|
Sicherheitssystem durch evtl. Trojaner defekt Hallo zusammen, habe ein wirkliches Problem! Hab mir was eingefangen, dass mein komplettes Windows Sicherheitssystem deaktiviert hat. (Firewall, Windows Updates usw.). Das alles ist auch nicht mehr unter dem Reiter "Dienste" zu finden. Zudem ist es so, dass wenn ich im Internet auf die HP von nem Firewallanbieter möchte (Bullgard, Antivir usw.) ... mir die google-Meldung "error 404" erscheint. Habe jetzt mit malwarebytes, otl und gmer diverse Suchläufe gemacht und die hänge die Ergebnisse mal als Anhang hierher! hab bei dem malwarebytes suchlauf ein paar infizierte Dateiein entdeckt (7-10 stück) und und unter Quarantäne gestellt. Bin dankbar für jede Hilfe |
Hi, sieht nicht so gut aus, TDSS-Rootkit und noch einiges anderes... Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code: C:\Windows\System32\drivers\4f946c6da9f54222.sys
OTL: (Achtung: die *** durch den richtigen Pfad ersetzten, sonst funktioniert das Script nicht!)
Code: :OTL
TDSS-Killer Download und Anweisung unter: http://www.trojaner-board.de/82358-t...tml#post640150 Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)! Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe. Stelle den Killer wir folgt ein: http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg Dann den Scan starten durch (Start Scan). Wenn der Scan fertig ist bitte "Report" anwählen (eventuelle Funde erstmal mit Skip übergehen). Es öffnet sich ein Fenster (Report anklicken), den Text abkopieren und hier posten... Malwarebytes Antimalware (MAM) Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen: http://filepony.de/download-chameleon/ Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen") Fullscan und alles bereinigen lassen! Log posten. Ggf. die Chameliontechnologie ausprobieren... Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet! Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß! Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen. Das Log solltest Du unter C:\ComboFix.txt finden... chris chris |
@Chris danke schon mal für deine Antwort! Nur leider hab ich schon ziemlich früh Probleme! .. die Verbindung zur VirusTotal Seite wird sofort umgeleitet (Error 404) .. habs schon über mehrere Direklinks von anderen Seiten probiert... aber keine Chance! Gibts nen Plan B? |
Hi, lass das Scannen über Virustotal weg und beginne mit dem Abfahren des OTL-Scripts. Danach sollte ein Gutteil der Viecher zumindest angeschossen sein... Notfalls dazu in den abgesicherten Modus (F8 beim Booten) gehen... Gilt auch für den Rest der Anweisungen... chris |
@Chris hab alles nach bestem Wissen und Gewissen erledigt! Hier die Ergebnise: |
Hi, wir haben da ein Problem, einige Teile entziehen sich den Löschversuchen sowohl von OTL als auch Combofix (und das will was heißen -> Shit)... Erstelle und poste ein neues OTL-Logfile, werde dann versuchen Combofix zu scripten... Parallel dazu bitte folgende Boot-CD vorbereiten: Dr. Web-Live-CD Lade Dir das Abbild (Dr.Web LiveCD) runter (jeweils die neuste Version, z. Z. http://download.geo.drweb.com/pub/dr...livecd-600.iso) und brenne es auf CD/DVD. Stelle dann im BIOS die Bootreihenfolge um (zuerst von CD booten), boote dann von der erstellten CD und starte Dr. Web Live CD (default). Lass dann alle Festplatten untersuchen... Bei Funden bitte Name und Pfad notieren, bevor du sie von Dr. Web beseitigen lässt... Weiter Anweisungen: Dr.Web LiveCD Weiterhin rate ich Dir dringend, Deine Daten in Sicherheit zu bringen (Backup)... chris |
hier jetzt mal das Ergebnis vm letzten OTL |
Hi, erstelle & poste bitte ein neues OTL-Logfile, das alte hilft mir nicht weiter... Der Eintrag ist trotz löschversuche immer noch da: O4 - HKCU..\Run: [k0kcwz1xjp] C:\Users\Fam. Weiß\k0kcwz1xjp.exe () Das muss ich verifizieren...
chris |
Hier das neuste OTL-Logfile! Hoffe, es hilft dir weiter |
Hi, ja, ist noch da... In den abgesicherten Modus booten (F8 beim Booten) und das als Admin folgendes Script von OTL abfahren lassen: OTL:
Code: :OTL
chris |
hab deine Anweisungen soweit befolgt. Hier das Ergebnis: |
Hi, bitte umgehend ein neues OTL-Log erstellen, das Teil ist eine neue Variante eines Rootkits (Rootkit Cutwail).... chris |
Hoffe, du kannst hiermit was anfangen |
Hi, ist noch da... OTL konnte es nicht verschieben, ich setze jetzt CF darauf an... ComboFix-Script Die nachfolgenden Zeilen (ohne Zitat!) abkopieren und in den Windows-Editor(start->Programme->zubehör->edior) kopieren und auf dem Desktop unter dem Namen "CFScript.txt" speichern (ohne Anführungszeichen!). Code: File::(Maustaste loslassen, nennt man "Drag-and-Drop";o). Jetzt sollte combofix starten und das script ausführen, poste das combofix-Log! Neues OTL-Log erstellen und posten... chris |
bin entsprechend deiner Vorgaben vorgegangen! hier die Ergebnisse: |
Hi, CF hat das Teil erwischt, wie verhält sich der Rechner? Bitte das Verzeichnis C:\Qoobox\Quarantine packen und zu uns wie folgt hochladen: Datei hochladen: http://www.trojaner-board.de/54791-a...ner-board.html Folge den Anweisungen dort... MAM updaten und nochmal Fullscan, log posten... Nach erfolgtem Upload CF löschen (da wird die Quarantäne mitgelöscht)... Combofix deinstallieren: Klicke auf Start (Windows 7 Start Button) und tippe dann in das Suchfeld combofix /uninstall, wie im Piktogram unter diesem Text mit dem blauen Pfeil. Bitte sicherstellen, dass ein Leerzeichen zwischen Combofix und /uninstall ist. Combofix deinstallieren http://www.bleepstatic.com/combofix/en/run-box.jpg chris |
Hab alles soweit erledigt! Pc läuft mittlerweile wieder gut. Windows Update sowie Sicherheitssystem funktioniert wieder! Danke! |
nur das deinstallieren von combofix funktioniert bei mir nicht! .. Pfad nicht bekannt .. und im Ordner selber find ich irgendwie keinen Hinweis auf "uninstall" |
Hi, wo habt Ihr CF hin installiert, nicht auf dem Desktop? Sonst entsprechend den Pfad mitangeben (C:\pfad\combofix /uninstall)... chris |
o.k! Passt! CF wurde erfolgreich deinstalliert! Habs doch noch hinbekommen! Eigentlich alles paletti soweit, nur mein Windows-Defender fnktioniert noch nicht! Aber ich bin die Viecher los oder? |
Hi, soviel ich sehen konnte... Poste noch mal ein neues OTL-Log... Führe das hier mal aus und berichte, ob es funktioniert hat... chris |
Liste der Anhänge anzeigen (Anzahl: 1) hier mal das neue OTL-Log |
konnte alles ausführen.. nur leider ohne Erfolg! Defender kann immer noch nicht gestartet werden |
Hi, Durchsuche mal die Ereignissanzeige mal nach Defenderfehlern (System, Anwendung etc.) wie folgt: http://windows.microsoft.com/de-DE/w...n-Event-Viewer. Falls Fehlermeldungen gefunden posten... chris |
Liste der Anhänge anzeigen (Anzahl: 1) o.k. Fehlermeldung hab ich gefunden: siehe Anhang |
Hi, probieren wir mal ein (Neu-)Installation vom Defender. Defender meldet das er Siref (zAccess) entdeckt hat (am 21.06.!), der (oder einer der anschließend runtergeladenen Trojaner) scheint dann den Defender abgeschossen zu haben... chris |
Der Download ging nicht, weil schon eine aktuelle Version vom Defender installiert ist. Hab jetzt bei den Diensten die Startart auf "automatisch" umgestellt ... und siehe da: Defender funktioniert wieder! |
Hi, auf die "einfache" Möglichkeit bin ich nicht gekommen ;o(... Ok, dann wäre wir wohl durch... OLT und das Verzeichnis C:\_OTL kannst Du löschen... chris |
habs gelöscht! tausend Dank für deine Hilfe + Geduld! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 08:40 Uhr. |
Copyright ©2000-2024, Trojaner-Board