|
Antivir lässt sich nicht mehr starten und AV-Programme werden unterbunden Hi ;) folgendenes Problem plagt mich: AnitVir brachte eine Meldung über einen Trojaner, danach wurde der notifyer offenbar manipuliert und später lies sich AntiVir nicht mehr starten das es verändert wurde. Danach Kaspersky draufgemacht, welches durch den Virus/Trojaner anscheinend geblockt wird. Auch lässt sich an diesem PC z.B. auch nicht die Seite von Kaspersky aufmachen. Ich danke euch ganz herzlich! Code: Logfile of Trend Micro HijackThis v2.0.2 |
Hallo Gpoint und http://www.mysmilie.de/generator/ablage/156/257.png Dateien Online überprüfen lassen:
Zitat:
ComboFix
|
du wirst es nicht glauben ... virustotal wird auch von dem trojaner abgeblockt. Deshalb habe ich die dateien auf einen Stick geladen und geh jetzt mal schnell an einen anderen pc |
Zitat:
|
also ich konnte jetzt nur eine datei durchjagen, danach hat antivir am anderen pc durchgedreht .. und für's hochladen wollte ich nicht unbedingt den anderen pc auch noch infizieren: Code: Antivirus Version letzte aktualisierung Ergebnishier noch von AntiVir die Ereignisse: Code: Exportierte Ereignisse: |
Gut, das reicht mir erstmal. :daumenhoc Starte nun das Combofix und arbeite die Anleitung ab. |
So, ohne Probleme durchgelaufen Code: ComboFix 08-05-01.3 - Administrator 2008-05-02 22:02:59.1 - NTFSx86 |
Dateien Online überprüfen lassen:
Zitat:
Filelist 1. Lade das filelist.zip auf deinen Desktop herunter. 2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei 3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen 4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein. Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen: Verzeichnis von C:\ Verzeichnis von C:\WINDOWS\system32 Verzeichnis von C:\WINDOWS Verzeichnis von C:\WINDOWS\Prefetch (Windows XP) Verzeichnis von C:\WINDOWS\tasks Verzeichnis von C:\WINDOWS\Temp Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp |
erst mal filelist, für das andere muss ich sofort wieder runter an den anderen pc Code: ----- Root ----------------------------- |
Also Folgendes: Die Dateien C:\WINDOWS\system32\drivers\juhokp.sys C:\\WINDOWS\\system32\\CF19544.exe"= und C:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\winfncqh.e xe existieren nicht mehr. Ich habe was da war auf den USB-Stick, aber AntiVir hat wieder Alarm geschlagen und das System wollte ich nicht infizieren. Code: Exportierte Ereignisse: |
SDFix * Lade das SDFix herunter und speichere es auf deinem Desktop. * Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken. * Starte deinen Rechner neu auf, in den abgesicherten Modus * Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten. * Gib ein Y ein, um den Reinigungsprozess zu beginnen. * Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet. * Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neu aufstarten kann. * Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet. * Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen. * Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden. * Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern. * Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting. Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://swandog46.geekstogo.com/res/images/avenger.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Zitat:
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet. 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Malwarebytes' Anti-Malware
|
Ich kann leider nicht in den Abgesicherten hochfahren. Dabei stürzt er mir immer ab |
Dann versuche es vorerst mit dem nächsten Schritt, dem Avenger... ;) |
so hier der avenger ... etwas ergänzt um dieses mutierende monstrum Code: Logfile of The Avenger Version 2.0, (c) by Swandog46 |
Führe nun das Malwarebytes Antimalware aus und poste den Report. Danach dann folgendes: Kaspersky - Onlinescanner Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware. ---> hier herunterladen => Online-Viren-Scanner => Hinweise zu älteren Versionen beachten! => Voraussetzung: Internet Explorer 6.0 oder höher => die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter => Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken => Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als => Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten => Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen |
Malwarebytes Antimalware lass ich gerade durchlaufen, aber Kaspersky kann ich wie am anfang schon erwähnt knicken, das wird geblockt |
Der Online-Scanner funktioniert auch nicht? Hast du es schon ausprobiert oder gehst du davon aus? |
ausprobiert ^^ |
so, Malwarebytes Antimalware ist fertig und hat nichts gefunen: Code: Malwarebytes' Anti-Malware 1.11 |
Gpoint! 1. Combofix deinstalliern Um Combofix zu loeschen(den qoobox ordner) gebe unter Start /Ausführen "combofix /u" ein. Ohne die " natürlich. http://img247.imageshack.us/img247/7...ombofixvs6.jpg 2.GMER - Rootkit Detection * Lade Gmer von hier * entpacke es auf den Dektop * Dopperlklicke die gmer.exe * Der Reiter Rootkit oben ist schon angewählt * Entferne die Häckchen rechts bei -System, -Section, -IAT/EAT, -Module, -Processes, -Threads, -Libraries http://img167.imageshack.us/img167/495/gmerzj1oo1.jpg * Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern * nach Beendigung des Scan, drücke "Copy" * nun kannst Du das Ergebnis hier posten * Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden. 3. Neues HJT Log |
hier die log von GMER: Code: GMER 1.0.14.14205 - h**p://www.gmer.netHJT: Code: Logfile of Trend Micro HijackThis v2.0.2 |
Seltsamer Eintrag mit AntiVir? Jetzt versuchen wir nochmal Combofix Combofix - Download ComboFix von hier oder hier auf Deinen Desktop. - Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen!) - Mache einen Doppelklick auf combofix.exe - Wenn combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort Achtung: Während Combofix läuft klicke nichts an, und benutze den Rechner nicht. |
so, combofix ist wieder durch: Code: ComboFix 08-05-01.3 - Administrator 2008-05-03 11:38:28.2 - NTFSx86Code: Logfile of Trend Micro HijackThis v2.0.2C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\3721c5.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\wintrtiqr.exe |
Diesmal ist CF richtig durchgelaufen :daumenhoc Meld mich gleich! |
Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code: KILLALL::4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer!) 5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. http://users.pandora.be/bluepatchy/m...s/CFScript.gif 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann |
so, combofix ist durch, ich habe das ganze skript auch noch um die datei C:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\52c4b8.exe ergänzt. Das ganez hat aber denke ich nichts geholfen weil im Verzeichnis C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp schon wieder lauter *.exe's mit diesen kryptischen Namen sind. Ich denke mal der Trojaner kopiert sich die Dateien bei jedem Start hier rein. Boah ey, ich dreh langsam wirklich am Rad. Lässt sich der überhaupt wegbekommen? Code: ComboFix 08-05-01.3 - Administrator 2008-05-03 12:24:04.3 - NTFSx86 |
Das können auch Dateien der AVs sein? Du hast AntiVir und Kaspersky installiert? Müsste noch mal nachsehen, aber von einem ist mir bekannt, das es kryptische Prozesse erzeugt um nicht von einem Virus beendet zu werder. Die Datei C:\WINDOWS\system32\drivers\juhokp.sys bitte mal bei VirusTotal - Free Online Virus and Malware Scan prüfen lassen. Das Ergebnis hier posten. Lassen sich die AVs wieder starten? |
wie gesagt, diese Seite wird blockiert, ich kann sie nicht aufrufen. Der Trojaner hat sich anscheinend in der host-Datei oder sonst wo (in diesen Tiefen kenne ich mich nicht wirklich aus) eingenistet. ESET konnte ich jetzt installieren .. Avira und Kaspersky habe ich ja beide schon längt wieder deinstalliert weil sie sich nicht starten liesen. Die Installation von Avira wird auch noch vom Trojaner unterbunden, die Installation bricht einfach ab. Ich lasse ESET gerade einmal durchlaufen |
Zitat:
Schließen uns gleich kurz :) |
Tipp hört sich schon mal gut an ;D |
So, ich habe einen Fehler gemacht. Ich hätte mich mal mehr über diesen Virus informieren müssen, habe ihn aber leichtfertig mit einem anderen verwechselt.:heulen: Zu Deinem Problem: Hier wird es keine Lösung geben, als das System neu zu installieren. Sunny hat hier was hübsches gepostet. In Deinem Fall gilt: Sichere keine ausführbare Datei, keine .exe, .com, .bat und auch keine .sys Dateien. Vor dem benutzen der gesicherten Dateien scanne diese mit einem aktuellen Virenscanner Deiner Wahl. Zusätzlich dann noch ein online Scanner um sicherzugehen, aber installier Dir jetzt nicht aus Angst drei ins neue System. Tut mir Leid hier Hoffnungen geweckt zu haben, die hatte ich auch erst, aber Du hast Dir einen sehr unangenehmen Zeitgenossen zugelegt. |
lasst das mertyrium beginnen ;) .. ok, dachte ich mir eigentlich schon, aber wenn's nich anders geht geht's nich anders, mach dir da mal keine gedanken ;). Also, XP neu auszusetzten sollte kein Problem sein, allerdings wäre es schon das zweite mal innnerhalb von nem Monat .. zickt die Aktivierung da nicht ein bisschen rum? Habe zwei HDDs drinne, die erste Partitioniert in System und Daten ... die andere noch ne Daten-HDD mit nur einer Partition ... die Partitionen muss ich ja nich neu anlegen, oder? nicht dass sich der viruse im MBR oder Partitionstabelle oder sonst wo versteckt hält. KAnn doch eigentlich das System gleich neu aufsetzten, die Partitionen so wie sie sind lassen und dann erst nach der neuinstallation alles ausführbaren dateien löschen, oder? Mir gehts nur unheimlich darum, dass ich dieses Ding nicht mit in das neue System schleppe, was mir anscheinen vor zwei wochen passiert ist ^^ ... glaube als ich dann den lame-codec in tracktion (sequenzer-programm) geladen hab hats klick gemacht ^^ Vielen Dank für deine / eure Hilfe! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:09 Uhr. |
Copyright ©2000-2025, Trojaner-Board