Malware nicht löschbar! ich bekomm demnächst noch einen anfall mit meinem rechner wegen den meldungen die ich dauernd bekomm :heulen: FreeAntiVir - Meldefenster sagt: Trojanisches Pferd TR/Agent.6938.A gefunden Trojanisches Pferd TR/Patched.CK.56 gefunden (hab keine Externe Quellen da Antivir nur die Fehlermeldungen in dem kleinen fenster bringt und mir die Option: In Quarantäne verschieben / Löschen / Ignorieren lässt -> habe keine Infos was es genau mit den meldungen auf sich hat und ehrlichgesagt auch nicht viel ahnung davon :balla: bin zwar n kleiner pc-crack aber in sachen viren, malware, usw. noch der totale anfänger! *edit* habe direkt mal danach gegooglet und ich hab jetzt schonmal rausgefunden das es um eine malware geht und dass das ganze mit einem wurm zu tun haben soll, der daten mit einem Serve in Ungarn abgleicht um das löschen zu verhindern :confused: tatsache ist: es gibt schon einige mit dem selben problem! tatsache ist aber auch das ich jetzt schon kp wie viele anleitungen zum löschen durch hab und bisher nicht wirklich viel geholfen hat! über avast und avira antivir, über MalwareBytes und sonst was...ich hab alles durch und alles genau befolgt, aber ich bekomm den schrott nicht runter! formatieren geht aber auf keinen fall, da ich so viele dateien drauf hab die wichtig sind, von denen ich aber bestmmt die hälfte vergessen würde zu sichern! Angefangen bei Favoriten für Internetseiten über Zusammengeschnittene Filme (selbstgemachte wegen eines projektes) bis hin zu Bildern die sonst nirgendwo vorhanden sind und noch viel, viel mehr! Also Formatieren wäre die wirklich aller letzte möglichkeit die ich nutzen will. also falls mir jemand iwie weiterhelfen kann - ich bin für jede hilfe verdammt dankbar! :heulen: falls ihr irgendwelche screenshots, infos oder logfiles braucht kann ich die gerne posten, müsste dann aber dementsprechend erst noch das programm durchlaufen lassen! |
Poste bitte das log Hijack und malwarebytes |
Hi, bitte HJ-Log gemäß der Signatur und RSIT-Log; RSIT Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/ speichere es auf Deinem Desktop. Starte mit Doppelklick die RSIT.exe. Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. chris |
hab rsit jetzt runtergeladen und durchlaufen lassen! hier die logfile: Code: Logfile of random's system information tool 1.04 (written by random/random) |
Code: [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{13e03180-da67-11dc-9c5f-806d6172696f}] MUSS man es machen oder SOLL man es machen? hab als usernamen eh nicht meinen vollen Namen und als Admin einer Homepage kenn ich die lücken die einige andere auch kennen (beim Namen herausfinden). Somit wäre es ein leichtes den Benutzernamen abzuleiten :crazy: mfg schaf *PS: Danke für die schnelle Hilfe! @ Leonidas88: Durch Malwarebytes kann ich nichtmehr auf meine partitionen zugreifen - fehler in der boot.com -> autorun.ini soll damit zusammenhängen und der grund dafür sein! (laut googlesuche) weil da eine nichtidentifizierbare datei gebootet werden soll -> wird wohl daran liegen das die boot.com im ordner C:\recycled liegt und dieser blockiert werden soll damit sich die tmp1.tmp - tmp0F.tmp sich nicht vermehren können! (nehme mal an das wird das malwarebytes veranlasst haben?! stimmt das?) |
Hi, Achtung Die gesamte Interentverbindung wird umgeleitet (Ukraine!), keinerlei Aktivitäten mehr mit Passwort/Banking etc. von einem sauberen Rechner aus sofort alle Passwörter ändern! Melde mich nach weiter analyse wieder... chris |
Hi, Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code: C:\WINDOWS\system32\kdiux.exe
Achtung: Solltest du Probleme mit deiner Internet Verbindung bekommen: Systemsteuerung > wähle Netzwerk und Internet Verbindungen oder mach einen Doppelklick auf Netzwerk-Verbindungen > Klick mit der rechten Maustaste auf Default Connection (Normale Verindung), das ist normalerweise die örtliche Umgebung, Kabel oder DSL Verbindung > Klick mit der linken Maustaste auf Eigenschaften > Doppelklick auf Internet Protocol (TCP/IP) > wähle den Knopf der dafür steht, dass die DNS Verbindung automatisch aufrecht erhalten wird > zweimal auf "OK" klicken > den Rechner neu starten (Diese Einstellungen sind nicht auf allen Systemen gleich oder vorhanden) Hijackthis, fixen der "kritischen" Einträge (vorher vielleicht MAM runterladen&updaten, RSIT downloaden): öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code: O17 - HKLM\System\CCS\Services\Tcpip\..\{4774CE31-3FB1-43D1-BEDC-FA9ACAB0B8DC}: NameServer = 85.255.112.219;85.255.112.220 MAM (Fullscan und alles bereinigen lassen); Log posten! Malwarebytes Antimalware. Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Smithfraudfix: Alles unter Pkt "Reinigung" abarbeiten! http://siri.urz.free.fr/Fix/SmitfraudFix_De.php Poste das Log von MAM und Smithy... Chris |
kdiux.exe ist garnicht im system 32 ordner vorhanden! npkcsvc.exe: Code: Antivirus Version letzte aktualisierung Ergebnis boot.com von D:\ : Code: Antivirus Version letzte aktualisierung Ergebnis Code: Antivirus Version letzte aktualisierung Ergebnis |
Hi, Combofix Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/comb...x-benutzt-wird Falls der Fehler mit der boot.com immer noch auftritt, hier ein Script für Combofix: Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop ablegen. Gib an "Alle Dateien" - Speichern: Code: File:: Dabei werden (hoffentlich) sowohl die autorun.inf-Files als auch die Mountpoints gelöscht werden... Alternativ folge dieser Anleitung (habe aber nicht verifiziert ob das funktioniert); http://extreme.pcgameshardware.de/li...eitsplatz.html chris Ps.: Bin jetzt weg... |
Hallo Schaf, ich hatte das selbe Problem wie du auch am Freitag Abend. Kannst hier meine vorgeschichte dazu lesen: http://www.trojaner-board.de/62554-zlob-dnschanger-problem-spybot-search-destroy-nach-windows-neuinstallation.html Ein sehr wichtiger Tipp von mir: Schließe keine Externe Festplatte oder USB Speicherstick an dein Rechner, wenn du das machst, wird innerhalb wenigene Miunten (3-5min.) das ding auch deine externe festplatte infizieren und dann kommt die selbe meldung wie bei "c:\resycled boot.com" oder wie das hieß auch bei der Externe Festplatte/Stick etc. Ich konnte es nur mit glück retten. Den Virus habe ich wie in meinem Thread beschrieben erst nach mehreren formatierungen wegbekommen, also Windows aufjedenfall neu aufspielen wie hier beschrieben: http://www.trojaner-board.de/51262-anleitung-neuaufsetzen-des-systems-absicherung.html hoffe du bist den auch bald los, scheint wirklich etwas neues zu sein da momentan viele andere auch den virus haben. Viel Glück :( |
ich hab so das gefühl das ich um ein formatieren wirklich nicht herumkomme :( weil während ich MAM durlaufen lasse kommen fehlermeldungen vom antivir (FUND) derjenige der die datei gescriptet hat ist wohl nicht sehr schlau gewesen! die dateien C:\WINDOWS\Temp\tmp1.tmp und tmp2.tmp sind die verusacher und beinhalten eine so simple und dennoch komplizierte scriptart! in tmp1.tmp befindet sich z.B. der Log mit der server ip in der Ukraine! jedoch löst die tmp sofort eine meldung aus (egal bei welchem anti-viren programm) sobald sie gefunden oder benutzt wird! -> Man fährt mit der maus über die tmp und eine warnung erscheint -> liegt daran das windows eine vorschau (dateigröße, art, usw.) in einem gelben kästchen versucht darzustellen -> tmp wird verändert/gefunden/verwendet -> virenprogramm schlägt alarm -> tmp ist für kurze zeit nicht aktiv! das wiederum veranlasst die tmp zu folgendem: generiere tmp2.tmp (fast 100% identisch mit tmp1.tmp unterschied wie folgt: create tmp2.tmp = tmp1.tmp) -> tmp1.tmp und tmp2.tmp existieren! => wird eine der 2 tmp gelöscht (z.B. durch ein Programm wie AV) erkennt die tmp datei den verlust und generiert (in dem zeitraum der Meldung des antivirenprogrammes) diese neu -> tmp1.tmp bzw. tmp2.tmp sind wieder vorhanden! ACHTUNG: Hierzu gibt es noch eine Hauptdatei! Diese datei ist der hauptgrund des schadens, weil: Trojaner als datei mit zugriff auf tmp1 bzw 2 -> tmp1 bzw 2 sorgen dafür, dass die hauptdatei geschützt ist (kann nicht gelöscht werden da von einem anderen programm verwendet -> in dem fall von tmp1 bzw 2) -> so gut wie unmöglich das problem zu beheben! ist jeder soweit mitgekommen? :) kennt sich einer mit der programmiersprache ein bisschen besser aus als ich? wenn ja: ich habe das problem dass ich die datei nicht lesen kann (wurde erstellt und konvertiert mit einem programm und somit nicht im editor lesbar!) da ich das programm nicht kenne mit dem die datei erstellt wurde! Soviel zu meinem trojaner! thx @ Chris! durch die Programme die das ganze checken sollten hab ich die scriptdateien gefunden und konnte oben genanntes schlussfolgern! werde aber mal trotzdem noch den rest der anleitung durchmachen in der hoffnung das eines der programm evtl alle temp-files deaktiviert, in den RAM speichert und durch einen neustart löscht (könnte ich mir bei smithy vorstellen!) somit wäre nämlich der trojaner aufgeschmissen da er nichtmehr verwendet wird und kann einfach per shredder (sogar durch rechte maustaste - löschen (wäre schwachsinnig!) gecleaned bzw gelöscht werden! ;) *ANMERK* Es besteht die möglichkeit die Malware locker zu entfernen wenn jmd ein dementsprechendes Programm (wie oben beschrieben) kennt/hat! |
also....ich hab von 2 sachen jetzt eine log-file die erste direkt nach der untersuchung -> funde: Code: Malwarebytes' Anti-Malware 1.29 Code: Malwarebytes' Anti-Malware 1.29 |
smithy logfile: Code: SmitFraudFix v2.366 |
so....combofix hab ich auch noch durchlaufen lassen! hier die log: Code: ComboFix 08-10-21.05 - Michi 2008-10-22 19:29:42.1 - NTFSx86 ich werd jetzt noch, bevor ich ins bett gehe, antivir noch einmal durchlaufen lassen und via "windows suche" die tmp dateien durchforschen und schauen ob die tmp1 und 2 und die maleware haptdatei vorhanden sind! sobald ich fertig bin werd ich nochmal bescheid geben über den aktuellen stand! *EDIT* Also Antivir hat keinen fund mehr gemeldet (erst standart und dann die benutzerdefinierte mit extremem einstellungen!) und ich habe die dateien auch nichtmehr gefunden! - fazit: die dateien müssen wohl gelöscht worden sein! zudem war es wie erwartet! smithy ist tatsächlich ein gut durchdachtes script, dass alle temp files verschiebt und via neustart auf dem RAM löscht! somit sind die dateien nicht spurlos verschwunden sondern der binärcode wurde auf 0 gesetzt (für diejenigen die sich nicht ganz so gut auskennen: datei besteht aus 0 und 1 als code bsp: 0001001110101000100101010... -> umgewandelt zu: 0000000... ! also nicht das was der ccleaner oder papierkorb macht sondern die datei wurde überschrieben und dann durch leerstellen ersetzt). zudem hätte ich noch eine frage, die mir bisher noch niemand beantworten konnte! folgendes: ich habe einen ordner auf dem desktop, der sich immer wieder automatisch wiedererstellt! der ordner ist kein virus oder dergleichen und wurde von mir erstellt! jedoch lässt er sich aus irgendwelchen gründen seit dem erstellen nichtmehr löschen. Weder tuneupshredder noch cc cleander oder sonst ein programm kann den ordner endgültig entfernen - er erstellt sich immer wieder nach dem verändern, öffnen oder abspeichern einer datei (egal welcher) selbst auf dem desktop. Der ordner ist schreibgeschützt, jedoch lässt sich der schreibschutz nicht deaktivieren bzw er lässt sich deaktivieren ist aber sofort wieder vorhanden! wie kann das sein? die kollegen vom windowsboard sind ratlos und ich bin auch am ende meines lateins! wenn jemand zufälligerweise weis wie man den ordner löschen kann, bitte posten! wenn nicht ist aber auch nicht schlimm! hab ihn als versteckte datei auf dem desktop und da ich sonst nicht verstecke hab ich alle ordner die versteckt sind ausgeblendet - somit stört mich das ganze nicht wirklich :) wäre aber dennoch gut wenn ich ihn löschen könnte :P |
:koch: Wenn ich diesen Programmierer jemals erwischen würde ... :aufsmaul: Auch mich hat dieser Trojaner nun ca. 8 Stunden gekostet, dummerweise hab ich mir den per USB Stick direkt auf 3 weitere Rechner gezogen bevor ichs gemerkt hatte. Ich glaube aber, ich bin ihn ohne Formatierung losgeworden. Und zwar so: Zu aller erst TCPIP deaktivieren und das Ethernet Kabel raus ! MBAM laufen lassen und die Funde alle löschen lassen . Dann direkt rebooten und gleich nochmals MBAM durchlaufen lassen, ohne irgendwas anderes vorher oder währenddessen zu tun. Danach den TotalCommander gestartet (NICHT auf C: oder D: oder so im Explorer klicken, das aktiviert die Autostart.inf !) Alle Ordner "Resycle" auf allen Platte gelöscht Alle Ordner TEMP (in allen Verzeichnissen suchen!) löschen Nach der KDPMG.exe suchen und falls da, löschen Dann wieder rebooten und MBAM nochmals laufen lassen ... siehe da, alles weg !:aplaus: Hoffe, es bleibt so.... |
Alle Zeitangaben in WEZ +1. Es ist jetzt 08:31 Uhr. |
Copyright ©2000-2024, Trojaner-Board