HijackThis Scan auswertung
 

Nabend erstmal,
hätte ein paar kleinere Problemchen...

Seit 2 Tagen lässt sich mein Antivir nicht mehr aktivieren und seit gestern ist meine Auflösung jedes mal auf 1600x1200 statt den eingestellten 1920x1200

OS Vista Ultimate x64

Malwarebytes ist vorhin drübergelaufen, hat nichts gefunden.

Hier der HijackThis-Log:

Hallöle.



Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Rufe die Seite Virustotal auf.

* Dort suche über den "Durchsuchen"-Button folgende Datei raus und lade sie durch Druck auf den "Senden der Datei"-Button hoch.

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.




ESET SysInspector logfile

• Bevor es losgeht lege dir bitte auf dem Desktop einen Ordner an den du ESET SysInspector nennst. Alle Dateien die zu dem Inspector gehören landen bitte ausschließlich in diesem Hauptordner!
  
• Downloade dir den Inspector hier: https://www.eset.de/download/vollversionen#esi und speichere ihn in dem eben angelegten Hauptordner ab.
  
• Doppelklicke die SysInspector.exe und akzeptiere die EULA. Diese werden zum späteren Durchlesen im Hauptordner gespeichert.
  
• Der SysInspector untersucht nun dein System. Das kann je nach Rechnerleistung mehrere Minuten dauern.
  
• Nachdem der Scan beendet ist öffnet sich das Hauptfenster. Spiele dort bitte nicht herum sondern lasse mich die Auswertung übernehmen!
  
• Speichere dafür das log ab indem du oben rechts auf Datei > Log speichern klickst. Speichere das logfile in dem von dir erstelltem Hauptordner.
  
  http://img34.imageshack.us/img34/6599/logspeichern.jpg
  .
  
• Im Hauptordner findest du nun eine "SysInspector-*dein PC Name*-Nummer.zip" Datei. Diese lädst du bitte bei rapidshare hoch und postest mir den Downloadlink per PN.
  
• Auf Basis dieses logfile erstelle ich dir eine DienstSkript Datei die ich hier im Forum an meinen nächsten Post anhängen werde.

Sorry für die verspätete Antwort;

Hier mal die Ergebnisse von VirusTotal

RapidShare-Link ist auch raus.

lg
Sanguinius

ESET SysInspector DienstSkript

• Die von mir erhaltene DienstSkript.txt Datei speichere bitte im SysInspector Hauptordner ab.
  
• Starte den SysInspector durch Doppelklicken der SysInspector.exe.
  
• Wähle danach Datei > Dienst-Skript ausführen.
  
  http://img34.imageshack.us/img34/296...ptausfhren.jpg
  .
• Wähle im Hauptordner die von mir erstellte DienstSkript.txt aus und bestätige die nachfolgende Anfrage ob das Skript ausgeführt werden soll.
• Du wirst danach eine Warnung erhalten die besagt, dass das Skript keine Signatur besitzt. Das ist ganz normal und du kannst den Vorgang mit einem Klick auf Starten beginnen.
  
• Nach Abschluss des Skripts solltest du eine Bestätigung erhalten, dass alles geklappt hat. Solltest du eine Meldung bekommen die anders lautet so schreibe sie bitte ab und poste sie hier.

http://img33.imageshack.us/img33/6244/besttigung.jpg
.

Poste bitte ein frisches Hijackthis log.

lg
Sanguinius

Fixe den Eintrag:
Überprüfe den Rechner danach mit Malwarebytes und poste das log.

Das sieht doch gut aus. Irgendwelche Probleme am Rechner?

Naja eigentlich nur "Seit 2 Tagen lässt sich mein Antivir nicht mehr aktivieren und seit gestern ist meine Auflösung jedes mal auf 1600x1200 statt den eingestellten 1920x1200", scheint also nichts bösartiges zu sein, jedoch was dann? -_- vor allem das mit Antivir scheint mir äußert schleierhaft

Das sich AntiVir immer noch nicht aktivieren lässt ist ein Indiz für Malware Befall. Das Problem ist eigentlich nur, dass die Tools die wir normaler Weise nutzen nicht für 64bit Systeme programmiert sind. Daher muss ich hier mit dem SysInspector rumhadern...

GMER - Rootkit Detection

• Lade Gmer von hier
• entpacke es auf den Dektop
• Doppelklicke die gmer.exe
• Der Reiter Rootkit oben ist schon angewählt

http://saved.im/mzaxndu2m2ni_vs/gmerzj1oo1.jpg

• Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
• nach Beendigung des Scan, drücke "Copy"
• nun kannst Du das Ergebnis hier posten
• Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.

Master Boot Record überprüfen:

Lade dir die mbr.exe von gmer auf den Desktop und führe die Datei mit Administrator-Rechten aus.

Poste das log!

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck indiziert und du musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von gmer ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Poste auch diese log!


Erstellung eines RootRepeal Reports

• Downloade dir RootRepeal hier: http://ad13.geekstogo.com/RootRepeal.rar
• Schließe alle AntiVirus Wächter die im Hintergrund arbeiten.
• Entpacke das Archiv.
• Starte die RootRepeal.exe als Administrator.
• Wechsel in den Reiter <Report> der sich am unteren Rand des Programmfensters befindet.
• Drücke danach den "Scan" Button. -> Setze alle Haken und drücke "oK".
• Wähle die Festplatte aus auf der Windows installiert ist. (Normalerweise ist das C:\)
• Nachdem der Scan beendet ist (das kann recht lange dauern) öffnet sich ein Fenster welches dir den Report zeigt. Speichere den Bericht (Datei->Speichern unter) und hänge die .txt Datei an deinen nächsten Post an.

Also GMER hat nichts gesagt, daher wohl Maleware?



Der Log von mbr.exe:

und RootRepeal geht nicht für 64-Bit Systeme :(


lg
Sanguinius

Das Gmer log gefällt mir nicht.

Das könnten Deamon Tools Einträge sein aber genau sagen kann ich das nicht.



1. Brennen und Starten der LiveCD:

• Downloade dir dieses Archiv:
  Code:

  ---

  http://qshare.com/get/866107/MultiAVBootCD.zip.html

  ---

• Entpacke die Datei in einen eigenen Ordner. Das Passwort lautet: LiveCD2009
  
• Brenne die entpackte .iso Datei mit einem Brennprogramm deiner Wahl. Kostenlos und gut ist zum Beispiel der CdBurnerXP
  
• Lege die Cd ins Laufwerk ein und starte den Rechner neu. Er sollte nun von der CD booten und einen Auswahlbildschirm auf Italienisch anzeigen. Wenn der Rechner nicht von der CD bootet sondern ganz normal Windows startet musst du im BIOS den boot device ändern.(Google Hilft ;) )

2. Datensicherung:

• Wähle im Auswahlbildschirm die zweite Option (Menu antivirus) aus.
  
• Im folgenden Auswahlbildschirm wähle den zweiten Eintrag (Avvio die GDATA) aus.
  
• Das G-Data Rettungssystem startet nun.
  
• Du wirst automatisch gefragt ob die Virus Signatures aktuallisiert werden sollen bestätige erst durch drücken des Si Buttons und danach mit Ok.
  
• Warte bis das Update beendet ist (100%) und schließe das Fenster durch Klicken des Chiudi Buttons.
  
• Danach kannst du das G-Data AntiVirus Fenster erstmal schließen.
  
• Öffne den File Manager (Gestione file) durch drücken des Akten Zeichens in der Taskleiste.
  
• Navigiere zu deinen Festplatten. Diese finden sich im Menü auf der Linken Seite unter Filesystem -> mnt
  
• Stecke deinen USB-Stick oder deine externe Festplatte in einen freien USB-Slot.
  
• Öffne den File Manager ein zweites mal und navigiere zu deinen USB-Stick. Dieser findet sich als letzter Eintrag im Menü des File Managers auf der Linken Seite.
  
• Nun hast du zwei Fenster geöffnet zwischen denen du per Drag&Drop bzw. Copy&Paste Daten verschieben kannst.
• Sichere deine wichtigen Dokumente. Allerdings so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben.
b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV durchsucht werden.
c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV sowie andere AV-Scanner findet nur einen Bruchteil aller infizierten Dateien!

3. Schädlingssuche:


Viele Rootkits verändern beim Windows Start ihren Namen. Daher ist es wichtig, dass während der folgenden Prozedur der Rechner nie das normale Windows Betriebssystem startet sondern immer von der LiveCD bootet. Solltest du mal nicht schnell genug die CD ins Laufwerk bekommen oder das BootMenü verpassen so drücke den Reset Knopf am Computer um zu verhindern, dass Windows gestartet wird.


G-DATA:

• Starte nun die Schädlingssuche.
• Anfallende Log/Bericht Dateien speichere unbedingt!!
• Schreibe dir außerdem die Funde ab!!
• Nachdem G-Data durch ist starte den Rechner neu.

F-Secure:

• Boote wieder von der CD und mache mit F-Secure weiter (Avvio di F-Secure).
• F-Secure updatet sich von alleine. Klicke dich durch die Dialoge und starte den Scan.
• Log/Bericht Dateien auf jeden Fall speichern und Funde abschreiben!!
• Nachdem der Scan beendet ist starte den Rechner neu.

DrWeb:

• Boote wieder von der CD und wähle (Avvio di DrWeb) aus.
• Danach wähle den ersten Eintrag DrWeb-LiveCD aus.
• Klicke im Hauptfenster unbedingt den grünen Button (Update Bases)!
• Danach starte den Scan durch drücken des Start Buttons.
• Log/Bericht Dateien auf jeden Fall speichern und Funde abschreiben!!
• Nachdem der Scan beendet ist starte den Rechner neu.

Kaspersky:

• Boote wieder von der CD und wähle (Avvio di kaspersky) aus.
• Danach wähle den ersten Eintrag rescue aus.
• Kasperksy09 startet. Das Update sollte automatisch starten. Wechsel in den Update Reiter und stelle sicher, dass das Update durchgeführt wird. Startet das Update nicht so starte es bitte manuell. Warte bis das Update beendet wurde und die Siganturen aktuell sind.
• Setze unter Settings -> Scan: den Haken bei All Archives.
• Wähle unter Settings -> Threads and Exclusions -> Settings: alle Bedrohungen aus. Einen Haken musst du selber für "other Programms" setzen.
• Wähle dann im Hauptfenster alle deine Festplatten sowie die Laufwerksbootsektoren aus (einfach alles auswählen!) und starte den Scan.
• Ist der Scan beendet rufe das log auf und speichere es.
• Schreibe dir außerdem wie immer alle Funde auf ein Blatt Papier ab!!

Alle Log/Bericht Dateien sowie die abgeschriebenen Funde packe bitte per G-Data Rettungssystem wie oben beschrieben auf einen USB-Stick und poste sie uns. Dazu musst du einen anderen PC benutzen da du den infizierten Rechner wie gesagt nur über die Live CD booten darfst bis du von uns andere Anweisungen bekommst.
Solltest du keinen anderen PC zur Verfügung haben bietet das DrWeb Live System einen integrierten FireFox an. Du kannst also von der DrWeb-LiveCD booten, FireFox aufrufen, das Trojaner-Board besuchen und uns die Funde posten.

Glaub das muss ich erstmal auf übermorgen bzw. Wochenende verschieben, da ich nur den (und halt nen uralten Pentium II rumstehen) besitze und ich noch paar wichtige Dinge erledigen muss :-(