TR/Drop.Agent.aghi & TR/Crypt.CFI.Gen bekomme ich nicht enfernt
 

Bin für jede gute Idee sehr dankbar.
Und zwar hat sich mein Notebook mit einem Trojaner angesteckt.

Beim Starten gibt AntiVir fünf Meldungen mit unterschiedlichen Schädlingen aus:

- TR/Drop.Agent.aghi
- TR/Drop.Agent.agig
- TR/Crypt.CFI.Gen
- TR/Buzus.ajst

dazu sind mir die folgenden Dateien aufgefallen:

- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\388.exe
- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\a.exe
- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\protocol.exe
- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\lsass.exe
- C:\RECYCLER\S-1-5-21-7031009475-7471204206-886289494-8409\winservices.exe


Hier die Log von HijackThis:

Der Versuch den Eintrag C:\RECYCLER\...winservices.exe zu fixen hat nicht geklappt.

- eScan hat mir mitgeteilt, dass die Autorun.inf der beiden Partitionen C und D infiziert sein sollen (Fujack / NetSonic)

- SuperAntiSpyware hat dies gefunden:

Leider war die Behandlung bisher nicht erfolgreich.

Gibt es noch Hoffnung?

Hi,

zuerst alle Tools runterladen, installieren (MAM) und dann offline gehen, Bereinigung durchführen und dann online gehen.

Bereinigen (nur download):
Anleitung & Download: http://www.trojaner-board.de/51464-anleitung-ccleaner.html
Die Registry (blaues Würfel-Symbol linke Seite) musst du mehrmals durchsuchen und bereinigen lassen, bis nichts mehr gefunden wird.
Installation des cCleaners ohne die Toolbar! Benutzerdefinierte Installation wählen.
Dann startest du den Rechner im normalen Modus neu.

MAM (installieren und updaten):
Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Fullscan und alles bereinigen lassen! Log posten.

combofix:
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.

Disinfector:
Autorun-Vrius und Autorun disablen!
\Autorun.inf
\resycled
\resycled\boot.com
Lade Dir den Flash_disinfector auf den Desktop, starte ihn und folge den Anweisungen...
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

Beschreibung ausdrucken, offline gehen:

Disinfector:
Deaktiviere den Hintergrundwächter deines AVP und (falls vorhanden) den TeaTimer.
Schließe jetzt alle externe Datenträger mit gedrückter Shift-Taste an Deinen Rechner (Autoplay wird unterbunden).
Starte den Flash Disinfector mit einem Doppelklick und folge ggf. den Anweisungen.
Wenn der Scan zuende ist, kannst du das Programm schließen.
Starte Deinen Rechner neu.

CCleaner:
Die Registry (blaues Würfel-Symbol linke Seite) musst du mehrmals durchsuchen und bereinigen lassen, bis nichts mehr gefunden wird.
Installation des cCleaners ohne die Toolbar! Benutzerdefinierte Installation wählen.
Dann startest du den Rechner im normalen Modus neu.

MAM:
Komplettscan und alles bereinigen, Log speichern!

Combofix:
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.

Hinweis: unter : C:\WINDOWS\erdnt
wird ein Backup angelegt.

Online gehen und alle Logs poste...

chris

Erstmal herzlichen Dank für die Hilfe.

Wie beschrieben hab ich die vier Programme genutzt.

- Der erste MAM-Log nach dem ccleaner:

- Der zweite MAM-Log nach Disinfector und zweitem ccleaner

- und abschliessend der Combofix-Log:

- der letzte HjackThis-Log

So weit erstmal...

Hi,

HJ-Log ist sauber, aber im combofix-Log gibt es das ein oder andere:


Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

chris

Nun hab ich die vier Dateien überprüfen lassen. Alle ohne Befund:

- R.com:
- T.com:

- eEmpty.exe:

- Die Datei vshost.exe ist nicht zu finden. Nur die svhost.exe mit folgendem Ergebniss:


Mir ist gerade aufgefallen, dass beim Anstöpseln des USB-Sticks, kein Autostart mit was-wollen-sie-tun-Menue mehr erscheint und dieser im Fenster ´Arbeitsplatz´ nicht als Wechseldatenträger sondern als Ordner angezeigt wird. Und beim direkten Doppelklick kommt die Fehlermeldung "vshost" konnte nicht gefunden werden...

Hi,

hmm, nicht gut...
vshost.exe -> http://www.prevx.com/filenames/14990...HOST2EEXE.html
oder machst Du etwas mit VisualStudio?
Visual Studio Hosting Process -> vshost.exe

Nun stellt sich die Frage, finden wir sie nicht weil ein Rootkit noch aktiv ist, oder weil sie schon runtergelöscht wurde?

Avira-Antirootkit
Downloade Avira Antirootkit und Scanne dein system, poste das logfile.
http://dl.antivir.de/down/windows/antivir_rootkit.zip

Das die keine Abfrage mehr kommt dürfte an der Immunisierung liegen,
und das die vshost.exe nicht gefunden wird, dürfte an den Mountpoints liegen:
Mountpoints ausgeben:
http://forums.techguy.org/attachment...diagnostic.zip
Auf den Desktop downloaden, auspacken und per Doppelklick starten.
Es wird eine Datei Diagnostic.txt erstellt, die im Notepad angezeigt wird.

Abkopieren und im Forum posten!

chris
Ps.: Bin morgen unterwegs und daher nicht erreichbar...
Prüfe ob die vshost.exe unter c:\ liegt (C:\vshost.exe)

Direkt mach ich mit VS nichts.
Ich wüßte auch kein Programm, was VS als Anwendung braucht und mitinstalliert hat.

- Avira-Antirootkit hört augeblicklich nach dem Start auf und gibt 0 versteckte Dateien aus:

...und läßt sich gerade nicht ein weiteres Mal aufrufen...

/edit:

- Hier die Mountpoints:

Hi,

Download Registry Search by Bobbi Flekman
<http://virus-protect.org/artikel/tools/regsearch.html>
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)
in edit und klicke "Ok".
Notepad wird sich oeffnen - poste den text
Bevor wir die Mountpoints rausnehmen, möchte ich wissen was es ist...

Hat jetzt Avira scannen können oder nicht?

Bin heute den ganzen Tag unterwegs, daher nicht erreichbar...
(werden heute so knappe 1.000 km mit Auto werden...)

chris

Da wünsche ich Dir mal freie Strassen und ein gutes Durchkommen für deine Tour.

- Avira-Antirootkit hat geklappt. Die Log ist im letzten Beitrag unter /edit:
Mir ist nur aufgefallen, dass das Programm fast augenblicklich zu dem Ergebniss kommt.

- Hier die Treffer von regsearch:

Bis denn...

Hi,

Autostarteinträge reparieren:
http://www.microsoft.com/downloads/details.aspx?familyid=C680A7B6-E8FA-45C4-A171-1B389CFACDAD&displaylang=en

So, probieren wir mal Blacklight:
http://virus-protect.org/artikel/tools/rootkithook.html
Blacklight-Logfile posten. Sein Pfad wird etwa so lauten: C:\fsbl-xxxxxxxxxxxxxx.log, wobei die 'x' für Ziffern stehen

chris

Huhu,

- die Autostarteinträge hat die Autofix repariert. Zum Schluss kam beim DVD-LW und USB-Stick allerdings die Fehlermeldung, dass Autoplay V2 nicht gefixt werden kann:

- Blacklight scannt und findet nichts.

Hey!

Ich habe genau dieselbe Symptomkonstellation wie du. Was ich bisher herausgefunden habe:

Die Symbole im Arbeitsplatz sind umgeleitet auf eine Datei namens vshost.exe. Immer wenn du auf eine der Festplatten klickst fungiert der Prozess vshost.exe als Explorer (sieht genauso aus), aber macht mit Sicherheit irgendetwas anders, z.B. eben sich selbst nicht anzeigen.

Auf meinen Festplattenbuchstaben C:/ D:/ und E:/ gab es jeweils die Datei
X:/vshost.exe. Sehen konnte ich sie aber nicht. Ich konnte die Prozesse aber mit einem Tastmanager-Ersatz beenden (habe Daphne benutzt) und dann löschen lassen.

Darauf bin ich heute morgen gestoßen. Das neuste Update von Avira AntiVir scheint diese Datei im Gegensatz zum gestrigen zu erkennen.

Ich glaube aber nicht daran, dass das die ganze Geschichte ist.

Moin

Brille - Fielmann

MFG

Hi,

so jetzt bin ich am Ende von meinem Latein...
Der Rechner scheint soweit sauber zu sein, allerdings sind Einstellungen verbogen worden...

Wenn Du Dich mit Regedit auskennst, diesen Eintrag löschen:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ab47e45c-4485-11dd-9435-aea961e75ac1}\Shell\AutoRun\command]

System Reparieren:
Vorher ggf. Backup machen
Lade Dir "Advanced Windowscare Professional" von folgender Adresse:
http://www.iobit.com/advancedwindowscareper.html?Str=download
Installieren auf Deutsch, Yahoo-Toolbar etc. abwählen.
Erstelle einen Systemwiederherstellungspunkt
(Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen) oder lasse ihn automatisch erstellen.
Führe dann einen Update der Signatur/Reperaturdateien aus.
Lasse dann das gesamte System scannen und Bereinigen sowie
Immunisieren.
Damit werden einige Einträge wieder gerade gebogen, die von
Trojaneren/Viren verbogen worden sind...

chris

@nochdigger: Vielleicht fällt Dir noch was ein...

Hallo Ihr

bei meinen post war ich mit den Fingern schneller als mit den Augen, darum die Brille;) (kann aber auch am Fieber liegenhttp://img374.imageshack.us/img374/1771/badcold5qz.gif)

In diesem Post scheint die vshost.exe direkt unter C:\ zu liegen, schau mal nach evtl- ist sie ja noch da.
vladpuscasu[split] - Softpedia Forum
bzw. direkt den Pfad bei Virustotal reinkopieren
MFG

EDIT: hier handelt es sich wohl um den selben Freund http://www.trojaner-board.de/69491-t...der-buzus.html

- den Reg-Eintrag hab ich gelöscht

- Advanced Windowscare Professional hab ich installiert und ausgeführt.

Nun funktionieren meine üblichen Abläufe wieder wie gewohnt.

USB-Stick und DVDs werden wieder korrekt erkannt und wie gewohnt angezeigt. :Boogie:

Herzlichen Dank für die Zeit, die vielen Ideen und Hilfestellungen.


Gibt es die Möglichkeit die Combofix Wiederherstellungskonsole und die dazugehörigen Dateien auf C:/ zu in einem Wisch zu deinstallieren? Bin etwas ordnungvernarrt.

/edit:
@nochdigger: Die vshost.exe ist nirgends zu finden. Sie war nicht auf D:/, C:/, C:/Windows/ oder C:/Windows/system32/

Wenn ich die Datei mit den drei Nummern (Bsp: 688.exe) im Temp-Ordner ausgeführt habe, ist die vshost.exe kurz im selbigen erschienen. Da mir S&D Zugriffe in die Reg anzeigt und bestätigt haben möchte und ich den Zugriff nicht bestätigt habe, ist die Datei gleich nach dem Schließen der S&D Anfrage wieder verschwunden.

Alles in Butter. Hab alles gefunden.

- Combofix hab ich mit Start->Ausführen->"combofix /u" deinstalliert
- Die Wiederherstellungskonsole mit dem Edit der Boot.ini wegbekommen. (Löschen des Eintrages: C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons)

Nochmal herzlichen Dank für die Hilfe.