AnitVirenSoftware hat "Worm/Bot.21504" gefunden
 

Hallo und guten Tag.

Ich arbeite als Mitarbeiter eines EDV-Verantwortlichen. Derzeit bin ich allein (Urlaubszeit) und stehe vor folgendem Problem:

Vorgeschichte:
Wir produzieren Geräte, welche regelmäßig zur Reparatur / Justierung von unseren Kunden zu uns kommen. Diese Geräte haben einen internen Speicher, auf dem Daten gespeichert werden, die während der Gerätebenutzung aufgezeichnet wurden. Diese Daten kann der Kunde mittels PC-Software auswerten. Verbindet man ein Gerät per USB-Kabel mit einem Windows-PC, so wird ein Wechseldatenträger verbunden. Auf diesem Wechseldatenträger gibt es nur eine einzige Datei "xyz.dat".

Vorfall:
Einer unserer Mitarbeiter hat ein solches Gerät per USB-Kabel mit einem PC verbunden. Die AntiVirenSoftware meldete daraufhin, dass auf dem Wechseldatenträger eine "autorun.exe" vom Schädling "Worm/Bot.21504" befallen sei.
Der Mitarbeiter holte mich und ich klickte auf "In Quarantäne verschieben". Daraufhin meldete die AntiVirenSoftware (im folgenden Text "AVS" genannt) dass ein Neustart dazu notwendig sei. Den Neustart habe ich durchgeführt.
Während des Startvorgang (schon in Windows) meldete die AVS, es wäre "Worm/Bot.21504" auch in "C:\Windows\system32\hdaudio.exe" gefunden worden. Ich war dann etwas verwundert, weil in der AVS eingestellt ist dass Autoruns zu blockieren sind und nun scheinbar doch eine Verbreitung stattgefunden hatte. Ich prüfte die Aktualität der AVS - ein Update der Signaturen hat heute stattgefunden.

Erste Maßnahmen:
- Ich habe das Netzwerkkabel abgezogen und mit "MiniXP" von "Hirens Boot-CD 13.1" den PC neu gestartet.
- Ich habe den noch vorhandenen Wechseldatenträger geöffnet, um zu schauen ob die autorun.exe weg ist. Die Datei ist weg, es befand sich aber noch eine "autorun.inf" auf dem Wechseldatenträger. Diese habe ich gelöscht.
- Ich habe einen USB-Stick an einem vermeintlich sicheren PC formatiert und mir das "Microsoft Tool zum Entfernen bösartiger Software" vom 9.8.2011 drauf gezogen.
- Auf den befallenen PC (im folgenden Text "WurmPC" genannt) habe ich dann das Tool in C:\Temp kopiert, es hat sich jedoch kein Scan starten lassen (Abbruch bei ScanStart mit Fehlermeldung). Ich vermute es liegt an diesem "MiniXP".
- Ich habe den WurmPC im abgesicherten Modus neu gestartet und dann das MS-Tool laufen lassen. Der Scan (erst schneller Scan, dann vollständiger Scan über 2 Stunden) war negativ.
- Ich habe den WurmPC dann normal gestartet und von der AVS wieder die Meldung über die befallene hdaudio.exe erhalten. Diese habe dann auch in Quarantäne verschieben lassen. Nun ist Ruhe.

Ich traue mich nun nicht, einfach den WurmPC wieder ans Netz zu nehmen und für die Benutzung frei zu geben. Ich bin kein Experte für Beseitigung von Schadsoftware und möchte nun hier mit Hilfe herausfinden, ob der WurmPC wieder sauber ist. Auch möchte ich wissen, ob die hdaudio.exe eine benötigte Datei ist, vielleicht bekomme ich das ja während der Problembearbeitung mit.

Eine Info noch am Rande: Es gab mit dem WurmPC schonmal Probleme wegen einer Conficker-Variante, die laut meinem EDV-Leiter aber vollständig behoben wurden.

Ich habe versucht mich an die Anleitung zum Erstellen eines Themas zu halten, die Log-Dateien häng' ich am Ende meines Post an. Leider musste ich "Schritt 2" wiederholen, da ich nicht kapiert hatte dass ich die Zeilen aus der Anleitung in das OTL-Fenster kopieren muss, bevor ich den QuickScan starte. Also hatte ich beim 1. Mal OTL mit leerer Textbox laufen lassen. :headbang: (Ich poste die OTL_Logs vom zweiten Durchlauf.)


Übrigens ist mir während des Durcharbeiten der Anleitung Einiges aufgefallen:
- In "Schritt 1" musste ich noch eine zusätzliche Meldung bestätigen, bevor der Scan gestartet wurde.
- Ich habe am Ende von "Schritt 1" keine Aufforderung zum Neustart erhalten. (defogger_disable poste ich auch)
- Ich wusste nicht, ob ich defogger am Ende von "Schritt 1" schliessen soll -> ich habs geschlossen
- In "Schritt 2" ist es nicht offensichtlich dass ich die Zeilen aus der Anleitung kopieren soll
- Die Datei OTL.Txt, welche von OTL erstellt wird, erkennt mein AVS "AVG Free Anti-Virus: Small Business Edition 2011" auf dem PC von dem aus ich schreibe als "Worm/Downadup" (das macht mir Sorgen)
- Die zweite Datei die durch OTL erstellt wird heisst nicht "Extra.txt", sondern "Extras.txt"


Hier nun die Ergebnisse:
defogger_disable
OTL_02.txt (von zweitem Mal "Schritt 2")
Extras_02.txt (von zweitem Mal "Schritt 2")
Gmer.txt
Soviel erstmal von meiner Seite. Ich hoffe ich hab Alles richtig gemacht und mir kann jemand weiter helfen.

MfG
Icy

Guten Tag,

bevor sich jemand aufregt: Ich möchte nicht pushen, sondern die neuesten Informationen bereit stellen!

Da am WurmPC dringend gearbeitet werden muss, habe ich ihn heut' morgen kurz ans Netzwerk angeschlossen um die AVS (es läuft AntiVir Professional als Vollversion) zu aktualisieren. Nach Produkt- und VDF-Updates habe ich die AVS relativ "scharf" konfiguriert (Konfiguration etc. bei der Gelegenheit per Passwort gesichert) und einen vollständigen Systemscan mit vollständiger Protokollierung laufen lassen. Es gab viele Warnungen wegen nicht erreichbarer Netzwerklaufwerke und Verknüpfungen die ins Nirgendwo führen (aber alle nachvollziehbar von Mitarbeitern angelegt). Außerdem gab es einen Fund: "Worm/Bot.21504" in Datei "dvdaudio.exe". Diese habe ich in Quarantäne verschieben lassen. Der Fund passt zu:
Weitere Funde gab es nicht. Nach dem Scan habe ich den PC neu gestartet und nochmal vollständig scannen lassen. Es wurden keine weiteren Funde gemeldet.

Die gestern in Quarantäne verschobene hdaudio.exe passt zu:
Das sind dann auch die beiden einzigen problematischen Stellen, die ich in den ganzen Log-Dateien finden konnte. Beide Dateien hat also die AVS durch Quarantäne kalt gestellt.

Zusätzlich habe ich noch den Thread "MS Firewall deaktiviert: hdaudio.exe usbflash.exe" (hxxp://ip-forum.net/forum/viren-trojaner/ms-firewall-deaktiviert-hdaudio-exe-usbflash-exe/) aus dem "IP Security Forum" gelesen und manuell die Registrierung des WurmPC auf die im Thread genannten Einträge durchsucht. Keiner der laut Thread zu löschenden Einträge ist vorhanden (oder können die auch versteckt sein?). Keiner der zu korrigierenden Einträge ist falsch eingestellt. Eine Suche (Start > Ausführen > regedit > Bearbeiten > Suchen) nach "hdaudio.exe", "hdaudio", "dvdaudio" oder dvdaudio.exe" brachte keine dubiosen Einträge zum Vorschein.

Ich habe jetzt einen Mitarbeiter erstmal an den WurmPC wieder ran gelassen, aber das Netzwerkkabel noch getrennt gelassen.

Ich bin mir sicherer, dass das System sauber ist - allerdings nicht vollkommen sicher und würde mich deswegen weiterhin über weiter gehende Hilfe freuen!

MfG
Icy

Update: Der WurmPC ist jetzt aus und bleibt es, bis sich hier jemand meldet. Der Wurm ist schon wieder aufgetaucht...
Ich könnte mich schwarz ärgern, dass ich nicht die Regeln befolgt und abgewartet habe, aber was soll ich machen... die Leute stehen da und sagen "wir müssen mit dem PC arbeiten" und ich steh' da und bin der Dumme. Ist nicht einfach den Leuten zu erklären, das KEINE AntivirenSoftware JEDEN Wurm oder Virus den sie erkennt auch zuverlässig beseitigen kann... :(

Wie gesagt, mein letzter Post vorerst hier damit ich nicht weiter unnötig den Thread pushe... Ich warte nun ab!

MfG
Icy

Hast du auf dem Wurm-PC schon Malwarebytes ausgeführt? Wenn nicht bitte einen Vollscan machen

Hallo,

ich könnte nun zwar Malwarebytes downloaden und auf dem WurmPC installieren, aber ich habe keine Internetverbindung zum Aktualisieren der Datenbank... dann wäre der WurmPC nämlich wieder am Firmennetz angeschlossen und das ist mir zu riskant.

Gibt es eine Möglichkeit die Datenbank von Malwarebytes manuell zu aktualisieren (Download der DB und manuelles Kopieren in Malwarebytes-Ordner)?

Mir wurde empfohlen Folgendes zu tun: Platte ausbauen, per USB-Adapter an PC mit eigener Internetverbindung hängen (hab dazu jetzt so einen UMTS-Stick hier), Vollversion irgendeiner namenhaften AntiVirenSoftware mit aktiver I-Net-Verbindung über die Platte laufen lassen. Ich hätte dazu jetzt einen Win 7 x64 Prof. Laptop mit Vollversion von Norton Internet Security und UMTS-Stick genutzt. Für die Platte ist ein USB-Adapter vorhanden.
Ist dieser Weg auch Ok?

Danke für dein Feedback

Icy

Hey, Danke für den Link. Ich werd' also MalwareBytes AntiMalware Free auf meinem PC installieren, dann ein Update machen, dann Malwarebytes auf dem WurmPC installieren und per vorher formatiertem Stick die rules.ref auf den WurmPC kopieren. So hatte ich mir das vorgestellt. Danach starte ich den Scan nach Trojaner-Board-Anleitung.

Soll ich MalwareBytes-Installation und -Scan besser auch im abgesicherten Modus durchführen?

Was ist mit dem 2. Weg aus meinem letzten Post hier? Den hast du irgendwie garnicht kommentiert... :pfeiff:

Icy

Edit: Vielleicht könnte man ja mal die Anleitung zum MalwareBytes-AntiMalware-Updaten via zweitem PC hier in die Board-Anleitung mit aufnehmen!?!

Nein, mach das über die http://data.mbamupdates.com/tools/mbam-rules.exe

Manuelles rüberkopieren der rules.ref führt zur falschen ANzeige der DB-Version.

Den zweiten Weg wollte ich erstmal nicht kommentieren, aber Platte ausgebaut hätte ich nicht. Es gibt auch Rescue-CDs von AntiVir oder kaspersky

Hmm... Laut dem von dir verlinkten Thread im MB-Forum ist die von dir verlinkte Datei NICHT mit einer aktuellen DB-Version zu haben, da sie nicht mit jeder DB-Version aktualisiert wird!!! Ob die DB-Version richtig angezeigt wird ist mir egal, solange ich weiß dass die aktuelle DB drin ist... Versteh' mich nicht falsch, ich möchte nicht mit dir diskutieren (du bist der Profi ;) ), aber ich hab' halt den Thread im MB-Forum gelesen und der sagt: DB von anderem PC rüber kopieren ist aktuell, mbam_rules.exe ist nicht aktuell.

Zu den Rescue-CD's: Am effektivsten arbeitet eine Lösung, die Internetzugriff hat, weil man nur damit auf alle verfügbaren Entfernungsroutinen zugreifen kann - so sagte es mir gestern ein Techniker von einem Avira-Partner am Telefon. Bei Offline-Scan sind einfach nicht alle Informationen über alle bekannten Bedrohungen verfügbar (aus Platzmangel auf dem Datenträger des Nutzers). Die Scan-Variante mit bestehender Internetverbindung greift zum Beispiel bei Avira im Hintergrund auf bis zu 6 verschiedene Server weltweit zu, wenn eine Signatur erkannt wurde, so hat man mir erklärt. Im Netz wird dann die Information geholt, wie der Schädling zu beseitigen sei. Ansonsten wird eben nur die erkannte Datei in Quarantäne verschoben (wie in meinem Fall). Klingt für mich nachvollziehbar! Was meinst du?

Icy

Mich verwirrt das ganze aber, wenn die Signatur aktuell ist aber nichts aktuelles angezeigt wird :D
Und ja, die DB-Version über die mbam-rules.exe ist nicht ganz aktuell, aber immer noch besser als gnaz ohne Updates. Naja, mach das was dir lieber ist.

Prinzipiell ist eine Analyse aber wirklich besser, wenn der betroffene Rechner im Netz hängt. Kannst du den nicht in seinem eigenen abgeschotten Netz packen oder weg aus dem LAN, Internet über UMTS oder sowas?

Ich könnt' den per Stick ans Netz bringen ja. Aber nicht mehr heut' dann erst Montag wieder.

Jetzt mach' ich erstmal den Malwarebytes-Scan mit Update per rules.ref. Hab' mir überlegt das auf CD zu brennen - ist besser als n Stick.

Dann können wir ja zu Punkt 2 von dem 2. Weg kommen, Platte ausbauen: Prinzipiell soll es wohl besser sein, wenn die Platte nicht aktiv genutzt wird (OS etc.), da sonst bestimmte Dateien gesperrt sind in denen sich der Schädling befinden könnte. Auch richtig oder?

Kommt in etwa mit dem eines Scans von einer Rescue-CD gleich. Aktive Schädlinge können den Scanbvorgang beeinflussen.

Gut soweit.

Der Scan mit Malwarebytes Anti-Malware läuft grad (hab' vollständig gewählt). Ich hab' im Abgesicherten Modus den WurmPC gestartet, mich als Administrator angemeldet, MBAM installiert, rules.ref kopiert, ein paar Einstellungen in MBAM gemacht und dann den VollScan gestartet.

Sollte MBAM nicht erfolgreich sein (ich werde die Ergebnisse posten und dann können wir ja entscheiden), werde ich am Mo die Platte ausbauen und nen Scan mit Norton Internet Security bei aktiver Internetverbindung per UMTS-Stick (wird wahrscheinlich nur GPRS-Verbindung haben) machen.

Icy

So, ich verabschiede mich schonmal ins Wochenende.

Das Ergebnis von 2x Malwarebytes Antimalware Vollscan (1. als Administrator im Abgesicherten Modus, 2. als Benutzer im Normalmodus) ist Folgendes:

UND

Woran ich noch erinnern wollte:

Wenn ich mir das VirusTotal-Ergebnis anschaue, scheint es ne Fehlmeldung zu sein... Kann sich dazu mal jemand äußern bitte?

Anbei 2 Screenshots dazu:

http://www.trojaner-board.de/attachm...4&d=1314368283

http://www.trojaner-board.de/attachm...5&d=1314368288

MfG und schönes WE
Icy

OTL.txt ist die Logdatei von OTL, wie soll da ausführbarer Schadcode drin sein?! :balla:
Natürlich ist das ein Fehlalarm.


Führ bitte auch ESET aus, danach sehen wir weiter:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Guten Tag,

der ESET Online Scan ist durch. Dank GPRS-Verbindung... :pfui:

Hier das Ergebnis:

Sieht ja erstmal gut aus. Kann Entwarnung gegeben werden?

Ich prüfe nun (nach Neustart) nochmal mit Avira AntiVir Professional (Vollversion). Edit: Natürlich inklusive bestehender Internetverbindung!

MfG
Icy

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hallo cosinus,

Gut, OTL-Fix mache ich.

Soll ich den Avira AntiVir-Scan vorher NICHT durchführen?

Kannst du mir ganz kurz erläutern, was mit dem OTL-FIX gefixt wird (ein wenig hab ich eine Ahnung, bin mir aber nicht sicher)?

Und noch eine Frage: Hat es einen bestimmten Grund, dass wir für den Check gerade ESET Online Scanner genommen haben?

MfG
Icy

Steht eigentlich da was gefixt wird. Die entsprechenden Reg-Einträge dazu und die damit verknüpften Dateien, also die die in der Zeile jeweils angezeigt werden. Und natürlich wird der Ordner gelöscht, in dem dvdaudio drin war.

ESET benutze ich immer als zusätzliche "Meinung"

Ok, Danke für die Info's. Ich mach' nun den OTL-Fix...

MfG
Icy

Edit: Besser den OTL-Fix im Abgesicherten Modus machen???

Nein, nutz den abgesicherten Modus nur wenn das nicht geht. Wenn du was im abgesicherten machen sollst, weise ich da schon vorher drauf hin.

Was wird nun eigentlich aus den Dateien, welche AntiVir Prof. in Quarantäne verschoben hat (autorun.exe vom Wechseldatenträger, hdaudio.exe und dvdaudio.exe)?

OTLFix ist durch:

Im Common-Verzeichnis steht ja ne ganze Menge drin... Kann es durch das Verschieben zu Problemen kommen?

MfG
Icy

Hm, fällt mir auch gerad auf. Naja, notfalls kannste das Verzeichnis ja wiederherstellen,


Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://www.trojaner-board.de/attachm...rnen-start.png


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Done... :)


Kann ich unhide auch prophylaktisch ausführen oder birgt das Risiken? Ich weiß nämlich nicht, ob da was fehlt. Niemand hier hat einen vollständigen Überblick, was auf dem WurmPC Alles drauf sein müsste...

Was wird nun aus den Dateien, welche AntiVir in Quarantäne verschoben hat?


MfG
Icy

Nein, wenn nichts vermisst wird, lässt du es sein. Unhide setzt auch nur die Attribute zurück, falls diese so gesetzt sind, dass die eigenen Datein versteckt sind.

Du weißt, was eine Quarantäne ist? Ob da die schädliche Datei drinbleibt oder nicht, das hat keine Auswirkungen. Schädlinge in der Quarantäne können nichts mehr anrichten, sie sind dort isoliert. Du solltest grundsätzlich mit der Quarantäne arbeiten, denn falls der Virenscanner durch einen Fehlalarm was wichtiges löscht, kannst Du notfalls noch über die Quarantäne an die Datei ran.

Hmm, denke schon - mein Verständnis davon sieht so aus: Der Schädling (eine Datei) wird umbenannt (Name und Erweiterung) und in einen anderen Ordner verschoben... Wenn ich den Ursprungsordner und Dateinamen kenne, könnte ich den Schädling wieder aktivieren...
Recht so?

Auch klar soweit - Danke nochmal für den Hinweis. In meinem Fall sind das doch Alles neu angelegte, schädliche Dateien ohne weitere Funktionen gewesen, oder? Zumindest die von AntiVir Kaltgestellten. Deswegen dachte ich diese zu löschen wäre sinnvoll... Wozu sollte der Datenmüll noch auf der Platte rumhocken, dachte ich!?!

Können wir nun Entwarnung für den WurmPC geben und ihn wieder PC nennen???

Ist doch arg konstruiert, von alleine stellt sich nichts aus der Q wieder her. Es ist übertrieben hysterisch, sofort alles aus der Q zu verbannen.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Ich glaub' ich hab' es langsam kapiert: Wenn du auf eine Frage nicht antwortest, dann nicht weil du sie überlesen hast, sondern weil die Frage irgendwie überflüssig ist oder sich durch deine nächste Antwort von selbst beantwortet... right? :daumenhoc

ComboFix ist in Arbeit....

Ja, so in etwa...vieles ergibt sich und ich will mir nicht ständig die Finger wundtippen. Manchmal weise ich aber auch darauf hin, dass man manche Sachen lieber nach der Bereinigung klären will ;)

So, CF ist nun auch durch:

StandBy...

XSManager? Updater4g? Sagt dir das was?

Ja, das müssen die Softwareteile sein, die sich automatisch installiert haben, als ich einen Debitel-Mobilfunkstick angeschlossen habe. XSManager ist das kleine Einwahlprogramm vom Stick.


Edit: Feierabend für heut'. Ich schau heut' Abend von Zuhaus nochma rein. Vielen Dank bis zu diesem Punkt. CU

MfG
Icy

Warum eigentlich nur SP2? :balla:


Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Guten Morgen,

Danke erstmal dass du dir die Mühe machst, die zu Unrecht von ComboFix entfernten Teile wieder "rein zu scripten". Kannst du mir das Script bitte ganz kurz erläutern, speziell die Registry-Einträge? Warum wird da zB. der Firewall aktiviert (hat ich immer nur temporär beim Ausführen der verschiedenen Tools aus)?

Das ist eine lange und komplizierte Geschichte. Alles hat seinen Ursprung dort, wo ein langjähriger EDV-Hauptverantwortlicher eine persönliche Abneigung gegen Windowsupdates hatte. Es spielen aber noch ganz viele Interna mehr eine Rolle, warum dieser PC bis heute nicht auf den neuesten Stand gebracht wurde... Ich heiße das auch nicht gut!

MfG
Icy

Abschnitt Dirlook und Filelook löschen nichts, Registry löscht entsprechende Schlüssel bzw. nur die Values. [-HKLM\...] löscht einen Schlüssel, ohne das Minus aber ein Value darunter mit ...=- löscht den Wert. Solltest du eigentlich aus einem Regfile kennen.

Der Wert "EnableFirewall" ist bei dir auf Null - bedeutet Windows-Firewall ist aus, und das sollte nicht sein.

Warum Port 3197/tcp erlaubt sein soll weiß ich nicht, kann vom Schädling sein, daher wird dieses Loch in der Firewall wieder dichtgemacht. => Port 3197/tcp embrace-dp-s Protocol and Security Information | What is port 3197/tcp?


Hmja, es gibt wirklich Menschen, die Windowsupdates für fiese Tricks von MS halten, um die Rechner zu beschnüffeln und/oder den ping zu verschlechtern :lach:

Hallo cosi,

Nein, kannte ich so noch nicht. Wie ich Eingangs schrieb, arbeite ich als Mitarbeiter in der EDV - das ist aber nur ein Teil meiner beruflichen Tätigkeit. Hauptsächlich bin ich Softwareentwickler (Mikrocontroller in C / Windows-Apps mit C++ und VCL) mit elektrotechnischem Hintergrund. Beim Erstellen von Setups mit InnoSetup und im Rahmen meiner EDV-Mitarbeit bin ich schon hin und wieder mit der Reg in Berührung gekommen, aber in ein Regfile rein schauen oder selbst eins per Hand erstellen habe ich noch nicht müssen.
Man könnte sich jetzt fragen, warum ein Entwickler in der EDV-Abteilung mitmacht... Frag' lieber nicht. ;)


Deswegen schrieb ich doch in meinem letzten Beitrag:
Nun ist der natürlich wieder an! Oder betrifft der Regwert ein anderes Benutzerkonto / eine Grundeinstellung?
Versteh' mich bitte nicht falsch - auch hier möchte ich wieder nicht mit dir diskutieren, sondern einfach Hinterfragen. :)

Bezüglich Firewall: Wenn empfohlen wird einen Firewall zu deaktivieren (wie auch in meinem Thread schon für etliche Tools), ist dann NICHT der Windows-Firewall gemeint???


Gut, ich werd' ja merken wenn irgendeine App später so da steht: :headbang:
:lach:


Noch eine Frage zum CF-Script: Diese "Foxit Toolbar"-Sachen (was als "AskBar..." in den Logs auftaucht), warum entfernen wir die?


Sicherlich ist nicht Alles wirklich dufte was so an "Updates" gebracht wurde, aber generell keine OS-Updates zu machen halte ich für fahrlässig!


MfG
Icy

Ok, ich dachte du bist da auch ein Admin :D deswegen wunderte ich mich ein wenig, dass dir das unbekannt ist.

Ähm ok, überlesen, :o aber die Windows-Firewall sollte bei CF nicht wirklich stören. In der CF-Anleitung geht es primäre darumm, dass man sowas wie ZoneAlarm (:balla:) deaktivieren sollte.

Der Regwert sollte - wenn ich das richtig gelernt hab :D - für den aktuellen Status stehen. 0=inaktiv, 1=aktiv

Nein, wenn wir eine Firewall (eigentlich korrekt: Paketfilter) meinen, die auf dem System selbst läuft, dann rate ich grundsätzlich von sowas ab, was sich ZoneAlarm, Kerio etc. schimpft oder solche, die in SecuritySuites/Internet Securities stecken. Link dazu warum => Editorial | c't
Nimm also wenn überhaupt die Windows-Firewall. Rein theroretisch kann man aber hinter einem Router auch ohne Windows-Firewall auskommen.

Stehst du auf müllige System-/Browserfensterverstopfer? :balla: Oftmals lassen sich diese Zecken nichtmal mehr richtig deinstallieren, deswegen ist es schon fast bei mir in Fleisch und Blut übergegangen, die mit OTL oder CF wegzuscripten ;)

Das stimmt, aber ich hatte noch nie Probleme mit Windows-Updates. Bin nur vorsichtlich bei Servern, weil die üblicherweise sehr stabil laufen müssen, da mach ich immer erst ne Komplettsicherung bevor ich sowas wie ein ServicePack einspiele.

Nun ja, ich bin - wenn man so will - ein Halbtagsadmin mit eingeschränkten Rechten und keiner passenden Ausbildung in einem Unternehmen in dem EDV nach täglichem Bedarf gestaltet wird und Weiterbildung ausschliesslich Privatsache ist. Man könnte es auch ungepflegte Patchwork-IT-Infrastruktur nennen. Hauptsache es kostet Nichts, dann kann Alles gemacht werden. Es gibt hier Kollegen, die noch mit Windows98 inklusive passender Hardware arbeiten müssen. Ein PC wird nur ersetzt, wenn der Alte ABSOLUT nicht mehr an seinem Einsatzort verwendbar ist. Ach ich heule schon wieder rum... :pfui:

Wg. FireWall-Status: Das dieser besagte Firewall-RegWert für den Status steht war mir bekannt, deswegen hab' ich ja nach gefragt. Ich nehm' die Zeile raus.

Wg. FireWall deaktivieren: Der WinWall kann an bleiben... und ich hab' immer schön penibel Aus- und wieder Eingeschaltet... :headbang:
:rofl:

Und nein, ich stehe nicht auf müllige System-/Browserfensterverstopfer (geiler Ausdruck :daumenhoc). Hat halt irgendein Mitarbeiter im Laufe der letzten Jahre mal installiert das Ding. Der PC hat ohne ein neues/frisches OS zu bekommen hier schon verschiedene Abteilungen durchlaufen... :balla:

Zu den Windows-Updates: Kommt halt drauf an, was man als Problem ansieht und wie sehr man auf Mundpropaganda hört. Ich kann mich an eine Zeit erinnern, da waren die Updates überall verpöhnt. Gespräche zwischen PC-Laien und -Halbprofis zu dem Thema liefen so ab:

A: Machst du regelmäßig Windows-Updates?
B: Spinnst du? Ich will mir doch meinen PC nicht kaputt machen!

So, nun starte ich mal das Script und poste das Logfile!

CFScript ist durch - hier das Logfile:

[CODE]
Combofix Logfile:Combofix Logfile:
--- --- ---


Icy

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!


Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

Wird gemacht. Alle 3 Tools gleich nacheinander, jeweils mit Neustart und dann posten? Oder Nach Gmer und OSAM erstmal die Logfiles posten und abwarten?

Edit: Probieren wir hier eigentlich die ganze Trojaner-Board-Toolbox durch oder wie? :D

Ob mit oder ohne Neustart ist eiegtnlich rel. egal
Und ja, wir müssen mit leider vielen Tools drauf losgehen, mach ich immer, man muss ja auch vieles abklopfen...

Gut, morgen gehts weiter. Hab' vergessen den Gmer-Logtext in die Textdatei ein zu fügen und den WurmPC runter gefahren... :headbang:

Guten Tag,

ich bin mit dem Gmer-Scan durch. Alle Schutzprogramme und Internetverbindung waren aus, WinWall war an, 1 USB-Datenstick war angeschlossen. Nun folgt der OSAM-Scan. Hier das Gmer-Logfile:

Ich habe aktuell noch eine weitere Frage den WurmPC betreffend: Ich habe heut' morgen erstmal defragmentiert, damit die Kiste schneller startet und evtl auch schneller scannt. Dabei kam mir eine Log-Datei unter die Lupe, welche sich einfach nicht defragmentieren lässt. Diese Textdatei ist ca. 16MB groß und besteht aus über 1700 Fragmenten(!). :eek: Ich wollte die Datei auf einen USB-Stick kopieren und dann wieder zurück auf die Platte, aber ich bekam eine Meldung in der Art "Kann nicht kopiert werden - CRC-Prüfsummenfehler". Pfad und Name der Datei sind "C:\Dokumente und Einstellungen\GE\Anwendungsdaten\Haufe\Installer_log\iDesk_log.txt".
Gibt es dazu Hinweise? Muss ich von einem Festplattendefekt ausgehen? Können die Ursachen woanders liegen?

Edit (12:53 Uhr): Womit wir dann beim OSAM-Logfile wären:

Edit 2 (12:58 Uhr): Avira AntiVir Professional hat übrigens keine einzige Meldung wegen OSAM gebracht... Falls das interessant ist!?!

MfG
Icy

Hmm... Der AVAST-Scan scheint sich festgemacht zu haben... Es wird keine Festplattenaktivität angezeigt und das DOS-Fenster steht seit 20 Minuten bei Scanning: C:\Windows\system32\browseui.dll. Das ist übrigens auch eine von insgesamt 3 Dateien, welche nicht defragmentiert werden konnten.

Was nun tun?

Edit: Erstmal eine HDD-Diagnose machen bevor wir fortfahren? (siehe Frage nach Gmerlog meines letzten Post)

Edit 2: Das DOS-Fenster lässt sich scheinbar noch Bedienen - ich habe gerade den Scrollbalken testweise bewegt und er ließ sich Bedienen...

So, jetzt läuft grad Maxtor PowerMax 4.21 von Bootdiskette und macht nen FullScan. Bin gespannt was da nun raus kommt... :balla:

Edit: Jetzt fängt mein Auge wirklich an zu zucken...

Dann mach ich mir mal nen Plan wie ich "so do"e... :killpc: :schrei: :balla:

Joa, schnell handeln.
Zieh ein Image von der Kiste so lange die defekte Platte das noch erlaubt und hoffe, dass möglichst alles wichtige noch gelesen werden kann.

Wie sicher sind wir denn jetzt, dass die Platte aus dem WurmPC sauber ist???

Sieht im Moment nicht schlecht aus, aber ich würd enoch Kontrallscans machen.
Bevor die Platte aber komplett abkackt musst du jetzt schnell handeln

Ok, der WurmPC ist aus und ich hab' ne formatierte 19GB-Platte die ich per USB dran hängen kann. Morgen früh wird gleich per Acronis True Image gebootet und ein Abbild erstellt. Danach müsste ich wahrscheinlich erstmal versuchen die defekte Platte zu reparieren, damit nicht noch weitere Scans einfach stecken bleiben oder?

Edit: So, erstmal Feierabend...

Guten Tag,

ich möchte mich ganz herzlich für die umfangreiche Hilfe bedanken und diesen Thread damit schliessen. Die benötigten Daten von der defekten Festplatte wurden gesichert. Dies waren hauptsächlich Text-, Excel-, Word-, Hex- und sonstige nicht ausführbare Dateien. Ein-Zwei Anwendungsdateien waren auch dabei. Den vorher formatierten USB-Stick mit den gesicherten Daten habe ich mit Avira AntiVir Prof., AVG Free AntiVirus: SBE 2011 und Malwarebytes Anti-Malware geprüft. Natürlich fand die Prüfung erst statt, nachdem die entsprechenden Programme aktualisiert wurden.
Der Festplattendefekt hat nun weitere Tests überflüssig gemacht. Es kommt eine andere Platte in den WurmPC und er wird neu eingerichtet. Dann nenn' ich ihn auch wieder nur PC. :D

Wie gesagt: Vielen vielen Dank für die tolle Hilfe und die Dinge, die ich während unserer Zusammenarbeit gelernt habe!!! :dankeschoen:

Mit freundlichen Grüßen
Icy