Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   HDD sauber - aber eine Datei lässt sich ums Verrecken nicht löschen (https://www.trojaner-board.de/103958-hdd-sauber-datei-laesst-ums-verrecken-loeschen.html)

Troja007 10.10.2011 18:35

Okay, Dr. Web ist durch und hat nix gefunden. MBAM läuft grad. ESET kommt danach dran.

Troja007 10.10.2011 19:57

Liste der Anhänge anzeigen (Anzahl: 1)
Hier schon mal das Logfile von MBAM.

Code:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 7917

Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

10.10.2011 20:15:27
mbam-log-2011-10-10 (20-15-18).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 256380
Laufzeit: 42 Minute(n), 58 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Somefox (Trojan.Agent) -> No action taken.


Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Dazu ein Screenshot der Registry bei dem oben rot markierten Eintrag
http://www.trojaner-board.de/attachm...1&d=1318272527

Hm, sieht schon komisch aus...


Außerdem hab mich mal fsutil reparsepoint query c:\xyz ausprobiert.
Ergebis Fehler: Zugriff verweigert


ESET läuft noch mindestens 'ne Stunde (hat erst 26% nach 34 min).
Hat leider schon 3 Threads gefunden, jeweils Java/Agent.DS trojan
:headbang:

Troja007 10.10.2011 20:41

Na toll, ESET hat auch was gefunden, allerdings wieder was ganz anderes, als MBAM:

Code:

C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\worms.jar-554e9856-1b106dd1.zip        Java/Agent.DR trojan
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\worms.jar-61cd5248-2670de50.zip        Java/Agent.DS trojan
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\worms.jar-709e9076-5dc95079.zip        Java/Agent.DS trojan


Troja007 11.10.2011 01:03

Hab spaßeshalber noch ein neues Avira Free Antvirus installiert und damit noch mal die ganze Platte gescannt. Ergebnis wie bei ESET. Avira hat auch die drei zip-Dateien in C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\ angemeckert und sie in die Quarantäne verschoben.

Gute Nacht erst mal! :sleepy:

cosinus 11.10.2011 10:08

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:

:OTL
FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
FF - prefs.js..browser.search.selectedEngine: "ICQ Search"
FF - prefs.js..browser.startup.homepage: "http://start.icq.com/"
FF - prefs.js..keyword.URL: "http://search.icq.com/search/afe_results.php?ch_id=afex&q="
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Programme\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Programme\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\Programme\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - C:\Programme\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - C:\Programme\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - C:\Programme\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - C:\Programme\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - C:\Programme\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - C:\Programme\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - C:\Programme\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - C:\Programme\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000012 - C:\Programme\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - C:\Programme\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000014 - C:\Programme\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000015 - C:\Programme\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000016 - C:\Programme\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000017 - C:\Programme\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000018 - C:\Programme\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000019 - C:\Programme\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000020 - C:\Programme\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000021 - C:\Programme\Bonjour\mdnsNSP.dll File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.01.30 21:58:39 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
[2007.01.30 21:38:34 | 000,000,000 | -HSD | M] -- C:\xyz
:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Somefox]
:Files
C:\xyz
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi
:Commands
[emptytemp]
[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Troja007 11.10.2011 12:12

Da isses:
Code:

All processes killed
========== OTL ==========
Prefs.js: "ICQ Search" removed from browser.search.defaultenginename
Prefs.js: "ICQ Search" removed from browser.search.selectedEngine
Prefs.js: "hxxp://start.icq.com/" removed from browser.startup.homepage
Prefs.js: "hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=" removed from keyword.URL
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000002\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000003\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000004\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000005\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000006\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000007\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000008\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000009\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000010\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000011\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000012\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000013\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000014\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000015\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000016\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000017\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000018\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000019\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000020\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000021\ deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
Folder C:\xyz\ not found.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Somefox\ deleted successfully.
========== FILES ==========
File\Folder C:\xyz not found.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\tmp folder moved successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar folder moved successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file folder moved successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\ext folder moved successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0 folder moved successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi folder moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrator
->Temp folder emptied: 204 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: All Users
 
User: ***
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 90132 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 3670673 bytes
->Apple Safari cache emptied: 14336 bytes
->Flash cache emptied: 97690 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32768 bytes
 
User: LocalService
->Temp folder emptied: 70232 bytes
->Temporary Internet Files folder emptied: 49554 bytes
 
User: NetworkService
->Temp folder emptied: 4216 bytes
->Temporary Internet Files folder emptied: 8566484 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
Session Manager Temp folder emptied: 31735366 bytes
Session Manager Tmp folder emptied: 0 bytes
RecycleBin emptied: 17726 bytes
 
Total Files Cleaned = 42,00 mb
 
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
OTL by OldTimer - Version 3.2.29.1 log created on 10112011_124353

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Im Übrigen gabs kurz nach dem Start (Klick auf Fix) eine Fehlermeldung. Genauen Text hab ich leider nicht mehr, weil da stand, dass wegen des Fehlers abgebrochen wird, was dann aber nicht geschah. Es ging jedenfalls um eine fehlende Datei namens msvcp71.dll, die sich auf meinem funktionierenden PC in diesem Verzeichnis befindet:
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-560666a7-n\

Hab grad noch mal auf dem infizierten Rechner gesucht. Dort taucht diese Datei 2x auf in:
c:\programme\microsoft\autoroute
c:\programme\HP\digital imaging\bin

cosinus 11.10.2011 14:17

Zitat:

Ich würde mal fsutil reparsepoint delete C:\xyz probieren
Bevor du das machst, würde mich mal die Ausgabe von fsutil reparsepoint query C:\xyz interessieren

Troja007 11.10.2011 14:40

Ich bin übrigens ein Depp. Hatte ich doch in der Zwischenzeit c:\xyz in c:\aaa umbenannt, damit es am Anfang der Liste erscheint ... :headbang:
Daher konnte OTL es nicht natürlich finden. SORRY! :stirn:

Kannst du mir bitte einen neuen Text für die "Custom Scan/Fixes" Box schicken, nur um die c:\aaa zu löschen?

Könnte der vielleicht so aussehen?
:OTL
O32 - AutoRun File - [2007.01.30 21:38:34 | 000,000,000 | -HSD | M] -- C:\aaa
:Files
C:\aaa
:Commands
[emptytemp]
[resethosts]

Die "ICQ Search" befand sich übrigens immer noch im IE und im Firefox. Hab die mal rausgenommen.

Grüße, Troja007

cosinus 11.10.2011 14:45

Zitat:

Daher konnte OTL es nicht natürlich finden. SORRY!
Achso nee dann geht das nicht :D
Ja einfach nur in meinem Script das xyz passend umbennen

Troja007 11.10.2011 14:55

Den Befehl fsutil reparsepoint query / delete hatte ich gestern auch noch gefunden. Ergebnis jeweils: Fehler: Zugriff verweigert

Genausowenig funzt delrp.exe aus dem Windows Ressource Kit: The delete call failed.

Das scheint mir eine richtig fiese Sache zu sein mit diesem reparse point. Das Ding wird manchmal aus als junction point bezeichnet. Es gibt dafür spezielle Tools zum Erstellen und Löschen, die aber alle auf "normale" reparse points ausgerichtet sind. Wie man an dieses Exemplar hier rankommt, ist mir ein Rätsel.

Troja007 11.10.2011 15:03

Was ist denn mit der Hosts-Datei passiert? Die alte wurde ja ersetzt (da war aber nix drin außer 127.0.0.1 localhost)

Die neue lässt gerade keinen Internetzugriff zu:

127.0.0.1 localhost
::1 Localhost

Hat das einen Grund?

Troja007 11.10.2011 15:08

Noch besser: Ich kann die nicht mehr editieren - also speichern oder löschen ???

Erledigt: Avira war Schuld!

cosinus 11.10.2011 15:18

Der Internetzugriff durch die Hostsdatei wird nur eingeschränkt wenn dort deutlich andere Sachen drinstehen. AFAIK muss nichtmal mehr das 127.0.0.1 localhost eingetragen sein, weil der loopback/localhost direkt schon im Stack integriert ist.

Zitat:

Das Ding wird manchmal aus als junction point bezeichnet.
hast du schonmal mit der junction.exe dein Glück probiert?

Troja007 11.10.2011 15:31

Nee, die hatte ich gestern auch gefunden. Probier ich jetzt auch noch aus.

Aber ehrlich gesagt glaube ich mittlerweile nicht mehr daran, dass man mit solchen Tools was erreichen kann (in diesem Fall). Vermutlich müsste man mit irgendwelchen Low-level HDD-Tools ran. Aber davon hab ich keinen Schimmer.

EDIT: Wie erwartet: Error deleting c:\aaa: Zugriff verweigert

cosinus 11.10.2011 16:02

Dann muss man entweder sich damit abfinden, dass dieser Rechner nicht mehr zu retten ist und man formatieren muss :pfeiff:
oder du versuchst junction bzw. fsutil über eine Live-CD wie BartPE oder OTLPE auszuführen

Diese Live-CD unbedingt auf einem anderen, garantiert sauberen Rechner bitte erstellen!


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:05 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131