Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Google sucht nicht, Neues unbekanntes verstecktes Verzeichnis auf der HD (https://www.trojaner-board.de/58209-google-sucht-neues-unbekanntes-verstecktes-verzeichnis-hd.html)

Bärau 19.08.2008 20:18
Google sucht nicht, Neues unbekanntes verstecktes Verzeichnis auf der HD
 
Mein Kollege hat mich heute um Hilfe gebeten.
1. Google sucht nicht mehr
2. AV Virenscanner brauchte mehr als die doppelte Zeit

3.Nachdem ich vorsichtshalber mit Knoppix den Rechner gebootet hatte, war auf der Festplatte ein weiteres Verzeichnis bezeichnet mit einem ! ( Ausrufezeichen ) vorhanden.
Dieses Verzeichnis war unter Windows XP nicht sichtbar !!! In diesem Verzeichnis befanden sich mehrere hundert dateien, links auf Zip.files von Programmen aller möglichen Gattungen.

4. Antivirus hat keine Virenmeldung ( nach Komplettcheck ) ausgegeben.
5. Selbst mit Knoppix hat sich nicht alles löschen lassen.
6. Geschwindigkeit des Rechners: nicht merklich langsamer
7. Automatische updates von Windows ist inaktiv obwohl auf aktiv gesetzt.

Ich fürchte, der Rechner muss komplett neu aufgesetzt werden. Das erschreckende war das versteckte Verzeichnis, was durch irgendeine Malware oder sonstigen Troja installiert wurde. Wer hatte schon ein ähnliches Problem oder ist die Thematik evtl. neu ??

Danke für die Tips.

Bärau

trojan-death 19.08.2008 20:57
Hi und :hallo:

Bitte lass als erstes mal Malwarebytes laufen.
Poste danch bitte ein Hijackthis Logfile:daumenhoc

Was konntest du nicht löschen:rolleyes:

Bärau 19.08.2008 22:11
Hi Trojan Death,

danke für die Hilfe vorab. Kiste steht beim Kollegen..
Das neue Verzeichnis liess sich nicht mal unter Knoppix löschen. Dann hat der IE-Cache noch rumgemuckt, dass er irgendwelche shockwaves nicht löscht. ( obwohl Firefox der standardbrowser ist...)

Sobald ich dazu komme poste ich die files... aber ist es die Mühe wert ??? Ich glaube fast, dass die Kiste beim neuaufsetzen schneller bereinigt ist...

lg Bärau

trojan-death 19.08.2008 22:17
(noch) kA brauche zuest die Logfiles um irgend ne Prognose abzugeben... Könnte ja vlt. auch etwas anderes dahinter stecken..

Bärau 20.08.2008 10:38
Heute morgen neuer Anruf vom Kollegen.... Windoof hat die Datenträgerbereinigung gestartet ( beim booten ) NTCS .. irgendwelche Fehler festgestellt, Kiste ist abgestürzt...
rien ne vas plus.... ich muss erstmal schauen wie ich dem Ding wieder Leben einhauche..

Melde mich, sobald ich die Files holen konnte.

Bärau 20.08.2008 16:30
So, nun ist das Verzeichnis bei einem anderen Mitbenutzer aufgetaucht... Malware läuft gerade, momentan infizierte objekte: 26..schaunmermal

Bärau 21.08.2008 10:48
Hier das Malware logfile:

Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1072
Windows 5.1.2600 Service Pack 2

21:53:11 20.08.2008
mbam-log-08-20-2008 (21-53-03).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 113549
Laufzeit: 1 hour(s), 33 minute(s), 3 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 4
Infizierte Registrierungsschlüssel: 22
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 10
Infizierte Dateien: 103

Infizierte Speicherprozesse:
C:\Dokumente und Einstellungen\Michaela\svchosts.exe (Trojan.Agent) -> No action taken.

Infizierte Speichermodule:
C:\WINDOWS\system32\fimhonhk.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\jkkKcyAR.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\rkecqj.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\gkayfv.dll (Trojan.Vundo) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{21034aee-7b18-4948-9e27-d49992ea0d75} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{21034aee-7b18-4948-9e27-d49992ea0d75} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c2caf5b6-8bb8-4bd4-88e2-cb8bcc206688} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{c2caf5b6-8bb8-4bd4-88e2-cb8bcc206688} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c3f6f4fe-85f6-4d0c-98de-15324b09f149} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\khfdutme (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{c3f6f4fe-85f6-4d0c-98de-15324b09f149} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\internetgamebox (Adware.EGDAccess) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\spyware-secure (Rogue.Spyware-Secure) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Spyware-Secure (Rogue.Spyware-Secure) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Spyware-Secure (Rogue.Spyware-Secure) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\NetProject (Trojan.Zlob) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IProxyProvider (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\videoPl.chl (Trojan.Zlob) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\306a29e2 (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bm33591a7e (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Host Process (Worm.IRCBot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\some (Trojan.Zlob) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\jkkkcyar -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\jkkkcyar -> No action taken.

Infizierte Verzeichnisse:
C:\Programme\InternetGameBox (Adware.EGDAccess) -> No action taken.
C:\Programme\InternetGameBox\ressources (Adware.EGDAccess) -> No action taken.
C:\Programme\InternetGameBox\skins (Adware.EGDAccess) -> No action taken.
C:\Programme\Spyware-Secure (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\images (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\images\EN (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\rubs (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\resources (Rogue.Spyware-Secure) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\system32\rkecqj.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\jkkKcyAR.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\RAycKkkj.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\RAycKkkj.ini2 (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\khfDuTME.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\fimhonhk.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\khnohmif.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\itejmuhg.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\ghumjeti.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\kinipgnw.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\wngpinik.ini (Trojan.Vundo.H) -> No action taken.
C:\ARK28.tmp (Trojan.Vundo) -> No action taken.
C:\Dokumente und Einstellungen\Michaela\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EZPBBMI2\kb456456[1] (Trojan.Vundo.H) -> No action taken.
C:\Dokumente und Einstellungen\Michaela\Lokale Einstellungen\Temporary Internet Files\Content.IE5\U4J2YVC2\kb65666[1] (Trojan.Vundo) -> No action taken.
C:\Dokumente und Einstellungen\Michaela\Lokale Einstellungen\Temporary Internet Files\Content.IE5\U4J2YVC2\kb767887[1] (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{A0F3E021-8823-4490-895F-D5BEFFD590EB}\RP180\A0051959.exe (Adware.Agent) -> No action taken.
C:\System Volume Information\_restore{A0F3E021-8823-4490-895F-D5BEFFD590EB}\RP190\A0056924.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\dpcmkdqg.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\dqfsylro.exe (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ecsolakn.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\hpwdvkqo.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\lsjcmgnb.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\nijfhj.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ryqecehn.exe (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\fgsmni.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\rifgtr.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\sjoymhoe.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\qdcymrua.exe (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\knkpvjog.exe (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\kvsfjk.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\gkayfv.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\yfhxxbvn.exe (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\yhhnumti.exe (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\muedhbmq.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\cftiqvjt.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\iqfewvdf.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\frfcoo.dll (Trojan.Vundo) -> No action taken.
C:\Programme\InternetGameBox\InternetGameBox.exe (Adware.EGDAccess) -> No action taken.
C:\Programme\InternetGameBox\language (Adware.EGDAccess) -> No action taken.
C:\Programme\InternetGameBox\uninst.exe (Adware.EGDAccess) -> No action taken.
C:\Programme\InternetGameBox\ressources\configv2_en.xml (Adware.EGDAccess) -> No action taken.
C:\Programme\InternetGameBox\ressources\configv2_es.xml (Adware.EGDAccess) -> No action taken.
C:\Programme\InternetGameBox\ressources\configv2_fr.xml (Adware.EGDAccess) -> No action taken.
C:\Programme\InternetGameBox\skins\skinv2.skn (Adware.EGDAccess) -> No action taken.
C:\Programme\Spyware-Secure\config.s3db (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\Gfx_de.bin (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\language (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\nbmw (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\quarantine.s3db (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\skin (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\Spyware-Secure.url (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\sqlite3.dll (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\sws_translations.xml (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\uninst.exe (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\unrar.dll (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE.zip (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\explo_intro.htm (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\explo_menu.htm (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\file.gif (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\fleche.gif (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\folder.gif (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\folder_f.gif (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\folder_o.gif (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\index.htm (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\menu.gif (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\menu3.js (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\spy.gif (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\trait_coud.gif (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\trait_droit.gif (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\trait_vert.gif (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\images\fleche.gif (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\images\folder.gif (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\images\key.gif (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\images\menu.gif (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\images\support.gif (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\images\title-hepfile.gif (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\images\EN\dowload-file-antispyware.gif (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\images\EN\menu.gif (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\images\EN\scstep2.gif (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\rubs\3differentscan.htm (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\rubs\contactus.htm (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\rubs\found-objects.htm (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\rubs\lexic.htm (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\rubs\navigtabs.htm (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\rubs\quarantine.htm (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\rubs\register.htm (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\resources\cookies_1-12.dat (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\resources\filesDesc_1-12.dat (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\resources\filesDesc_1-12.dic (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\resources\filesExt_1-12.dat (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\resources\filesMulti_1-12.idx (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\resources\filesSimple_1-12.idx (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\resources\malwaresDB_1-12 (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\resources\register_1-12.dat (Rogue.Spyware-Secure) -> No action taken.
C:\WINDOWS\system32\mcrh.tmp (Malware.Trace) -> No action taken.
C:\WINDOWS\cookies.ini (Malware.Trace) -> No action taken.
C:\Patch.cmd (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\sckbnish.dll (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Michaela\svchosts.exe (Worm.IRCBot) -> No action taken.
C:\WINDOWS\pskt.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\BM33591a7e.xml (Trojan.Vundo) -> No action taken.
C:\WINDOWS\BM33591a7e.txt (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\nvs2.inf (Adware.EGDAccess) -> No action taken.


und hier das Hijackfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:39:11, on 21.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\MSMSGS.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\User\Desktop\HiJackThis.exe
C:\Programme\Mozilla Firefox\firefox.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
O2 - BHO: {0a829908-22b9-7c3b-5464-6df37f36bbc3} - {3cbb63f7-3fd6-4645-b3c7-9b22809928a0} - C:\WINDOWS\system32\rifgtr.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: (no name) - {DB9FBA9D-AB1B-4CC6-9745-F3B549D64E40} - (no file)
O3 - Toolbar: ZoneAlarm Spy Blocker - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Programme\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [EPSON Stylus DX4400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE /FU "C:\WINDOWS\TEMP\E_S352.tmp" /EF "HKCU"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_collector_sel.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Show domain links - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_domain_links.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1198744912156
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/micr...?1198779201625
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O22 - SharedTaskScheduler: figpecker - {7d7bd0c4-4913-4933-b870-7388a7bffb82} - (no file)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6084 bytes


Alle installierten Programme ( MS-Office etc. ) sind zwar auf der Platte aber die Einträge im Systemmenü sind weg...

Bin gespannt was raus kommt..

lg
Uli

myrtille 21.08.2008 10:59
Hi,

wie heißt der Ordner denn? Wieso könnt ihr den ORdner nicht mit Knoppix löschen?

Filelisting
Erstelle bitte ein filelisting mit diesem script:
- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing7.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop
Diese listing.txt z.B. bei file-upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

MBR
Führe bitte auch folgende Datei aus und poste das erstellte Log: mbr.exe

Sowie einige Scans auf Dateien, Prozesse und Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):
  • alle anderen Scanner gegen Viren, Spyware, usw deaktiviert sein
  • keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen)
  • nichts am Rechner getan werden
  • nach jedem Scan der Rechner neu gestartet werden
Gmer scannen lassen
  • Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.
  • Starte gmer.exe. Alle anderen Programme sollen geschlossen sein.
  • Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
  • Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet.
  • Füge das Log aus der Zwischenablage in deine Antwort hier ein.
Catchme scannen lassen
  • Lade dir Catchme runter auf deinen Desktop.
  • Starte Catchme.exe. Alle anderen Programme sollen geschlossen sein. Mit "Scan" starten.
  • Falls nach dem Ende des Scans im Fenster Dateien stehen, dann klicke auf "Zip" damit eine Kopie dieser Dateien erzeugt wird. Die Dateien werden dabei nicht entfernt.
  • Das Log ist in catchme.log, füge es vollständig in deine Antwort ein.
RootkitRevealer scannen lassen
  • Lade RootkitRevealer runter und entpacke das Archiv in einen eigenen Ordner, z.B. C:\programme\rootkitrevealer.
  • Starte in diesem Ordner RootkitRevealer.exe. Alle anderen Programme schließen.
  • Starte durch Klick auf "Scan".
  • Wenn der Scan fertig ist das Logfile mit File -> Save abspeichern.

Trenne bitte alle befallenen Rechner vorerst vom Internet.

lg myrtille

Bärau 21.08.2008 11:24
Hier der LInk zum filelisting

File-Upload.net - listing.txt

Bärau 21.08.2008 11:28
hier das mbr file

myrtille 21.08.2008 11:34
Beim MBR File fehlt irgendwie etwas. :D Das Logfile. :D :blabla: :D

Bärau 21.08.2008 16:01
ups.. hat anscheinend nicht geklappt.

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


Das war alles.. Beim scannen konnte man das nicht sichtbare Verzeichniss sehen, bezeichnet als : ! ( Verzeichnisname ist ein Ausrufezeichen...) beispiel C:dokumente und einstellungen\user\!

Als ich heute wieder mit der Knoppix rein bin, konnte man das verzeichnis sehen, beim anklicken kam dann die Meldung,: Verzeichnis nicht vorhanden..

Der Scan mit gmer hat ganz was anderes gezeigt...da konnte man das ! Verzeichnis wieder sehen... im moment läuft rootkit revealer

Was soll ich machen wenn beim booten immer der blaue schirm kommt ? Meine Kollegin hats mal laufen lassen, aber dann hat sich die kiste aufgehängt... einfach warten ???

Bärau 21.08.2008 16:16
Auch der rootkit revealer scant das ! Verzeichnis... also muss es da sein....und offensichtlich sind tausende zip files drinne... von allen möglichen Progammen, gross können die files nicht sein.

Kiste ist vom netz weg, hab meinen schleppi nebenan...

hier das log:
HKLM\SECURITY\Policy\Secrets\SAC* 24.12.2007 17:08 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 24.12.2007 17:08 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 21.08.2008 16:57 80 bytes Data mismatch between Windows API and raw hive data.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll 11.04.2008 13:58 252.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll 11.04.2008 13:58 111.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_MSIL\IEExecRemote\2.0.0.0__b03f5f7f11d50a3a\IEExecRemote.dll 11.04.2008 13:58 8.00 KB Visible in Windows API, but not in MFT or directory index.

myrtille 21.08.2008 18:19
Auch hier sieht es wieder so aus, als ob da nur ein Ausschnitt des Logs kopiert worden ist. ;)

Das Log von gmer bräuchte ich vollständig. :p

Bärau 22.08.2008 18:07
hier das komplette file..

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-08-22 19:00:36
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwConnectPort [0xEEFB2040]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateFile [0xEEFAE930]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateKey [0xEEFB9A80]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreatePort [0xEEFB2510]
SSDT F7D6D23C ZwCreateThread
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateWaitablePort [0xEEFB2600]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDeleteFile [0xEEFAEF20]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDeleteKey [0xEEFBA6E0]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDeleteValueKey [0xEEFBA440]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwLoadKey [0xEEFBA8B0]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwOpenFile [0xEEFAED70]
SSDT F7D6D228 ZwOpenProcess
SSDT F7D6D22D ZwOpenThread
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwRenameKey [0xEEFBB250]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwReplaceKey [0xEEFBACB0]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwRequestWaitReplyPort [0xEEFB1C00]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwRestoreKey [0xEEFBB080]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSetInformationFile [0xEEFAF120]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSetValueKey [0xEEFBA140]
SSDT F7D6D237 ZwTerminateProcess
SSDT F7D6D232 ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.14 ----

? srescan.sys Das System kann die angegebene Datei nicht finden. !

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol] [EEFB6CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter] [EEFB71C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter] [EEFB7320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol] [EEFB6E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol] [EEFB6E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol] [EEFB6CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter] [EEFB71C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter] [EEFB7320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [EEFB6CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [EEFB7320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [EEFB71C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [EEFB6E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [EEFB7320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [EEFB71C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [EEFB6CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [EEFB6E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [EEFB6CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [EEFB71C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [EEFB7320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\drivers\afd.sys[ntoskrnl.exe!IoCreateFile] [EEFC4330] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [EEFB6CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [EEFB6E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [EEFB7320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [EEFB71C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!NtOpenFile] [EEFAF670] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!NtSetInformationFile] [EEFAF5C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!IoCreateFile] [EEFAF770] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!NtCreateFile] [EEFAF2D0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

---- Devices - GMER 1.0.14 ----

Device \Driver\Tcpip \Device\Ip vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device \Driver\Tcpip \Device\Tcp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device \Driver\Tcpip \Device\Udp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device \Driver\Tcpip \Device\RawIp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device \Driver\Tcpip \Device\IPMULTICAST vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

---- EOF - GMER 1.0.14 ----

Bärau 22.08.2008 18:12
Trotz Admin und richtiger Einstellungen / Anzeigen aller versteckten Verzeichnisse und Dateien / ist das ! Verzeichnis nicht zu sehen unter Windows.. Rechner läuft momentan offline und nach dem malware program ( scan and remove..) richtig zackig..
Vielen dank für Eure HIlfe... Supi ;-)

myrtille 22.08.2008 19:13
Hi,

fassen wir zusammen:
Der erste befallen Rechner läuft wieder, ist aber vom Netz getrennt?
Unter Windows ist der fragliche Ordner nicht sichtbar, aber unter Knoppix. Er ist unter Knoppix aber nicht zu löschen? (Habt ihr es mit Kommondazeile oder über den Dateimaanger versucht? Welche Fehlermeldung kam? )

Der zweite Rechner ist auch vom Netz getrennt? Haben wir da ein Log von gesehen?
Könntest du mir aus der Quarantäne von Malwarebytes folgende Datei zukommen lassen:
Zitat:
C:\Dokumente und Einstellungen\Michaela\svchosts.exe
Anleitung zum Uploaden

lg myrtille

Bärau 23.08.2008 09:42
es ist nur ein rechner befallen. Ich leiste hier nur schützenhilfe mit meinem schleppi. Der befallene Rechner ist seit 2 Tagen nicht mehr im Netz. Ich schaufle lediglich die logs rüber per stick.

Das Verzeichnis mit dem ! hat insgesamt über 30ig Tausend Dateien drin, alles zip files mit knapp 1 Giga. Es sieht so aus, als ob der Rechner zum Verteilen der Dateien gekapert wurde, da es sich um lauter Zipfiles von Programmen handelt.

Beim Knoppix müsste ich den superadmin bzw. Konquer im admin modus laden, da ich von cd boote, verlangt knoppix dann von mir das admin pw. keine Ahnung was ich da eingeben muss. Beim löschen in Knoppix löscht zwar dann dieser, und schwups sind die Sch.... Dateien wieder da...Löschen im normalmodus unmöglich...

Kann erst morgen wieder danach schauen, da mein Kollege heute nicht zuhause ist. Beim nächsten mal mach ich ein jpeg foto vom Screen ( weiss nicht wie man einen Bildschirmabgriff beim Knoppix macht..) dann kannst du sehen wie es da aussieht...

lg Bärau

Bärau 23.08.2008 09:44
achja, nochwas.... Knoppix gibt keine Fehlermeldung aus.. nur der Konquer ist schon abgestürzt, was völlig ungewöhnlich ist..

Bärau 26.08.2008 17:45
Datei ist nur im Quarantäne verzeichnis vorhanden, nicht auf der Platte.... Wiederherstellen ?
Kann ich mit dem Rechner wieder ans netz? oder muss ich die Datei per stick hochladen ( mit anderem Rechner ? )

Bärau 26.08.2008 18:13
Das Verzeichnis ! hat sich nun unter Windows löschen lassen. :lach:Wie Weiter ?

lg
Bärau

myrtille 26.08.2008 18:23
Hi,

sorry, irgendwie hab ich übersehen, dass du geantwortet hattest.

@Knoppix
Windowsviren funktionieren unter Linux nicht, weswegen der Befall dir mit Knoppix eigentlihc hilflos ausgeliefert sein müsste.
Was ich mir vorstellen kann, ist ein Problem mit NTFS und Knoppix. Welche Version nutzt du denn? Schreiben auf NTFS-Partitionen ist immer noch ein wenig tricky.


Wenn ich ehrlich bin würd ich den Rechner neuaufsetzen und gut ist. Ich kann vermuten, dass der IRC-Bot für den Ordner zuständig ist, und wir die gröbsten Spuren beseitigt haben, aber sicher bin und werd ich mir nicht.

lg myrtille

Bärau 28.08.2008 10:45
Ok, der Rechner läuft zwar stabil und flott, aber die ganzen Systemeinträge bzw. die Progammeinträge unter XP sind eh futsch und manuell die Einträge reinhauen ist zu zeitaufwendig.

Indem Fall Alles neu macht der Mai.... Neuinstallation und gut is..

Trotzdem danke für die Hilfe.
lg Bärau


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:01 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131