|
USB-Stick infiziert? Hi, das Problem: Ich war bei einer Freundin und habe ihr mit meinem USB-Stick die Viren mit Malwarebytes und der Aktuellen version von Antivir versucht zu entfernen. Klappte alles prima, bis ich den USB-Stick in mein PC gesteckt habe. Avira Meldung, wenn ich auf meinen USB doppelklicke: C:\WINDOWS\sytem32\drivers\klif.sys Enthällt Erkennungsmuster des Rootkits RKIT/Agent.3488.1 (Sie hatte auf ihrem PC Kaspersky, was allerdings überhaupt nicht mehr funktioniert hat!!! ... hab auch gelesen, es kann ne Datei von Kaspersky sein .. ich habe aber kein Kaspersky!!!) Naja, bevor ich formatiert hatte, sind noch mehrere Meldungen gekommen. Irgendwas mit Rootkit auch.Was soll ich denn jetzt anstellen? Und vor allem: Die neuste Version von Avira und Malwarebtes hat auf ihrem PC nichts mehr gefunden. Heißt das auch, da war nichts mehr, oder sollte ich mir jetzt doch Sorgen machen? Sie wollte 100% nicht formatieren, weil sie eine Windows Home Lizenz installiert bekommen hat von einem Unternehmen, aber keien XP-CD dazubekommen hatte. Hatte mich etwas stutzig gemacht. Aber irgendwelche Tipps für mich? |
Hi, Also das ist sehr merkwürdig.Was hast du auf dem USB-Stick drauf gehabt? und Zitat:
MFG grandic11 |
:hallo: Zitat:
Stelle die Autostartfunktion für USB ab wenn du so etwas noch einmal machst :) Es besteht jz die Möglichkeit das du auch diesen Rootkit am Rechner hast Ein USB stick ist ja auch ne Platte :D Und MBAM Findet wahrscheinlich keine Rootkits-->dafür sind andere Tools was man ohne Unterstützung nicht verwenden sollte Zitat:
Dann bitte Unterstützung aufsuchen(Firma) Wenn nicht--> Mein Tipp.Deine Freundin soll ins Netz gehen und sich die Freeware von Avira holen(falls diese noch nicht oben sein sollte) Danach hier melden und wir sehen mal ob da noch was da/bzw zu retten ist Auch du solltest diese Anleitung aufmerksam lesen und dann gucken wir uns das an :D |
Also meinst du, ich soll jetzt das HiJackThis-File posten? Also Sie konnte überhaupt nix mehr machen und es war definitiv ein Virus. Malwarebytes hat auch super angeschlage bei ihr und relativ viel (6-8 Funde) gefunden) und gelöscht. Danach ging der PC wieder und hat sich nciht mehr aufgehängt. Danach habe ich Avira bei Ihr draufgemacht ... auch geupdatet und alles ... und ja ich habe MEINEN USB Stick Formatiert, aber bei MIR zuhause. Ich hab auch jetzt Avira bei mir drauf und es meldet Funde ... aber nur, wenn ich den USB-Stick reinstecke und öffnen will. Ansonsten ist alles ok. Ich denke auch nicht, dass ich infiziert bin. Ich hoffe!!! Ich dachte eher nur an sowas wie: Der Virus läst sich nciht vom USB Stick löschen ... wie lösche ich ihn trotzdem mit gewalt :D Zu den Fragen: Sie nutzt den PC nicht gewerblich!! Und Kaspersky hat irgendeine Meldung ausgegeben udn danach ging überhaupt nichts mehr an dem PC. Also es hat sehr lange gedauert, bis endlich mal ein Ordner geöffnet war ... Als Malwarebytes alles zum Schluss entfernt hatte, musste man auch ne Minute oder so warten ... normal geht das ja in ein Paar Sekunden. Aber als es Entfernt, neugestartet wurde ihr PC, ging alles wieder ohne Probleme udn ich hab nru noch zur sicherheit Avira draufgeamcht. Auch keine Probleme mit dem Upate gehabt. Hier mein LogFile: Code: Logfile of Trend Micro HijackThis v2.0.2Das kommt mir komisch vor, ich versuch mal zu entfernen. Obwohl nicht so viel Plan, wie ich das mache. |
Hallo In der Anleitung sind mehrere Punkte zum Abarbeiten Bitte machen ;) Und schliesse den USB und eventuell vorhandene Exterene Speichermedien mit an Zitat:
Ne scherz ;) |
Zitat:
Also ich habe grad den CCCleaner Laufen lassen ... Registry Überprüfung geht nru bis 14 % und danach stoppt es ... also geht nicht weiter ... ich lasse es aber offen und mache Malwarebytes auf: Ok, Malwarebytes Hängt sich auf, nachdem ich ihn das Laufwerk "J" durchsuche, in dem gerade mein USB-Stick steckt. Hier ncohmal mein "neues-altes" Log-File: Code: Logfile of Trend Micro HijackThis v2.0.2 |
Zitat:
Wenn wir sie entfernen können Bitte lade dir RootkitRevealer herunter Trenne dich nun vom Netz-->Wlan nicht vergessen Entpacke es in C.\Programme\ Starte RootkitReavealer.exe und schliesse alle Programme Wenn der Scan beendet ist mit File-->Save das Logfile Speichern Ergebniss hier posten |
Hi, hab das Programm laufen lassen und beim SaveLog ist es abgestürzt ... ich versuche es nochmal: Hier ein Hinweis noch: ___________________________ Beim Durchlaufen Hat Avir angeschlagen : ___________________________ C:\System Volume Information\...\A0069363.com Ist ein Trojanisches Pferd: TR/Crypt.XPACK.Gen C:\System Volume Information\...\A0069365.com Ist ein Trojanisches Pferd: TR/Crypt.XPACK.Gen ___________________________ ImTaskmanager: ___________________________ GRGZXZ.exe drwtsn32.exe 5840K, 3096K _______________________ Was ich heute sonst noch so gelöscht habe mit Avira: _______________________ In der Datei 'E:\System Volume Information\_restore{E471F67D-4826-4090-9936-54571DEF57E3}\RP149\A0069363.com' wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden. Ausgeführte Aktion: Datei löschen In der Datei 'F:\System Volume Information\_restore{E471F67D-4826-4090-9936-54571DEF57E3}\RP149\A0069365.com' wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden. Ausgeführte Aktion: Datei löschen In der Datei 'C:\WINDOWS\system32\drivers\klif.sys' wurde ein Virus oder unerwünschtes Programm 'RKIT/Agent.3488.1' [trojan] gefunden. Ausgeführte Aktion: Datei löschen HABE ICH SCHON SEHR OFT GELÖSCHT!!! In der Datei 'C:\WINDOWS\system32\drivers\klif.sys' wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.Agent.3488' [trojan] gefunden. Ausgeführte Aktion: Datei löschen HABE ICH SCHON SEHR OFT GELÖSCHT!!! In der Datei 'C:\WINDOWS\system32\bgotrtu0.dll' wurde ein Virus oder unerwünschtes Programm 'TR/Vundo' [trojan] gefunden. Ausgeführte Aktion: Datei löschen In der Datei 'C:\WINDOWS\system32\drivers\klif.sys' wurde ein Virus oder unerwünschtes Programm 'RKIT/Agent.3488.1' [trojan] gefunden. Ausgeführte Aktion: Datei löschen In der Datei 'C:\WINDOWS\system32\bgotrtu0.dll' wurde ein Virus oder unerwünschtes Programm 'TR/Vundo' [trojan] gefunden. Ausgeführte Aktion: Datei löschen In der Datei 'C:\WINDOWS\system32\drivers\klif.sys' wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.Agent.3488' [trojan] gefunden. Ausgeführte Aktion: Datei löschen _________________ Ich starte den Rootkitscanner nochmal..... und versuche dabei hier diese Programm runterzuladen .... keine Ahnugn, ob es was bringt: h**p://www.virusremovalguru.com/?p=1477 |
Hallo Nimm den rechner vom netz deaktivier dein AntiVir Programm lass RootkitRevealer noch einmal laufen Zitat:
Zitat:
Danke |
Hey, also danke schonmal für die Hilfe! Ich bin echt froh, dass es solche Leute wie euch gibt! Mein Log: Also das RootkitProgramm ist wieder abgestürzt als ich speichern wollte und auf dem Desktop war auch nichts. Als ich es aber wieder geöffnet hatte und vor dem Scann abspeichern wollte, war die Datei immern coh da und ich konnte sie aus dem SpeicherFenster heraus nochmal öffnen und richtig abspeichern. Rootkit-Revealer-Log: Zitat:
C:\Documents and Settings\Skull\Local Settings ... der Ordner "Local Settings" wird schon nciht angezeigt, da versteckt ... cih kann übrigens auch nicht mehr auf "Unsichtbare dateien anzeigen" umstellen .... also es wird immer wieder zurückgesetzt. Ich msus es manuell in die Adressleiste eingeben, dann gehts. |
Moin Schliesse bitte Alle externen Speichermedien an Lade dir ComboFix von BleepingComputer.com Speicher es auf deinem Desktop Bitte nicht die Maus während Combofix läuft bewegen oder etwas anklicken. Dies könnte Combofix zum Absturz bringen Starte nun combofix.exe Lese dir nun die Warnmeldung und Disclaimer genau durch-->mit Ja bestätigen Es öffnet sich ein blaues Fenster Schreibe 1-->enter Nun musst du einen Systemwiederherstellungspunkt erstellen-->Folge dazu genau den Anweisungen der Scan folgt Das log wird unter combofix.txt erscheinen Alles markieren-->strg+C-->und mit strg+v in den Thread einfügen |
Hi, also das Programm ist echt genial (es ist auch nicht abgestürzt, als ic die Maus bewegt habe :P) ... ich sollte zwar die Widerherstellungskomsole installieren, aber dann hats alles weggemacht, soweit ich beurteilen kann. Zitat:
Mal ne Frage ... wieso hat dieses Programm jetzt funktioniert und alle anderen Programme sind abgestürzt, oder haben nix gefunden? |
Lege folgenden Ordner an:C:\Programme\regsrch Download von regsrch-zip von Bobbi Flekman und entpacke es in den erstellten Ordner Nun starte regsrch.vbs und und gib als Suchzweig kva8wr.exe ein wenn der scan beendet ist öffnet sich ein Editorfenster Keine Funde bitte Rückmeldung Bei Funden bitte Text posten Wiederhole dies mit uweyiwe0.dll |
Ohje ... woher kennt ihr euch eigentlich so gut aus?? Studiert, oder wie?^^ Also das Programm von Bill James ... steht da gibt nach der Suche aus: Search completed in 12 seconds. 1 instances of "kva8wr.exe" found. Click OK to open Results in WordPad. Klick OK ... Script: C:\Programme\regsrch\RegSrch.vbs Line: 76 Char:1 Error: The system cannot find the file specified. Code: 80070002 Source: (null) Klick ok ... alles weg. Kanns sein, dass diese Ausgabe erscheint, weil ich in "msconfig" bei "startup den "C:\WINDOWS\system32\kva8wr.exe" "Location: Software/Microsoft/windows/CurrentVersion/Run" "disabled" habe, nachdem es nach Allem immer noch "enabled" war? Vom Zweiten sind keine Instanzen mehr gefunden worden. |
Ne in jedem System gibt es einen Ablauf und den kann man lernen Es erfordert aber sehr viel Arbeit,Zeit und Selbstudium um es auch zu verstehen Anleitungen von Tools posten kann jeder,das schwierige daran ist es auch richtig zu machen Ich will aber Sichere Informationssysteme studieren ;) Zitat:
Bitte posten wenn es noch auffindbar ist |
Achsoo ist das ... und ich frag mich immer, wie man so nen Plan haben kann ...ich hab auch nicht wenig Plan, aber so viel auch wider nicht.... Also ... ich hab mal das Programm verändert uuuuh :D Wenn dieser Fehler aufgeht: Zitat:
Also "WordPad " durch "Notepad " ersetzen (Leerzeichen danach nicht vergessen!) Falls es irgendjemandem nutzen sollte .... #Mein Code: Zitat:
|
Nicht gut :( Dieser Eintrag ist der hier-->Thread Expert Start--Ausführen-->notepad(reinschreiben) Kopiere nun die Zeilen aus der CodeBox und speichere es auf deinem Desktop unter CFScript.txt *** Danach alle Browser schliessen Alle offenen Programme schliessen Ziehe nun das CFScript in das ICON von ComboFix ComboFix startet Automatisch Bitte keine Aktionen am Rechner auch nicht mit der Maus CF erstellt ein LOG was du unter C:\combofix.txt findest An alle Mitleser: Dieses Script wurde ausschlieslich für diesen Rechner erstellt und sollte auf keinen Fall auf andere Rechner verwendet werden Dies als Antwort hier posten Achtung dieser Schritt kann zu einigen Problemen führen mit dem Rechner Es erfolgt auschliesslich auf eigene Verantwortung!!!!!!! Solltest du es nicht machen wollen teile mir das bitte mit ;) |
Zitat:
Aber die Sachen haben wir doch alle weggemacht, bis auf diesen einen eintrag, den ich jetzt in das Programm gezogen habe? Also für mcih siehts eignetlich ganz gut aus bis jetzt. Wieso meinst du, es ist schlecht? |
Gab es irgendwelche Aufälligkeiten??? Wenn nicht-->:Boogie: Code: 2009-02-22 21:43 --------- d-----w c:\documents and settings\Skull\Application Data\uTorrentIch gebe dir einen Rat den du dir auch zu herzen nehmen solltest Torrent ist ein P2P wo du eventuell zu illegalen Handlungen verleitet wirst Über solche Plattformen verbreitet sich Malware rasend und ich bitte dich dieses Programm zu deinstallieren und auch in Zukunft die Finger davon zu lassen.Auch wenn du es seit längeren ohne Probleme verwendet hast. Malware wird leider nicht weniger und es sind sehr viele Rechner verseucht Bitte Deinstallier Torrent Lade dir bitte GMER von chip.de herunter. Rechner vom netz nehmen Alle offenen Programme schliessen USB-Stick anschliessen Starte nun GMER mit doppelklick Log hier posten Sollte es zu lang sein bitte in Teilen posten |
Nur mal ne Anmerkung: Ich konnte meine 4 Partitionen anklicken, aber den USB-Stick nicht. Weiß nicht, ob es jetzt wichtig ist? Zitat:
|
Ja ok, es ist doch nicht alles weg! Neue Avira-Meldung ... nachdem ich ne Stunde oder mehr an meinem PC inaktiv war: Code: In der Datei 'C:\System Volume Information\_restore{8CA6A1C6-F45F-419A-8ECF-FA0B93DBEA6A}\RP96\A0030315.EXE' |
Deaktivieren der Systemwiederherstellung Windows XP:
|
ok... hab ich jetzt gemacht ... aber was habe ich eigentlich damit gemacht? (das booten hat nicht so lange gedauert .. normal eher). Is der Virus jetzt weg, oder noch da? |
Avira hat den "Virus" in der Wiederherstellungskonsole gefunden, daher. Jetzt kann aber der Gentlman weitermachen :D |
Hi, hab mir "Autorun Settings" von Uwe Sieber geholt und die Autorun.inf abgestellt bei USB. Also den Hacken weggemacht. Dann habe ich "Hide protected operating system files" in meinen Anzeigeordner weggeklickt und mein USB aufgemacht. die Datei: "squdq.com" war drauf 170 kb ... oder so in der Art. Dann wurde eine Autorun.inf erstellt ...hier der code aus Notepad: Zitat:
Jedenfalls wieder den USB formatiert. Und jetzt zeigts mir nicht mehr diese komische Avira-Meldung: flifs. ... irgendwas gefunden. Ja sorry, auch grad ComboFix nochmal laufen lassen und vergessen die Log zu speichern. Sah aber so wie die erste aus! Zitat:
|
Naja :schmoll: Poste mir bitte einen Totalscan von avira Schliesse den USB stick an PS: ComboFix deaktiviert den Autostart externer Speichermedien EDIT Zitat:
|
Zitat:
|
Zitat:
Wär schon scheisse, wenns jetzt WIRKLICH befallen ist! |
Hallo Ich werde mir nun Unterstützung von einem Erfahreneren User suchen der ein CFScript erstellen wird Der Vundo will sich nicht "einfach so" löschen lassen-->Taucht dauernt auf Ich bitte dich das du uns etwas Zeit lässt weil wir gerade sehr ausgelastet sind Danke |
Danke??? Ich denke, ich muss mich bedanken :D Danke!!! Gibts ne Abschätzung, ob ich ne Woche warten muss, oder ein paar Wochen? Ich hab mein PC jetzt auch ncoh mit VundoFix.exe gescannt und keine Funde. Aber etwas irritiert mich: Im regedit hab ich nach "bgotrtu0.dll" gesucht und auch was gefunden (ich glaube was mit bgotrtu0.dll, kva8wr.exe, uweyiwe0.dll) ... also ich dann "ohne es zu löschen" nochmal danach gesucht habe, wars nicht mehr aufzufinden.... |
Ich hab schonmal geantwortet, ber da ihr euch Zeit lasst, dachte ich, es könnte auch nochmal hilfreich sein, alles zusammenzustellen. Ich hoffe es hilft: Avira Systemprüfung: Zitat:
Zitat:
Zitat:
|
Hey, CCCleaner laufen lassen und dann Combofix: Danach Vondofix ...hatte aber keien Funde. Zitat:
|
Dateien Online überprüfen lassen:
Code: c:\windows\system32\uweyiwe1.dll
Scripten mit Combofix
Zitat:
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann |
Danke für den Post... Die meisten Programme hab ich mit Combofix weggemacht und es ist nur noch das erste auf meinem PC zu finden: http://www.virustotal.com/de/analisis/7b461ff54e0e62181e8bb274f320b229 Diese hier sind aus dem Karantäneverzeichnis von Combofix: http://www.virustotal.com/de/analisis/46ccbdc2ee4ae4dcec4ac0ce4d74d9af http://www.virustotal.com/de/analisis/79fb39372cc8a0f7632c4528dc6a1551 http://www.virustotal.com/de/analisi/e97add582e47892ff39eed5a2a56c220 http://www.virustotal.com/de/analisis/6b28a110726830a379597ef6f1ab41fe Zitat:
|
Hi, wenn hier niemand Zeit hat für mich, oder mein Problem schon behoben ist, wäre es nett, wenn mir jemand davon berichten könnte ^^. Oder soll ich in ein anderes Forum gehen? Ich will hier die Leute nicht unnötig belasten, wenn sie überhautpt keine Zeit haben! (nicht ironisch gemeint) |
Hiiiiiiiiiiiiiiiiiiiiiiiiiiilfeeeeeeeeeeeeeeeeeeeeeeeee ^^ ich hab noch immer ein Virus ... wurde jetzt beim neuen Avira scan jetzt wieder festgestellt. Hat denn wirklich niemand Zeit für mich?? |
Ich denke Sunny wird sich noch melden. Aber was du jetzt erstmal machen könntest:
Die Logs hier reinstellen. mfg, Kaos |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:16 Uhr. |
Copyright ©2000-2025, Trojaner-Board