Navipromo nicht vollständig entfernt? Liebe Leute, meine Tochter hat vor einigen Tagen die "Internet Game Box" heruntergeladen und prompt ihren PC mit einem Trojaner infiziert. Es handelt sich vermutlich um Navipromo. Die Internet Game Box ist zwischenzeitlich deinstalliert, der Trojaner sorgte aber weiterhin dafür, dass im Webbrowser ständig neue Werbefenster aufsprangen. Bevor ich einige Logfiles hier poste, beschreibe ich zunächst mal zusammenfassend meine bisherigen Aktionen: Mit AntiVir und Spybot durchgeführte Scans ergaben keinen Fund. Mit Navilog1 habe ich dann ein Logfile erstellt und darin die für Navipromo typischen Dateien gefunden (z.B. ***_navps.dat). Den Ratschlägen hier im Forum folgend installierte ich anschließend Malwarebytes' Anti-Malware. Die damit gefundenen infizierten Objekte habe ich beseitigt. Das Problem mit den aufspringenden Werbefenstern ist seitdem nicht mehr aufgetreten, aber der Trojaner scheint noch in Resten vorhanden zu sein. So stehen im Ordner c:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten noch drei Dateien, die den vom Trojaner erzeugten Zufallsnamen tragen: scuqycmom.dat, scuqycmom.exe und scuqymom_navps.dat. Die exe-Datei lässt sich nicht löschen und auch mit dem Steganos Shredder nicht vernichten. Die DAT-Dateien lassen sich zwar löschen oder vernichten, erscheinen aber nach ein paar Sekunden wieder. Ferner liegt im Ordner c:\WINDOWS\Prefetch die Datei SCUQYCMOM.EXE-174EF4CB.pf. Ich habe sie noch nicht zu löschen versucht, habe aber auch keine Ahnung, was Sinn und Zweck dieser Datei ist. Meine Frage an die Experten ist nun: Besteht weiterer Handlungsbedarf? Oder kann ich das Trojaner-Problem als erledigt betrachten? So ganz wohl ist mir zumindest nicht, wenn da noch Restdateien dieses Trojaners herumliegen. Ich bedanke mich schon mal für Eure Hilfe! Und jetzt poste ich noch die bisher erstellen Logfiles: Das gestern (vor dem Einsatz von Malwarebytes' Anti-Malware) mit Navilog1 erstellte Logfile ist: ------------------------- Search Navipromo version 3.5.8 began on 07.06.2008 at 21:32:49,98 !!! Warning, this report may include legitimate files/programs !!! !!! Post this report on the forum you are being helped !!! !!! Don't continue with removal unless instructed by an authorized helper !!! Fix running from C:\Programme\navilog1 Actual User Account : "***" Updated on 06.06.2008 at 18h00 by IL-MAFIOSO Microsoft Windows XP [Version 5.1.2600] Version Internet Explorer : 7.0.5730.11 Filesystem type : NTFS Search done in normal mode Favorit *** Search folders in "C:\WINDOWS" *** *** Search folders in "C:\Programme" *** *** Search folders in "c:\dokume~1\alluse~1\anwend~1" *** *** Search folders in "c:\dokume~1\alluse~1\startm~1\progra~1" *** *** Search folders in "C:\Dokumente und Einstellungen\***\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\***a\lokale~1\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\***\startm~1\progra~1" *** *** Search with Catchme-rootkit/stealth malware detector by gmer *** for more info : http://www.gmer.net No file found *** Search with GenericNaviSearch *** !!! Possibility of legitimate files in the result !!! !!! Must always be checked before manually deleting !!! * Scan in "C:\WINDOWS\system32" * * Scan in "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" * Files found : scuqycmom.exe found ! scuqycmom.dat found ! scuqycmom_nav.dat found ! scuqycmom_navps.dat found ! *** Search files *** *** Search specific Registry keys *** HKEY_CURRENT_USER\Software\Lanconfig found ! *** Complementary Search *** (Search specific files) 1)Search new Instant Access files : 2)Heuristic Search : * In "C:\WINDOWS\system32" : * In "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" : scuqycmom.dat found ! scuqycmom_nav.dat found ! scuqycmom_navps.dat found ! 3)Certificates Search : Egroup certificate found ! Electronic-Group certificate found ! OOO-Favorit certificate found ! Sunny-Day-Design-Ltd certificate not found ! 4)Search known files : *** Search completed on 07.06.2008 at 21:38:20,20 *** -------------------------------- Nach dem Scan mit Anti-Malware ergibt Navilog1 nun folgendes Logfile: ---------------------------- Search Navipromo version 3.5.8 began on 08.06.2008 at 14:15:32,34 !!! Warning, this report may include legitimate files/programs !!! !!! Post this report on the forum you are being helped !!! !!! Don't continue with removal unless instructed by an authorized helper !!! Fix running from C:\Programme\navilog1 Actual User Account : "Katja" Updated on 06.06.2008 at 18h00 by IL-MAFIOSO Microsoft Windows XP [Version 5.1.2600] Version Internet Explorer : 7.0.5730.11 Filesystem type : NTFS Search done in normal mode Favorit *** Search folders in "C:\WINDOWS" *** *** Search folders in "C:\Programme" *** *** Search folders in "c:\dokume~1\alluse~1\anwend~1" *** *** Search folders in "c:\dokume~1\alluse~1\startm~1\progra~1" *** *** Search folders in "C:\Dokumente und Einstellungen\***\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\***\startm~1\progra~1" *** *** Search with Catchme-rootkit/stealth malware detector by gmer *** for more info : http://www.gmer.net No file found *** Search with GenericNaviSearch *** !!! Possibility of legitimate files in the result !!! !!! Must always be checked before manually deleting !!! * Scan in "C:\WINDOWS\system32" * * Scan in "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" * Files found : scuqycmom.exe found ! scuqycmom.dat found ! scuqycmom_navps.dat found ! *** Search files *** *** Search specific Registry keys *** HKEY_CURRENT_USER\Software\Lanconfig found ! *** Complementary Search *** (Search specific files) 1)Search new Instant Access files : 2)Heuristic Search : * In "C:\WINDOWS\system32" : * In "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" : scuqycmom.dat found ! scuqycmom_navps.dat found ! 3)Certificates Search : Egroup certificate found ! Electronic-Group certificate found ! OOO-Favorit certificate found ! Sunny-Day-Design-Ltd certificate not found ! 4)Search known files : *** Search completed on 08.06.2008 at 14:21:32,03 *** ---------------------------- Ein Scan mit Malwarebytes' Anti-Malware ergibt keinen Treffer mehr. Hier der Bericht: ------------------ Malwarebytes' Anti-Malware 1.15 Datenbank Version: 839 17:49:29 08.06.2008 mbam-log-6-8-2008 (17-49-29).txt Scan Art: Komplett Scan (C:\|) Objekte gescannt: 112073 Scan Dauer: 40 minute(s), 44 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine Malware Objekte gefunden) Infizierte Registrierungswerte: (Keine Malware Objekte gefunden) Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: (Keine Malware Objekte gefunden) ------------------------------ Trotzdem sind die oben genannten vier Dateien in den Ordnern "Anwendungsdaten" und WINDOWS\Prefetch noch vorhanden. Was empfehlt ihr mir zu tun? Besten Dank! Ich weiß eure Hilfe sehr zu schätzen! Und sollte ich zu viel Unverständliches geschrieben haben, bitte ich um Nachsicht - es ist mein erster Beitrag hier im Forum... Uwe |
Hi, bitte ein HJ-Log (s. Link in Signatur) im abgesicherten Modus (F8 beim Booten) erstellen und posten, mal sehen ob HJ ihn anzeigen kann... Blind löschen möchte ich nicht, gute vorarbeit! chris |
Hallo Chris, danke, dass Du Dich meines Problems annimmst! Habe einen Scan mit HijackThis erstellt. Aus irgendeinem Grund hat aber der Start im abgesicherten Modus nicht geklappt. Das Drücken von F8 hatte keinerlei Auswirkungen (dumme Frage: kann das mit der kabellosen Tastatur zusammenhängen?). Hier der HJ-Log: Code: Logfile of Trend Micro HijackThis v2.0.2 Uwe |
Hi, hast Du eine kabelgebundene Tastatur zur Verfügung? HJ-kann das Teil nur im abgesicherten Modus erkennen... Trotzdem habe ich was gefunden: c:\dokumente und einstellungen\XXX\lokale einstellungen\anwendungsdaten\scuqycmom.exe Bitte ersetzte die XXX durch den richtigen Pfad und lass die Exe online prüfen: virustotal Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste die Ergebnisse markieren -> kopieren - einfügen VirusTotal - Free Online Virus and Malware Scan Code: c:\dokumente und einstellungen\XXX\lokale einstellungen\anwendungsdaten\scuqycmom.exe DSS Download dss zum Desktop (http://www.techsupportforum.com/sect...eckard/dss.exe) Doppelklick dss.exe Kopiere den Inhalt des Berichts C:\main.txt und extra.txt in Deinen Thread. chris |
Hallo Chris, mit kabelgebundener Tastatur konnte ich den PC im abgesicherten Modus starten. Merkwürdigerweise scheint HJ aber nichts gefunden zu haben: Code: Logfile of Trend Micro HijackThis v2.0.2 Bearshare war übrigens schon deinstalliert. Ein paar Reste waren noch im ursprünglichen Ordner vorhanden; habe ich alle entfernt. Warum HJ hier trotzdem noch einen Eintrag findet, ist mir schleierhaft. Die Datei c:\dokumente und einstellungen\XXX\lokale einstellungen\anwendungsdaten\scuqycmom.exe habe ich von Virustotal analysieren lassen. Hier das Ergebnis: Code: MD5: bc9d70b94b83bb39c2fe1c3fa679fc68 DSS läuft gerade. Das Ergebnis poste ich anschließend... Viele Grüße Uwe |
Hallo Chris, nun das Ergebnis des DSS: Unter main.txt steht: Code: Deckard's System Scanner v20071014.68 |
Und unter extra.txt steht: Code: Deckard's System Scanner v20071014.68 Vermutlich kann ich mich frühestens morgen abend wieder einloggen... Viele Grüße Uwe |
Hi, DU hattest/hast einen Backdoor auf dem Rechner! Achtung! c:\dokume~1\XBenutzerX\lokale~1\temp\jatmlano.sys Ist ein Backdoor (soll gelöscht sein!) Bitte folgende Files prüfen: Zitat:
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://swandog46.geekstogo.com/res/images/avenger.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code: Registry values to delete: 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code: O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) |
Uff, irgendeine Idee, was der Backdoor so alles anrichten kann? Heute abend werde ich Deine ausführlichen Anweisungen ausführen, wenn ich wieder am befallenen PC sitze. Herzlichen Dank für die Unterstützung!! Uwe |
Hi, bitte daran denken, den Spybot komplett deaktivieren (Teatimer), da er sonst die Bereinigung verhindert. chris |
Hallo Chris, nach dem Start des PC war von dem Backdoor jatmlano.sys nichts zu sehen - weder im ursprünglichen Pfad noch sonstwo auf dem Rechner. Den Test mit VirusTotal konnte ich also nicht durchführen. Das, was Avenger finden konnte, wurde gelöscht. Hier das Protokoll: Code: Logfile of The Avenger Version 2.0, (c) by Swandog46 Uwe |
Nochmal hallo, den Hijack-Fix der genannten Einträge habe ich durchgeführt. Außerdem habe ich noch einen zweiten Avenger-Durchlauf gestartet. Wegen eines Schreibfehlers konnte nämlich im ersten Durchgang die Datei scuqycmom_navps.dat nicht entfernt werden. Das habe ich jetzt nachgeholt. Hier das Protokoll: Code: Logfile of The Avenger Version 2.0, (c) by Swandog46 Herzlichen Dank für Deine professionelle Hilfe! Uwe |
Hi, xx ist immer noch als Treiber eingetragen, wir lasse den Eintrag von combofix löschen... Code: Driver:: 4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer!) 5. Dann ziehe die CFScript.txt auf die ComboFix.exe. Damit wird Combofix neu gestartet und führt das Script aus 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Falls sich dann nichts neues eingeschlichen hat, sollte es das gewesen sein... chris |
Hi, beim Script ist mir ein Fehler unterlaufen, wir müssen den Treibereintrag löschen... (die Datei ist ja schon weg...) Daher: Code: Driver:: |
Hallo Chris, war ein paar Tage unterwegs, konnte erst jetzt wieder an den Rechner.... Hier die Log-Datei: Code: ComboFix 08-06-15.4 - XXX 2008-06-16 19:50:40.1 - NTFSx86 Uwe |
Alle Zeitangaben in WEZ +1. Es ist jetzt 21:55 Uhr. |
Copyright ©2000-2024, Trojaner-Board