|
TR/kazy.mekml.1 eingefangen Hallo liebe Community, oben genannter Trojaner hält mich seit Freitag auf Trab. Die Symptome sind wie bereits bei anderen Betroffenen schwarzer Desktop, kein Zugriff auf Daten (versteckt) willkürliches Runterfahren des Netbooks, div. Festplattenfehlermeldungen Ich habe als erstes Malware durchlaufen lassen, allerdings quick scan. Danach war der Desktop zumindest wieder blau, die Festplattenfehler werden nicht mehr angezeigt und das Netbook fährt nicht mehr willkührlich runter. allerdings las ich, das von Euch ein vollständiger Suchlauf empfohlen wird. Deswegen füge ich beide Logdateien von beiden Malware-Läufen an plus otl. log Über Unterstützung würde ich mich naturgemäß echt freuen und hoffe, vernünftig in Vorleistung getreten zu sein. Viele Grüße Sebastian PS: ich sehe gerade, dass ich meine emails immer in achtfacher Ausführung im Posteingang habe. Zusammenhang?? Malware quick Code: Malwarebytes' Anti-Malware 1.50.1.1100Code: Malwarebytes' Anti-Malware 1.50.1.1100Code: OTL logfile created on: 24.04.2011 19:52:31 - Run 1 |
Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind. |
Hallo Arne, Nein. Das sind alle. Ich habe jedoch anscheinend das otl extra log unterschlagen. VG Sebastian OTL EXTRA Logfile: Code: OTL Extras logfile created on: 24.04.2011 19:52:31 - Run 1 |
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. |
Über Hilfe würde ich mich tatsächlich echt freuen. Fehlen noch irgendwelche Angaben / Daten? |
Vielen Dank für den Tipp. Aufgrund von Arbeitszeiten werde ich mich erst morgen wieder dransetzen können können. Aber wie gesagt, schon mal danke im Voraus. VG Sebastian |
so, ging doch früher als gedacht. hier das otl fix log Code: All processes killedMein Desktop ist jetzt wieder blank (keine Icons) und die Dateien sind wieder weg. Außerdem lässt sich Malware nicht mehr installieren. Am Ende des Installationsprozess gibts ne Fehlermeldung ("Setup - Zugriff verweigert"). Avira meldet immer, dass der Zugriff auf D:\AUTORUN.INF blockiert wird. Zusammenhang erschließt sich mir nicht. Hier noch mal ein otl scan: OTL Logfile: Code: OTL logfile created on: 24.04.2011 19:52:31 - Run 1[/code]OTL Logfile: Code: OTL Extras logfile created on: 24.04.2011 19:52:31 - Run 1[code] Ich hatte doch tatsächlich gedacht, ich hätte es endlich hinter mich gebracht...:( VG S |
Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen: Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop. Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern ) http://www.trojaner-board.de/images/icons/icon4.gif Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif |
Hallo Arne, hier das Log von Kaspersky. Ging wie Du siehst ziemlich schnell durch. Unhide ebenfalls. Grüße und einen schönen Sonntag, falls wir uns nicht mehr lesen sollten. Sebastian Code: 2011/05/01 17:56:27.0390 0596 TDSS rootkit removing tool 2.4.21.0 Mar 10 2011 12:26:28 |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Hallo! hier nun endlich das logfile. [/code] Combofix Logfile: Code: ComboFix 11-05-15.04 - ** ** 16.05.2011 14:57:27.1.2 - x86[code] bis hierhin schon mal vielen Dank für Deine Unterstüzung. Was meinst Du? Computer desinfiziert? Gibt es eine gute Schutzsoftware, die Du empfehlen würdest? Hab Postives über "Secunia" und "Update Checker" gelesen. vg Sebastian |
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
bitte schön [/code] GMER Logfile: GMER Logfile: Code: GMER 1.0.15.15627 - hxxp://www.gmer.net--- --- --- [/code] OSAM Logfile: Code: Report of OSAM: Autorun Manager v5.0.11926.0If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru Code: (c) 2010, AD Command-line: Windows Version: Windows XP Home Edition Windows Information: Service Pack 3 (build 2600) Logical Drives Mask: 0x0000000c Kernel Drivers (total 122): 0x804D7000 \WINDOWS\system32\ntoskrnl.exe 0x80701000 \WINDOWS\system32\hal.dll 0xF7B3D000 \WINDOWS\system32\KDCOM.DLL 0xF7A4D000 \WINDOWS\system32\BOOTVID.dll 0xF75ED000 ACPI.sys 0xF7B3F000 \WINDOWS\system32\DRIVERS\WMILIB.SYS 0xF75DC000 pci.sys 0xF763D000 isapnp.sys 0xF7A51000 compbatt.sys 0xF7A55000 \WINDOWS\system32\DRIVERS\BATTC.SYS 0xF7C05000 pciide.sys 0xF78BD000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS 0xF764D000 MountMgr.sys 0xF75BD000 ftdisk.sys 0xF78C5000 PartMgr.sys 0xF7A59000 ACPIEC.sys 0xF7C06000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS 0xF765D000 VolSnap.sys 0xF75A5000 atapi.sys 0xF74D7000 iaStor.sys 0xF766D000 disk.sys 0xF767D000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS 0xF74B7000 fltMgr.sys 0xF74A5000 sr.sys 0xF768D000 PxHelp20.sys 0xF748E000 KSecDD.sys 0xF7401000 Ntfs.sys 0xF73D4000 NDIS.sys 0xF73BA000 Mup.sys 0xF76AD000 \SystemRoot\system32\DRIVERS\intelppm.sys 0xF5B3C000 \SystemRoot\system32\DRIVERS\igxpmp32.sys 0xF5B28000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS 0xF5B00000 \SystemRoot\system32\DRIVERS\HDAudBus.sys 0xF76BD000 \SystemRoot\system32\DRIVERS\l1c51x86.sys 0xF7935000 \SystemRoot\system32\DRIVERS\usbuhci.sys 0xF595B000 \SystemRoot\system32\DRIVERS\USBPORT.SYS 0xF793D000 \SystemRoot\system32\DRIVERS\usbehci.sys 0xF72EC000 \SystemRoot\system32\DRIVERS\CmBatt.sys 0xF76CD000 \SystemRoot\system32\DRIVERS\i8042prt.sys 0xF7945000 \SystemRoot\system32\DRIVERS\DKbFltr.sys 0xF794D000 \SystemRoot\system32\DRIVERS\kbdclass.sys 0xF592A000 \SystemRoot\system32\DRIVERS\SynTP.sys 0xF7B6B000 \SystemRoot\system32\DRIVERS\USBD.SYS 0xF76DD000 \SystemRoot\system32\DRIVERS\WDFLDR.SYS 0xF58B9000 \SystemRoot\System32\Drivers\wdf01000.sys 0xF7955000 \SystemRoot\system32\DRIVERS\mouclass.sys 0xF72E8000 \SystemRoot\system32\DRIVERS\wmiacpi.sys 0xF57C8000 \SystemRoot\system32\DRIVERS\btkrnl.sys 0xF7C48000 \SystemRoot\system32\DRIVERS\audstub.sys 0xF76ED000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0xF72E4000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0xF57B1000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0xF76FD000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0xF770D000 \SystemRoot\system32\DRIVERS\raspptp.sys 0xF795D000 \SystemRoot\system32\DRIVERS\TDI.SYS 0xF57A0000 \SystemRoot\system32\DRIVERS\psched.sys 0xF771D000 \SystemRoot\system32\DRIVERS\msgpc.sys 0xF7965000 \SystemRoot\system32\DRIVERS\ptilink.sys 0xF796D000 \SystemRoot\system32\DRIVERS\raspti.sys 0xF772D000 \SystemRoot\system32\DRIVERS\termdd.sys 0xF7B6D000 \SystemRoot\system32\DRIVERS\swenum.sys 0xF577D000 \SystemRoot\system32\DRIVERS\ks.sys 0xF571F000 \SystemRoot\system32\DRIVERS\update.sys 0xF72D4000 \SystemRoot\system32\DRIVERS\mssmbios.sys 0xF622B000 \SystemRoot\System32\Drivers\NDProxy.SYS 0xF789D000 \SystemRoot\system32\DRIVERS\usbhub.sys 0xA857A000 \SystemRoot\system32\drivers\RtkHDAud.sys 0xA8556000 \SystemRoot\system32\drivers\portcls.sys 0xF78AD000 \SystemRoot\system32\drivers\drmk.sys 0xA7FCB000 \SystemRoot\System32\Drivers\i2omgmt.SYS 0xF7C03000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0xA2086000 \SystemRoot\System32\Drivers\Null.SYS 0xF7B41000 \SystemRoot\System32\Drivers\Beep.SYS 0xA277A000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS 0xA2772000 \SystemRoot\System32\drivers\vga.sys 0xF7B43000 \SystemRoot\System32\Drivers\mnmdd.SYS 0xF7B45000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0xA276A000 \SystemRoot\System32\Drivers\Msfs.SYS 0xA1DF9000 \SystemRoot\System32\Drivers\Npfs.SYS 0xA7FC3000 \SystemRoot\system32\DRIVERS\rasacd.sys 0xA1662000 \SystemRoot\system32\DRIVERS\ipsec.sys 0xA1609000 \SystemRoot\system32\DRIVERS\tcpip.sys 0xA15E1000 \SystemRoot\system32\DRIVERS\netbt.sys 0xA15BB000 \SystemRoot\system32\DRIVERS\ipnat.sys 0xA1DF1000 \SystemRoot\system32\DRIVERS\ndisprot.sys 0xA1599000 \SystemRoot\System32\drivers\afd.sys 0xA24CC000 \SystemRoot\system32\DRIVERS\netbios.sys 0xA1DE9000 \SystemRoot\system32\DRIVERS\ssmdrv.sys 0xA156E000 \SystemRoot\system32\DRIVERS\rdbss.sys 0xA14FE000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0xA396B000 \??\C:\PROGRA~1\LAUNCH~1\DPortIO.sys 0xA249C000 \SystemRoot\System32\Drivers\Fips.SYS 0xA14DA000 \SystemRoot\System32\Drivers\M3000KNT.sys 0xA248C000 \SystemRoot\System32\Drivers\STREAM.SYS 0xA14B4000 \SystemRoot\system32\DRIVERS\avipbb.sys 0xF7BFD000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys 0x9C1D0000 \SystemRoot\system32\DRIVERS\wanarp.sys 0x9B600000 \SystemRoot\System32\Drivers\Fastfat.SYS 0x9B532000 \SystemRoot\System32\Drivers\dump_iaStor.sys 0xBF800000 \SystemRoot\System32\win32k.sys 0x9C4E6000 \SystemRoot\System32\drivers\Dxapi.sys 0x9BDBB000 \SystemRoot\System32\watchdog.sys 0xBF000000 \SystemRoot\System32\drivers\dxg.sys 0xF7CB3000 \SystemRoot\System32\drivers\dxgthk.sys 0xBF024000 \SystemRoot\System32\igxpgd32.dll 0xBF012000 \SystemRoot\System32\igxprd32.dll 0xBF04F000 \SystemRoot\System32\igxpdv32.DLL 0xBF1E7000 \SystemRoot\System32\igxpdx32.DLL 0xBF47A000 \SystemRoot\System32\ATMFD.DLL 0x9B51D000 \SystemRoot\system32\DRIVERS\avgntflt.sys 0xA8532000 \SystemRoot\system32\DRIVERS\ndisuio.sys 0x9B4F0000 \SystemRoot\system32\DRIVERS\mrxdav.sys 0x9B437000 \SystemRoot\System32\Drivers\HTTP.sys 0x9B3B7000 \SystemRoot\system32\DRIVERS\srv.sys 0x9B1E2000 \SystemRoot\system32\drivers\wdmaud.sys 0xA9F2E000 \SystemRoot\system32\drivers\sysaudio.sys 0xA18F2000 \??\C:\cofi\catchme.sys 0x9BE28000 \??\C:\WINDOWS\system32\Drivers\PROCEXP113.SYS 0x99742000 \??\C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp\kwaoyaoc.sys 0x99717000 \SystemRoot\system32\drivers\kmixer.sys 0x99596000 \SystemRoot\system32\DRIVERS\athw.sys 0x7C910000 \WINDOWS\system32\ntdll.dll Processes (total 49): 0 System Idle Process 4 System 700 C:\WINDOWS\system32\smss.exe 756 csrss.exe 780 C:\WINDOWS\system32\winlogon.exe 824 C:\WINDOWS\system32\services.exe 836 C:\WINDOWS\system32\lsass.exe 1020 C:\WINDOWS\system32\svchost.exe 1088 svchost.exe 1128 C:\WINDOWS\system32\svchost.exe 1216 svchost.exe 1260 svchost.exe 1504 C:\WINDOWS\system32\spoolsv.exe 1552 C:\Programme\Avira\AntiVir Desktop\sched.exe 1592 svchost.exe 1648 C:\Programme\Avira\AntiVir Desktop\avguard.exe 1764 C:\WINDOWS\system32\svchost.exe 1780 C:\Programme\Intel\Intel Matrix Storage Manager\IAANTmon.exe 1836 C:\Programme\Acer\Acer VCM\RS_Service.exe 1948 C:\WINDOWS\system32\svchost.exe 144 C:\Programme\Avira\AntiVir Desktop\avshadow.exe 472 wmpnetwk.exe 2348 C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe 2392 C:\WINDOWS\system32\wscntfy.exe 3148 alg.exe 3972 C:\Programme\Intel\Intel Matrix Storage Manager\IAAnotif.exe 4016 C:\PROGRA~1\LAUNCH~1\LManager.exe 4032 C:\WINDOWS\system32\igfxtray.exe 4044 C:\WINDOWS\system32\hkcmd.exe 4060 C:\WINDOWS\system32\igfxpers.exe 532 C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe 564 C:\WINDOWS\system32\igfxsrvc.exe 1320 C:\Programme\Synaptics\SynTP\SynTPEnh.exe 1380 C:\WINDOWS\RTHDCPL.EXE 2104 C:\Programme\Acer\Updater\iUpdate.exe 2124 C:\Programme\Avira\AntiVir Desktop\avgnt.exe 2216 C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe 1372 C:\Programme\Winamp\winampa.exe 1304 C:\Programme\pdf24\pdf24.exe 2448 C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe 1424 C:\Programme\Windows Media Player\wmpnscfg.exe 2724 C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe 2768 C:\WINDOWS\system32\igfxext.exe 2848 C:\Programme\OpenOffice.org 3\program\soffice.exe 2928 C:\Programme\OpenOffice.org 3\program\soffice.bin 3332 C:\WINDOWS\explorer.exe 1432 C:\WINDOWS\system32\ctfmon.exe 3004 C:\Programme\Mozilla Firefox\firefox.exe 3048 C:\Dokumente und Einstellungen\** **\Desktop\MBRCheck.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000002`80500000 (NTFS) \\.\D: --> \\.\PhysicalDrive0 at offset 0x00000024`40500000 (FAT32) PhysicalDrive0 Model Number: WDCWD1600BEVT-22ZCT0, Rev: 11.01A11 Size Device Name MBR Status -------------------------------------------- 149 GB \\.\PhysicalDrive0 Windows 2008 MBR code detected SHA1: 8DF43F2BDE2D9451948FA14B5279969C777A7979 Done! [code] |
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
neuer Tag, neue Logs. Code: Malwarebytes' Anti-Malware 1.50.1.1100Code: SUPERAntiSpyware Scann-Protokoll |
Keine Funde! :daumenhoc Rechner wieder ok? |
ja. Alles wieder funktionsfähig. Klasse. Nochmals vielen Dank! Kannst Du noch eine gute Schutzsoftware empfehlen? Dankeschön und viele Grüße, Sebastian |
Zitat:
1) Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!! 2) Halte Windows und alle verwendeten Programme immer aktuell 3) Führe regelmäßig Backups auf externe Medien durch 4) Arbeite mit eingeschränkten Rechten 5) Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar? Dann wären wir durch! :abklatsch: Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink: Mozilla und andere Browser => http://filepony.de/?q=Flash+Player Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
Man, das sind ja nochmal ne Menge nützlicher Infos und Tipps. Werde ich beherzigen. Alles Gute! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:35 Uhr. |
Copyright ©2000-2025, Trojaner-Board