Viren Rescue CDs starten nicht Moin moin, ich habe einen Rechner auf dem ich eine Infektion vermute. Nun habe ich mit zahlreichen Virenscan CDs (erstellt auf einem sauberen Rechner) versucht diesen Rechner zu untersuchen. Doch leider ohne Erfolg. Folgende Fehler treten beim Scan auf: - Antivir Rescue CD - Startet und bleibt dann nach der Initialisierung im schwarzen Bildschirm hängen - Bitdefender - Startet und bleibt im Logo Bildschirm hängen. Also bevor die Interaktion möglich wäre. - AVG Antivir - startet und ein Scan ist möglich, sogar mit Virendatenbank Update (kein Befund), aber wenn ich die Programmdaten (11/2012) update und danach einen Scan starte, bricht der Rechner in die Konsole ab. - Trinity Rescue Kit - Auch ohne Erfolg Ich habe auch zahlreiche Versuche mit bootfähigen USB-Virenscans probiert, sowie den Rechner mit und ohne Internetverbindung gestartet. Somit kann kein Virus/ Rootkit gefunden werden. Diese blockierten Virenscans stimmen mich wirklich kritisch. Nun hab ich einen Gmer Logfile nach Anleitung erstellt: GMER Logfile: Code: GMER 1.0.15.15641 - hxxp://www.gmer.net Vielen Dank für die Hilfe. Ergänzend habe ich noch ein SysInternals Rootkit Revealer Test laufen lassen, leider ist das Log nicht kopierbar: WSMan - Registry - Security Mismatch (mehrfach) RmMetadaten - Hidden to API $UsnJrnl - Hidden to API 108.000 Dateien - visible in API, not shown in MFT or Directory (mit und ohne NTFS Erkennung eingestellt) |
Zitat:
|
Der Chef hatte eine Mail erhalten, die von Ihm selber geschickt wurde. Diese hatte er angeklickt und daraufhin hat eine Verknüpfung auf dem Desktop auf Ebay, aber mit einer ungewöhnlichen Umleitung. Leider ist das alles in meinem Urlaub passiert, somit kann man es nicht mehr so recht nachvollziehen. Fakt ist, dass unsere Büro-Email Mailer-Deamons erhält von angeschriebenen Emails, die wir nicht angeschrieben haben. Nun wollte ich sicherstellen, dass der Rechner nicht gekarpert wurde und als Mailbot agiert. Also fing ich an nach Viren und Rootkits zu suchen und stieß auf die oben beschriebenen Probleme. |
Verstehe, es ist nur so, dass wir gewerblich genutzte Rechner nicht bereinigen. Das macht eure IT-Abteilung bzw der Admin bei euch. |
Wir sind nur 2 Mann, der Admin bin ich, und ich bin überfordert mit dem ganzen Rootkit auslesen usw. :lach: |
Alles klar? ;) |
Dat hab' ich verstanden ;) |
Dann los! :hallo: Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich. Gelesen und verstanden? Schritt 1: Laufwerksemulationen abschalten mit Defogger Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop und starte es:Schritt 2: Scan mit aswMBR Schritt 3: Scan mit dem TDSS-Killer Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen. Schritt 4: Scan mit DDS (+ attach) Downloade dir bitte DDS (von sUBs) von einem der folgenden Downloadspiegel und speichere die Datei auf deinem Desktop. |
Code: defogger_disable by jpshortstuff (23.02.10.1) Code: aswMBR version 0.9.9.1707 Copyright(c) 2011 AVAST Software Code: 14:08:48.0514 5800 TDSS rootkit removing tool 2.8.15.0 Oct 31 2012 21:47:35 DDS Logfile: DDS Logfile: Code: DDS (Ver_2012-11-20.01) - NTFS_x86 --- --- --- Code: . |
Das sieht prizipiell erstmal gut aus .... wir schauen tiefer: Scan mit Combofix
|
So, hat etwas Länger gedauert. Der Scan selber war in 5 min durch. Danach hat sich folgendes abgespielt: - Reg Fehler, wie von dir beschrieben. - Neustart - Explorer absturz nach Anmeldung -> Desktop Hintergrund ohne Icons, Leiste, etc. - Per Strg-Alt-Entf versucht in den Taskmanager zu kommen - Fehlermeldung als Windows Fenster: Fehler beim Anzeigen der Sicherheits- und Herunterfahroptionen - Per Strg-Alt-Entf konnte ich dann doch zu den Optionen Taskmanager, Herunterfahren, etc. , aber beim mouseover kam direkt wieder die vorherige Fehlermeldung - Einzige Option per Knopf den rechner auszustellen. - Nun scheint alles wieder zu laufen. Code: ComboFix 12-12-20.02 - dennis 21.12.2012 14:34:45.1.4 - x86 |
So, da haben wir auch schon was verdächtiges Zitat:
Bitte nichts selbst unternehmen! |
Ist mir nicht bekannt und kann gelöscht werden. Ist es möglich, dass diese Datei auch im Temp Ordner anderer Profile gespeichert ist? Bin ja derzeit auf Bernd's Rechner mit meinem Profil eingeloggt. Als Info: Auf meinem Rechner ist diese Datei nicht abgelegt, nur als Info. |
Die machen wir eh gleich platt :) Also dann ... Schritt 1: Combofix-Skript
Schritt 2: Upload zur Analyse bei Trojaner-Board
|
Nun scheint die GE.exe beseitigt zu sein. Super. Beim Ausführen vom ComboFix gab es einen automatischen Neustart, danach hat ComboFix zu Ende gewerkelt. Darauf kam beim starten des Browers wieder eine Fehlermeldung bezüglich der Registrierung. Code: ComboFix 12-12-20.02 - dennis 21.12.2012 15:25:59.2.4 - x86 |
Dann bitte an den Upload denken, damit ich das mal untersuchen kann. |
Zwischendurch: Temporäre Dateien löschen mit TFC
|
Die Datei habe ich wie beschrieben hochgeladen. Vielen Dank für die ausführliche und flinke Hilfe. Eine Spende wird im nächsten Jahr überwiesen. Wünsche eine fröhliche und entspannte Weihnachtszeit. |
Hab ich irgendwas gesagt, dass wir fertig sind? Gut! :daumenhoc Soweit ich das sehe haben wir damit alles Schädliche entfernt. Um sicher sein zu können müssen jetzt noch ein paar Kontrollen machen. Da diese sehr lange dauern können bitte ich dich mir erst wieder zu schreiben, wenn du auch wirklich alles erledigt hast oder Probleme auftreten sollten. Schritt 1: Quick-Scan mit Malwarebytes Schritt 2: ESET Online Scanner Zitat:
Schritt 3: Scan mit SecurityCheck Downloade Dir bitte SecurityCheck: LINK1 LINK2 |
Malwarebytes und ESET hatten keine Funde. Code: Malwarebytes Anti-Malware 1.65.1.1000 Code: Results of screen317's Security Check version 0.99.56 |
Prima! :daumenhoc Damit wären wir fertig. Wir räumen jetzt noch ein wenig auf und dann habe ich am Ende etwas Lesestoff für dich. Schritt 1: Tools deinstallieren
Schritt 2: ESET deinstallieren (Optional)
Schritt 3: Java Update (Windows XP, Vista, 7) Dein Java ist nicht mehr aktuell. Ältere Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können. Schritt 4: Update: Adobe Reader
Probiere einen alternativen Viewer für pdf-Dokumente aus. Diese sind meist schlanker, schneller und schleusen sehr viel seltener Schädlinge ein. Mein Vorschlag:
Abschließend noch Tipps zu folgenden Themen:
Damit wünsche ich dir noch viel Spaß beim Surfen im Internet :daumenhoc ... und vielleicht möchtest du ja das Trojaner-Board unterstützen? Eine Bitte: Gib mir eine kurze Rückmeldung, wenn alles erledigt ist und keine Fragen mehr vorhanden sind, damit ich diesen Thread aus meinen Abos löschen kann. |
Vielen, vielen Dank für die Mühe und Zeit. Habe alles erledigt und bereinigt. Den Rest werde ich mir in Ruhe durchlesen. Schönes Wochenende und schöne Feiertage. |
Schön, dass wir helfen konnten :abklatsch: Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM. Jeder andere bitte hier klicken und einen eigenen Thread erstellen Falls du noch Lob oder Kritik loswerden möchtest, dann gibt es diesen Bereich hier: http://www.trojaner-board.de/lob-kritik-wuensche/ |
Konntet Ihr die hochgeladene Datei untersuchen und einen Trojaner ausfindig machen? :glaskugel: |
Alle Zeitangaben in WEZ +1. Es ist jetzt 22:21 Uhr. |
Copyright ©2000-2024, Trojaner-Board