Trojaner-Board - Rechner zerschossen?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Rechner zerschossen? (https://www.trojaner-board.de/51219-rechner-zerschossen.html)

Rechner zerschossen?

Hallo,

ich habe folgendes Problem: Sophos hat folgendes nach dämlichstem Doppelklick gefunden und auch sofort die Dateien unter Quarantäne gestellt, desinfiziert oder gelöscht. Leider ohne Erfolg, denn nach dem Systemneustart läuft jetzt so ziemlich gar nichts mehr.

Mal/Generic-A in c:\\ator.exe c:\\burxdjhc.ex c:\\jriy.exe
Troj/Bdoor-AID in c:\\kqmhioib.exe
Mal/DownLdr-O in d:\\...Firefox\installer.exe
Mal/EncPK-Ax in d:\\...Firefox\patch.exe

Der Desktop wird sofort nach Systemstart deaktiviert (keine Taskleiste, kein Start), Sophos ist nicht ausführbar, es gibt nur eine entsprechende Fehlermeldung, ansonsten ist auch nur ein neuer Task über den Taskmanager ausführbar, der aber auch sofort nach Start beendet wird. So kann man eigentlich gar nichts machen.

Ich habe dann einen Systemstart im abgesicherten Modus durchgeführt. Seitdem startet der Rechner ausschließlich im abgesicherten Modus, egal was ich im Bootmenü einstelle. Zudem ändert sich am Problem auch im abgesicherten Modus nichts: Alle gestarteten Programme werden sofort beendet.

Dann habe ich es mit der Systemwiederherstellung probiert. Dort sind jedoch alle Wiederherstellungszeitpunkte gelöscht mit Ausnahme eines Zeitpunktes, der gestern direkt nach der Infizierung gesetzt wurde.

Ich probierte es mit dem Systemstart über CD und Reparatur-Installation von Windows. Die bricht leider ab, nachdem alle benötigten Dateien in die Windowsordner kopiert wurden und der Rechner neustartet ---> abgesicherter Modus ---> Fehlermeldung "Windows-Setup läuft nicht im abgesicherten Modus".

Seht ihr hier noch eine Chance, irgendwelche Daten zu retten?

:(Hi

Also zu retten gibts da meiner ansicht nach nicht mehr viel.
Da du den Backdoor hast MUSST du sowiso Neuaufsetzen.(Wie es scheint ist der auch schon voll aktiv)

Vlt. im abgesicherten Modus noch versuchen ein paar sachen zu retten:daumenhoc aber sonst sehe ich nicht wirklich eine Lösung ausser Neuaufsetzen.

Hallo Schnitzel.

Zitat:

denn nach dem Systemneustart

Das du das System neugestartet hast war leider nicht sehr gut.
Da Sophos einige Dateien geblockt hat besteht evtl. noch eine kleine Chance.. Poste bitte ein Hijackthis logFile.

Da hat mir das gute Sophos ein Schnippchen geschlagen, als es meldete, dass alles sauber ist... :heulen: Ich kann jetzt keine Prozesse starten und bräuchte als erstes am besten einen Anhaltspunkt, wie ich dieses Manko abstellen könnte.

Momentan geht es mir primär darum, alle wichtigen Dateien sichern zu können, um das System dann neu aufsetzen zu können.

Zitat:

Momentan geht es mir primär darum, alle wichtigen Dateien sichern zu können, um das System dann neu aufsetzen zu können.

Das ist so ein Problem...

Sterte den Rechner im abgesicherten Modus und sichere die Daten. Diese dürfen aber unter keinen Umständen ausführbar sein!! Siehe entsprechende Listen im I-Net.
Desweitern solltest du die Dateien auf jeden Fall mit eScan checken bevor du sie wieder aufspielst; denn auch nicht ausführbare Dateien sind infizierbar.

Ändere nach dem Neuaufsetzten oder von einer anderen Maschine aus dringend alle Passwörter und Zugansdaten!!

So, habe das System neu aufgesetzt. Die Daten von D konnte ich retten, nachdem ich div. Sackgassen (Reparaturinstallation/Saveboot) überwunden hatte. Auf D war lediglich Hijackthis infiziert, wie ich nach der sofortigen Installation von Sophos feststellte. Habe die Datei dann sofort entsorgt. Werde später mal testen, ob das System jetzt komplett sauber ist.

:eek:

Das System ist defintiv NICHT vertrauenswürdig!!!!
Du musst ALLE Platten komplett formatieren!!

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:08:29, on 01.04.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

d:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe

d:\Programme\Sophos\AutoUpdate\ALsvc.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

D:\Programme\Sophos\AutoUpdate\ALMon.exe

C:\DOKUME~1\***\LOKALE~1\Temp\RtkBtMnt.exe

C:\Programme\Internet Explorer\IEXPLORE.EXE

D:\Programme\Sophos\Sophos Anti-Virus\SAVMain.exe

d:\Programme\Sophos\Sophos Anti-Virus\SavProgress.exe

D:\Programme\HiJackThis\HijackThis.exe

\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE
 

O4 - HKLM\..\Run: [INPROCOMMWireless] d:\Programme\Atheros\Wireless\Utility\WlanUtil.exe

O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE

O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: AutoUpdate Monitor.lnk = D:\Programme\Sophos\AutoUpdate\ALMon.exe

O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O20 - AppInit_DLLs: d:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL

O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - d:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe

O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - d:\Programme\Sophos\Sophos Anti-Virus\SavService.exe

O23 - Service: Sophos AutoUpdate Service - Sophos Plc - d:\Programme\Sophos\AutoUpdate\ALsvc.exe
 

--

End of file - 2829 bytes

Was soll ich mit dem log?

Ich hab dir die Chance gegenben den Rechner zu bereinigen. Du wolltest aber neuaufsetzten.
Nun wo du Teile des Schädlings gelöscht hast ist nahezu unmöglich die anderen aufzuspüren.. Wir wissen ja nichtmal genau was los war..

Formatiere ALLE Platten und setzte das System neu auf!

Entschuldige bitte, aber du konntest mir gar keine Chance geben, da ich im alten System rein gar nichts machen konnte, wie ich bereits im ersten Beitrag schrieb. Auch nicht im so genannten abgesicherten Modus. Es blieb mir gar nichts anderes übrig, als das System neu aufzuspielen. D: kann ich höchstens formatieren, wenn ich die Daten gesichert habe. Und das ergibt vermutlich erst einen Sinn, wenn ich sicher sein kann, dass die Daten nicht infiziert sind.

Ich habe jetzt escan im abgesicherten Modus drüber laufen lassen. Es wurde ein vermutlicher Trojaner gefunden in der Registry. Sonst nichts.

Ich werde jetzt einfach mal alles brennen, was ich wirklich dringend benötige und nicht ausführbar ist und dann alles formatieren.