|
Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3 Hallo liebe Forumsmitglieder! Ich wende mich an Euch, weil mein Problem vertrackt zu sein scheint und ich etwas den Überblick verloren habe, was ich noch machen muss, um mein System wieder sauber hinzubekommen - und ob ich das überhaupt kann oder ob ihr mir ratet, das System platt zu machen. :killpc: Vielen Dank erst einmal, dass Ihr hier so tolle Hilfe leistet! Ich habe mich schon durch die Anleitungen und einige Threads (mein Problem ähnelt wohl dem Thread browser-spinnen-nach-2-trojaner) gelesen, um mein Problem zu lösen - allerdings: mit jedem gelöschten Trojaner kamen zwei neue. :heulen: Also, ich beginne erst einmal, das Problem zu beschreiben und berichte dann, welche Schritte ich alles schon unternommen habe (ich verwende Windows XP Professional Service Pack 3). Begonnen hat es mit einer Datei, die ich ausgeführt habe, im Glauben, es wäre eine sichere Datei. Daraufhin meldete sich die Norman Security Suite, er habe zwei Trojaner entdeckt und in Quarantäne gesteckt. Dann begannen aber die eigentlichen Probleme. Sofort ging es mit Autorun.inf Meldungen los - dabei hatte ich eigentlich noch einige Tage vorher die Autorun-Funktion auf allen Laufwerken deaktiviert (und vorher noch das Windows-Update heruntergeladen, das die ordnungsgemäße Deaktivierung der Funktion gewährleisten soll). Ich schreib mal auf, was die Norman Security Suite alles gefunden hat: Code: Trojan BAT/AutoRun.IWK Scan engine: 6.00.06, Nvcbin.def 6.00 (2009/04/03), Nvcmacro.def 6.00 (2009/02/12). Login info: user '***', host '***. Infected file E:\Recycled\NPROTECT\00001102.inf Quarantined file E:\Recycled\NPROTECT\00001102.inf Deleted file E:\Recycled\NPROTECT\00001102.inf Removed Trojan BAT/AutoRun.IWK. File deleted.Also, Autoruneater geladen und gestartet, hat auch brav noch zwei gefunden. Dann habe ich, weil ich das hier irgendwo gelesen hatte, mit Shift + Entf die Dateien in den recycled-Ordner auf den verschiedensten Platten bzw. Partitionen zu löschen, anfangs mit mäßigem Erfolg, weil immer Zugriffskonflikte gemeldet wurden. Schließlich ist es mir aber doch gelungen. Dann habe ich über den Ausführen-Befehl msconfig gestartet und ipconfig /flushdns ausgeführt, um die DNS-Server wieder zu löschen. Ich weiss nicht mehr, ob die dabei gelöscht wurden, oder ob das vorher schon der Malwarebytes' Anti-Malware gemacht hatte, aber da waren auf jeden Fall welche eingestellt! Sobald die Autorun.inf-Dateien eliminiert waren, meldeten sich im Systemtray rechts nacheinander drei Programme, die Autorun-Datei wäre defekt, ich solle irgendwas (CHDMX? Es war eine Buchstabenkombination, die ich mir nicht merken konnte, bei den ganzen 1000 Fehlermeldungen) ausführen. Zunächst billy.exe - offensichtlich Teil des Viruses. Dann später noch RTHDCPL.exe und dann ALCMTR.exe. Laut Filenet sind das Dateien, die vom Realtek Soundsystem verwendet werden, die aber auch von Viren befallen sein können, vor allem, wenn sie im System-Ordner oder im Windows-Ordner seien. :( Daraufhin wollte ich schauen, wo die Dateien sich befinden - aber siehe da, der oder die Trojaner hatten meine Windows-Suche außer Funktion gesetzt, sofort gab's einen Bluescreen. So, dann habe ich Malwarebytes' Anti-Malware starten wollen - ging aber nicht. Dann hab ich den Trick mit dem Umbenennen angewandt (von exe auf com), das klappte dann wunderbar. Hier die Logliste: Code: Malwarebytes' Anti-Malware 1.35Code: Malwarebytes' Anti-Malware 1.35Daraufhin habe ich Avenger gestartet. Siehe da, er hat einen Rootkit gefunden. Code: Logfile of The Avenger Version 2.0, (c) by Swandog46Dann noch mal gestartet, und mit etwas Übung dann versucht, Treiber und Dateien zu löschen. Code: Logfile of The Avenger Version 2.0, (c) by Swandog46 |
Fortsetzung: Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ So, nachdem ich mir nicht sicher war, ob der Avanger alles gefunden hat bzw. ob dadurch Folgeprobleme aufgetaucht sind, hab ich noch mal MBAM gestartet. Code: Malwarebytes' Anti-Malware 1.35Dann noch einmal: Code: Malwarebytes' Anti-Malware 1.35Code: Logfile of Trend Micro HijackThis v2.0.2Code: Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net |
Catch Me log: Code: catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006Code: 04/06/09 22:07:00 [Info]: BlackLight Engine 2.2.1092 initializedCode: SUPERAntiSpyware Scan LogCode: SUPERAntiSpyware Scann-ProtokollCode: SUPERAntiSpyware Scann-Protokoll |
So, dann hab ich noch GMER durchlaufen lassen: Code: GMER 1.0.15.14966 - http://www.gmer.net |
Teil 2, da für einen Post zu lang: Code: ---- Files - GMER 1.0.15 ---- |
Nachdem mittlerweile meine exe-Dateiendung bei MBAM wieder funktioniert und meine Windowssuche auch, habe ich geschaut, wo die beiden Dateien RTHDCPL.exe und dann ALCMTR.exe liegen. Und mich beunruhigt etwas, dass die Dateien drei mal vorhanden sind, im Programmordner von Realtek selbst, dann unter den Systemdateien in c:\windows\system32\reinstallbackups\0011\DriverFiles) und unter c:\windows\. Mhm. Daraufhin hab ich die RTHDCPL.exe mal bei Virus Total hochgeladen. Code: Datei RTHDCPL.exe empfangen 2009.01.12 16:45:49 (CET) |
Dann habe ich noch Advanced SystemCare ausgeführt und vorher, wie empfohlen, einen Systemwiederherstellungspunkt erstellt, nachdem ich vorher die Systemwiederherstellung deaktiviert hatte, um alle alten Systemwiederherstellungspunkte zu löschen. Und jetzt weiss ich nicht, was ich noch machen soll. Was mich noch irritiert: Das Desktophintergrundbild war auf einmal weg, aber da hatte ich gerade den Bildschirmschoner der Norman Security Suite ausgestellt, um die Scan-Programme nicht zu unterbrechen. Aber seitdem ich das Bild wieder eingestellt habe (zumindest kommt es mir so vor, dass so ein Zusammenhang bestehen könnte), wird zum einen die Beschriftung der Desktopsymbole nicht mehr farblich mit einem rechteckigen Rand unterlegt, sondern stattdessen haben die Buchstaben einen deutlichen schwarzen Schatten. Und, was ich fast noch merkwürdiger finde: Einige Programme, darunter mein Notepad, sehen auf einmal verändert aus. Die Auswahlmöglichkeiten >Datei< >Bearbeiten< >Format< >Ansicht< und >?< sind auf einmal mit einem weißen Rechteck hinterlegt, was auffällt, da der Rest ja hellgrau ist. Ich wäre Euch wirklich sehr dankbar, wenn Ihr meine Logfiles kommentieren könnten und mir Hinweise geben könntet, was ich noch alles versuchen könnte, um wieder alles sauber zu haben. Danke! |
Hi, das sieht ja alles recht chaotisch aus, nicht einfach wild aus allen möglichen Threads irgendwelche Scripts/Lösungen ausprobieren... das richtet mehr Schaden an als das es nützt...Grrr Es wurden Sachen auf Laufwerk E gefunden, daher alles was seid der Infektion an den Rechner angeschlossen war (USB-Geräte mit Speicher, z.B. Festplatten, MP3-Player, Kameras, Sticks, ...) mit gedrückter Shift-Taste wieder anschließen. Combofix Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/comb...x-benutzt-wird Hinweis: unter : C:\WINDOWS\erdnt wird ein Backup angelegt. Alternative downloads: http://subs.geekstogo.com/ComboFix.exe Dr. Web und Rsit: Dannach im abgesicherten Modus noch Drweb cureit reinigen lassen: http://freedrweb.com/?lng=de Report liegt in %userprofile%\doctorweb\cureit.log , bitte posten! RSIT Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/) speichere es auf Deinem Desktop. Starte mit Doppelklick die RSIT.exe. Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. chris |
Hi Chris, erst einmal vielen Dank, dass Du mir hilfst! Zitat:
Zitat:
Zitat:
Zitat:
Noch einmal Danke für Deine Hilfe! me. |
Hi, den Schritt mit der Wiederherstellungskonsole kannst Du überspringen... chris |
So, weiter gehts. :) Combofix Code: ComboFix 09-04-04.01 - *** 2009-04-07 21:12:32.1 - FAT32x86 |
Dr. Web Teil 1 Code: ============================================================================= |
Teil 2 Code: [Scanpfad] c:\windows\system32\drivers\acpi.sys |
Teil 3 Code: [Scanpfad] c:\windows\system32\ole32.dll |
Teil 4 Code: [Scanpfad] e:\dateien\_\download\launch.exe |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 20:43 Uhr. |
Copyright ©2000-2025, Trojaner-Board