Trojaner-Board - Trojaner? Brauche Hilfe (XP)

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Trojaner? Brauche Hilfe (XP) (https://www.trojaner-board.de/74854-trojaner-brauche-hilfe-xp.html)

Nun neu schreiben den MBR XP:
XP CD einlegen -> Setup starten -> Wiederherstellungskonsole öffnen -> fixmbr eingeben

geht nicht, Computer ignoriert die Xp Cd, is in einwandfreiem zustand .. keine kratzer nichts, habe es mit 2 verschiendenen Probiert, der startet einfach ganz normal.

SDfix:

- SDFix.zip entpacken

- es erscheint folgende Meldung:

"The SDFix Folder has been extracted to %systemdrive% - Please run from that location.
(%systemdrive% = drive that contains the Windows directory
typically C:\SDFix )"

- unter C:\ findet man nun den SDFix-Ordner

- boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

- gehe in den Ordner C:\SDFix

- RunThis.bat doppelt klicken

- schreibe: Y

- folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint und poste ihn hier

hab ich noch garnicht gemacht, weil die meldung die du sagsteat beim entzippen nicht kam.

------------------------------------------------------------------------------------

mit xp CD starten geht auch nichtm, der ignoriert die, wenn ich sie so auf mache und zu setup gehe gibts da keinen "Reperieren" Punkt.

Du musst vermutlich die Bootreihenfolge im BIOS einstellen, so dass zuerst von der der gebootet wird.

Wenn du im Bios bist, sollte es so ungefähr aussehen:

oder so:
hxxp://drnope.dr.funpic.de/CD-Boot.htm
Gruss Swiss

okay, und wie soll ich davon was machen? O,o

Las mal SDIFX

Was machen meinst Du?

Gruss Swiss

aehm, wie soll ich das amchen, dass es direkt bei der cd auch mit der cd startet?

First Boot RUNCD? oder wie?

Schau in meinen Links. Gehe ins BIOS Menu und schau ob dort was steht von Boot Device. Dann anpassen und als erste Device das CD Laufwerk wählen.

Gruss Swiss

So, fixmbr durchgeführt.

Bei 2/2 möglchen Dingern da. :)

fixbat sagt dann folgendes.

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, GMER - Rootkit Detector and Remover

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x01D1C4581
malicious code @ sector 0x01D1C4584 !
PE file found in sector at 0x01D1C459A !

Er hängt sich nichtmehr auf :)

Vielen Dank.

* Ist er denn jetzt auch komplett sauber?
* was würdest du mir fuer Virenprogramme empfehlen?
* was kann ich alles deinstallieren / löschen, um "Neuansteckung" zu vermeiden?
* Soll ich alles nochmal durchlaufen lassen?

Also kleiner Erfolg, aber irgendwie ist der Rootkit noch nicht ganz weg..

Wiederhole folgendes:

Zitat:

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.bat mit 'Speichern unter' auf C:\
Gebe bei Dateityp 'Alle Dateien' an.

mbr.exe -f

Du solltest jetzt in C:\ diese Datei fix.bat finden.
Doppelklick auf fix.bat
Es wird ein Log erstellt ( mbr.log )und poste dessen Inhalt

>>
Scanne mit CureIT von Dr.Web und poste das Log.

>>
Bitte erstelle einmal ein frisches HiJackThis Log.

Gruss Swiss

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, GMER - Rootkit Detector and Remover

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x01D1C4581
malicious code @ sector 0x01D1C4584 !
PE file found in sector at 0x01D1C459A !

CureIT von Dr.Web lasse ich über die Nacht laufen, bzw. poste, wenn er fertig ist.
Denke morgen früh, soll ich das genau so ausführen, wie in der anleitung beschreiben? :)

Ja genau so wie in der Anleitung.

Gruss swiss

HiJackthis Logfile:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:02:28, on 13.07.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16850)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir Desktop\sched.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Avira\AntiVir Desktop\avguard.exe

c:\progra~1\escan\EconSer.exe

C:\PROGRA~1\eScan\TRAYICOS.EXE

C:\Programme\Avira\AntiVir Desktop\avgnt.exe

C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\DOKUME~1\ALLUSE~1\ANWEND~1\MICROW~1\eScanBD\avpmapp.exe

c:\progra~1\escan\eConceal.exe

C:\PROGRA~1\eScan\TRAYSSER.EXE

C:\Programme\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\lxctcoms.exe

C:\PROGRA~1\eScan\consctl.exe

C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE

C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\TUProgSt.exe

C:\PROGRA~1\eScan\Vista\eScanMon.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\HijackThis\HijackThis.exe

C:\Programme\Avira\AntiVir Desktop\avwsc.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKUS\S-1-5-18\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'Default user')

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll

O20 - Winlogon Notify: eSLogOn - C:\WINDOWS\SYSTEM32\eSLogOn.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: eConServ (EconService) - MicroWorld Technologies Inc. - c:\progra~1\escan\EconSer.exe

O23 - Service: eScan Monitor Service - MicroWorld Technologies Inc. - C:\DOKUME~1\ALLUSE~1\ANWEND~1\MICROW~1\eScanBD\avpmapp.exe

O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYSSER.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: lxct_device - - C:\WINDOWS\system32\lxctcoms.exe

O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE

O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

 

--

End of file - 5223 bytes

--- --- ---

HiJackThis Log, nachdem Dr.Web gelaufen ist.
Info: alles, was DrWeb gefunden hat, und nicht gelöscht/verschoben wurde, habe ich gelöscht auch, mailscan.exe. (einzige warnung bei dieser Exe/dll)

AAWLaMaS.A294.dll;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online\T-Online_Software_6\Basis-Software\update\backup\WLAN ADAPTER;Adware.Msearch;Verschoben.;
awn2kOEk.exe\data025;C:\Dokumente und Einstellungen\ko. Songoku 33\Desktop\Stuff\awn2kOEk.exe;Wahrscheinlich BACKDOOR.Trojan;;
awn2kOEk.exe\data047;C:\Dokumente und Einstellungen\ko. Songoku 33\Desktop\Stuff\awn2kOEk.exe;Wahrscheinlich BACKDOOR.Trojan;;
awn2kOEk.exe\data050;C:\Dokumente und Einstellungen\ko. Songoku 33\Desktop\Stuff\awn2kOEk.exe;Wahrscheinlich BACKDOOR.Trojan;;
awn2kOEk.exe;C:\Dokumente und Einstellungen\ko. Songoku 33\Desktop\Stuff;Archiv enthält infizierte Objekte;Verschoben.;
instscan.exe;C:\Programme\eScan;Wahrscheinlich BACKDOOR.Trojan;;
mailinst.exe;C:\Programme\eScan;Wahrscheinlich BACKDOOR.Trojan;;
mailscan.exe;C:\Programme\eScan;Wahrscheinlich WIN.MAIL.WORM.Virus;;
mailscan.ini;C:\Programme\eScan;Wahrscheinlich SCRIPT.Virus;;
scanremv.exe;C:\Programme\eScan;Wahrscheinlich BACKDOOR.Trojan;;
Process.exe;C:\RECYCLER\S-1-5-21-377346816-463564892-2344669290-1006\Dc14\apps;Tool.Prockill;;
Process.exe;C:\RECYCLER\S-1-5-21-377346816-463564892-2344669290-1006\Dc18\apps;Tool.Prockill;;
A0012581.exe;C:\System Volume Information\_restore{2EA1948D-47E4-4128-83F7-3B90672A8F9B}\RP2;Tool.Prockill;;
A0012659.exe;C:\System Volume Information\_restore{2EA1948D-47E4-4128-83F7-3B90672A8F9B}\RP2;Tool.Prockill;;
A0012842.dll;C:\System Volume Information\_restore{2EA1948D-47E4-4128-83F7-3B90672A8F9B}\RP4;Adware.Msearch;Verschoben.;
A0012843.exe\data025;C:\System Volume Information\_restore{2EA1948D-47E4-4128-83F7-3B90672A8F9B}\RP4\A0012843.exe;Wahrscheinlich BACKDOOR.Trojan;;
A0012843.exe\data047;C:\System Volume Information\_restore{2EA1948D-47E4-4128-83F7-3B90672A8F9B}\RP4\A0012843.exe;Wahrscheinlich BACKDOOR.Trojan;;
A0012843.exe\data050;C:\System Volume Information\_restore{2EA1948D-47E4-4128-83F7-3B90672A8F9B}\RP4\A0012843.exe;Wahrscheinlich BACKDOOR.Trojan;;
A0012843.exe;C:\System Volume Information\_restore{2EA1948D-47E4-4128-83F7-3B90672A8F9B}\RP4;Archiv enthält infizierte Objekte;Verschoben.;
Kill1211.exe;C:\WINDOWS\system32;Tool.WiFiKill;Gelöscht.;
AAWLaMaS.dll;D:\Programme\Gemeinsame Dateien\Marmiko Shared;Adware.Msearch;Verschoben.;
A0012845.dll;D:\System Volume Information\_restore{2EA1948D-47E4-4128-83F7-3B90672A8F9B}\RP4;Adware.Msearch;Verschoben.;

So, dass sagt Dr.Web im ABGESICHERTEN MODUS, unter meiner Login (Name Philipp), da war noch ein "Zusatz Konto" (vorinstalliert, "Administrator") haette ich mich vl, in dieses einloggen sollen, oder reicht mein Administrator Ding aus?

Wusste vorher nicht von dem Administrator Konto im abgesicherten Modus, dementsprechend habe ich es nicht benutzt.

Mfg Philipp