|
Festplattenzugriff nur über Explorer; Virensoftware JEDER Art kann nicht zu starten! Hallo Zusammen, ich habe nachfolgendes Problem und bedanke mich im Voraus für jede Hilfe bzw. jeden Hinweis. Ein direkter Zugriff (öffnen) auf die Festplatten vom Arbeitsplatz ist nicht mehr möglich. Über den Explorer kann ich die Festplatte öffnen. Installation von Virensoftware (Spybot, Kaspersky oder auch Malwarebytes und HighJackthislog) ist möglich aber die Programme lassen sich allesamt nicht starten. Nach Doppelklick, verändert sich der Mauszeiger für einen kurzen Moment, danach nichts mehr, als ob das Program nicht gestartet worden wäre. Ein Auslesen, LogFile oder ähnliches geht leider nicht. Kann ich noch etwas anderes versuchen? Danke und Grüße |
Hallo smuggle und :hallo: benenne die Programme einfach um Also die MBAM.exe in hups.exe etc und versuchs nochmal..... |
Hi Redwulf, warum in die Ferne schweifen... Der Virenscanner läuft, werde berichten. Danke so long |
Hallo Redwulf, der Scanner von Malwarebytes hat sich starten lassen und reichlich gefunden und behoben. Unabhängig davon lässt sich "spybot" nach wie vor nicht starten. Auch nicht, nachdem ich das Programm umbenannt habe. Auf die Festplatten ist ein direkter Zugriff nicht möglich. Ich erhalte nachfolgende Meldung: "Recycler\S-6-5-91-1000009823-100013637-100010015-3736.com" konnte nicht gefunden werden. Stellen Sie sicher, das Sie den Namen korrekt eingegeben haben und wiederholen Sie den Vorgang. Kllicken Sie auf "Start" und anschließend auf "Suchen", um die Datai zu suchen." Sag mir bitte, was ich posten soll um weitere Infos zu geben/bekommen! Danke und Gruß PS: Ich werde meinen Sohn lebenslang das Benutzungsrecht auf meinen PC entziehen! |
Ich habe ja leider nicht den Plan wie viele andere Leute hier. Wenn ich aber einigermaßen folgen konnte, wurde hier mein Thema schon behandelt. http://www.trojaner-board.de/71226-trojaner-bzw-dns-changer-rootkit.html Vielleicht kann einer mit Plan kurz mal drüber schauen und mir sagen ob ich das "einfach" so nachmachen kann. Danke |
Hi smuggle Ich hab Nachtdienst und kann dir hier jetzt zur Seite stehen. Ich denke auch das wir einen DNS Changer finden werden, den du wahrscheinlich noch nicht sehen kannst, da er sich hinter einem rootkit versteckt. Für mich ist interessant was MalwareBytes alles so gefunden hat. Kannst du das noch nachvollziehen? Mach bitte folgendes: Deaktiviere deine Systemwiederherstellung. Die Wiederherstellunmgspunkte sind durch den Befall wahrscheinlich sowieso unbrauchbar geworden. Danach gehst du in die Ordneroptionen und machst alle versteckten und Systemdateien sichtbar. Hiernach rufst du das Programm CCleaner auf und lässt es nach Anleitung laufen Dann kommt MalwareBytes nochmal zum Einsatz mit einem vollen Scan. Lass alles Gefundene dann LÖSCHEN. Dann schaun wir mal weiter.... |
Die DNS Changer verbreiten sich manchmal echt wie kA was. Die Verbreiten sich ziemlich - war ne Zeitlang ruhig nun ists wieder langsam am Kommen, nehme ich an ^^ |
Da kann ich nur zustimmen |
Okay, wie mache ich das mit den LOGs. Im Moment läuft der GMEN. Dieser hat bereits zwei ***hidden*** gao....sys entdeckt. Der Scann wird aber noch ewig brauchen. Ist noch nicht mal mit der C:\ fertig Kommt gleich... hatte dein erstes Posting leider überlesen, sorry... Manchmal ist so ne Nachtschicht echt klasse ;-) Edit: Kann ich statt CCleaner auch RegCure benutzen? |
Ich kenne regcure nicht.... nutze bitte CCleaner, da weiss ich was passiert. falls das nicht läuft benenne es einfach um so wie dus mit MalwareBytes gemacht hast.. Wenn die Logs fertig sind musst du den text einfach kopieren und dann in solche Codetags einsetzen, damit ich sie vernünftig lesen kann.... Die ganze Sache geht so und sieht dann so aus, natürlich ohne das Sternchen (*) Code: [*Code] Deinen Text hier einsetzen [*/Code]Zu jedem der Links die ich dir hier poste steht auch explizit erklärt wie man die Programme hier einsetzen muss. @ Angel, tue mir den Gefallen und poste mal bitte den Link von Avenger für smuggle, hab meine Textbausteine nicht hier.... Smuggle den Avenger musst du dann downloaden und installieren, aber noch nix machen..... |
Okay mache ich, wird sofort gesucht :) Öffne jetzt das Programm Avenger. Hier downloaden: http://filepony.de/download-the_avenger/ Du siehst jetzt ein weißen Scriptfeld. Dort Steht INPUT SCRIPT HERE: Kopiere jetzt den Inhalt der Codebox mit Strg +C und füge das ganze mit Strg + V in dieses Scriptfeld ein. Achte darauf, dass der Inhalt der Codebox mit dem Scriptfeld übereinstimmt. Es kommt beim Kopieren des Codebox Inhaltes manchmal zu einer Lücke zwischen den Buchstaben. Falls dies so ist, korrigiere das bevor du auf EXECUTE drückst. Der Avenger wird im Rahmen seiner Arbeit mehrmals booten, teilweise siehst du auch nur einen schwarzen Bildschirm. Das muss so sein, da das rootkit nur beseitigt werden kann bevor Windows komplett bootet. Also nicht erschrecken.. Selten, aber möglich bootet Windows Vista in einen Bluescreen. Auch dann kein Grund zur Sorge. Redwulf wird dir das nach dem Gmer Rootkit Scan scrippten, erst machen, wenn Redwulf dir ein Script schickt. Download schonmal machen. |
Den Avenger habe ich schon heruntergeladen. Der CCleander läuft gerade. Soll ich den GMER abbrechen? |
Nein, um Gottes willen, bloß nicht. Ich brauche die Daten aus dem Log..... Ich muss danach ein Script fertigen, damit wir die Bedrohung beseitigen können.... |
Smuggle wenn du nichts dagegen hast wird Angel dir das Script schreiben. Sie lernt von mir den DNS Changer zu killen, so wie ich von ihr einige Sachen lerne... Ich schau jedoch vorher auf das Script ob alles ok ist....Dann gehts los... |
Frag mal einen blinden nach dem Weg :confused: Klar ist es klar :daumenhoc: Edit: Ich bin guter Dinge, dass das GMER noch 2 Std. läuft... |
Zitat:
|
Ehhh ja, falls ich mit dem Kopf net auf der Tastatur liege dann schon ;) |
Okay, die Schritte CCleaner und Malwarebytes sind fertig. Das LOG von mbam hier Code: |
Wie sieht es mit Gmer aus, scannt dieser immer noch? |
:)****Engelchen war schneller |
Ja, leider... er war schon ziemlich durch und dann kam leider der Reboot von Malwarebytes.... Da er außer auf C:\ nichts gefunden hatte, läuft jetzt nur C:\ durch. Sollte nicht mehr so lange dauern, sorry :headbang: |
Wie gesagt das Logfile davon hier rein. |
So jetzt der LOG - File aus GMEN: Code: GMER 1.0.15.14966 - http://www.gmer.net |
Lade schon mal den Avenger |
Gleich bin ich soweit :).....gleich kann der Ernst beginnen. |
Ich hab mir schon Mut angetrunken :taenzer: Nimm Dir Zeit... |
Öffne jetzt das Programm Avenger. Du siehst jetzt ein weißen Scriptfeld. Dort Steht INPUT SCRIPT HERE: Code: Drivers to delete:und füge das ganze mit Strg + V in dieses Scriptfeld ein. Achte darauf, dass der Inhalt der Codebox mit dem Scriptfeld übereinstimmt. Es kommt beim Kopieren des Codebox Inhaltes manchmal zu einer Lücke zwischen den Buchstaben. Falls dies so ist, korrigiere das bevor du auf EXECUTE drückst. Der Avenger wird im Rahmen seiner Arbeit mehrmals booten, teilweise siehst du auch nur einen schwarzen Bildschirm. Das muss so sein, da das rootkit nur beseitigt werden kann bevor Windows komplett bootet. Also nicht erschrecken.. Selten, aber möglich bootet Windows Vista in einen Bluescreen. Auch dann kein Grund zur Sorge. |
Okay, habe ich gemacht... Mein Avengerfester hat unterhalb der Scriptbox noch ein Häckchen gesetzt bei Scan for rootkits, soll das alles so bleiben? |
HALT !! Kleiner Fehler beim kopieren passiert Richtig muss es so sein: [Code] Drivers to delete: gaopdxserv.sys Files to delete: C:\WINDOWS\system32\drivers\gaopdxgoaftsvairxoelnxrxwxtqtcasmnoqde.sys C:\WINDOWS\system32\drivers\gaopdxhwdtruutukijsnamkodhworyaackjkpp.sys C:\WINDOWS\system32\drivers\gaopdxlcdqjnlmomylvmyybivmlkxjbgrrsjkd.sys C:\WINDOWS\system32\drivers\gaopdxnvnpareotqpkroyjndgwqfjuljxcxttj.sys C:\WINDOWS\system32\gaopdxtkatemfifbgdvppeqjjddvkaoyktjecd.dll C:\WINDOWS\system32\gaopdxcounter Registry keys to delete: HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys smuggle pass beim kopieren auf das keine Lücken zwischen den Buchstaben sind, das passiert manchmal hier...ist mir auch grad passiert.... |
Zitat:
Leerzeichen vor der ersten Zeile und Code? |
Packs einfach so rein, wie Redwulf dir das zeigte :) Code: Drivers to delete: |
@Angel...gut gemacht, alles erkannt. |
Jetzt verwirrt Ihr mich, es sind Leerzeichen zwischen Buchstaben im Mittelteil des Codes. Soll ich die jetzt rausmachen oder nicht? :( |
Das MUSST du zwingend auskorrigieren. Hast du das letzte Script in der Codebox genommen, wenn ja dann korrigiere es bitte aus bevor avenger läuft. Mach die Leerzeichen zwischen den Buchstaben am besten weg. |
Richtig und beim kopieren in die Codebox sind Leerzeichen aufgetaucht Siehe hier: Files to delete: C:\WINDOWS\system32\drivers\gaopdxgoaftsvairxoelnxrxwxtqtcasmnoqde.sys C:\WINDOWS\system32\drivers\gaopdxhwdtruutukijsnamkodhworyaackjkpp.sys C:\WINDOWS\system32\drivers\gaopdxlcdqjnlmomylvmyybivmlkxjbgrrsjkd.sys C:\WINDOWS\system32\drivers\gaopdxnvnpareotqpkroyjndgwqfjuljxcxttj.sys C:\WINDOWS\system32\gaopdxtkatemfifbgdvppeqjjddvkaoyktjecd.dll Registry keys to delete: HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys Die musst du manuell beseitigen, es darf keine Lücke vorhanden sein. Wenn erledigt....Feuer frei und sich am Stuhl festhalten |
Okay, habe ich gemacht! |
Wenn alles okay aussieht, dann lass Avenger die DNSchanger Rootkit Einträge killen :) Let's go ^^ EDIT: Und bitte nich erschrecken, wenn der PC mehrmals booten soll, ist teil von Avenger beim beseitigen des Rootkits. |
Okay, 10 9 8 7 6 5 4 3 2 1 Fire Silence..... i kill you :snyper: |
Naja, Humor hat er .....So lange wir nicht hören :" Houston we have a problem":) |
Houston.... Wir haben ein Problem :eek: Der Zugriff auf die Festplatte vom Arbeitsplatz ist nach wie vor nicht möglich. Bei Doppelklick kommt wieder die gleiche Meldung... "Recycler...." Edit: Spybot lässt sich jetzt aber starten. Das ging bisher nicht ;) |
Ich gehe davon aus, dass du den Avenger hast laufen lassen, richtig? Ich muss das Avenger Log sehen.... |
Ja, ich habe den Avenger durchlaufen lassen, bis er normal gebootet hat. Wo finde ich den LOG? Ich sehe gleich mal nach und poste das LOG. Code: http://swandog46.geekstogo.com |
ok ,ich warte |
Ging schneller als angenommen. |
Ich gehe davon aus, dass du den Avenger hast laufen lassen, richtig? Ich muss das Avenger Log sehen.... |
OK den rootkit haben wir eliminiert, soweit so gut. da die Viren jetzt ohne Tarnung dastehen musst du noch mal einen MalwareBytes Scan im Quick modus durchführen. Lasse alle Funde löschen |
okay... mach ich gleich... |
hier das LOG dazu: Code: Malwarebytes' Anti-Malware 1.35Edit: Meldung (Recycle...) leider immer noch vorhanden. |
Habe ich erwartet. Wir werden jetzt erst mal noch einen Blacklight Scan machen, um auszuschließen das noch was übrig geblieben ist. Blacklight findest du hier: Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link. * Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen. * Klick "I accept the agreement", "next", "Scan". * Wenn der Scan fertig ist beende Blacklight mit "Close". * Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern. Poste es dann hier |
ok ,ich warte |
Zitat:
läuft schon! |
edit: fehler beim kopieren... |
Das Ergebnis: Code: 04/06/09 05:33:29 [Info]: BlackLight Engine 2.2.1092 initialized |
Zitat:
|
Ich brauche dringend ein Hijack this log, welches AV Programm verwendest du? |
@ Redwulf & Angel Dickes Lob für Euren Einsatz bis tief in die Nacht. Toll, dass es Euch gibt. Nach einem Scan mit Spybot wurde noch zwei Trojaner gefunden und entfernt, und jetzt läuft das System wieder einwandfrei. Ehrenamtlicher Wahnsinn gepaart mit Kompentens! DANKE!:party: |
Wir sind aber noch nicht durch.... Ich muss ein Hijack sehen. Du solltest nochmal vorbei schauen und wir checken nochmal alles durch. Anschließend sind dann noch ein paar Hinweise für deinen Sohn fällig.... Danke soweit fürs Feedback.....bis später, aber nicht mehr soviel über PM dann, andere User mit gleichem Problem möchten ggf. unseren Weg nachvollziehen Ich würd gern noch wissen welche Trojaner Spybot noch gefunden hat...das ist u.U. wichtig... |
Edit: LOG von Spybot: Code: --- Report generated: 2009-04-06 05:43 --- |
Hi, da sind noch Reste aktiv (verzeiht, oh Engel und Wolf (interessante Mischung, by the way, the beauty and the beast, nur wer ist wer)... RSIT Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/ speichere es auf Deinem Desktop. Starte mit Doppelklick die RSIT.exe. Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. chris |
Hi Chris Danke für den Hinweis, du weisst natürlich nicht, das ich mit dem TO PM´s ausgetauscht habe. Er hat bereits wieder Probleme ( trotz meiner Warnung ) und wird hier in Kürze die erforderlichen Logs posten. Vileicht kannst du ja mal mit drüber schauen.... BTW Ich bin das beast, Angel ist es definitiv nicht :) |
Hallo zusammen, ermal die GMERLOG von gestern. Code: Danke an alle |
Hi, (quetsche mich noch mal dazwischen...) bei klif.sys handelt es sich um den Kaspersky, wenn Du einen Virenscanner von denen installierst hast. Das eigentliche Problem liegt hier: Code: File C:\WINDOWS\system32\drivers\gaopdxqrdnsveawyrowtjnjcvvkbjoyotfyrxe.sys 34816 bytes executable <-- ROOTKIT !!!Wir gehen jetzt kurz mal in den Hardcore-Mode: Combofix Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird Hinweis: unter : C:\WINDOWS\erdnt wird ein Backup angelegt. Alternative downloads: http://subs.geekstogo.com/ComboFix.exe Danach bitte sofort MAM laufen lassen & danach ein neues Gmer-Log... chris |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:58 Uhr. |
Copyright ©2000-2025, Trojaner-Board