|
Sicherheitssystem durch evtl. Trojaner defekt Hallo zusammen, habe ein wirkliches Problem! Hab mir was eingefangen, dass mein komplettes Windows Sicherheitssystem deaktiviert hat. (Firewall, Windows Updates usw.). Das alles ist auch nicht mehr unter dem Reiter "Dienste" zu finden. Zudem ist es so, dass wenn ich im Internet auf die HP von nem Firewallanbieter möchte (Bullgard, Antivir usw.) ... mir die google-Meldung "error 404" erscheint. Habe jetzt mit malwarebytes, otl und gmer diverse Suchläufe gemacht und die hänge die Ergebnisse mal als Anhang hierher! hab bei dem malwarebytes suchlauf ein paar infizierte Dateiein entdeckt (7-10 stück) und und unter Quarantäne gestellt. Bin dankbar für jede Hilfe |
Hi, sieht nicht so gut aus, TDSS-Rootkit und noch einiges anderes... Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code: C:\Windows\System32\drivers\4f946c6da9f54222.sys
OTL: (Achtung: die *** durch den richtigen Pfad ersetzten, sonst funktioniert das Script nicht!)
Code: :OTL
TDSS-Killer Download und Anweisung unter: http://www.trojaner-board.de/82358-t...tml#post640150 Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)! Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe. Stelle den Killer wir folgt ein: http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg Dann den Scan starten durch (Start Scan). Wenn der Scan fertig ist bitte "Report" anwählen (eventuelle Funde erstmal mit Skip übergehen). Es öffnet sich ein Fenster (Report anklicken), den Text abkopieren und hier posten... Malwarebytes Antimalware (MAM) Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen: http://filepony.de/download-chameleon/ Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen") Fullscan und alles bereinigen lassen! Log posten. Ggf. die Chameliontechnologie ausprobieren... Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet! Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß! Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen. Das Log solltest Du unter C:\ComboFix.txt finden... chris chris |
@Chris danke schon mal für deine Antwort! Nur leider hab ich schon ziemlich früh Probleme! .. die Verbindung zur VirusTotal Seite wird sofort umgeleitet (Error 404) .. habs schon über mehrere Direklinks von anderen Seiten probiert... aber keine Chance! Gibts nen Plan B? |
Hi, lass das Scannen über Virustotal weg und beginne mit dem Abfahren des OTL-Scripts. Danach sollte ein Gutteil der Viecher zumindest angeschossen sein... Notfalls dazu in den abgesicherten Modus (F8 beim Booten) gehen... Gilt auch für den Rest der Anweisungen... chris |
@Chris hab alles nach bestem Wissen und Gewissen erledigt! Hier die Ergebnise: |
Hi, wir haben da ein Problem, einige Teile entziehen sich den Löschversuchen sowohl von OTL als auch Combofix (und das will was heißen -> Shit)... Erstelle und poste ein neues OTL-Logfile, werde dann versuchen Combofix zu scripten... Parallel dazu bitte folgende Boot-CD vorbereiten: Dr. Web-Live-CD Lade Dir das Abbild (Dr.Web LiveCD) runter (jeweils die neuste Version, z. Z. http://download.geo.drweb.com/pub/dr...livecd-600.iso) und brenne es auf CD/DVD. Stelle dann im BIOS die Bootreihenfolge um (zuerst von CD booten), boote dann von der erstellten CD und starte Dr. Web Live CD (default). Lass dann alle Festplatten untersuchen... Bei Funden bitte Name und Pfad notieren, bevor du sie von Dr. Web beseitigen lässt... Weiter Anweisungen: Dr.Web LiveCD Weiterhin rate ich Dir dringend, Deine Daten in Sicherheit zu bringen (Backup)... chris |
hier jetzt mal das Ergebnis vm letzten OTL |
Hi, erstelle & poste bitte ein neues OTL-Logfile, das alte hilft mir nicht weiter... Der Eintrag ist trotz löschversuche immer noch da: O4 - HKCU..\Run: [k0kcwz1xjp] C:\Users\Fam. Weiß\k0kcwz1xjp.exe () Das muss ich verifizieren...
chris |
Hier das neuste OTL-Logfile! Hoffe, es hilft dir weiter |
Hi, ja, ist noch da... In den abgesicherten Modus booten (F8 beim Booten) und das als Admin folgendes Script von OTL abfahren lassen: OTL:
Code: :OTL
chris |
hab deine Anweisungen soweit befolgt. Hier das Ergebnis: |
Hi, bitte umgehend ein neues OTL-Log erstellen, das Teil ist eine neue Variante eines Rootkits (Rootkit Cutwail).... chris |
Hoffe, du kannst hiermit was anfangen |
Hi, ist noch da... OTL konnte es nicht verschieben, ich setze jetzt CF darauf an... ComboFix-Script Die nachfolgenden Zeilen (ohne Zitat!) abkopieren und in den Windows-Editor(start->Programme->zubehör->edior) kopieren und auf dem Desktop unter dem Namen "CFScript.txt" speichern (ohne Anführungszeichen!). Code: File::(Maustaste loslassen, nennt man "Drag-and-Drop";o). Jetzt sollte combofix starten und das script ausführen, poste das combofix-Log! Neues OTL-Log erstellen und posten... chris |
bin entsprechend deiner Vorgaben vorgegangen! hier die Ergebnisse: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 20:08 Uhr. |
Copyright ©2000-2024, Trojaner-Board