|
Blockierte Antivirenseiten Liebe Forengemeinde, Vor einigen Tagen habe ich mit Malwarebytes oder AntiVir einen Virus scheinbar restlos beseitigt und mich nicht weiter drum gekümmert. Einfrieren des Browsers (Mozilla Firefox 3.5.3) und andere Unpässlichkeiten waren behoben und alles funktionierte wieder, vorerst ... Leider musste ich bald feststellen, dass noch immer Antiviren-Seiten blockiert werden, zb. Malwarebytes.org oder der Update vor a2, den ich als nächstes probiert habe. Der Update für AntiVir scheint aber tadellos zu funktionieren. Ist dieses Problem lösbar, ein Neuaufsetzen wollte ich mir natürlich ersparen, wenn geht. Hier im Anhang mein frisches HJT File, ich habe nicht die Erfahrung es zu analysieren und hoffe auf Eure Hilfe danke Major, Graz/AT System AMD Duron, SIS-Chipsatz, Win XP SP2 |
Hallo und :hallo: Hast Du das MalwareBytes Logfile noch? Wenn ja bitte posten. Mach auch bitte Logfiles mit RSIT |
Hallo Cosinus, Danke für die schnelle Reaktion! Leider hab ich Malwarebytes deinstalliert, nachdem kein Update mehr ging, um a2 zu pobieren, war wahrscheinlich dumm ... jedenfall ist kein Log mehr zu finden. Im Anhang das RSIT Log und Info grüße Major |
Hallo Cosinus, War jetzt einige Tage unterwegs und konnte nichts am PC machen. Lässt sich aus dem RSIT etwas ablesen oder sind weitere Diagnosen notwendig? Wäre es sinnvoll die neuesten Malwarebytes Signaturen manuell zu übertragen oder bringt das nichts? Ich will die Hoffnung noch nicht aufgeben. Außerdem: wie sichert man bei einer Neuinstallation vorher die Daten, ohne den Virus weiterzuschleppen? Danke und Grüße Major |
Sry, hab Deinen Strang übersehen. Code: O17 - HKLM\System\CCS\Services\Tcpip\..\{33E77D12-D6D0-4491-A972-09ED7C9FF501}: NameServer = 85.255.112.10;85.255.112.103Mach noch mal bitte einen Durchlauf mit einem akutellen MalwareBytes und poste das Logfile. |
Danke Cosinus, das ist schon beunruhigend. Was machen diese Namensauflöser so? Passwörter auspionieren etc? Kann erst morgen Suchlauf mit Malwarebytes machen. Nochmals die Frage: Ist es sinnvoll die neuesten Signaturen manuell einzuspielen, da ich kein Onlineupdate machen kann? lg Major |
Moin, Du möchtest Dich erkundigen was DNS ist :rolleyes: => Domain Name System ? Wikipedia Kurz gesagt: Wenn Du eine Adresse im Internet wie zB "www.example.com" kann der Rechner so nichts damit anfangen, er "fragt" bei dem DNS-Server nach, der eingestellt ist, üblicherweise der von Deinem Provider, muss aber nicht zwangsläufig so sein. Man kann auch andere verwenden. Also er fragt beim DNS-Server nach welche IP-Adresse example.com hat, der DNS-liefert ihm diese Adresse und Dein Rechner kommt auf diese Seite. Nun hast Du aber einen bösen DNS-Server von kriminellen Organisationen aus der Ukraine. Du surfst diesmal Deine Bankseite für Onlinebanking (zb www.sparkasse.de: Homepage) an, Dein Rechner kennt die IP-Adresse nicht und fragt den DNS-Server aus der Ukraine (der nunmal eingestellt ist). Der liefert Deinem Rechner aber nicht die "echte" IP-Adresse der Sparkasse, sondern eine andere Adresse, die nicht zur Sparkassen-Seite, sondern zu einer gefälschten Seite führt. In dem Irrglauben, Dich auf der echten Seite zu befinden, schließlich hast Du ja die korrekte Seite sparkasse.de eingegeben, gibst Du alle Deine Daten wie PINs und TANs preis. :balla: Und ja, Du kannst mit MalwareBytes die Sigs auch manuell einspielen. Nur aktuelle Signaturen machen Sinn! |
Danke Cosinus, Die Grundzüge des IP-Systems waren mir schon klar, ich bin ja auch schon seit 15 Jahren Internetnutzer, aber was mir nicht ganz einleuchten will: Wenn er mich auf eine gefälschte Seite führt, wie können dort meine richtigen Daten, Kontostände, ausgeborgten Bücher etc. aufscheinen -- Das ist mir schleierhaft. Noch eine naive, nur theoretische Frage: Man kann diese Regeinträge usw nicht einfach manuell löschen bzw. eliminieren? Ich versuchs morgen mit dem Malwarebytes und gebe dann Bescheid vielen Dank bis dahin Major |
Zitat:
Zitat:
Außerdem muss man schädliche Einträge/Dateien/Objekte/whatever erstma finden und nach einer Bereinigung weiß man eigentlich nicht wirkich, ob man auch sicher alles erwischt hat. Darum, wer 100% sicher gehen will oder muss, der fackelt nicht lange rum und löscht hier und da was, sondern macht gleich alles platt und begibt sich zur Neuinstallation. Mach aber erstmal noch nen Durchlauf mit MalwareBytes und poste das Logfile. |
Lieber Cosinus, Anbei als Anhang das Malwarebyteslogfile, er listet die Redirektoren mehrfach auf, wie gefährlich der Rest ist, wirst Du mir vielleicht sagen können :rolleyes: Außerdem steht bei Malwarebytes auf der IgnoreListe ein Eintrag, ist das verdächtig? Er lautet: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityCenter |Bad: (1) Good: (0) PS.: Natürlich habe ich vorerst alles mal so gelassen, um nicht noch mehr Unheil anzurichten danke einstweilen, Grüße Major |
Die MalwareBytes-Funde bitte alle ausnahmslos löschen lassen. Danach bitte ein Durchlauf mit Combofix: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Danke Cosinus, Alles klar, mach ich heute abend dann, aber eine Frage zu deinem Punkt: Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung 1. Versteh ich das richtig: zuerst Combofix runterladen, dann CC ausführen und dann erst Combofix? 2. Wie deaktiviere ich das Antivir etc., mit Prozesse beenden im Tasmanager geht das ja nicht, *schäm* 3. Was ist mit dem erwähnten Ignoreeintrag bei malwarebytes, ist der kritisch? Er lautet: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityCenter |Bad: (1) Good: (0) grüße Major |
1.) Ja, so ist es richtig. 2.) Der Eintrag ist nur für das Sicherheitscenter relevant. Ist mir aber noch nicht untergekommen, dass der auf der Ignoreliste steht, wird schon seine Gründe haben. Wichtig ist jetzt erstmal Combofix, um den Kleinkram sollte man sich später kümmern. |
Hallo Cosinus, Habe alles genau befolgt, das Ergebnisfile des Cofi hänge ich als Text an, ich hoffe das passt Dir so, Grüße Major |
Hallo Cosinus, Malwarebytes-Update funktionierte im Anschluss klaglos, habe sofort noch einen Suchlauf gemacht und Folgendes gefunden, und vorerst so gelassen: Infizierte Dateien: C:\Qoobox\Quarantine\C\cleanup.exe.vir (Trojan.Banker) -> No action taken. C:\System Volume Information\_restore{CB314E2D-EF8A-460F-8671-8473263EF599}\RP4\A0004541.exe (Trojan.Banker) -> No action taken. |
Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien (sofern diese noch existieren) bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen. Du kannst auch einfach den Ergebnislink posten: Code: c:\windows\system32\drivers\uzm5mjg2.sys |
Danke Cosinus, mache ich morgen, wenn ich wieder zuhause bin. und was ist mit den Malwarebytes-Funden: 1. kann ich den Quarantäne-Ordner von Cofi löschen? 2. den Bösewicht in der System Volume Information eleminieren? grüße Major |
1.) Ja 2.) Deaktiviere die Systemwiederherstellung, der Ordner System Volume Information ist ein Sammelbecken für die Wiederherstellungspunkte. Im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde. |
Hallo Cosinus, Die Datei uzm5mjg2.sys scheint laut Virustotal sauber, weiß aber auch nicht was sie bedeutet, ob mna sie löschen sollte? Report hängt dran. grüße Major /quote Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.41 2009.11.04 - AhnLab-V3 5.0.0.2 2009.11.03 - AntiVir 7.9.1.53 2009.11.03 - Antiy-AVL 2.0.3.7 2009.11.04 - Authentium 5.1.2.4 2009.11.04 - Avast 4.8.1351.0 2009.11.03 - AVG 8.5.0.423 2009.11.03 - BitDefender 7.2 2009.11.04 - CAT-QuickHeal 10.00 2009.11.04 - ClamAV 0.94.1 2009.11.04 - Comodo 2832 2009.11.04 - DrWeb 5.0.0.12182 2009.11.04 - eSafe 7.0.17.0 2009.11.03 - eTrust-Vet 35.1.7100 2009.11.03 - F-Prot 4.5.1.85 2009.11.03 - F-Secure 9.0.15370.0 2009.11.04 - Fortinet 3.120.0.0 2009.11.03 - GData 19 2009.11.04 - Ikarus T3.1.1.72.0 2009.11.04 - Jiangmin 11.0.800 2009.11.04 - K7AntiVirus 7.10.887 2009.11.03 - Kaspersky 7.0.0.125 2009.11.04 - McAfee 5791 2009.11.03 - McAfee+Artemis 5791 2009.11.03 - McAfee-GW-Edition 6.8.5 2009.11.04 - Microsoft 1.5202 2009.11.04 - NOD32 4571 2009.11.04 - Norman 6.03.02 2009.11.03 - nProtect 2009.1.8.0 2009.11.04 - Panda 10.0.2.2 2009.11.03 - PCTools 7.0.3.5 2009.11.04 - Prevx 3.0 2009.11.04 - Rising 21.54.21.00 2009.11.04 - Sophos 4.47.0 2009.11.04 - Sunbelt 3.2.1858.2 2009.11.04 - Symantec 1.4.4.12 2009.11.04 - TheHacker 6.5.0.2.060 2009.11.04 - TrendMicro 8.950.0.1094 2009.11.03 - VBA32 3.12.10.11 2009.11.03 - ViRobot 2009.11.4.2020 2009.11.04 - VirusBuster 4.6.5.0 2009.11.03 - weitere Informationen File size: 11264 bytes MD5...: d565ad44c6c4d934afad3ca4196b09aa SHA1..: 2264b818ee2985987e792b493a4a7795d1bc4ab7 SHA256: b8fd1a74277d8cf2cb5a9ab2727e4dacc9d0f1f24f66c62f558c18a343f6ea39 ssdeep: 192:WL2BAOZexyS05ik+91a/8zModdYjGhpZ3/x1/Edm0KA9+pzIErFzrrJQmHyH :3Q5A9SswFzrrKmHyH PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x24a0 timedatestamp.....: 0x4755c6ea (Tue Dec 04 21:30:18 2007) machinetype.......: 0x14c (I386) ( 6 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x15a8 0x1600 6.06 8ae1dbc2598a47211d7e3ce7b50e541b .rdata 0x3000 0x2b4 0x400 2.80 67eac57e54e25e1153838ee56d7e4c30 .data 0x4000 0x2198 0x200 0.82 d28a75303afda2efb8f5f0d2ea9bd97c INIT 0x7000 0x2f8 0x400 4.16 8a0807909358b7306d777c9e04bc8261 .rsrc 0x8000 0x338 0x400 2.72 a0ca49175c5004feabdcf53d367cbc53 .reloc 0x9000 0x2e0 0x400 4.03 51fcf94b694d8b4a32c97811ff5576ae ( 2 imports ) > ntoskrnl.exe: ZwClose, RtlCopyUnicodeString, _local_unwind2, MmIsAddressValid, IoGetCurrentProcess, PsGetCurrentProcessId, IofCompleteRequest, PsTerminateSystemThread, KeDelayExecutionThread, IoDeleteDevice, ExFreePool, ObfDereferenceObject, KeWaitForSingleObject, PsSetCreateProcessNotifyRoutine, IoCreateSymbolicLink, IoCreateDevice, NtBuildNumber, MmGetSystemRoutineAddress, ObReferenceObjectByHandle, PsCreateSystemThread, MmSystemRangeStart, _except_handler3, IoDeleteSymbolicLink, ExAllocatePool > HAL.dll: KfLowerIrql, KeRaiseIrqlToDpcLevel ( 0 exports ) RDS...: NSRL Reference Data Set - trid..: Win32 Executable Generic (68.0%) Generic Win/DOS Executable (15.9%) DOS Executable Generic (15.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) pdfid.: - sigcheck: publisher....: n/a copyright....: Zaitsev Oleg, Copyright (C) 2004-2006 product......: AVZ Monitoring Driver description..: AVZ Monitoring Driver original name: avzrkm.sys internal name: avzrkm.sys file version.: 1, 3, 0, 0 comments.....: n/a signers......: - signing date.: - verified.....: Unsigned /unquote |
Code: copyright....: Zaitsev Oleg, Copyright (C) 2004-2006Hat Dir wer mal die Anweisung gegeben, das Tool auszuführen? |
Hallo Cosinus, Ja leider, hab damals in meiner ersten Panik die Foren durchforstet und bin auf AVZ gestoßen und habs ausprobiert, das war wohl etwas unüberlegt, ohne Anleitung, es kommt auch nie wieder vor: ich habe viel daraus gelernt, ehrlich! So geschafft, habe System-Wiederherstellung deaktiviert, dann Scan durchgeführt: nur den Trojaner in der System Volume Information zeigt Malwarebytes nicht mehr an, ist das ok? Systemherstellung jetzt wieder aktivieren? herzlichen Dank :applaus: Major |
Wenn Du sie brauchst kannst Du sie wieder anstellen, ich lass die auf meinen XP-Rechnern immer deaktiviert. Ein Kontrollscan vorher wäre aber gut. Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte oder poste Namen und Pfade. |
Hallo Cosinus, PrevXCSI hat nichts gefunden. Bin ich jetzt als geheilt entlassen? :singsing: Danke für Deine Mühen und Deine geduldige Zusammenarbeit! herzliche Grüße Major |
Poste bitte zur Kontrolle nochmal frische RSIT Logfiles. |
Danke, mach ich dann morgen früh, gruß Major |
Hallo Cosinus, hier die frischen Logfiles, gerade gemacht, gruß Major |
Probleme sind alle weg? Logfiles sind okay. Wenn alles nun wieder passt bei Dir solltest Du Dich unbedingt um die Updates kümmern!!! Windows-/Internet Explorer Update Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Vista-User: Anleitung Windows-Update Es geht v.a. um das SP3 für WinXP und den IE8, auch wenn Du ihn nicht nutzt. Adobe Acrobat Reader aktualisieren Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Wir empfehlen daher, die alte Version über Systemsteuerung => Software zu deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Starte den Rechner neu und downloade den aktuellen Acrobat-Reader herunter und installiere ihn. Falls Dir der Adobe Acrobat Reader nicht gefällt, kannst Du alternativ auch Foxit PDF Reader installieren. Er ist "schlanker" und benutzt weniger Resourcen. Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
Danke Cosinus, soweit scheint bis jetzt alles gut zu funktionieren und unverdächtig :rolleyes:, ichwerde mich gleich um die Updates kümmern, herzlichen Dank Dir für Deine Arbeit, hast du echt toll gemacht, Major |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 18:53 Uhr. |
Copyright ©2000-2025, Trojaner-Board