|
TR/Dropper.Gen auch bei mir... Hallo.. auch ich habe mir den Dropper eingefangen.. HJT-Log: Code: Logfile of Trend Micro HijackThis v2.0.2Auffällig sind ja die ganzen Banken da drin o.O Ich hab btw schonmal die Systemwiederherstellung deaktiviert, den Dropper mit Antivir runtergeschmissen und den PC neugestartet, (Systemwiederherstellung wieder aktiviert) den CCleaner drübergejagt und dann den HJT.. Bin ich ihn los? muss ich noch was machen? Danke schonmal im vorraus für eventuelle Hilfe.. :) Edit: Nochmal den bericht von AntiVir: Code: Die Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\woymsqy.exe' |
Hallo Tegrity Lade bitte Malwarebytes und lass es nach Anleitung laufen |
Irgend etwas unklar ? |
ne.. danke schonmal für den tipp. Malwarebyte läuft schon seit 25 Minuten und hat bislang nichts gefunden. Ich poste den report wenn ich fertig bin.. k? Edit: Er is inzwischen im system32.. dauert also nicht mehr lang.. Edit2: Windows-Partition C: ist scheinbar sauber.. 0 Infizierte Objekte |
Wo kommen die Ganzen Hosts her? Achtung:Eine Bereinigung kann sehr viel Zeit in anspruch nehmen und man kann sich nie 100%sicher sein,ob das System auch wirklich sauber ist!! Code: O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINDOWS\MSmedia.exe (file missing)Ist deine Firewall aktiv? Lässt sich Windows updaten? Kannst du dein AntiVir Programm updaten? Ich würde hier neu aufsetzten empfehlen wenn du bereinigen willst,hoffe ich,du bist dir über die Gefahren die sich dahinter befinden im klaren(OnlineBanking etc) keine Programme downloaden oder löschen während der Reinigung Systemwiederherstellung deaktivieren Starte im Abgesicherten Modus(mehrmals F8 drücken beim hochfahren) Starte HJT-->Config-->Misc Tools-->Open Hosts file Manager-->Delete line Lösche alle Hosts Neu starten Start-->ausführen-->cmd(reinschreibn)-->ok nun bist du im Dos Hier prompt reinschreiben;sc stop MicroSoft Media Tools-->enter sc delete MicroSoft Media Tools-->enter Neu starten neue Logfile posten Wenn es Probleme gibt bitte stoppen und so genau wie möglich schildern Nichts auf eigene Faust unternehmen |
Wo die ganzen Hosts herkommen? ich habe keinen blassen Schimmer.. Das was du da in dem Code gepostet hast ist ein Wurm? o.O Wieso hat AntiVir den nie gefunden? Letztes Antivir-Update ist von heute. Windows lässt sich updaten. Firewall ist die Windows-Firewall und die ist aktiv. Lohnt sich neu aufsetzen noch? Ich werd im April vermutlich einen neuen PC haben.. lässt sich das neu aufsetzen bis dahin aufschieben? Und lässt sich feststellen, wie lange das Ding schon bei mir auf der festplatte wütet? |
Ich würd mich mit einem Backdoor nicht spielen Wie gesagt wir können es nicht zu 100% garantieren das wir alles weg bekommen Verzichte auf jeden fall auf online Banking etc Zitat:
Ich kann dich zu nichts zwingen ;) Zitat:
Entfernen wir mal die ganzen Hosts Vielleicht meldet sich jemand mit mehr Erfahrung was diesen Eintrag angeht Ich finde keine Anzeichen darauf das dies ein Legitimer Eintrag ist |
also entfern ich jetzt die Hosts und entferne die "Media Tools" ? E: und noch eine Frage: Kann die externe Festplatte infiziert werden oder es schon sein? |
richtig :daumenhoc |
Die Hosts hab ich rausgeschmissen. 127.0.0.1 hab ich drin gelassen. In der Liste stand noch was vom Spybot search & destroy. nun hab ich im Dos "sc stop MicroSoft Media Tools" eingegeben. er sagt: [SC] OpenService FAILED 1060: Der angegebene Dienst ist kein installierter Dienst. Sollte ich die Dos-Eingabe im normalen oder im abgesicherten Modus machen? Edit: Und noch eine Frage. Können über den Wurm meine Zugangsdaten in einem Onlinespiel eingesehen werden? |
So sieht's im HJT nun aus: Code: Logfile of Trend Micro HijackThis v2.0.2Code: O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINDOWS\MSmedia.exe (file missing)Ich hab nen XP-Update gemacht (und kann schonwieder neue Updates laden..) was nun? Edit: Ich hab AntiVir mal aggressiv eingestellt. Folgendes wurde gefunden: Code: C:\Windows\system32\closeapp.exe |
Hallo das mit den Hosts hat ja super hingehauen Eine version haben wir noch :D Kümmern wir uns mal in ruhe um diesen Dienst ;) Wenn noch wo was ist das werden wir es schon noch finden aber der gehört als erstes raus Bitte alle Schritte nacheinander abarbeiten--sollte etwas nicht funzn.stoppen und Meldung :D START--> Systemsteuerung---> Verwaltung---> Dienste---> Dienststatus---> Microsoft Media Tools 'beenden' wählen--> Starttype deaktiviert auswählen von: O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINDOWS\MSmedia.exe (file missing) HijackThis > misc tools > delete a file on reboot, wähle die zu löschende Datei, beantworte die Frage zum Neustart mit JA: MSmedia.exe fixe mit Hijackthis den Eintrag Bei dir läuft Bonjour,benötigst du es,wird von Apple ungefragt installiert. Wenn nicht-->Systemsteuerung-->Software-->Deinstallieren Wenn alles Klappt Lasse MalwareBytes und SuperAntiSpyware nach Anleitung laufen Deaktivier dein AntiVir Programm Dein System Online Scannen lassen bei F-Secure Unbedingt mit IE ins netz gehen Active X erlauben Auf Vollständigen Scan umstellen Bei Funde--->Automatisch bereinigen--->Berichte zeigen-->Auswertung auf dem Desktop speichern Vollständiger Scan mit deinem AntivirProgramm Nächster Post File von MBAM File von SuperAntispywar F-Secure Auswertung Avira Auswertung HJT Logfile |
Also im Dienste-Fenster steht: MicroSoft Mediatools Status: Nichts Autostarttyp: Deaktiviert Das File zum löschen mit HJT finde ich nicht, C:\Windows\MSmedia.exe sehe ich da nicht. Zum entfernen von Bonjour hab ich mal in einem anderen Thread schon nen Link zu einem Tool gesehen.. Edit: Ich habs jetzt einfach mal im Pfad eingegeben und ihn rebooten lassen. (auf dem desktop öffneten sich beim start dann 2 DOS-Fenster) Bonjour hab ich runtergeschmissen und nu lass ich Malwarebyte drüberlaufen.. |
Okay Vl biste im Falschen fenster -->ich sehs ja nicht Start-->ausführen-->service msc(reinschreiben) Doppelklick auf MediaSoft.... Jetzt sollte Links im Fenster Dienst beenden stehen-->klicken :D Danach im HJT meine Anleitung ausführen Im Menü--->C:--->Windows--->und MSmedia suchen,exe steht nicht dabei |
Start-->ausführen-->service msc führt zu: "service" konnte nicht gefunden, stellen sie sicher dass sie den Namen richtig geschrieben haben... usw. |
Upps :headbang: Services.msc ;) |
Liste der Anhänge anzeigen (Anzahl: 1) Ich war im richtigen Fenster vorhin, es öffnet sich jetzt das gleiche. Im Anhang mal ein Screen.. Ich habe übrigens eben nochmal mit HJT gesucht und im Windows-Verzeichnis den Ordner "Media" geöffnet, im selben Moment hat AntiVir was gefunden... Siehe im Anhang Edit: Google findet zum Hacktool eine dubiose Seite..: http://www.google.de/search?q=SPR%2F...ient=firefox-a okay.. mein name ist jetzt drauf auf dem Screen, aber das ist relativ egal (nur der Vorname) |
Genau so und jetzt versuch Start Ausführen sc delete MicroSoft Media Tools |
Ein Dos-Fenster öffnet sich und schließt sich gleich darauf wieder.. |
Keine Fehlermeldung?? :aplaus: Starte HJT Fixe diesen Eintrag wenn er noch da ist Danach im Abgesicherten MBAM Und superAntiSpyware und Avira Laufen lassen Sollte sich dieses Hacktool finden lassen und wurde es gelöscht den Online scan durchführen Wenn nicht,Die 3 logfiles posten und ein neues HJT |
Poste mir bitte die eine Auswertung von Deaktivier dein AntiVir Programm Dein System Online Scannen lassen bei F-Secure Unbedingt mit IE ins netz gehen Active X erlauben Auf Vollständigen Scan umstellen Bei Funde--->Automatisch bereinigen--->Berichte zeigen-->Auswertung auf dem Desktop speichern |
Auswertung wovon? |
F-Secure ;) |
Code: Scanning Report |
und nun..? |
Zitat:
Jeder kommt dran Kurz eine NachKontrolle Malwarebytes im Abgesicherten Modus laufen lassen SuperAntiSpyware im Abgesicherten Modus laufen lassen Logfiles Speichern Nun in den Normalen Modus booten-->neue HJT Logfile erstellen Nächster Post Alle 3 Logfiles |
so.. alleine vier Stunden für den SuperAntiSpyware.. Hier erstmal die Log vom MBAM: Code: Malwarebytes' Anti-Malware 1.34Code: SUPERAntiSpyware Scan LogCode: Logfile of Trend Micro HijackThis v2.0.2 |
Antivir hat das Hacktool wieder gefunden..: C:\Dokumente und Einstellungen\*****\...\VNCHooks.dll Enthält Erkennungsmuster des SPRHacktool.32768.C Ich lass AntiVir jetzt nochmal durchs restliche System laufen und poste danach den Bericht... |
So.. nun der Avira-Report. Die 15 Stunden Laufzeit sind entstanden, da ich den Filewalker abends pausiert, den PC in den Ruhezustand gefahren und AntiVir dann heute zuende hab laufen lassen. Code: Ich überspringe die mal. Das Ende: Code: |
Hallo Hast du versucht dieses Hacktool manuell zu löschen Folge dazu einfach den Pfad des Eintrages Ansonsten---> Lade F-Secure Blacklight herunter starte es mit Doppelklick auf die exe Lade dir CCleaner und führe es laut Anleitung aus Lade dir ComboFix von BleepingComputer.com Speicher es auf deinem Desktop Nimm den Rechner vom Netz-->deaktivier alle Hintergrundwächter und dein AntiVir Programm Bitte nicht die Maus während Combofix läuft bewegen oder etwas anklicken. Dies könnte Combofix zum Absturz bringen Starte nun combofix.exe Lese dir nun die Warnmeldung und Disclaimer genau durch-->mit Ja bestätigen Es öffnet sich ein blaues Fenster Schreibe 1-->enter Nun musst du einen Systemwiederherstellungspunkt erstellen-->Folge dazu genau den Anweisungen der Scan folgt Das log wird unter combofix.txt erscheinen Alles markieren-->strg+C-->und mit strg+v in den Thread einfügen Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Alle Logfiles Komplett posten |
Das SPR/Hacktool.32768.C hab ich bereits gestern mit Avira entfernt.. Ich hab grad nochmal in den angegebenen Ordner geguckt und die Datei dort nicht gefunden. Um sicher zu gehen hab ich den PC neugestartet und nochmal nachgesehen - sie ist nicht mehr da. Wenn ich das richtig verstanden habe, kann ich die Schritte mit F-Secure, CCleaner und Combofix überspringen? |
Machen wir es Trotzdem Ich trau dem Trojaner nicht der was noch angezeigt wird ;) |
Vorab schonmal F-Secure Blacklight: Code: 02/24/09 21:17:28 [Info]: BlackLight Engine 1.0.67 initializedCode: REINIGUNG komplett - (113.127 Sek)Ich deaktiviere Zonealarm, Antivir und SUPERAntiSpyware, kappe die verbindung zum Netz und Starte ComboFix.exe - Das kleine Feld mit dem Ladebalken erscheint und dann die Meldung, dass ich AntiVir Personal Edition Classic beenden solle. Dabei hab ich den beendet, und er steht 6x in der Liste von Combofix. Nun, anschließend geh ich in den Task-Manager um sämtliche AntiVir-Prozesse zu beenden und versuche erneut, ComboFix zu starten: wieder das selbe, auch nach neustart und weiteren Versuchen.. |
Hallo Alles der Reihe nach abarbeiten Bitte lade dir SDFix.exe von Andy Manchster herunter * Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken. * Starte deinen Rechner neu auf, in den abgesicherten Modus * Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten. * Gib ein Y ein, um den Reinigungsprozess zu beginnen. * Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet. * Nun wirst du darum gebeten, einen Taste zu drücken, damit dein Rechner neu aufstarten kann. * Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet. * Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen. * Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden. * Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern. * Kopiere den Inhalt dieses Report.txt und poste ihn Danach MalewareBytes laufen lassen Systemwiederherstellung Deaktivieren Start-->Ausführen-->cleanmgr(reinschreiben) Häckchen bei-->Übertragbare Datein;Temporäre Internetdatein;Papierkörb;Temporäre Datein--->OK Start-->Ausführen-->%temp% CCleane starten--> Cleaner-->Analysieren-->Klick auf den Button Start CCleaner "Registry""Fehler suchen"--> "Fehler beheben"-->"Alle beheben" Starte dein System neu auf SuperAntiSpyware im Abgesicherten Modus verwenden Kaspersky - Onlinescanner Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware. ---> hier herunterladen => Online-Viren-Scanner => Hinweise zu älteren Versionen beachten! => Voraussetzung: Internet Explorer 6.0 oder höher => die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter => Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken => Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als => Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten => Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen Erstelle ein neues HJT-Log Alle Files Posten,wenn möglich der Reihe nach posten :daumenhoc |
So.. nun: SDFix Code: SDFix: Version 1.240 Code: Malwarebytes' Anti-Malware 1.34Code: REINIGUNG komplett - (1.596 Sek)Code: SUPERAntiSpyware Scann-ProtokollCode: ------------------------------------------------------------------------------- |
Über 25000 Zeichen.. hier gehts weiter: HiJackThis Code: Logfile of Trend Micro HijackThis v2.0.2 |
Noch mal nen HJT von heute: Code: Logfile of Trend Micro HijackThis v2.0.2 |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:40 Uhr. |
Copyright ©2000-2025, Trojaner-Board