|
Spybot kann Win32.Agent.sxi nicht entfernen Hallo! Trotz Beachtung der üblichen Sicherheitsregeln scheine ich mir auf meinem Bürorechner einen Trojaner eingefangen zu haben. Zumindest meldete McAfee gestern den Befall von "res.dll" und "A0049273.dll" in der "System Volume Information" mit "New Malware.je". Die Dateien stehen jetzt unter Quarantäne. Auf den McAfee-Seiten habe ich dazu zunächst keine weiterhelfenden Infos gefunden. Spybot (Ver. 1.6.0.30) erkannte dann den Trojaner "Win32.Agent.sxi". Das Beseitigen war zwar lt. Spybot erfolgreich, aber beim nächsten Scan findet sich der Schlingel wieder. Passend zur Beschreibung fand ich auf meinen USB-Sticks in letzter Zeit die Dateien "autorun.inf" und eine beliebige weitere dll, die ich jeweils entsorgt habe, ohne auf die Idee zu kommen, dass mein Rechner die Quelle ist :dummguck: Das Recherchieren im Netz brachte bisher auch nur mäßig Erfolg, da ich keine exakte Übereinstimmung der Bezeichnungen fand und sich die Anleitungen zur Beseitigung doch sehr stark unterscheiden. Ich poste daher nachfolgend ein HJT log-file und wäre für weiterführende Tipps sehr dankbar. Code: Logfile of Trend Micro HijackThis v2.0.2ciao, waldi1979 |
Hi, das HJ-Log gibt nichts her, außer das hier: O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = intranet.X O17 - HKLM\Software\..\Telephony: DomainName = intranet.XXX.de Kennst Du die Einträge und ist das ein geschäftlich genutzter Rechner? MAM & RSIT: Malwarebytes Antimalware (MAM). Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html Fullscan und alles bereinigen lassen! Log posten. RSIT Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/ speichere es auf Deinem Desktop. Starte mit Doppelklick die RSIT.exe. Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. chris |
Hi, Chris4You, :dankeschoen: für die schnelle Antwort. Zunächst die einfachen Punkte: >das HJ-Log gibt nichts her, außer das hier: >O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = intranet.X >O17 - HKLM\Software\..\Telephony: DomainName = intranet.XXX.de >Kennst Du die Einträge und ist das ein geschäftlich genutzter Rechner? Einträge sind mir bekannt/von mir mit XXX editiert. "Geschäftlich" genutzt ist sicherlich übertrieben (Forschungseinrichtung). Mein Brötchengeber XXX hätte sich halt nur ungern in diesen Einträgen wiedergefunden ;-) Ich arbeite jetzt die Anleitung ab ... waldi1979 |
Hi, anbei als Nachtrag die gewünschten log-files (ich hoffe, dass das jetzt minimiert erscheint): MAM Code: Malwarebytes' Anti-Malware 1.30RSIT (log.txt) Code: Logfile of random's system information tool 1.04 (written by random/random)Code: ======Registry dump======waldi1979 |
Hi, da sind einige seltsame Mountpoints: [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{82d815e9-7f08-11dd-913d-003005774536}] shell\AutoRun\command - F:\ shell\open\command - rundll32.exe .\\dguet.dll,InstallM [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{82d815ea-7f08-11dd-913d-003005774536}] shell\AutoRun\command - F:\ shell\open\command - rundll32.exe .\\jgsl400.dll,InstallM Der letzte Eintrag ist abgeschnitten, ist "F" Dein USB-Stick? Dann dürfte das Teil auf allen angeschlossenen Festplatten sich zur Ausführung eingetragen haben...(inklusiver der Betriebssystem HD) Mal sehen was es ist: Versuche die Dateien Online testen zu lassen: virustotal Dateien Online überprüfen lassen:
Code: F:\jgsl400.dll
Mountpoints ausgeben: http://forums.techguy.org/attachments/112705d1186263628/mountpoints_diagnostic.zip Auf den Desktop downloaden, auspacken und per Doppelklick starten. Es wird eine Datei Diagnostic.txt erstellt, die im Notepad angezeigt wird. Abkopieren und im Forum posten! chris |
Hi, >Der letzte Eintrag ist abgeschnitten, ist "F" Dein USB-Stick? >Dann dürfte das Teil auf allen angeschlossenen Festplatten sich zur >Ausführung eingetragen haben...(inklusiver der Betriebssystem HD) F: ist leider nicht ausschließlich *ein* USB-Stick. Habe eine USB-HDD zur Datensicherung, die jedoch nur an ist, wenn auch gesichert wird. Diese bekommt F: zugeordnet. Ansonsten (sofern ext. HDD aus) bekommen die USB-Sticks in der Regel F: zugeordnet. Zwei davon habe ich bei mir und soeben getestet. An den dritten komme ich innerhalb der nächsten 12 h erstmal nicht heran. Außerdem wird halt gelegentlich mal ein fremder Stick eines Kollegen angeschlossen. Einiges davon kann ein geübter Blick wahrscheinlich auch der "Diagnostics.txt" entnehmen. (Anmerkung: C:, E: = 2 lokale HDDs, D: = DVD, K - O: sind per Domänenskript verbundene Netzlaufwerke) Leider kann ich nur Teilvollzug melden :killpc:, denn ich habe weder auf meinen 2 USB-Sticks, noch auf der System-HD (C:) bzw. der zweiten HD (E:) und der externen USB-Platte die genannten dlls finden können ... Ehrlich gesagt, kann ich mich auch nicht erinnern, dass ich **diese** dlls in letzter Zeit von meinen USB-Sticks gelöscht habe (die hießen anders). Diagnostic.txt Sorry, aber die Ausgabe ist so umfangreich, dass ich über das 25000 Zeichen-Limit und das 19.5-KB-Limit des Editors komme; ich muss die Datei daher leider aufsplitten und in zwei Teilen anhängen. waldi1979 |
Hi, wir werfen den Eintrag per combofix aus dem Rennen: Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Den folgenden Text in den Editor (Start -> Zubehör -> Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop ablegen. Gib an "Alle Dateien" - Speichern: Code: Registry:: und per drag-and-drop auf das Combofix-Icon fallen lassen. Der sollte nun starten und das Script abarbeiten; Poste danach das Log von Combofix. Poste das Log von combofix und noch das Log von Prevx (falls der was findet): http://www.prevx.com/freescan.asp chris |
Hi, Anwort hat etwas gedauert, weil wohl die hausinterne Firewall den vollst. Download von ComboFix zu verhindern wusste. Als ich nach 2h und unzähligen Versuchen endlich dahinter gekommen war und mir das Programm habe anderweitig zukommen lassen, sind die vorgeschlagenen Tasks ausgeführt worden. log von ComboFix hängt an. Anmerkung: während der Ausführung (Scan) wurde Mcafee wieder aktiv und hat eine "Av-test.txt" unter Quarantäne gestellt :confused: Prevx hat mir kein log-file erstellt; es wurde ein Thread gefunden: ich kann den nur per Hand hier eintragen. Zu dessen Behebung müsste ich mir jetzt eine Lizenz von Prevx organisieren :rolleyes: Wie sollte ich weiter vorgehen? Code: ComboFix 08-11-11.01 - XXX 2008-11-12 12:12:39.1 - NTFSx86Code: PrevX (manuell)waldi1979 |
Hi, ja, Prevx ist nur der Scanner, beseitigen kostet... . Macht aber nix, jetzt wissen wir wo das Ding abliegt (nur wo es aufgerufen wird, das haben wir noch nicht gefunden...). Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code: c:\windows\system32\wmcache.nld
Beide Files sind versteckt, daher am Besten gleich das File komplett mit Pfad reinkopieren! So, wenn alles erkannt wurde, dann hast Du ein größerer Problem! Bei der wmcache.nld handelt es sich um einen Wurm, der sich per Netzwerk repliziert... -> A network-aware worm that attempts to replicate across the existing network(s). Was will ich Dir damit sagen? Wenn wir ihn runterlöschen und er gleich wieder da ist, dann existiert er bereits in dem Netzwerk, dann solltes Du Dir alle Rechner einzeln vornehmen... Also (falls beide erkannt): Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://saved.im/mzi3ndg3nta0/aven.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code: Files to delete:4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. chris Ps.: Da Avenger ähnlich wie ein Trojaner agiert, kann es notwendig sein Mcafee abzuschalten. Nimm dazu den Rechner dann auch vom Netz (INetz und lokal) |
Hi, so, beide Dateien gescannt; Ergebnis nachfolgend: Code: File wmcache.nld received on 11.12.2008 14:09:02 (CET)Code: File tqpmon.dll received on 11.12.2008 14:13:46 (CET)Avenger hat seine Arbeit auch verrichtet: Code: Logfile of The Avenger Version 2.0, (c) by Swandog46>So, wenn alles erkannt wurde, dann hast Du ein größerer Problem! >Bei der wmcache.nld handelt es sich um einen Wurm, der sich per Netzwerk >repliziert... :eek: Da ich bis gestern davon ausging, dass ich den Schädling mit meinen Sticks weiterverbreitet habe, habe ich die unmittelbar greifbaren Rechner bereits negativ mit Spybot geprüft. Das vermeintlich betroffene Netz ist deutlich größer :mad: ... Ich kann die obigen Ergebnisse (nur eine der beiden Dateien erkannt; zunächst erfolgreich gekillt) mit meinen Laienkenntnissen nicht wirklich interpretieren. Was kann/sollte ich im Augenblick noch tun? Danke auf jeden Fall schonmal für die bisher immer leicht verständlichen und klaren Anweisungen! waldi1979 |
Hi, wenn Du Zugang zu einen anderen Rechner im Netz hast, dann prüfe den mal (weist ja jetzt wie es geht)... Tauch auch dort der Wurm auf, dann bleibt nur der "offizielle" Weg. Es ist ja nicht klar, wo der Wurm herkam (wer ihn eingeschleppt hat)... Lass bitte noch ein mal PrevX laufen und einen Scan mit Kapi-Online... Kaskpersky OnlineScanner http://www.kaspersky.com/de/virusscanner chris |
Hi, Zwischeninformation: zwei weitere Rechner im Netz, an die ich recht schnell herankam waren lt. PrevX "clean"; was über die restlichen > 100 natürlich nichts aussagt. Eigener Rechner ist lt. PrevX auch (noch) clean. Kapersky installiert und scannt gerade, aber das scheint ein abenfüllendes Programm zu werden (5% nach 5 Minuten in nur 1 Kategorie), daher die Zwischeninfo. Ich hoffe, dass KapiOnline auch nix findet und danke nochmals ;) waldi1979 |
Hi, muss mich doch noch einmal zurückmelden ;( Kapi-Online hat neben einer ganzen Menge für ihn nicht zugreifbaren Dateien auch 3 "infizierte" gefunden Auszug aus dem Protokoll: Code: -------------------------------------------------------------------------------Ich habe mittlerweile auf meinen Platten per Explorer-Suche die in h**p://www.threatexpert.com/threats/worm-win32-autorun-ejg.html aufgelisteten "usrv4ga.dll" und "conimsp.dll" gesucht und glücklicherweise nicht gefunden. Wie werde ich jetzt aber diesen Wiederherstellungspunkt (ist doch einer?) bzw. die eine dll darin noch los? waldi1979 |
Hi, das erste ist ein allgemeingültiger "Virenscannertest", daher ungefährlich; Der Rest muss tatsächlich weg: (Und wie sagt Dir jetzt das Licht, äh, oder so ähnlich ;o)... Systemwiederherstellung löschen http://www.systemwiederherstellung-deaktivieren.de/windows-xp.html Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt: Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung -> anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten; Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder). Einen ersten Restorepunkt setzten: Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen chris |
Hi, so, die Systemwiederherstellung wurde kurzzeitig deaktiviert und ein neuer Wdh.-Punkt gesetzt. Ich lasse jetzt nochmals alle bisher genutzten Scan-Tools drüberlaufen (Kapersky arbeitet schon seit 6 h). Danach noch ein Image vom (hoffentlich) gereinigten Rechner. Noch bin ich optimistisch, dass er jetzt clean ist und das auch vorerst so bleibt :) :dankeschoen: & :daumenhoch: waldi1979 |
Hi, ich muss doch nochmal nerven, denn so ganz bin ich den Eindringling scheinbar noch nicht los ... :( Spybot meldet schon wieder Win32.agent.sxi. Die beseitigten "wmcache.nld" und "tqpmon.dll" existieren noch nicht wieder in C:\windows\system32 Folgende Scanner brachten folgende Ergebnisse: Kapersky-Online: clean (offensichtlich nix im neuen Restore-Punkt) Prevx: clean mbam: clean (siehe log) RSIT: siehe log Spybot: Win32.agent.sxi in einem Registryschlüssel In dem RSIT-log-file ist mir aufgefallen, dass die ominösen MountingPoints immer noch drin stehen. An ComboFix habe ich mich nicht herangetraut, weil zu wenig Ahnung. Was könnte ich jetzt tun? Auf mich wirkt das so, als ob wir noch nicht alles bereinigt haben anstatt dass er sich schon wieder übers Netz eingeschlichen hat, oder? Code: Malwarebytes' Anti-Malware 1.30Code: Logfile of random's system information tool 1.04 (written by random/random) |
Hi, kommst du an den Registrierungsschlüssel, den Spybot meldet? Etwas in der Richtung: \CLSID\{25616810-DE0A-4105-85FE-543AB3C31660}???? Hast Du mittlerweile einen USB-Stick zum Einsatz gebracht? Die vorher gefundenen Dateien sind noch nicht da? ("wmcache.nld" und "tqpmon.dll", ev. wsi_32.dll, winview.ocx, mswmpdat.tlb) chris Auotplay/run deaktivieren: Autoplay/Autostart ausschalten: So deaktivieren Sie die Autoplay-Funktion von allen Laufwerken über die Gruppenrichtlinien: Start -> Ausführen -> gpedit.msc Computer Konfiguration -> Administrative Vorlagen -> System-> Autoplay deaktivieren "Autoplay deaktivieren für" -> Alle Laufwerke... |
Hi, Autoplay deaktiviert. USB-Stick? Hm, nicht *nach* der ComboFix-Aktion. davor habe ich meinen 3. USB-Stick noch getestet, fand da aber keine autorun.inf drauf ... > "wmcache.nld" und "tqpmon.dll", ev. wsi_32.dll, winview.ocx, mswmpdat.tlb - von den gesuchten Dateien sind die "alten" wirklich nicht aufgetaucht. die "mswmpdat.tlb" existiert aber. Den genannten Schlüssel konnte ich nicht finden, weder mit Suche nach dem kompletten String noch nach Teilstrings. Spybot meldet (sorry, das war vorhin reichlich unpräzise ...) Code: Win32.Agent.sxi: [SBI $F9773D3C] Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)waldi1979 |
Hi, die gefundene Datei bitte von Virustotal testen lassen, bitte alles unter dem gef. Reg.-Schlüssel ausdrucken/kopieren... Prüfe ob in der Reg. folgender Schlüssel existiert: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{25616810-DE0A-4105-85FE-543AB3C31660} Darunter ein Unterschlüssel "InprocServer32", dort ist dann die DLL die gestartet werden soll (i.e. der Trojaner)... chris |
Liste der Anhänge anzeigen (Anzahl: 3) Hi, Die mswmpdat.tlb ist angeblich "clean". Ich poste nur die "additional information". Als Dateien angehängt 3 Screenshots von dem Reg.-Schlüssel und seinen beiden Untereinträgen (eigentlich sollten das allles gifs sein - keine Ahnung, was der beim Hochladen treibt). Der angefragte Schlüssel existiert bei mir nicht :mad: Code: File mswmpdat.tlb received on 11.14.2008 13:55:28 (CET) |
Hi, das weicht von meinen Unterlagen ab! Die Datei sollte ca. 326 Bytes groß sein und der Trojaner sollte von Kaspersky erkannt werden. Da scheint eine neue Mutation zu sein... Das Blöde: Er lädt sich in den Prozessspace einer "korrekten" Anwendung.... Die alte Variante lädt sich über die genannte ClassID über den Inproc... %System%\wsi_32.dll Mist, Mist, Mist.... Das Ganze kommt aus Russland... Irgendwie müssen wir rausbekommen, wo sich das Teil startet... Okay: Silentrunner: Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen. Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten. http://www.silentrunners.org/Silent%20Runners.zip Prüfe ob die CLSID 8F147B28-EF39-44A0-B6EC-3CC6F2F08794 zu finden ist (Der scheint zufällig ClassIDs zu generieren und dann mit zufallsnamen generierte DLLs (sich selbst) zu starten... Prüfe in der Registry ob es einen Eintrag "Java.Runtime.52" gibt... (das war bei allen Varianten bis jetzt gleich und erlaubt den Rückschluss auf die verwendete CLSID)... chris Ps.: Finden wir mal raus, was unter ShellServiceObjectDelayLoad zu finden ist (sollte eigentlich auch Silentrunner bringen...) Download Registry Search by Bobbi Flekman <http://virus-protect.org/artikel/tools/regsearch.html> und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) ShellServiceObjectDelayLoad in edit und klicke "Ok". Notepad wird sich oeffnen - poste den text Ich denke, das Teil hat sich über die Anweisung: [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{82d815ea-7f08-11dd-913d-003005774536}] shell\AutoRun\command - F:\ shell\open\command - rundll32.exe .\\jgsl400.dll,InstallM wieder über einen infizierten USB-Stick geladen, Eintrag bitte per Hand löschen (wenn Du Dich auskennst :o)... (Combofix hat nicht ganz funktioniert...) Prüfe ob er tatsächlich weg ist... |
Hi, Hoppla, da scheine ich ja wirklich was "Tolles" erwischt zu haben :pfui: Die Firewall blockt mal wieder einen Download (den von Silentrunner). Dauert noch etwas, bis mir ein Kollege von außerhalb den zukommen lässt. Zwischenzeiltich Registry gescannt (mit der windowseigenen & BobbyFleckman): > 8F147B28-EF39-44A0-B6EC-3CC6F2F08794 nicht zu finden > Java.Runtime.52 nicht gefunden :mad: Anbei das RegSearch-log für alle 3 Suchanfragen Code: Windows Registry Editor Version 5.001. Bis zu welcher Stelle zurück sollte ich den betroffenen Mountpoint löschen? Kann ich den kompletten Eintrag {82d815ea-7f08-11dd-913d-003005774536} inkl. aller Untereinträge löschen bzw. noch weiter hoch in der Hierarchie oder etwas weniger radikal. 2. Kann ich anhand der vorhandenen/nicht vorhandenen autorun.inf und einer dll sicher erkennen, ob ein Stick/eine Platte infiziert ist oder ist das kein Kriterium für diesen spezielllen Fall? 3. Angenommen (alle) meine USB-Sticks & Platten sind irgendwie infiziert. Kann ich sie bei nun deaktivertem Autoplay trotzdem anstecken, um Sie zu bereinigen - und wie mache ich das? So, mehr dumme Fragen hab' ich erstmal nicht. Ergebnis von Silentrunner poste ich asap. waldi1979 |
Hi, so, ich konnte des Silentrunners habhaft werden. Ergebnis anbei. Das steht übrigens ein "PostBootReminder" auf die tqpmon.dll drin, die wir ihm weggenommen haben ... :rolleyes: Mehr sieht mein Laienauge nicht. Code: "Silent Runners.vbs", revision 58, http://www.silentrunners.org/ |
Hi, gut der Mann, der kommt in die Suppe :o)... Suche bitte nach dem Reg-Key: 7849596a-48ea-486e-8937-a2a3009f31a9 Der sollte zu finden sein, darunter sollte es dann einen Inproc-Server geben, der die Loader-DLL ausführt, und wenn die haben, dann haben wir das Teil -äh- am Allerwertesten .... Die entsprechenden Einträge posten (am einfachsten über Bobby)... Um mal unverbindlich von "aussen" auf den Rechner zu schauen: http://board.protecus.de/files/avira-bootcd-info/index_de.html Runterladen, brennen und anschließend die Festplatten scannen... chris |
Hi, > Suche bitte nach dem Reg-Key: > 7849596a-48ea-486e-8937-a2a3009f31a9 > Der sollte zu finden sein :daumenhoc Bobbis Analyse nachfolgend; die auszuführende dll wäre die "tqpmon.dll" :) Code: Windows Registry Editor Version 5.00waldi1979 |
Hi, dann kannst Du die entsprechenden Einträge "killen"... Da sind wir jetzt auf der Rückverfolgung eines Trojaners auf der Registry-Ebene angelangt, gibt's wenige User die das können :Boogie: chris |
Hi, so, in meiner Registry gibt es jetzt (hoffentlich) keinen Eintrag mehr der auf tqpmon.dll und Ableger verweist, d.h. habe die o.g. Schlüssel, den am Freitag herausgefilterten Schlüssel und die unsauberen mountingpoints entsorgt :singsing: Ich hoffe, dass mein System jetzt noch brauchbar funktioniert ;) Ich sage auf jeden Fall :dankeschoen:, im Gegensatz zu den vorherigen Malen gebe ich aber noch keine komplette Entwarnung, bis nicht sämtliche bei mir in der letzten Zeit installierten Scanner drüber gelaufen sind ... Gibt es jetzt noch irgendwas, was ich tun sollte? waldi1979 |
Hi, wenn der Eintrag wieder auftauchen sollten, dann müssen wir prüfen, wer ihn erstellt... Nicht das ev. ein "erlaubtes" Script das tut... Hat Avira-Boodt-Cd was gefunden? chris |
Hi, > Hat Avira-Boodt-Cd was gefunden? Jein; 'ne ganze Menge zip's von meiner 2. internen Daten-HDD wurden gelistet, weil "encrypted". Die ganzen Beseitigungs- und Auffindungstools wurden auch gefunden ;) Ich wollte mir das log abspeichern, aber dann verlangte er eine Diskette mit 2 MB (!):rolleyes: Ich werd' ihn nochmal scannen lassen, aber dann nur die Systemplatte (sollte doch erstmal genügen oder?). Den Task hatte ich für heute abend eingeplant. Melde mich nochmal. waldi1979 |
Hi, so, die folgenden Scanner zeigen keinen weiteren Befall an bzw. erkennen sich nur gegenseitig ;) mbam rsit spybot kaperski-online prevx avira Das einzig auffällige bei avira-boot-cd war eine nircmd.exe in c:\windows aber die scheint wohl mit combofix zu kommen, wie ich in anderen Foren las. Ich hänge nochmal ein log von RSIT an. Dort steht noch ein Mountingpoint drin. Sollte ich den Schlüssel {9ee4c052-cf17-11dc-90bc-003005774536} noch mit "killen"? Code: Logfile of random's system information tool 1.04 (written by random/random)Ich lösche jetzt nochmals alle Restore-Punkte und lege einen neuen an. Danke. Ich hoffe nicht, dass sich der Eindringling sporadisch noch irgendwo anders einklinkt. waldi1979 |
Hi, kann gelöscht werden... Bin morgen unterwegs, d. h. nicht erreichbar... NIRCMD.exe gehört tatsächlich zu Combofix und ist daher ungefährlich. Aufräumen: Backups von Avenger&Co (falls vorhanden) löschen: Falls der Rechner einwandfrei läuft, können die Backups der Bereinigungstools gelöscht werden (soweit vorhanden): C:\Qoobox - loeschen und Papierkorb leeren C:\avenger\backup.zip - loeschen und Papierkorb leeren C:\VundoFix Backups - loeschen und Papierkorb leeren C:\RVAXO-results.log -->Papierkorb leeren Combofix entfernen: Start->Ausführen, dann combofix /u reinschreiben und OK drücken... (Er wird täglich aktualisiert, daher ist eine "dauerhafte" Installation nicht sinnvoll)... chris |
Hi, aufräumen beendet, image gezogen ... Ich fange an neue Passwörter und Zugangsdaten zu lernen :mad: und kann es wieder mal mit arbeiten probieren ;-) Von den beseitigten Dingen ist erst mal nix wieder aufgetaucht oder erkannt worden. Gehe damit erstmal davon aus "clean" zu sein :Boogie: Danke für die nicht ganz zeitunaufwändige Unterstützung! War mir zunächst nicht sicher, bei welchem Forum ich mich als kompletter Neuling anmelden sollte, um mich in den sich vielleicht widersprechenden Antworten verlassen zu fühlen. Mein Eindruck von Trojaner-Board schien doch richtig: Da werden Sie geholfen (oder so ähnlich). Danke! waldi1979 |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 15:54 Uhr. |
Copyright ©2000-2025, Trojaner-Board