|
Die Festplatte möchte ich nicht nur wegen der vielen Arbeit jetzt noch nicht formatieren, sondern auch weil es im allgemeinen Interesse ist diesen neuartigen besonders bösartigen Trojaner zu identifizieren, um evtl. Andere zu warnen oder einen Entfernungsweg zu dokumentieren ! Das System war korrekt abgesichert: LAN mit Netgear DSL-Router/Modem, enthält bereits eine Firewall Zusätzlich Lokale Firewall Zonelabs AntiVir-Virenscanner Zusätzlich wurde der Rechner häufig mit LukeFileWalker und Cyberdefender EarlySpy gescannt und mit McAffee-Stinger, manuell gestartet, damit keine 2 Virenscanner gleichzeitig laufen. alles regelmäßig upgedated Auch mit CCleaner wurde häufig gesäubert und die Festplatte defragmentiert. Reine Datenfiles wurden auf einer 2. HDD mit 50GByte gesichert. Eine Kopie der C:\ mit DriveImage geht z.Zt. leider nicht mehr, da der Trojaner den USB-Anschluss gegen den Betrieb einer externen USB-HDD sperrt. Ich könnte versuchen eine andere Festplatte einzubauen und DriveImage von der BartPE laufen zu lassen. So wie ich meinen Trojaner kenne, läuft der AntiVir sehr wahrscheinlich einwandfrei. Normalerweise verhält sich das Programm normal und kann upgedated werden, auch die Virusdefinitionsfiles. Ist der Trojaner böse, so stoppt er den AntiVir. Das merkt man daran, dass der Updater läuft aber nichts mehr updated und geht man mit der Maus auf das Symbol, so geht es weg. Lässt man nach dem Ausschalten den Rechner über 1 Stunde in Ruhe, so läuft alles wieder ! Christian124 |
Hallo ! Nun die Ergebnisse: Das Norman-Entfernungstool findet nichts: Hier steckt wahrscheinlich in getarnten Files Malware drin ? Die Toolbars habe ich deinstalliert. Habe die Deinstallation mit dem RegCleanr überprüft und zugehörige Einträge entfernt. CCleaner und Festplattendefragmentierung sind vor wenigen Tagen trotz Trojaner gelaufen. Christian124 |
hast du mal einen Online-scanner versucht? weitere Möglichkeiten:
|
Habe TrendMicro HouseCall 65 laufen lassen. Hat nach kurzer Zeit einige gering gefährliche Cookies gefunden. Beim Versuch diese zu löschen (bei TrendMicro HouseCall geht das während des Scans) wurde der PC abgeschossen. Ich meine, bei Wörtern wie Avira oder Rootkit wird der Rechner nach der Eingabe in Google abgeschossen, kann das aber noch einmal versuchen. |
hier sind die links: http://forum.sysinternals.com/upload...ku37300509.rar http://dl.antivir.de/down/windows/antivir_rootkit.zip ich hoffe der schlaue Trojaner bekommt nicht raus wer dir auf deine Anfragen antwortet... sorry :Boogie: konnt's mir net verkneifen |
Nein, Das kann er z.Zt. nicht, er ist z.Zt. aus, weil er nach den letzten Attacken mit Sicherheit wieder böse ist, werde gleich die SW aus den Links ausprobieren, ist schon auf dem USB-Memory-Stick. Werde den kranken Rechner im Abgesicherten Modus starten und die SW in entsprechende Directories kopieren und von dort ausprobieren. Übrigens, kann ein Rootkit bewirken, dass Spybot Search & Destroy und McAffee-Stinger auch von BartPE CD abstürzen ? Christian124 |
Hallo ! Hier die Ergebnisse: Der gmer läuft durch und liefert folgendes Ergebnis: GMER 1.0.14.14536 - http://www.gmer.net Rootkit scan 2008-07-08 22:46:31 Windows 5.1.2600 Service Pack 2 ---- Devices - GMER 1.0.14 ---- AttachedDevice \FileSystem\Ntfs \Ntfs avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH) AttachedDevice \FileSystem\Fastfat \Fat avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH) ---- EOF - GMER 1.0.14 ---- Die anderen beiden Programme RKU und Avira Rootkit Detection laufen nicht (habe nur im abgesicherten Moduus probiert, kein Systemabsturz). Avira Rootkit Detection lässt sich installieren, läuft aber nicht. Gruß, Christian124 |
dann versuchs im normalen modus. bei gmer hast du aber nur den automatischen schnellscan ausgeführt oder? den Button scan hast du nicht betätigt!? |
Doch, beim gmer habe ich den Button Scan benutzt, alle Häckchen rechts oben waren gesetzt, er hat die ganze C:\ gescannt. |
wie sieht denn das Hijackthis log aktuell aus? |
RKU läuft auch im normalen Mode nicht. Der Avira Rootkit Detection lässt sich zwar installieren, das Programm läuft auch an, aber nach drücken des Scan Button sagt er sofort "no rootkit detected" oder so etwas ähnliches, ohne gescannt zu haben. |
Hier das Highjackthis-File Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:38:34, on 08.07.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Safe mode Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\HJT\HiJackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://cwshredder.net/cwshredder/cwsredir.php?target=tmas O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: 0190/0900 Warner Browser Helper - {D2F63D33-C571-41E9-9525-A17CA1804D3B} - C:\PROGRA~1\0190WA~1\whelper1.dll O3 - Toolbar: SYSTRAN Web Translator 5.0 - {A5899B52-3AF9-4F56-85FE-AD7B3BE8490F} - C:\Programme\SYSTRAN\5.0\Personal\IEPlugIn.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O14 - IERESET.INF: START_PAGE_URL=h**p://www.lycos.de/ O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1136650100445 O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - h**p://www.schuelervz.net/photouploader/ImageUploader4.cab O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - h**p://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\PROGRA~1\0190WA~1\w0svc.exe O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe (file missing) O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe -- End of file - 6093 bytes |
sorry, ich bin mit deinem guten, bösen, manchmal friedlichen und zur zeit nicht aktiven trojaner und keylogger überfordert. Meine Empfehlung bleibt weiterhin Neuaufsetzen und absichern. Vielleicht kann sich das noch jemand anders anschauen. |
Hallo, Sieht man denn im neuen Highjackthis-File nichts ? Hier noch einmal die Dateien im Problembericht, den nach dem Wiederstart das Windows-Fenster an Microsoft schicken will: BCCode: 10000050 BCP1: 9015FF5F BCP2: 000.00000 BCP3: BF813AQA BCP4: 00000000 OSVer: 5_1_2600 SP: 2.0 Product: 768_1 C:\DOKUME~1\Loginname\Lokale~1\Temp\WERT577.dir00\Mini060108-03.dmp C:\DOKUME~1\Loginname\Lokale~1\Temp\WERT577.dir00\sysdata.xml Vielleicht hat oder hatte jemand das gleiche Problem und findet diesen Thread ? |
Also für mich klingt das doch sehr nach einem Hardware oder Softwareproblem und nicht Malware. Hast du RAM/CPU/Festplatten geprüft? Hast du dein System irgendwie getweaked? (Also tuneUp genutzt, Dienste deaktiviert, etc) Hast du mal im Eventmanager geguckt, ob die Fehlermeldungen von Microsoft aufschluss bringen? Hast du dir aufgeschrieben welche Meldungen beim BSoD kamen? Der Absturz beim Antivirenscan klingt nach einem massiven Temperaturproblem. Hast du die Temperaturen mal überprüft? Das geht zb mit everest lg myrtille |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:04 Uhr. |
Copyright ©2000-2025, Trojaner-Board