|
Hallo Chris! Erstmal DANKE für Deine rasche Antwort!! :) Im sicheren Modus und unter meinem Benutzerkonto als auch unter Administrator (in den Logs "yyy") bin ich tatsächlich ohne aufhängerei reingekommen! Unter Administrator hatte es sich zuvor wieder aufgehängt, ka warum es nun wieder geht. RSIT konnte ich nun ausführen, die Logs findest Du im Folgepost (zuviele Zeichen für einen ^^) Probleme nun Wollte GData (habe TotalCare2010 mit BootCD und AntiVirus 2010 ohne BootCD getestet) installieren zwecks Virencheck dann kam "The System administrator has set policies to prevent this installation" – obwohl ich als Admin eingeloggt bin! oO Kaspersky hab ich ebenfalls erfolgslos getestet - nach der Suche nach neuen Updates kam „Installation wird vorbereitet“ dann schloss sich das Fenster und keine Spur von Kaspersky mehr auf dem Rechner ausser die runtergeladene Datei – warum auch immer. Avast (mein vorhandener Scanner) habe ich geupdatet und zweimal einen kompletten Systemcheck gemacht . Konnte das Ergebnis leider nicht sehen da einmal der Screensaver hängen bleib und beim zweiten mal eine Website, die sich nach einiger Zeit seit von alleine aufzubauen versucht (scheitert am deaktivierten W-Lan) die Adresse lautet w*w.lux-software.com - evtl. ein Hinweis auf den Trojaner? Von allein ploppte da bisher nie was auf. Nach Reboot zeigte Avast-Viren Container bzw Report folgendes an (das selbe wie bisher): Initialisierung von Containerdateien Reiter „Abbrechen“: Aktion wurde mit Fehlern beendet! Reiter „Fehler-Report“: Programm kann nicht verwenden Container Client (null) --> Beschreibung: Virus Container Server läuft nicht RPC-Kommunikation fehlgeschlagen. Reiter „Detailierte Informationen“: Programm versucht Laden aller Container-Dateien von folgendem Server (null). Aktion wurde mit Fehlern beendet. (letzte Amtshandlung vor GMER daher letzter Forenbeitrag editiert) Malwarebytes habe ich versucht zu installieren, sobald die Installation jedoch beendet wird, gibt’s keinen weiteren Fortschritt mehr – passiert nichts bzw. bleibt einfach stehen. Deinstallieren und Neuinstall habe ich einige male unter beiden Konten versucht, mit dem selben Ergebnis. Update: Install hat geklappt, Programm lässt sich jedoch nicht öffnen. Ein Backup vom befallenen Rechner habe ich leider nicht (ironischerweise stand genau DAS und der Kauf einer externen Sicherungsplatte für Ende der Woche auf dem Plan -.-) Schreibe hier vom Laptop aus, welches sauber ist, hat allerdings Vista drauf, daher ka ob ich damit Boot CDs für XP machen kann?! Kenn mich leider nicht soo gut aus, daher die ggf. dumme Frage - inwiefern wäre eine Boot CD hier von nutzen bzw. was könnte ich damit anstellen? Mir scheint, dass speziell diese Malware noch nicht so lange im Umlauf ist, kann das sein? So, hoffe das wären die Infos, mit denen Du was anfangen kannst :) Merci! Isabelle P.S.: Nach dem Scan mit GMER kam folgende Meldung: Warning!!! GMER has found system modification caused by ROOTKIT activity! |
RSIT (inkl. Hijackthis?!) hat funktioniert, hier die Ergebnisse: RSIT log.txt Code: Logfile of random's system information tool 1.06 (written by random/random)RSIT info.txt Code: info.txt logfile of random's system information tool 1.06 2010-01-19 02:52:48 |
GMER Log: Code: GMER 1.0.15.15281 - http://www.gmer.net |
@sensurround: Hi, Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code: C:\WINDOWS\system32\umonit.exe
Achtung: Da ist neben Malware Defence auch noch was neues drauf, was beim Beseitigen schon einige Rechner zerschossen hat! Zuerst versucht ihr MAM zu installieren, dazu benennt es bereits im Downloaddialog auf z.B. Test.exe um. Startet es nach der Installation nicht, wartet bis Avenger den Rootkit "ausgeknippst" hat und lasst es dann sofort laufen (nach dem Update der Signaturen!) Malwarebytes Antimalware (MAM) Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Falls MAM bereits installiert ist, weiter mit Avenger... Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop (Alternativer Downloadlink: http://www.file-upload.net/download-..._le.exe.html): http://saved.im/mzi3ndg3nta0/aven.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code: Drivers to delete:4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! (Falls vorhanden, Teatimer von Spyboot wie folgt deaktivieren: Modus-->Erweiterte Modus-->Ja-->Werkzeuge-->Resident-->dHäkchen entfernen aus der "Resident "TeaTimer" (Schutz aller Systemeinstellungen)->exit) Code: O4 - HKCU\..\Run: [cls_pack.exe] C:\DOCUME~1\yyy\LOCALS~1\Temp\cls_pack.exeNun bitte sofort MAM starten, Fullscann und alles bereinigen lassen, Log posten: Startet MAM immer noch nicht, in das Installationsverzeichnis von MAM wechseln und die EXE von MAM (mbam.exe) auf z. B. test.exe umbenennen und durch Doppelklick starten. Nach Beendigung des Scanns (und MAM) nennt ihr sie auf den ursprünglichen Namen (mbam.exe) zurück. chris |
Hi Chris! Sorry für die späte Antwort, hab aufgrund Prüfungen an der Uni keine Zeit zum fixen gehabt. Folgendes hab ich vorhin hinbekommen: 1.Ordneroptionen wie bei Punnkt 1 umgestellt 2.Log von VirusTotal für umonit.exe: Code: 4.Avenger Log: Code: Logfile of The Avenger Version 2.0, (c) by Swandog46Code: O4 - HKCU\..\Run: [cls_pack.exe] C:\DOCUME~1\yyy\LOCALS~1\Temp\cls_pack.exehttp://i117.photobucket.com/albums/o57/blasmich/kein_cls_pack_da.jpg Stattdessen stieß ich hier auf zwei Verdächtige, die ich zuvor als ich kurz im Normalen Windows Modus im Taskmanager unter Prozesse kurz gesehen hatte (bevor sich wieder alles aufhing): http://i117.photobucket.com/albums/o57/blasmich/stattdessenverdaechtig.jpg gefixt hab ich mit Avenger erstmal garnix. MAM hab ich auch noch nicht angeschmissen, da ich net weiß ob das ohne Abschluss der bisher nicht korrekt durchgeführten Schritte gut/schlecht/nötig/wwi ist. und nu? Merci & VG Isa |
Hi, das ist seltsam, der Rootkit ist verschwunden...? Lass MAM mal von der Leine und danach bitte noch mal ein neues RSIT-Log und GMER-Log. Die Dateien die Du meinst sind im Normalfall ungefährlich... chris |
Hi Chris! Here we go again: RSIT hat nur HijackThis gestartet, weiter kam nichts - warum auch immer oO HijackThis-Log: Code: Logfile of Trend Micro HijackThis v2.0.2Code: GMER 1.0.15.15281 - hxxp://www.gmer.netVG Isa |
Hi, hah, sieh an, ein alter Bekannter... Da ist TDSS auf dem Rechner, in einer der "letzten funktionierende Konfigurationen"... Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet! Das ist ein Sicherheitsmaßnahme, normalerweise erledigt das CF selbst... Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß! Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen. Als letztes dann bitte noch ein OSAM-Log... OSAM Prüft Programme/Treiber die gestartet werden online. Folge den Anweisungen hier ( http://www.trojaner-board.de/84180-a...n-manager.html ) zur Erstellung eines Logs und poste das hier in Deinem Thread. chris Ps.: Was ist das für ein Prozess: C:\Documents and Settings\Administrator.VALAFOR.000\Desktop\Administrator.exe Bitte bei Virustotal.com prüfen lassen... Log posten.... |
hi chris, analyse log der admin.exe datei: Code: frage: kann ich das machen oder soll ichs lassen weil risiko gering und komplett prüfung absolut notwenig etc? merci & frohes eier suchen ^^ isa |
Hi, wenn nur Daten auf der Platte sind ist es mit einem gewissen Restrisiko vertretbar die Platte vom System zu trennen und später genauer unter die Lupe zu nehmen... Bitte CF-log und OSAM-Log posten (OASM ist ungefährliche, CF hat ein gewisses Risiko)... chris |
Sodele, bei Combofix gabs ein Problem mit der Tatsache, dass ich Win im abgesichterten Modus betrieben hab (ansonsten würd sich alles aufhängen), dazu kam diese Meldung: http://666kb.com/i/bi3ybfcvrfd1vcsjy.jpg Hab das ganze mit YES bestätigt und im abgesicherten Modus rebootet, hoffe das war richtig. Combofix Log: Code: ComboFix 10-04-04.01 - Administrator 05.04.2010 20:59:17.1.2 - x86 NETWORKCode: Report of OSAM: Autorun Manager v5.0.11926.0 |
Hi, gibt auch nicht viel her, ein paar Datein sind zu untersuchen, JAVA solltest Du unbedingt mal updaten... Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code: c:\windows\system32\umonit.exe
Du schreibst das ausser im abgesicherten Modus alles Abstürzt, was genau macht der Rechner zur Zeit? chris |
Hatte wegen Combofix Avast deinstalliert (@abgesichertem Modus weil ich den nicht deaktivieren konnte) und eben die neue Version versucht zu installen, was (logischerweise?) nicht ging, dann Win normal gestartet und siehe da - nichts hängt sich auf, alles läuft! Avast scannt eben die Platte, gerademal 25% überprüft und schon 5 infizierte Dateien gefunden. Nur so zur Info. Virustotal-Analyse und Java-Update will ich danach machen, hoffe das geht ok. Sag an, ob ich die Analyse machen soll, BEVOR ich infizierte Dateien, die Avast gefunden hat/finden wird, lösche. vg isa |
http://666kb.com/i/bi50hmtzwykw0hn6j.jpg das hat Avast ausgespuckt, angeblich wurden alle gefundenen dateien erfolgreich gelöscht. scan eben nochmal das ganze system durch und lass danach mal MAM drübergucken. wär ja zu schön, wenns so schnell ginge :O |
So, Avast hat beim zweiten Durchlauf nichts mehr gefunden, MAM dagegen schon: MAM Log: Code: Malwarebytes' Anti-Malware 1.44Code: Datei umonit.exe empfangen 2010.04.06 23:15:30 (UTC)Code: Datei mv614x.sys empfangen 2010.04.06 23:17:41 (UTC) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 06:09 Uhr. |
Copyright ©2000-2025, Trojaner-Board