|
Datenverkehrslämpchen am Modem leuchtet wie verrückt Hallo Kann mir jemand helfen ? Ich hatte vor kurzem noch einen Trojaner auf meinem Computer. Ich denke er ist soweit weg, zumindestens schlagen keine diversen Schutzprogramme mehr an. Ich habe aber folgendes Phänomen (Problem): Immer wenn ich mit meinem Modem ins Internet gehe, leuchtet mein Datenverkehrslämpchen wie verrückt, obwohl ich nur Google als Startseite habe. Ich muß sagen bevor ich den Trojaner hatte, war das nicht der Fall. So das ganze habe ich jetzt mit der Firewall von Sygate in den Griff bekommen, in dem ich manuell zustimme oder nicht, welches Programm kommunizieren darf. Aber da stimmt doch was nicht, wie gesagt war das vorher nicht der Fall. Hier mal die Programme, welche hautsächlich versuchen Verbindung aufzunehmen: C:\windows\system32\svchost.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe C:\windows\system32\services.exe Ich denke, das sind doch Programme, welche von Windows kommen, kann da irgendwas sein ? Weiß jemand was, was ich tun könnte ? Gruß |
Hallo Mister Dann mach doch als erstes mal ein HJT-Log Was hattest du denn für einen Trojaner an Board? Wie hast du den weg bekommen? |
HJT habe ich schon gemacht, welcher Trojaner das war weiß ich nicht mehr so genau. Auf alle Fälle war im Log-File dieser Eintrag verdächtig: C:\WINDOWS\system32\nicp472.exe und 016 - DBF: {1d6711C8-7154-40BB-8380-3DEA45B69CBF} - Ich habe diese Datei dann manuell gelöscht habe auch in der regedit nach diesem Zeug gesucht und entsprechend gelöscht. SpywareDoctor fand am Anfang diese: -Joltid P2P Networking -Grokster -Trojan.Proxy.Ranky Hab jetzt leider den SpywareDoctor nicht mehr drauf, obwohl ich mit ihm eh nicht löschen konnte. Genügt dir das mal soweit Gruß und Danke |
Hallo? Ist es so schwierig das komplette Log zu posten? Da Du die besagte Datei nun gelöscht hast, kann man sie auch nicht mehr bei Virustotal auswerten lassen.... :balla: Folge mal dem Blacklight-Link in meiner Signatur. Laß das Programm durchlaufen und poste das Logfile. |
Hallo root24 Ok, das habe ich gemacht. Jetzt weiß ich nicht genau, wie man ein Logfile hier richtig reinstellt, bin neu hier. Ich kopiere es hier: 06/06/08 09:36:08 [Info]: BlackLight Engine 1.0.70 initialized 06/06/08 09:36:08 [Info]: OS: 5.1 build 2600 (Service Pack 2) 06/06/08 09:36:08 [Note]: 7019 4 06/06/08 09:36:08 [Note]: 7005 0 06/06/08 09:36:23 [Note]: 7006 0 06/06/08 09:36:23 [Note]: 7011 2924 06/06/08 09:36:23 [Note]: 7035 0 06/06/08 09:36:24 [Note]: 7026 0 06/06/08 09:36:24 [Note]: 7026 0 06/06/08 09:36:26 [Note]: FSRAW library version 1.7.1024 06/06/08 09:38:58 [Note]: 2000 1012 06/06/08 09:39:28 [Note]: 7007 0 Ich denke er hat nichts gefunden oder ? Weißt du sonst noch Hilfe ? Gruß |
Das ist okay. Hijackthis-Log auch noch nachreichen. Mit code-Tags bitte umschlossen posten. |
Hallo root24 hier das Hijack-Logfile: Code: Logfile of HijackThis v1.99.1Gruß |
Das war fast richtig! :D Nimm bitte nur noch die aktuelle Version und poste es wie das "alte". :D |
Hallo Hier noch die aktuelle Version Code: Logfile of Trend Micro HijackThis v2.0.2Ich habe mir jetzt wieder den Spydoctor von PC-Tools besorgt und der findet tatsächlich noch was, nur zum beheben muß man das Programm kaufen. Werd ich wohl oder übel müßen oder ? Soll ich mal posten was der so gefunden hat ? Gruß |
Ja poste das komplett was er so gefunden hat. Code: O23 - Service: Taskplaner (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe (file missing) |
Hallo ComboFix funktioniert bei mir nicht, habe folg. Meldung erhalten: Some installation files are corrupt. Please download a fresh copy and retry the installation Bin bisher noch nicht dazu gekommen es neu herunterzuladen und beim Versuch es wieder zu entfernen sagt er: Combofix konnte nicht gefunden werden, hat aber einen komischen Pfad mit lauter Zahlen und Buchstaben unter C:\ angelegt. Du hast recht mit dem "spools.exe" stimmt was nicht. Hier die Meldungen welche Spydoctor gebracht hat: ------ Trojan-PWS.Sinowal und ------ Trojan-Downloader.Small.GEN in diesem wird noch die spools.exe erwähnt ich kann nur nicht die ganzen Meldungen kopieren, da diese sich nicht kopieren lassen. Silentrunners habe ich gemacht hier die Log-Datei Code: "Silent Runners.vbs", revision 58, http://www.silentrunners.org/Vielen Dank und Gruß |
Leuchten die LEDs am Modem/Router denn noch ständig? :rolleyes: Der Malwaredienst läuft offensichtlich jedenfalls nicht mehr. Entferne ihn bitte so: - Konsole starten: Start, Ausführen cmd eintippen und ok - in die Konsole diesen Befehl eintippen und mit [enter] bestätigen: Code: sc delete "Taskplaner (Schedule)"Für combofix hatte ich noch einen alternativen Link, beachte dazu unbedingt diesen Beitrag von mir aus einem anderen Strang. Bitte genau lesen! Combofix wurde in xyzcf.com umbenannt. |
Hallo root24 Nein, es ist noch nicht weg, sobald ich meine Firewall abschalte, legt das Datenverkehrslämpchen wieder los und versucht Kontakt aufzunehmen, mit wem auch immer. Also es ist noch nicht behoben, wie sollte es auch ich hab ja nichts gemacht. Wenn ich den Befehl bei cmd eintippe kommt folgendes: [SC] OpenService FAILED 1060: Der angegebene Dienst ist kein installierter Dienst Ist das gepostete Logfile in Ordnung ? Was sagst du zu den zwei Meldungen, welche Spydoctor liefert ? Soll ich ich Spydoctor erwerben um sicher zu gehen ? Gruß |
Hm ich befürchte da läuft noch irgendwas verstecktes auf der Kiste. Folge mal bitte dem Combofix-Link in meiner Signatur. Beende ALLE Programme vorher und sieh zu, daß nur noch ein Virenscanner auf der Kiste läuft. Ich hab schonmal AntiVir und AVG Free entdeckt. Weniger ist da meistens mehr und alles entdecken Virenscanner prinzipbedingt schonmal nicht. |
Hallo root24 Die Datei xyzcf.com (Combofix) habe ich noch runtergeladen und getestet, aber es ging wieder nicht folg. Meldung kam: This copy of Combofix has expired, please download an updated copy. Die Datei hat sich dann selber gelöscht. Was sagst du zu meinen o.g. Fragen ? Gruß |
Ahja, combofix ist mal wieder abgelaufen. Jedenfalls "meine" Version. Klick auf den combofix-Link in meiner Sig und probiere es nochmal mit der version. Wenns wieder nicht geht, gehts eben nicht. Zitat:
Zitat:
Zitat:
Über ein filelisting mit diesem script:Diese listing.txt z.B. bei file-upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist. |
Probier alternativ Deckard's System Scanner so wie Bata es hier schildert. |
Hallo root24 Habe combofix nochmal neu runtergeladen und jetzt hats funktioniert. Hie die Log-Datei: Code: ComboFix 08-06-15.2 - Andreas 2008-06-16 9:49:33.1 - NTFSx86Services.msc habe ich geöffnet mit taskplaner oder schedule habe ich nichts gefunden, aber den Eintrag "C:\WINDOWS\System32\svchost.exe -k netsvcs" er steht genau so drin. Hier noch genau die Angaben die Spydoktor bei dem "Trojan-Downloader.Small.GEN" geliefert hat: Autostart-Programm HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Schedule, ImagePath=c:\Windows\system32\drivers\spools.exe HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Schedule, ImagePath=c:\Windows\system32\drivers\spools.exe HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Schedule, ImagePath=c:\Windows\system32\drivers\spools.exe HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl\Set\Services\Schedule, ImagePath=c:\Windows\system32\drivers\spools.exe Zu korrigierender Registrierungswert HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandartProfile, EnableFirewall Kann man, soll man hier was machen ? Das mit dem Script mache ich noch. Gruß |
Leider schlechte Nachtichten!! So wie es aussieht hast Du nen Backdoor am laufen! ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_NTMLSVC -------\Service_NtmlSvc -------\Service_sywtdxaz sywtdxaz deutet auf den backdoor Rustock hin - Du solltest daher am Besten das System neu installieren, absichern und hinterher alle Paßwörter ändern. Bereinigen nicht zu empfehlen, denn auch nach offensichtlicher erfolgreicher Bereinigung sollte man dem System nicht mehr trauen. Den vertrauenswürdigen Zustand stellst Du erst wieder nach formatieren und neuaufsetzen wieder her. |
Ja, dann danke ich dir mal für deine Mühe. Puh, wird ganz schön zeitaufwendig werden. Bei dem Link "Backdoor Rustock" komme ich nicht ganz mit, mein Englisch ist natürlich auch nicht das beste. Könnte ich hier noch den "Service_sywtdxaz" löschen ? Gruß |
Zitat:
Allerdings ist Deine Maschine wirklich sehr stark infiziert auch noch mit einem MBR Rootkit! Hier hilft selbst das Neuaufsetzten nicht direkt weiter! Vor diesem Neuinstallieren solltest Du gmer laufen lassen und das Log hier posten. GMER - Rootkit Detection * Lade Gmer von hier * entpacke es auf den Dektop * Dopperlklicke die gmer.exe * Der Reiter Rootkit oben ist schon angewählt http://saved.im/mzaxndu2m2ni_vs/gmerzj1oo1.jpg * Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern * nach Beendigung des Scan, drücke "Copy" * nun kannst Du das Ergebnis hier posten * Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden. * Wenn das Log zu lang fürs Forum ist, lade es hier hoch und poste den Link. |
Du kannst dir auch die Spyware Doctor Starter Version runterladen, falls du die Software magst. einfach alle Haken entfernen, außer Spyware Doctor: Google Pack damit kannst du auch gefundene Threats entfernen, nur der Guard ist nicht enthalten. nur so mal am Rande. |
Zitat:
|
Zitat:
es war hierauf bezogen: Zitat:
war nur ein allgemeiner tip, nicht wirklich relevant zu seinem problem. |
Du hast Dir den Thread schon mal ganz durchgelesen? :confused: Neben der Tatsache, das Spyware Doctor ein False Positiv König (Ok, ich hab 3Scan vergessen ;) ) ist und ansonsten auf dem Rechner nichts zu suchen hat, geht es hier nicht mehr um Kleinkram, sondern um ein Rootkit. Da hat Spyware Doctor keine Chancen mehr irgendwas zu wollen. |
wenn das deine Meinung ist, okay. meine Meinung ist, dass es mit zu den besten Anti-Spyware Scannern gehört. aber gut, ich will hier auch nicht rumspammen. hilf ihm und dann is gut. :aplaus: |
Hallo BataAlexander Danke, daß du dich meinem Problem annimmst. Du hast recht, als ich heute morgen auf meinem Rechner arbeitete (offline) meldete auf einmal mein AntiVir Programm (Avira), daß er diesen gefunden hat: „TR/Rootkit.Gen“. Ich habe ihn löschen lassen. Danach habe ich Gmer laufen lassen, hier das Log-File: Code: http://www.file-upload.net/download-919512/gmer-Log.log.htmlGruß |
Es wäre schön gewesen, wenn Du erst gmer und dann Avira hättest laufen lassen, sei es drum. Poste bitte das Avira Logfile. Dann ModGreper * Lade Modgreper von hier. * Entpacke es nach c:\ * Lade die mg.bat von hier . * Speicher diese auf dem Desktop * Klicke die mg.bat an, ein schwarzes Fenster erscheint * nachdem dieses verschwunden ist Öffne mit dem Explorer oder über den Arbeitsplatz * dort liegt nun die Datei c:\modgreper.txt, diese mit einem Doppelklick öffnen * poste den Inhalt der modgreper.txt im Forum ---- modGREPER findet verteckte Module unter Windows 2000/XP/2003. Es durchsucht den Kernel Speicher um dort Strukturen von gültigen Modul Beschreibungsobjekten zu finden. |
@Bata: Dient die weitergehende Analyse um den Rechner noch einigermaßen "sicher" z.B. für Backupzwecke bedienen zu können? Also ich bin fest davon überzeugt, daß das System neu aufgesetzt werden muß!! Wegen MBR - erstellt Windows im Setup nach Formatierung in ersten Teilsetup nicht automatisch einen neuen MBR? Zitat:
|
Zitat:
|
Hast Du da eine Beschreibung zum Sinowal? Vllt eine eine kurze Erklärung, warum der ein Neuaufsetzen überleben kann? :eek: |
Die Antwort steht bei Dir im Quote Zitat:
Informationen1 Informationen2 Informationen3 |
Danke für die Links! :) Das wird aber ne Zeit brauchen bis ich die gelesen habe, zudem ist jetzt erstmal Essen angesagt... :D Kurz auf den Punkt gebracht: Wie wird man diesen Schädling im MBR los? Wenn bei der Neuinstallation der Schädling überlebt, wie kann man mit ner anderen Maßnahme sicherstellen einen neuen sauberen MBR zu schreiben? fdisk /mbr? fixmbr? Oder muß sogar ein Linux dafür herhalten weils mit Windows (manuell) nicht möglich ist? :confused: Daß man von sauberen Notfallmedien booten muß, dürfte eigentlich klar sein. |
fimbr funktioniert bei der bisheerigen Varianten, BlackLight und Gmer erkennen den Befall, löschen ihn auch. Da Sinwal meist mit andern Schädlingen kommt (Torpig, ZBot) ist ein Neuaufsetzen zu raten. Da man den Befall in den Griff bekommen kann, ist ein Bereinigen aber denoch möglich. |
Ok, danke für die Infos. :daumenhoc Für einen sauberen MBR müssen also fixmbr, Blacklight oder GMER her. Obwohl ich hier eher zu fixmbr tendieren würde. |
Lies Dir allein die Thread hier im Tb durch und Du wirst merken, dass es nicht so einfach ist. |
Zitat:
Wenn man aber nun vor dem Neuaufsetzen in der Wiederherstellungskonsole (von der XP-CD gebootet) nun fixmbr und fixboot ausführt und dann unmittelbar danach neu startet um erneut von der XP-CD zu booten (für das Neuaufsetzen) sollte es doch erledigt sein? :) |
Hallo Zuerst ne Frage: Was hat das Log-file von GMER ausgesagt ? Den Virus hat der Guard gefunden, ich hatte Avira nicht extra laufen lassen und finde auch kein Log-File nur diese Meldung: In der Datei 'C:\System Volume Information\_restore{66234F2B-C93E-4D94-8BDB-1899CBBA9319}\RP295\A0065962.sys' wurde ein Virus oder unerwünschtes Programm 'TR/Rootkit.Gen' [trojan] gefunden. Ausgeführte Aktion: Datei löschen So nun hier der Inhalt der Datei: modgreper.txt: Code: ? f7af8000 - f7afa000 : \SystemRoot\System32\Drivers\dump_WMILIB.SYSGruß |
Dein gmer Log sieht furchtbar aus, aber nur weil Schutzprogramme der beste grund fürs Neuaufsetzen sind. Die graben sich auch so fies ins System. Daneben haben wir dann die Reste vom Rustock. Um ein Neuaufsetzen wirs Du nicht herumkommen, allerdings möchte ich die Sinowal Meldung verifiziert haben. Dafür stelle Dein Avira wie hier beschrieben ein und lasse scannen, den Bericht poste hier. |
Hallo, hier der Bericht von Avira: Anmerkung, ich habe allerdings Combofix und die betr. Pfade noch nicht gelöscht, weil er Meldungen aus diesen Pfaden gebracht hat. Code: Gruß |
C:\PTC\Crack.exe Was ist das für ein Ordner PTC? Und was soll das für ne crack.exe sein? Vllt kommt Deine Infektion ja durch diesen Schädling. :balla: |
Nö, die Datei ist müßte in Ordnung sein, die gehört zu einem CAD-Programm und der Ordner auch. Die Datei hat ein Datum vom 28.11.2004 Hab die Datei auch noch scannen lassen, ist in Ordnung. Also, ich danke euch mal recht herzlich. |
Achso. Und Du hast zu dem CAD-Programm gleich den passenden Crack besorgt... :kloppen: Wer dubiose Software einsetzt muß mit solchen Konsequenzen rechnen. |
PTC CoCreate Modeling Personal Edition Die kostenlose Version reicht wohl nicht :headbang: Edit: O.K. Ob es die auch schon 2004 kostenlos gab, hab ich jetzt überhaupt keine Lust nachzusehen, jedenfalls ist diese Version legal! und Du könntest den Crack/sonstigen Mist entsorgen. |
Hallo cad Wie meinst du kann oder soll ich die Datei Crack.exe einfach löschen ??? Hat die Datei was ?? Gruß |
Merke: crackz und warez sind dubiode Programme, die nicht selten mit allerhand "Beiwerk" :rolleyes: daherkommen. Wenn Du also Wert auf ein sauberes System legst, sollte so etwas nie ausgeführt werden, sondern nur vertrauenswürdige Software von eben vertrauenswürdigen Quellen! Jetzt einfach die crack.exe zu löschen bringt nicht viel. Kannst Dir auch sparen, das System solltest Du ja eh neu aufsetzen. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:06 Uhr. |
Copyright ©2000-2025, Trojaner-Board