Bekämpfung - 21.12.2008 (7)
  16. BOO/Sinowal.A bzw. Trojan.Mebroot.B
    Plagegeister aller Art und deren Bekämpfung - 23.07.2008 (10)
  17. Virus: Trojan.Mebroot.B
    Plagegeister aller Art und deren Bekämpfung - 07.07.2008 (19)

Zum Thema bodnet, mebroot - Mein System ist trotz mehrfacher Neuinstallation korrupt. Ich habe die Platte/n komplett gelöscht und richtig wieder aufgesetzt, aber der Mist (Sinowal/Firmware ?) ist immer wieder vorhanden. Avira-Vierenscanner lässt sich zwar - bodnet, mebroot...
Archiv
Du betrachtest: bodnet, mebroot auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.