Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   "Windows Recovery" Befall - Widerherstellen des Desktops und OTL-Fix (https://www.trojaner-board.de/98694-windows-recovery-befall-widerherstellen-desktops-otl-fix.html)

11 o'clock 04.05.2011 18:59
"Windows Recovery" Befall - Widerherstellen des Desktops und OTL-Fix
 
Hallo,

ich habe mir letzte Woche einen Trojaner auf meinem Windows XP-System eingefangen. Irgendwann hat sich das Programm "Windows Recovery" gemeldet und hat fleißig Dateien versteckt und Probleme mit der Festplatte gemeldet. Das hat mich stutzig gemacht und nach etwas googeln bin ich hier gelandet.

Alles was in dem Trojaner-Board-TASK: (www.trojaner-board.de/97055-nach-windows-recovery-befall-und-entfernen-via-malware-schwarzer-hintergrund-und-alle-daten-weg-3.html) zu dem Thema gefunden habe, das ich ohne Hilfe ausführen konnte habe ich getan mit einem 2. Benutzer mit Administratorrechren ausgeführt:
1. OTL-scan
2. diverse durchläufe von Malwarebytes
3. Ausführen von "unhide.exe"
4. Ausführen des Kasparsky-Tools "tdsskiller.exe"

Anschließend habe ich die ganze Prozedur nochmal mit dem vom Trojaner befallenen Benutzer durchgeführt durchgeführt.

Das Ergebnis aller Aktionen war:
Auf dem Konto des befallenen Benutzers wird das Tool "Windows Recovery" nicht mehr ausgeführt. Allerdings habe ich nun das Problem, dass der Desktop nun blau ist, das Maus-Menü nicht mehr funktioniert, keine Icons mehr zu sehen sind und die Schnellstartleiste fehlt.
Sichtbar sind das Startmenü, die Uhr und die grade ausgeführten Programme. Die Dateien im Desktopverzeichnis sind sichtbar.

Wenn man sich die Beschreibung in dem TASK anschaut muss ich noch einen OTL-fix machen und brauche dann eventuell noch weitere Hilfe.

Kann mir jemand sagen was ich als nächstes machen muss, damit mein Benutzerkonto wieder funktioniert? Für eine Antwort wäre ich sehr dankbar!

Angehängt habe ich die Logs von Malwarebytes und den OTL-Scan.

Gruß
11 o'clock

cosinus 05.05.2011 14:21
Zitat:
c:\RECYCLER\S-1-5-18\Dc1\Andre\Desktop\cracks\acd see 2.4\cr-acd24.exe

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte.
Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!

11 o'clock 10.05.2011 18:37
ich wusste gar nicht das die Datei noch irgendwo auf dem Rechner liegt. Aber das ist sicherlich keine Entschuldigung dafür.
Natürlich habe ich inzwischen eine Lizenz von ACDSee (siehe Screenshot unten) Aber trotzdem danke für den Support!

Grafik aufgrund der Lizenznummer entfernt

cosinus 10.05.2011 18:57
Oh, ich seh auch gerade, dass die Datei eigentlich "gelöscht" wurde, zumidnest im Papierkorb liegt. Da kann man eine Ausnahme wohl machen... :o

Mach bitte ein frisches OTL-Log.

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT

11 o'clock 11.05.2011 18:19
Hallo,

ich habe den OTL-Quickscan durchgeführt. Vorher habe ich laufende Programme geschlossen und Avira deaktiviert. Ich hatte auch begonnen Prozesse wie den Real-Scheduler zu deaktivieren, habe aber nur den einen Prozess geschlosssen, weil ich mir unsicher war.

Die Ausgabe von OTL habe ich in einem .zip Archiv angehängt.

Dann ist mir noch eingefallen dass ich vor einiger Zeit ein FilterPack installiert habe, weil ich Probleme mit meinem Sound hatte. Ich hoffe das war nicht der Grund für meine Probleme.

Gruß und Vielen Dank
André

cosinus 11.05.2011 21:09
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
O2 - BHO: (PDFCreator Toolbar Helper) - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll ()
O3 - HKLM\..\Toolbar: (PDFCreator Toolbar) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll ()
O3 - HKLM\..\Toolbar: (ICQ Toolbar) - {855F3B16-6D32-4fe6-8A56-BBB695989046} -  File not found
O3 - HKCU\..\Toolbar\WebBrowser: (PDFCreator Toolbar) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll ()
O3 - HKCU\..\Toolbar\WebBrowser: (ICQ Toolbar) - {855F3B16-6D32-4FE6-8A56-BBB695989046} -  File not found
[2011.04.29 00:55:19 | 000,030,433 | ---- | M] () -- C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\F5FA.64C
[2011.04.27 21:31:20 | 000,000,184 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~18079540
[2011.04.27 21:31:19 | 000,000,152 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~18079540r
[2011.04.27 21:28:51 | 000,000,336 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\18079540
[2011.04.26 22:12:04 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\19128116
[2011.02.08 21:06:59 | 000,444,283 | ---- | C] () -- C:\Programme\Gemeinsame Dateien\WinPcapNmap.exe
[2009.09.26 12:17:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{755AC846-7372-4AC8-8550-C52491DAA8BD}
[2009.07.13 21:22:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

11 o'clock 11.05.2011 22:12
Hallo,
ich habe den Fix durchgeführt. Das Ergebnis-Log nach dem Neustart habe ich angehängt.

Gruß
André

11 o'clock 11.05.2011 22:14
Hier jetzt das log

cosinus 11.05.2011 22:23
Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://www.trojaner-board.de/attachm...rnen-start.png


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

11 o'clock 11.05.2011 22:31
Hallo,
TDS-Killer und unhide.exe hatte ich letzte Woche schonmal ausgeführt. Meine Dateien sind glaube ich alle wieder sichtbar.
Ich habe jetzt nochmal ein update gemacht und es wurden keine Infektionen mehr gefunden.
Das Log habe ich angehängt.

Gruß
André

cosinus 11.05.2011 22:41
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

11 o'clock 12.05.2011 07:29
Hallo,

ich habe den CCleaner gestartet und er ist durchgelaufen. Anschließend habe ich Combofix gestartet und es gab keine Probleme mit irgendwelchen Installationen oder abstürzen. Beim Scan mit ComboFix habe ich die Maus abgezogen.

Am Ende hat Combofix scheinbar meinen Rechner automatisch heruntergefahren. Ich bin leider während dem Scan eingeschlafen.

Der Desktob ist nun wieder sichtbar und die Schnellstartleiste funktioniert scheinbar wieder, obwohlalle Einträge gelöscht wurden. Das ist aber nicht schlimm.

Das Log von ComboFix habe ich angehängt.

Gruß aund :dankeschoen: für die Erfolge und den support bis hierhin
André

cosinus 12.05.2011 09:51
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur wenige Sekunden.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

11 o'clock 12.05.2011 19:54
Hallo,
angehängt habe ich den GMER-Log, den OSAM-Log und den MBR-Check. Ein MBR-Speicherabbild habe ich nicht erstellt.

Den Online-Check habe ich leider durchlaufen lassen. Ich dachte das Programm fragt vorher nach :-)

Gruß
André

cosinus 13.05.2011 15:40
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:31 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131