Trojaner-Board - rechner gekapert: mediashift.com + sirefef.ch + rootkit.kryptik.gx

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - rechner gekapert: mediashift.com + sirefef.ch + rootkit.kryptik.gx (https://www.trojaner-board.de/107145-rechner-gekapert-mediashift-com-sirefef-ch-rootkit-kryptik-gx.html)

jou, wird gemacht. vielen vielen dank aber schon mal für die tolle hilfe! werde den kram definitiv erstmal genau im auge behalten und ab und zu scans machen und hier vorbeischauen, wegen des mbrchecks.
und falls ich die nächsten tage nichts von dir höre schon mal einen guten rutsch ins neue jahr! :)

lilly

Hi,

Danke&ebenso... Lilly..

chris

hej, ich wollte mal fragen, ob sich dazu noch was gefunden hat. malwarebytes verhindert ab und zu zugriff auf "potentiell gefährliche seiten". gerade wenn ich meine bankseite öffne. hat das was zu bedeuten?

lilly

ich habe gerade noch mal den antimalbytes drüberlaufen lassen, der rootkits gefunden hat. im anhang das logfile... nicht schon wieder.... hab mich nirgendwo rumgetrieben und den rechner wenig benutzt...

Hi,

don't panic....

Ev. hat MAM die Signaturen um das erweitert...
Löschen lassen...
Leider immer noch kein Feedback zum MBR, ev. ist er doch verseucht...

TDSS-Killer
Download und Anweisung unter: Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft?
Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)!
Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe.
Nach dem Start erscheint ein Fenster, dann "Start Scan" (Option "suche nach TDSS-Fielsystem" auswählen, dann bügeln wir ggf. den MBR ohne Feedback).
Wenn der Scan fertig ist bitte "Report" anwählen. Es öffnet sich ein Fenster, den Text abkopieren und hier posten...

aswMBR
Von http://filepony.de/download-aswmbr/ die aswMBR.exe runterladen und auf dem Desktop speichern.

Doppelklick auf die aswMBR.exe.

Scan-Button anklicken

Bootsectoren (MBR) etc. werden nun untersucht.....

Log speichern und im Thread posten

chris

hab das log vom tdss-killer von gestern abend angehängt und das andere logfile.... nee panik nicht, ich gewöhne mich langsam an rootkits. :)

Hi,

hmm, hat wir schon, nicht gefunden...
Hast Du Umleitungen etc.?

chris

nope, keine symptome von damals. nur eben mal nach ein paar tagen wieder den anti malware drüberlaufen lassen, der den zero.access wieder gefunden hat. und er hat mich auch 1-2 mal gewarnt, dass firefox versucht auf eine gefährliche seite zuzugreifen....

lg,

lilly

Hi,

als Du gesurft bist oder von "alleine"?
Poste mal ein neues OTL-Log... schaue ich mir morgen ab.. bin heute seit 04:00 uhr "unterwegs"... müde... gute Nacht ;o)...

chris

ich meine, als ich gesurft bin. oh man, na dann mal süße träume! otl-log schick ich.

nacht nacht,

lilly

so, hier das log vom otl.

Hi,

ein versteckter Treiber...
Dateien Online überprüfen lassen

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

C:\Windows\System32\drivers\dvmio.sys

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Was ist das hier?
C:\Users\lilly\Desktop\7z920.exe

Sonst nichts auffälliges...

chris

hej,

virustotal scheint nichts gefunden zu haben. die exe ist von 7zip. ein zip-programm. hab ich aber nur runtergeladen und noch nicht installiert. hab die url, die er vorgestern geblockt hat bei virustotal eingegeben. 2/18 stufen die als malicious site ein. ip war die hier: 85.183.254.9

lg,

lilly

Code:

SHA256:         7cd039871fa4902d130a455855c550eb3d9ae1afdeea0425f1785b4784f89a23

Detection ratio:         0 / 43

Analysis date:         2012-01-17 12:22:16 UTC ( 0 minutes ago )

0

0

Antivirus         Result         Update

AhnLab-V3         -         20120116

AntiVir         -         20120117

Antiy-AVL         -         20120117

Avast         -         20120117

AVG         -         20120116

BitDefender         -         20120117

ByteHero         -         20120111

CAT-QuickHeal         -         20120117

ClamAV         -         20120117

Commtouch         -         20120117

Comodo         -         20120117

DrWeb         -         20120117

Emsisoft         -         20120117

eSafe         -         20120115

eTrust-Vet         -         20120117

F-Prot         -         20120116

F-Secure         -         20120117

Fortinet         -         20120117

GData         -         20120117

Ikarus         -         20120117

Jiangmin         -         20120116

K7AntiVirus         -         20120113

Kaspersky         -         20120117

McAfee         -         20120117

McAfee-GW-Edition         -         20120117

Microsoft         -         20120117

NOD32         -         20120117

Norman         -         20120117

nProtect         -         20120117

Panda         -         20120116

PCTools         -         20120117

Prevx         -         20120117

Rising         -         20120116

Sophos         -         20120117

SUPERAntiSpyware         -         20120114

Symantec         -         20120117

TheHacker         -         20120116

TrendMicro         -         20120117

TrendMicro-HouseCall         -         20120117

VBA32         -         20120117

VIPRE         -         20120117

ViRobot         -         20120117

VirusBuster
 
 
 

ssdeep file piecewise hash

384:ccm0nAm0TaT1TwUD59Gf26P7wNcdUb+F2:xj0Ty19wci

TrID file type information

Win16/32 Executable Delphi generic (25.4%)

Clipper DOS Executable (24.8%)

Generic Win/DOS Executable (24.6%)

DOS Executable Generic (24.6%)

VXD Driver (0.3%)

ExifTool file metadata
 

UninitializedDataSize....: 0

InitializedDataSize......: 1920

ImageVersion.............: 6.0

ProductName..............: DVMIO

FileVersionNumber........: 2.0.0.0

LanguageCode.............: English (U.S.)

FileFlagsMask............: 0x003f

FileDescription..........: DVMIO virtual device driver

CharacterSet.............: Unicode

LinkerVersion............: 8.0

FileOS...................: Windows NT 32-bit

MIMEType.................: application/octet-stream

Subsystem................: Native

FileVersion..............: 2.0.0.0

TimeStamp................: 2009:11:11 06:04:51+01:00

FileType.................: Win32 EXE

PEType...................: PE32

InternalName.............: dvmio.sys

ProductVersion...........: 2.0

SubsystemVersion.........: 5.1

OSVersion................: 6.0

OriginalFilename.........: dvmio.sys

LegalCopyright...........: Copyright (c) DeviceVM, Inc. All Rights Reserved.

MachineType..............: Intel 386 or later, and compatibles

CompanyName..............: DeviceVM, Inc.

CodeSize.................: 6784

FileSubtype..............: 7

ProductVersionNumber.....: 6.0.6001.16549

EntryPoint...............: 0x1e85

ObjectFileType...........: Executable application
 

Sigcheck digital signature information
 

publisher................: DeviceVM, Inc.

product..................: DVMIO

internal name............: dvmio.sys

copyright................: Copyright (c) DeviceVM, Inc. All Rights Reserved.

original name............: dvmio.sys

signing date.............: 6:11 AM 11/11/2009

signers..................: DeviceVM Inc.

               GlobalSign ObjectSign CA

               GlobalSign Primary Object Publishing CA

               GlobalSign Root CA

file version.............: 2.0.0.0

description..............: DVMIO virtual device driver

Hi,

Rechner weiter beobachten, falls noch mal was vorkommt plätten wir den MBR...

Lust auf ein Experiment ;o)...

Schauen wir mal, ob es eine versteckte Partitin gibt...
Lade Dir GParted von http://sourceforge.net/projects/gpar...?source=files/ oder ISO-Image von PartedMagic runter, ggf. das ZIP-File auspacken und das ISO-Images per Nero oder ImageBurn auf CD brennen.

Im BIOS die Startreihenfolge auf CD umstellen

CD einlegen und booten

PartitionEditor (links unten auf dem Bild) starten

http://partedmagic.com/lib/exe/fetch...ia=desktop.png

Erstelle durch die Taste DRUCK bzw. PRINT einen Screenshot und poste ihn. Falls kein INET-Zugang, auf Stick kopieren und dann hier hochladen.

chris

ok, das kann ich erst morgen irgendwann machen... oder donnerstag sogar... :(