Trojaner-Board - Trojan.Crypt.EFC!E2 gefunden, Gmen findet System32\config\system nicht

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Trojan.Crypt.EFC!E2 gefunden, Gmen findet System32\config\system nicht (https://www.trojaner-board.de/121803-trojan-crypt-efc-e2-gefunden-gmen-findet-system32-config-system.html)

Trojan.Crypt.EFC!E2 gefunden, Gmen findet System32\config\system nicht

Hallo Ihr Cracks,

bisher konnte ich alle Infektionen dank dieses Superboards nur durch nachlesen reparieren. Danke. Aber heute hat eine Freundin mir ein System gezeigt, wo ich mit nicht ohne Hilfe dran will. Der Rechner kommt aus der Schweiz, als letztes wollte der Admin Kapersky Anti Virus installieren, bricht jedesmal mit Fatalem Error ab. Dann hat er Malwarebytes und Emisoft Anti malware installiert, dabei wurden wohl einige Funde gemacht, danach hat er aber beide Programme wieder deinstalliert, versucht Kaspersky zu instalieren > Fateler Error.

Ich habe jetzt einen Quickscan mit OTL gemacht, Text unten.

Danach Gmer gestartet, bringt aber nur Fehlermeldungen:
1. ....\system32\config\system
Das System kann di angegebene Datei nicht finden.

2. .....users\admin\nt.user.dat
der Prozess kann nicht zugreifen, da von einem anderen Prozess benutzt.

Wie kann ich jetzt weitere Info ziehen?
Im Voraus vielen Dank.

Hallo Cracks,

nachdem ich Gmer starten konnte, hier das Log:

GMER Logfile:

Code:

GMER 1.0.15.15641 - hxxp://www.gmer.net

Rootkit scan 2012-08-15 08:56:46

Windows 6.1.7601 Service Pack 1 

Running: q9vqxdem.exe
 
 

---- Services - GMER 1.0.15 ----
 

Service  C:\SystemRoot\System32\Drivers\ea457e6e44a65518.sys (*** hidden *** )  [BOOT] ea457e6e44a65518                             <-- ROOTKIT !!!
 

---- Registry - GMER 1.0.15 ----
 

Reg      HKLM\SYSTEM\CurrentControlSet\services\ea457e6e44a65518@ImagePath      \SystemRoot\System32\Drivers\ea457e6e44a65518.sys

Reg      HKLM\SYSTEM\CurrentControlSet\services\ea457e6e44a65518@Group          Boot Bus Extender

Reg      HKLM\SYSTEM\CurrentControlSet\services\ea457e6e44a65518@ErrorControl   0

Reg      HKLM\SYSTEM\CurrentControlSet\services\ea457e6e44a65518@Type           1

Reg      HKLM\SYSTEM\CurrentControlSet\services\ea457e6e44a65518@Start          0

Reg      HKLM\SYSTEM\CurrentControlSet\services\ea457e6e44a65518@Tag            1

Reg      HKLM\SYSTEM\CurrentControlSet\services\ea457e6e44a65518@DisplayName    lapqeteazore.exe

Reg      HKLM\SYSTEM\ControlSet002\services\ea457e6e44a65518@ImagePath          \SystemRoot\System32\Drivers\ea457e6e44a65518.sys

Reg      HKLM\SYSTEM\ControlSet002\services\ea457e6e44a65518@Group              Boot Bus Extender

Reg      HKLM\SYSTEM\ControlSet002\services\ea457e6e44a65518@ErrorControl       0

Reg      HKLM\SYSTEM\ControlSet002\services\ea457e6e44a65518@Type               1

Reg      HKLM\SYSTEM\ControlSet002\services\ea457e6e44a65518@Start              0

Reg      HKLM\SYSTEM\ControlSet002\services\ea457e6e44a65518@Tag                1

Reg      HKLM\SYSTEM\ControlSet002\services\ea457e6e44a65518@DisplayName        lapqeteazore.exe
 

---- EOF - GMER 1.0.15 ----

--- --- ---

Für eine Antwort bin ich dankbar.
hilab

Hallo Cracks,
habe jetzt mal aswMBR scannen lassen, hier das LOG:

Code:

 aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software

Run date: 2012-08-15 09:13:42

-----------------------------

09:13:42.851    OS Version: Windows x64 6.1.7601 Service Pack 1

09:13:42.851    Number of processors: 12 586 0x2C02

09:13:42.851    ComputerName: xxxx  UserName: xxxx

09:13:42.991    Initialze error C0000001 - driver not loaded

09:13:51.068    Service scanning

09:13:51.863    Service ea457e6e44a65518 C:\Windows\System32\Drivers\ea457e6e44a65518.sys **HIDDEN**

09:13:52.238    Service MSICDSetup D:\CDriver64.sys **LOCKED** 21

09:13:53.595    Modules scanning

09:13:53.595    Disk 0 trace - called modules:

09:13:53.595    

09:13:53.595    Scan finished successfully

09:14:45.247    The log file has been saved successfully to "H:\aswMBRLog.txt"

Warum wurde der Treiber nicht geladen, und trotzdem etwas gefunden?

Danke im Voraus
hilab

Zitat:

Dann hat er Malwarebytes und Emisoft Anti malware installiert, dabei wurden wohl einige Funde gemacht, danach hat er aber beide Programme wieder deinstalliert,

Sind die Logs noch da?

Schau mal nach ob die Logs noch hier zu sehen sind in Form von Textdateien. Damit du die Ordner auch siehst das hier VORHER umsetzen!! => http://www.trojaner-board.de/59624-a...-sichtbar.html

Hauptlogs nach Scans (Quick, Full oder Flash):

XP:
C:\Dokumente und Einstellungen\(USER)\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\Logs\mbam-log-yyyy-mm-dd.txt
Vista, Windows 7, 2008:
C:\Users\(USER)\AppData\Roaming\Malwarebytes\Malwarebytes' Anti-Malware\Logs\mbam-log-yyyy-mm-dd.txt

Hallo cosinus,

danke für Deine Antwort. Habe den Rechner nach den Log durchsucht, und eine Emisoft logdatei in dem Dukomentenordner gefunden:

Code:

 Emsisoft Anti-Malware - Version 6.6

Letztes Update: 10.08.2012 13:09:22
 

Scan Einstellungen:
 

Scan Methode: Detail Scan

Objekte: Rootkits, Speicher, Traces, C:\, F:\, G:\

Archiv Scan: An

ADS Scan: An
 

Scan Beginn:        10.08.2012 13:09:32
 

C:\Windows\Installer\{b8b4be96-c137-6ce9-e933-0c4ed1107d1c}\U\00000001.@         gefunden: Trojan.Crypt.EFC!E2

C:\Users\Admin\AppData\Local\Temp\4302109\bases\arkmon.kdl         gefunden: Virus.Win32.Malware!E2
 

Gescannt        858411

Gefunden        2
 

Scan Ende:        10.08.2012 14:39:04

Scan Zeit:        1:29:32
 

C:\Users\Admin\AppData\Local\Temp\4302109\bases\arkmon.kdl        Quarantäne Virus.Win32.Malware!E2

C:\Windows\Installer\{b8b4be96-c137-6ce9-e933-0c4ed1107d1c}\U\00000001.@        Quarantäne Trojan.Crypt.EFC!E2
 

Quarantäne        2

und auch einen Malwarebytes Log:

Code:

 Malwarebytes Anti-Malware (Test) 1.62.0.1300

www.malwarebytes.org
 

Datenbank Version: v2012.08.10.03
 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

Admin :: xxxx [Administrator]
 

Schutz: Deaktiviert
 

10.08.2012 11:10:24

mbam-log-2012-08-10 (11-10-24).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|F:\|G:\|H:\|)

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 581364

Laufzeit: 29 Minute(n), 34 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 1

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Regedit32 (Trojan.Agent) -> Daten: C:\Windows\system32\regedit.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 1

C:\Windows\System32\regedit.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

(Ende)

Am Samstag habe mal das TDSS rootkit removing tool über den Rechner laufen lassen: Hier das lange LOG, am Ende stehen 10 Fünde von nichtsignierten Dateien, ich habe nichts gelöscht:

Zu Groß, habs unten angehängt.

Und heute morgen habe ich dann das Sophos Virus Rmoval Tool angeschmissen. Es hat mir ebenfalls die 10 unsignierten Dateien aber auch noch eine Datei mit Zahlenfolge als Namen als Lapqeteazore.exe indetifiziert.

Es gab nur die Wahl zwischen skip und löschen. Da ich bis dahin noch keine Nachricht vom Board hatte, habe ich Sie gelöscht. Es gab in dem Tool keine Möglichkeit ein Log zu sichern.

Habe das Tool dann nochmal laufen lassen, als ich eben kam, meldete er Your Computer is clean; DAS ICH NICHT LACHE.

Ich könnte ja mal Versuchen Kapersky Anti Virus zu Installieren, warte aber jetzt erstmal auf Deine Antwort.

Gruß und Danke
hilab

Log von Sophos und TDSS-Killer fehlen
Bitte keine solchen Tools mehr ohne Absprache benutzen

Hallo Cosinus,

war ein paar Tage offline, danke für die Antwort. Habe dass Log von TDSS-Killer zwar hochgeladen, ist aber scheinbar nicht angekommen. Bin heute nachmittag wahrscheinlich beim Patienten, und schick die Datei dann.

Habe aber noch am Mittwoch kapersky installiert, und es hat ohne Probleme gefunzt. Habe einen Vollscan angeworfen, bin mal gespannt, was da rausgekommen ist. Spannender ist, das Heute eine gespiegelte Maschine aus der Schweiz kommt, auf der noch nicht rumgebastelt wurde. Ich interessiere mich nämlich für die Herkunft der Plagerei.

Werde den Rechner ohne Netz mal booten und dann berichten.
Danke auch für die weitere Hilfe.

hilab

Bei einem Patienten? Ist das ein Büro- bzw. Arztpraxis-PC? :confused: