|
TR/Dropper.Gen Rootkit Hallo, Ich habe den scheinbar recht verbreiteten Trojaner TR/Dropper.Gen, und zwar in Form eines Rootkits. So zeigt mir Antivir folgendes an (ich kann das komplette Log nicht kopieren, da ich meinen PC vorsichtshalber vom Internet getrennt habe, aber hier mal das wichtigste): Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C: Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Abweichende Gefahrenkategorien........: +APPL,+PCK Beginn des Suchlaufs: Freitag, 8. Mai 2009 00:15 Der Suchlauf nach versteckten Objekten wird begonnen. Die Reparaturanweisungen wurden in die Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\Antivir Desktop\PROFILES\AVSCAN-20090508-0018559699AAE0.avp' geschrieben. c:\windows\system32\drivers\ovfsthldwrsovsokfktprqmjdvjmwkyoeiqejb.sys [INFO] Die Datei ist nicht sichtbar. [FUND] Ist das Trojanische Pferd TR/Dropper.Gen [HINWEIS] Die Datei wurde gelöscht. c:\windows\system32\ovfsthdmfnxvuhbdanabpuwcuvggrpmbeugbpx.dat [INFO] Die Datei ist nicht sichtbar. c:\windows\system32\ovfsthetchwtpyxohyyidyqcnqgflctufnhayq.dll [INFO] Die Datei ist nicht sichtbar. [FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen [INFO] Es konnte kein SpecVir-Eintrag gefunden werden! c:\windows\system32\ovfsthfbdgsthqaidkpndjjkxgoftklhqvrrcj.dat [INFO] Die Datei ist nicht sichtbar. c:\windows\system32\ovfsthiuhnjdrseeaoxxsxdowryyytbftmnkem.dll [INFO] Die Datei ist nicht sichtbar. [FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen [INFO] Es konnte kein SpecVir-Eintrag gefunden werden! c:\windows\system32\ovfsthmnopiayjjtytdaxardvvylaoffqstrtu.dll [INFO] Die Datei ist nicht sichtbar. [FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen [INFO] Es konnte kein SpecVir-Eintrag gefunden werden! Ende des Suchlaufs:Frreitag, 8. Mai 2009 00:18 Benötigte Zeit: 3:27 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 0 Verzeichnisse wurden überprüft 6 Dateien wurden geprüft 4 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 1 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 2 Dateien ohne Befall 0 Archive wurden durchsucht 0 Warnungen 1 Hinweise 90002 Objekte wurden beim Rootkitscan durchsucht 14 Versteckte Objekte wurden Antivir zeigt mir während der Suche nach den versteckten Dateien nach etwa 60% TR\Dropper.Gen an mit dem Hinweis, dass ich den PC neustarten muss, um den Infekt vollständig zu reparieren. Tue ich dies nicht und waehle statt 'OK' 'Abbrechen" hört Antivir nach der Suche nach versteckten Dateien mit der Suche auf, wodurch sich die geringe Suchdauer von 3 Minuten erklärt. Wähle ich dagegen 'OK' startet der PC neu, TR\Dropper.Gen findet Antivir dann aber immernoch und fordert mich wiederrum zum Neustart auf. Mein Betriebssystem ist Win XP SP3. Eine Suche mit Malwarebytes Anti-Malware sowie AdAware findet nichts, genauso wie Antivir im abgesicherten Modus, also ohne Rootkitsuche. Meine Frage ist nun, ob es noch irgendwelche Programme ausser den 3 genannten gibt, die den Schädling evtl. beseitigen können. Oder kann ich vielleicht von einer anderen, sauberen Festplatte booten und das Rootkit auf meiner aktuellen Festplatte so beseitigen? Ich würde mir nämlich wirklich gerne eine Neuinstallation von Windows ersparen. Ich hoffe, ihr könnt mir helfen, und schonmal Danke im Vorraus. |
Hi, zuerst Combofix, dann bitte Gmer: Combofix Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird Hinweis: unter : C:\WINDOWS\erdnt wird ein Backup angelegt. Alternative downloads: http://subs.geekstogo.com/ComboFix.exe Gmer: http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser beendet, wähle Copy und füge den Bericht ein. chris |
Es ist also okay, den PC zwecks Download der Programme und Kopieren der Berichte kurz ans Internet anzuschliessen? |
Hi, die zweit Schritte aber bitte dann direkt hintereinander ohne Online durchführen... und die Onlinezeiten möglichst kurz halten... chris |
Ok, ich werd das machen sobald meine Datensicherung fertig ist. Ich hab im Moment keine externe Festplatte hier, hoffe aber, es morgen Abend zu schaffen. Danke für die Geduld. |
So, erstmal bitte ich um Verzeihung für die lange Wartezeit, es hat doch länger gedauert, an die externe Platte zu kommen, als gedacht. Ich bin nun jedenfalls mit meiner Datensicherung fertig, habe Combofix auf den Desktop kopiert und ausgeführt. Erst wurde die Wiederherstellungskonsole installiert und danach ging der Scanvorgang los. Bis dahin ging auch alles gut und er zeigte mir die selben Rootkits wie Antivir an, welche ich auf einen Zettel schreiben sollte. Anschliessend wurde Windows neugestartet, doch danach ging plötzlich meine Tastatur nicht mehr. Ich hänge nun in der Benutzeranmeldung, kann aber mein Passwort nicht eingeben, da nichts passiert, egal welche Taste ich drücke. Die "Num Lock" Anzeige leuchtet übrigens, die Tastatur scheint also aktiv zu sein. Wie komm ich nun wieder in Windows und was soll ich dann machen? |
Hi, Stecker etc. kontrolliert? Wenn Du die Taste "Num Lock" drückst, reagiert der Rechner darauf (LED ein/aus)? Wenn ja läuft er dann ist ev. der Tastaturtreiber zerschossen (Keylogger?), wenn keine Reaktion erfolgt dann ist er abgestürzt ... Versuche in den abgesicherten Modus zu kommen (F8 beim Booten)... Hast Du eine Windows-CD von der Du booten kannst und eine Reparaturinstallation versuchen kannst? (http://www.supportnet.de/faqsthread/878) Einsatz der Rettungskonsole: (http://support.microsoft.com/kb/314058/de) Der Rootkit hat sich wohl nicht so einfach entfernen lassen, obwohl ComboFix das Teil normalerweise eleminieren kann... chris |
Das Tastaturproblem hatte sich nach einem erneuten Neustart zum Glück gelegt, ohne dass ich ausser Stecker aus- und einstecken währenddessen irgendetwas getan hätte, daher hier nun die beiden Logs. Zuerst das von Combofix: ComboFix 09-05-13.02 - Shakka 15.05.2009 5:39.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2046.1657 [GMT 2:00] ausgef¸hrt von:: c:\dokumente und einstellungen\Shakka\Desktop\ComboFix.exe AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7} . (((((((((((((((((((((((((((((((((((( Weitere Lˆschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\system32\drivers\ovfsthldwrsovsokfktprqmjdvjmwkyoeiqejb.sys c:\windows\system32\ovfsthdmfnxvuhbdanabpuwcuvggrpmbeugbpx.dat c:\windows\system32\ovfsthetchwtpyxohyyidyqcnqgflctufnhayq.dll c:\windows\system32\ovfsthfbdgsthqaidkpndjjkxgoftklhqvrrcj.dat c:\windows\system32\ovfsthiuhnjdrseeaoxxsxdowryyytbftmnkem.dll c:\windows\system32\ovfsthmnopiayjjtytdaxardvvylaoffqstrtu.dll c:\windows\system32\test.ttt c:\windows\system32\uniq.tll C:\xcrashdump.dat . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Service_ovfsthwtjlkawykvopufveefqmoayptoppjcln ((((((((((((((((((((((( Dateien erstellt von 2009-04-15 bis 2009-05-15 )))))))))))))))))))))))))))))) . 2009-04-27 23:19 . 2009-04-27 23:19 -------- d-----w C:\ERDNT 2009-04-16 14:41 . 2009-02-06 10:10 227840 -c----w c:\windows\system32\dllcache\wmiprvse.exe 2009-04-16 14:41 . 2009-03-06 14:19 286720 -c----w c:\windows\system32\dllcache\pdh.dll 2009-04-16 14:41 . 2009-02-09 11:21 111104 -c----w c:\windows\system32\dllcache\services.exe 2009-04-16 14:41 . 2009-02-09 10:51 401408 -c----w c:\windows\system32\dllcache\rpcss.dll 2009-04-16 14:41 . 2009-02-09 10:51 473600 -c----w c:\windows\system32\dllcache\fastprox.dll 2009-04-16 14:41 . 2009-02-09 10:51 678400 -c----w c:\windows\system32\dllcache\advapi32.dll 2009-04-16 14:41 . 2009-02-09 10:51 736768 -c----w c:\windows\system32\dllcache\lsasrv.dll 2009-04-16 14:41 . 2009-02-09 10:51 453120 -c----w c:\windows\system32\dllcache\wmiprvsd.dll 2009-04-16 14:41 . 2009-02-09 10:51 740352 -c----w c:\windows\system32\dllcache\ntdll.dll 2009-04-16 14:40 . 2008-04-21 21:13 217600 -c----w c:\windows\system32\dllcache\wordpad.exe . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-05-14 19:27 . 2007-03-01 16:24 -------- d-----w c:\programme\Steam 2009-05-05 00:10 . 2007-03-06 19:49 -------- d-----w c:\programme\PeerGuardian2 2009-04-28 19:41 . 2008-11-14 20:56 -------- d-----w c:\programme\Hotspot Shield 2009-04-27 23:27 . 2009-01-15 23:27 -------- d-----w c:\programme\Malwarebytes' Anti-Malware 2009-04-27 21:07 . 2009-03-19 14:27 55640 ----a-w c:\windows\system32\drivers\avgntflt.sys 2009-04-23 16:57 . 2007-02-21 21:56 -------- d-----w c:\programme\GetRight 2009-04-16 19:55 . 2006-02-28 12:00 84678 ----a-w c:\windows\system32\perfc007.dat 2009-04-16 19:55 . 2006-02-28 12:00 458924 ----a-w c:\windows\system32\perfh007.dat 2009-04-12 01:30 . 2007-02-19 12:49 -------- d--h--w c:\programme\InstallShield Installation Information 2009-04-10 16:58 . 2007-02-22 16:51 -------- d-----w c:\programme\Java 2009-04-07 18:56 . 2007-02-21 23:36 -------- d-----w c:\programme\iTunes 2009-04-07 18:56 . 2009-04-07 18:56 -------- d-----w c:\programme\iPod 2009-04-07 18:56 . 2007-09-12 14:27 -------- d-----w c:\programme\Gemeinsame Dateien\Apple 2009-04-06 13:32 . 2009-01-15 23:27 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys 2009-04-06 13:32 . 2009-01-15 23:27 15504 ----a-w c:\windows\system32\drivers\mbam.sys 2009-03-23 21:30 . 2009-03-28 01:39 33256 ----a-w c:\windows\system32\drivers\hssdrv.sys 2009-03-20 15:36 . 2008-04-10 15:30 -------- d-----w c:\programme\Microsoft Silverlight 2009-03-20 05:26 . 2007-03-10 23:55 -------- d-----w c:\programme\Google 2009-03-19 14:32 . 2008-01-29 10:01 23400 ----a-w c:\windows\system32\drivers\GEARAspiWDM.sys 2009-03-19 14:27 . 2009-03-19 14:27 -------- d-----w c:\programme\Avira 2009-03-09 03:19 . 2008-11-25 22:24 410984 ----a-w c:\windows\system32\deploytk.dll 2009-03-06 14:19 . 2006-02-28 12:00 286720 ----a-w c:\windows\system32\pdh.dll 2009-03-05 22:59 . 2009-03-15 23:13 1900544 ----a-w c:\windows\system32\usbaaplrc.dll 2009-03-05 22:59 . 2007-11-27 16:49 36864 ----a-w c:\windows\system32\drivers\usbaapl.sys 2009-03-03 00:03 . 2006-02-28 12:00 826368 ----a-w c:\windows\system32\wininet.dll 2009-02-20 16:49 . 2006-02-28 12:00 78336 ----a-w c:\windows\system32\ieencode.dll 2008-03-30 16:25 . 2008-03-26 17:04 72 --sh--w c:\windows\SF240BC02.tmp . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintr‰ge & legitime Standardeintr‰ge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Steam"="c:\programme\steam\steam.exe" [2008-10-08 1410296] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "igndlm.exe"="c:\programme\Download Manager\dlm.exe" [2008-08-01 1103216] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TalkAndWrite"="c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype\Plugins\Plugins\1163D2B46CC742E5A3CC9E4157887751\TalkAndWrite.exe" [2008-01-14 3042816] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-09-03 111936] "SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2007-10-09 1036288] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-11-12 13672448] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-11-12 86016] "QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-01-05 413696] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-04-02 342312] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-03-09 148888] "Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" - c:\windows\KHALMNPR.Exe [2007-04-11 56080] "nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-11-12 1630208] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\All Users\StartmenÅ\Programme\Autostart\ ICQ6.5 (2).lnk - c:\programme\ICQ6.5\ICQ.exe [2009-3-1 172792] Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2008-10-4 692224] Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [2000-1-21 65588] [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoSetActiveDesktop"= 1 (0x1) "NoActiveDesktopChanges"= 1 (0x1) [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] BootExecute REG_MULTI_SZ autocheck autochk *\0autocheck lsdelete [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup] @="" [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmen¸^Programme^Autostart^Adobe Reader - Schnellstart.lnk] path=c:\dokumente und einstellungen\All Users\Startmen¸\Programme\Autostart\Adobe Reader - Schnellstart.lnk backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmen¸^Programme^Autostart^Adobe Reader Synchronizer.lnk] path=c:\dokumente und einstellungen\All Users\Startmen¸\Programme\Autostart\Adobe Reader Synchronizer.lnk backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmen¸^Programme^Autostart^HP Digital Imaging Monitor.lnk] path=c:\dokumente und einstellungen\All Users\Startmen¸\Programme\Autostart\HP Digital Imaging Monitor.lnk backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmen¸^Programme^Autostart^HP Photosmart Premier ñ Schnellstart.lnk] path=c:\dokumente und einstellungen\All Users\Startmen¸\Programme\Autostart\HP Photosmart Premier ñ Schnellstart.lnk backup=c:\windows\pss\HP Photosmart Premier ñ Schnellstart.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmen¸^Programme^Autostart^hp psc 1000 series.lnk] path=c:\dokumente und einstellungen\All Users\Startmen¸\Programme\Autostart\hp psc 1000 series.lnk backup=c:\windows\pss\hp psc 1000 series.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmen¸^Programme^Autostart^hpoddt01.exe.lnk] path=c:\dokumente und einstellungen\All Users\Startmen¸\Programme\Autostart\hpoddt01.exe.lnk backup=c:\windows\pss\hpoddt01.exe.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmen¸^Programme^Autostart^LUMIX Simple Viewer.lnk] path=c:\dokumente und einstellungen\All Users\Startmen¸\Programme\Autostart\LUMIX Simple Viewer.lnk backup=c:\windows\pss\LUMIX Simple Viewer.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmen¸^Programme^Autostart^Registrierungsprogramm ausf¸hren.lnk] path=c:\dokumente und einstellungen\All Users\Startmen¸\Programme\Autostart\Registrierungsprogramm ausf¸hren.lnk backup=c:\windows\pss\Registrierungsprogramm ausf¸hren.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Shakka^Startmen¸^Programme^Autostart^ChkDisk.dll] path=c:\dokumente und einstellungen\Shakka\Startmen¸\Programme\Autostart\ChkDisk.dll backup=c:\windows\pss\ChkDisk.dllStartup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Shakka^Startmen¸^Programme^Autostart^ChkDisk.lnk] path=c:\dokumente und einstellungen\Shakka\Startmen¸\Programme\Autostart\ChkDisk.lnk backup=c:\windows\pss\ChkDisk.lnkStartup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Shakka^Startmen¸^Programme^Autostart^Logitech-Produktregistrierung.lnk] path=c:\dokumente und einstellungen\Shakka\Startmen¸\Programme\Autostart\Logitech-Produktregistrierung.lnk backup=c:\windows\pss\Logitech-Produktregistrierung.lnkStartup [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\mIRC\\mirc.exe"= "c:\\Programme\\Anno 1701\\Anno1701.exe"= "c:\\Programme\\Messenger\\msmsgs.exe"= "c:\\Programme\\Azureus\\Azureus.exe"= "c:\\Programme\\TVUPlayer\\TVUPlayer.exe"= "c:\\Programme\\THQ\\Company of Heroes\\RelicCOH.exe"= "c:\\Programme\\TVersity\\Media Server\\MediaServer.exe"= "c:\\Programme\\TVersity\\Media Server\\TVersity.exe"= "c:\\Programme\\WiFiConnector\\NintendoWFCReg.exe"= "c:\\Programme\\Sierra Online\\FreeStyle Street Basketball(TM)\\FreeStyle.exe"= "c:\\WINDOWS\\system32\\PnkBstrA.exe"= "c:\\WINDOWS\\system32\\PnkBstrB.exe"= "c:\\Programme\\Steam\\Steam.exe"= "c:\\Dokumente und Einstellungen\\Shakka\\Anwendungsdaten\\SopCast\\adv\\SopAdver.exe"= "c:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Civilization4.exe"= "c:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword.exe"= "c:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword_PitBoss.exe"= "c:\\Programme\\QuickTime\\QuickTimePlayer.exe"= "c:\\Programme\\N Schach 3\\WinSchach.exe"= "c:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"= "c:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"= "c:\\Programme\\Winamp\\winamp.exe"= "c:\\Programme\\Electronic Arts\\EADM\\Core.exe"= "c:\\Programme\\RayV\\RayV\\RayV.exe"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= "c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpfccopy.exe"= "c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpoews01.exe"= "c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpofxm08.exe"= "c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hposfx08.exe"= "c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hposid01.exe"= "c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpqCopy.exe"= "c:\\Programme\\Hewlett-Packard\\Digital Imaging\\Unload\\HpqDIA.exe"= "c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpqkygrp.exe"= "c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpqnrs08.exe"= "c:\\Programme\\Hewlett-Packard\\Digital Imaging\\Unload\\HpqPhUnl.exe"= "c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpqscnvw.exe"= "c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpqste08.exe"= "c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpqtra08.exe"= "c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpzwiz01.exe"= "c:\\Programme\\Bethesda Softworks\\Fallout 3\\Fallout3.exe"= "c:\\Programme\\WBGames\\Monolith Productions\\F.E.A.R. 2 SP Demo\\FEAR2SPDemo.exe"= "c:\\Programme\\RayV\\RayV\\RayV.dll"= "c:\\Programme\\Steam\\SteamApps\\common\\peggle deluxe\\Peggle.exe"= "c:\\Dokumente und Einstellungen\\Shakka\\Lokale Einstellungen\\Anwendungsdaten\\RayV\\RayV.dll"= "c:\\Programme\\Steam\\SteamApps\\common\\world of goo\\WorldOfGoo.exe"= "c:\\Programme\\ICQ6.5\\ICQ.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= "c:\\Programme\\iTunes\\iTunes.exe"= "c:\\Programme\\Steam\\SteamApps\\common\\left 4 dead\\left4dead.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "10243:TCP"= 10243:TCP:Xbox 360 1 "10284:UDP"= 10284:UDP:Xbox 360 2 "10283:UDP"= 10283:UDP:Xbox 360 3 "10282:UDP"= 10282:UDP:Xbox 360 4 "10281:UDP"= 10281:UDP:Xbox 360 5 "10280:UDP"= 10280:UDP:Xbox 360 6 "41952:TCP"= 41952:TCP:tversity "41952:UDP"= 41952:UDP:tversity2 "3724:TCP"= 3724:TCP:Blizzard Downloader: 3724 R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [19.03.2009 16:27 108289] R2 HssSrv;Hotspot Shield Helper Service;c:\programme\Hotspot Shield\HssWPR\hsssrv.exe [23.03.2009 23:31 216552] R3 HssDrv;Hotspot Shield Helper Miniport;c:\windows\system32\drivers\hssdrv.sys [28.03.2009 03:39 33256] S2 gupdate1c9a91c6c86c0de;Google Update Service (gupdate1c9a91c6c86c0de);c:\programme\Google\Update\GoogleUpdate.exe [20.03.2009 07:26 133104] S3 hamachi_oem;PlayLinc Adapter;c:\windows\system32\drivers\gan_adapter.sys [29.08.2006 00:54 10664] S3 pohci13F;pohci13F;\??\c:\dokume~1\Shakka\LOKALE~1\Temp\pohci13F.sys --> c:\dokume~1\Shakka\LOKALE~1\Temp\pohci13F.sys [?] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E] \Shell\AutoRun\command - E:\Autorun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6b2d8b32-3f76-11de-a093-001a922b79bd}] \Shell\AutoRun\command - F:\WDSetup.exe . Inhalt des "geplante Tasks" Ordners 2009-05-05 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34] 2007-06-10 c:\windows\Tasks\FRU Task 2003-04-06 08:52ewlett-Packard2003-04-06 08:52p psc 1100 series5E771253C1676EBED677BF361FDFC537825E15B8173544742.job - c:\programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-05 23:52] 2009-05-15 c:\windows\Tasks\GoogleUpdateTaskMachine.job - c:\programme\Google\Update\GoogleUpdate.exe [2009-03-20 05:26] 2009-04-07 c:\windows\Tasks\record.job - c:\program files\record.bat [2007-11-06 23:02] . - - - - Entfernte verwaiste Registrierungseintr‰ge - - - - HKCU-Run-ICQ - c:\programme\ICQ6\ICQ.exe HKU-Default-Run-Diagnostic Manager - c:\windows\TEMP\3176919104.exe HKU-Default-Run-uidenhiufgsduiazghs - c:\windows\TEMP\gx5pk2n2.exe . ------- Zus‰tzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ uInternet Connection Wizard,ShellNext = "c:\programme\Outlook Express\msimn.exe" uInternet Settings,ProxyServer = 131.247.2.241:3127 uInternet Settings,ProxyOverride = *.local IE: Download with GetRight - c:\programme\GetRight\GRdownload.htm IE: Open with GetRight Browser - c:\programme\GetRight\GRbrowse.htm DPF: {3B1E1AB9-98C2-4B7E-AE01-59C84302BBDB} - hxxp://update.rayv.com/viewer/webinstall/ActiveXInstall1.1/rayvactivex.cab . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-05-15 05:44 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteintr‰ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-1078081533-776561741-725345543-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*] "??"=hex:42,81,20,39,5f,e9,0c,d2,1a,19,98,ab,eb,f1,16,47,2f,3f,c4,d0,10,83,2b, db,4d,15,cb,ad,1f,90,1c,02,7d,0e,aa,6c,ed,92,4d,b2,25,83,37,cc,b8,e4,df,5f,\ "??"=hex:35,c2,6c,72,86,43,ca,ed,91,f1,98,3a,c1,56,c8,d2 [HKEY_USERS\S-1-5-21-1078081533-776561741-725345543-1004\Software\SecuROM\License information*] "datasecu"=hex:17,be,95,83,f9,91,ce,b9,29,89,8a,17,e4,ca,a5,f4,1f,7f,6b,5e,98, 36,2b,17,e9,04,f2,37,e6,9b,59,45,3b,a1,fd,86,b0,f7,3d,2d,9d,3e,67,9d,49,9a,\ "rkeysecu"=hex:b0,b6,41,3b,2a,b6,37,b5,e7,3f,9f,b4,8c,b0,6f,22 . Zeit der Fertigstellung: 2009-05-15 5:47 ComboFix-quarantined-files.txt 2009-05-15 03:46 Vor Suchlauf: 20 Verzeichnis(se), 39.518.752.768 Bytes frei Nach Suchlauf: 19 Verzeichnis(se), 40.096.837.632 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect 264 --- E O F --- 2009-05-14 23:08 |
Und hier noch das GMER-Log: GMER 1.0.15.14972 - http://www.gmer.net Rootkit scan 2009-05-15 09:45:52 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.15 ---- SSDT BAF05686 ZwCreateKey SSDT BAF0567C ZwCreateThread SSDT BAF0568B ZwDeleteKey SSDT BAF05695 ZwDeleteValueKey SSDT BAF0569A ZwLoadKey SSDT BAF05668 ZwOpenProcess SSDT BAF0566D ZwOpenThread SSDT BAF056A4 ZwReplaceKey SSDT BAF0569F ZwRestoreKey SSDT BAF05690 ZwSetValueKey SSDT BAF05677 ZwTerminateProcess Code \??\C:\DOKUME~1\Shakka\LOKALE~1\Temp\catchme.sys pIofCallDriver ---- Kernel code sections - GMER 1.0.15 ---- ? C:\DOKUME~1\Shakka\LOKALE~1\Temp\catchme.sys Das System kann die angegebene Datei nicht finden. ! ? C:\WINDOWS\system32\Drivers\PROCEXP90.SYS Das System kann die angegebene Datei nicht finden. ! ---- EOF - GMER 1.0.15 ---- Gefragt wurde ich beim Start von GMER übrigens nichts, weshalb ich direkt zum Reiter Rootkit/Malware gegangen bin und den Scan gestartet habe. |
Hi, zumindest die Starteinträge von einigen nette Tierchen sind noch da, Combofix hat wie erwartet mit dem Rootkit kurzen Prozeß gemacht ;o)... Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code: c:\dokume~1\Shakka\LOKALE~1\Temp\pohci13F.sys
Achtung: Falls die c:\windows\system32\drivers\GEARAspiWDM.sys erkannt wird, unten reinnehmen (unter Files to delete) (Avenger-Script)... Es gibt einen validen CD-Treiber und leider auch eine gleichnamige Mailware! Also aufpassen! Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://saved.im/mzi3ndg3nta0/aven.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code: Files to delete:4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Folgende Autostarteinträge müssen ebenfalls noch eleminiert werden: Zitat:
http://www.dirks-computerecke.de/pc-..._autostart.htm So, jetzt bitte MAM anwerfen und einen Fullscan machen und alles bereinigen lassen! Malwarebytes Antimalware (MAM). Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Fullscan und alles bereinigen lassen! Log posten. Alternativer Download: http://filepony.de/download-malwarebytes_anti_malware/, http://www.gt500.org/malwarebytes/mbam.jsp chris |
Bzgl. Entfernen aus dem Autostart: Reicht es denn, das Häckchen einfach in msconfig zu entfernen, um die Einträge zu entfernen? Ich hatte das nämlich eigentlich schon gemacht, aber die Einträge bleiben ja erhalten, nur halt ohne Häckchen. |
Von den von dir genannten Dateien habe ich leider nur die vierte gefunden (versteckte und geschützte Systemdateien werden angezeigt), deren Scan bei Virustotal keinen Fund ergab: Datei GEARAspiWDM.sys empfangen 2009.05.16 03:53:31 (CET) Status: Beendet Ergebnis: 0/40 (0%) Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.101 2009.05.16 - AhnLab-V3 5.0.0.2 2009.05.15 - AntiVir 7.9.0.168 2009.05.15 - Antiy-AVL 2.0.3.1 2009.05.15 - Authentium 5.1.2.4 2009.05.15 - Avast 4.8.1335.0 2009.05.15 - AVG 8.5.0.336 2009.05.15 - BitDefender 7.2 2009.05.16 - CAT-QuickHeal 10.00 2009.05.15 - ClamAV 0.94.1 2009.05.15 - Comodo 1157 2009.05.08 - DrWeb 5.0.0.12182 2009.05.16 - eSafe 7.0.17.0 2009.05.14 - eTrust-Vet 31.6.6508 2009.05.16 - F-Prot 4.4.4.56 2009.05.15 - F-Secure 8.0.14470.0 2009.05.15 - Fortinet 3.117.0.0 2009.05.15 - GData 19 2009.05.16 - Ikarus T3.1.1.49.0 2009.05.16 - K7AntiVirus 7.10.735 2009.05.14 - Kaspersky 7.0.0.125 2009.05.16 - McAfee 5616 2009.05.15 - McAfee+Artemis 5616 2009.05.15 - McAfee-GW-Edition 6.7.6 2009.05.15 - Microsoft 1.4602 2009.05.15 - NOD32 4080 2009.05.15 - Norman 6.01.05 2009.05.16 - nProtect 2009.1.8.0 2009.05.16 - Panda 10.0.0.14 2009.05.15 - PCTools 4.4.2.0 2009.05.15 - Prevx 3.0 2009.05.16 - Rising 21.29.44.00 2009.05.15 - Sophos 4.41.0 2009.05.16 - Sunbelt 3.2.1858.2 2009.05.15 - Symantec 1.4.4.12 2009.05.16 - TheHacker 6.3.4.1.326 2009.05.15 - TrendMicro 8.950.0.1092 2009.05.15 - VBA32 3.12.10.5 2009.05.16 - ViRobot 2009.5.15.1737 2009.05.15 - VirusBuster 4.6.5.0 2009.05.15 - weitere Informationen File size: 23400 bytes MD5...: f2f431d1573ee632975c524418655b84 SHA1..: d1e43b384cb1bee1791d15d9558e873e78da3090 SHA256: 4ae27d0ae3a35ff18df7e341698df62c51698fb964395ddb69c45c778cccc27e SHA512: 15ee67360675511080f13298dfdf2088aceadbbbc9b3f8f19110cc622af3bbb3 4bf83af174fe540a70b5d609dd687b0cdc0571fd96054bc08fad574dca9e364d ssdeep: 384:8i4SCGWHWIvKkgTB7tIp2FFyFdg4ytSwPA69xERYJLW0jbK:75FIykgTB72s F0+x9xJLtbK PEiD..: - TrID..: File type identification Generic Win/DOS Executable (49.9%) DOS Executable Generic (49.8%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x7089 timedatestamp.....: 0x49c26595 (Thu Mar 19 15:32:37 2009) machinetype.......: 0x14c (I386) ( 7 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x111a 0x1200 6.14 a05e947fa2abb8bbb92c37e8cdfa0bbb .rdata 0x3000 0x3f3 0x400 4.01 9b8289cf496b03995002458dd2725198 .data 0x4000 0x32c 0x200 1.91 7cb7252c231ec2b1339268b79771215e PAGE 0x5000 0x1866 0x1a00 6.08 68f565b66313e21816a93149ea690722 INIT 0x7000 0x6f2 0x800 5.10 ceb952cc1f573710fb19913075103f53 .rsrc 0x8000 0x380 0x400 3.00 ec147183706db11394b3ac7b4b2b01e3 .reloc 0x9000 0x28a 0x400 3.91 47a3e3cc56bd548f8cb9e9965e20a8a7 ( 1 imports ) > ntoskrnl.exe: KeInitializeEvent, IoCreateSymbolicLink, RtlInitUnicodeString, IoAttachDeviceToDeviceStack, IoCreateDevice, RtlCompareUnicodeString, IoGetDeviceProperty, KeSetEvent, InterlockedIncrement, InterlockedDecrement, IofCompleteRequest, IoGetCurrentProcess, IofCallDriver, KeWaitForSingleObject, IoReportTargetDeviceChange, IoBuildDeviceIoControlRequest, ExFreePool, ExAllocatePoolWithTag, memcpy, RtlQueryRegistryValues, memset, IoDeleteDevice, IoAttachDevice, ZwClose, _wcsnicmp, ZwQuerySymbolicLinkObject, ZwOpenSymbolicLinkObject, swprintf, IoFreeIrp, IoAllocateIrp, IoDetachDevice, PoStartNextPowerIrp, PoCallDriver, KeTickCount, KeBugCheckEx, MmGetSystemRoutineAddress, ZwSetSecurityObject, ObOpenObjectByPointer, IoDeviceObjectType, RtlGetDaclSecurityDescriptor, RtlGetSaclSecurityDescriptor, RtlGetGroupSecurityDescriptor, RtlGetOwnerSecurityDescriptor, _snwprintf, RtlLengthSecurityDescriptor, ExFreePoolWithTag, SeCaptureSecurityDescriptor, SeExports, IoIsWdmVersionAvailable, RtlAddAccessAllowedAce, RtlLengthSid, wcschr, RtlAbsoluteToSelfRelativeSD, RtlSetDaclSecurityDescriptor, RtlCreateSecurityDescriptor, ZwOpenKey, ZwCreateKey, ZwQueryValueKey, ZwSetValueKey, RtlFreeUnicodeString ( 0 exports ) PDFiD.: - RDS...: NSRL Reference Data Set Ich habe allerdings im pss-Ordner eine Datei namens ChkDisk.lnkStartup gefunden, deren Virustotal-Scan aber ebenfalls nichts ergab: Datei ChkDisk.lnkStartup empfangen 2009.05.16 04:03:36 (CET) Status: Beendet Ergebnis: 0/40 (0%) Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.101 2009.05.16 - AhnLab-V3 5.0.0.2 2009.05.15 - AntiVir 7.9.0.168 2009.05.15 - Antiy-AVL 2.0.3.1 2009.05.15 - Authentium 5.1.2.4 2009.05.15 - Avast 4.8.1335.0 2009.05.15 - AVG 8.5.0.336 2009.05.15 - BitDefender 7.2 2009.05.16 - CAT-QuickHeal 10.00 2009.05.15 - ClamAV 0.94.1 2009.05.15 - Comodo 1157 2009.05.08 - DrWeb 5.0.0.12182 2009.05.16 - eSafe 7.0.17.0 2009.05.14 - eTrust-Vet 31.6.6508 2009.05.16 - F-Prot 4.4.4.56 2009.05.15 - F-Secure 8.0.14470.0 2009.05.15 - Fortinet 3.117.0.0 2009.05.16 - GData 19 2009.05.16 - Ikarus T3.1.1.49.0 2009.05.16 - K7AntiVirus 7.10.735 2009.05.14 - Kaspersky 7.0.0.125 2009.05.16 - McAfee 5616 2009.05.15 - McAfee+Artemis 5616 2009.05.15 - McAfee-GW-Edition 6.7.6 2009.05.15 - Microsoft 1.4602 2009.05.15 - NOD32 4080 2009.05.15 - Norman 6.01.05 2009.05.16 - nProtect 2009.1.8.0 2009.05.16 - Panda 10.0.0.14 2009.05.15 - PCTools 4.4.2.0 2009.05.15 - Prevx 3.0 2009.05.16 - Rising 21.29.44.00 2009.05.15 - Sophos 4.41.0 2009.05.16 - Sunbelt 3.2.1858.2 2009.05.15 - Symantec 1.4.4.12 2009.05.16 - TheHacker 6.3.4.1.326 2009.05.15 - TrendMicro 8.950.0.1092 2009.05.15 - VBA32 3.12.10.5 2009.05.16 - ViRobot 2009.5.15.1737 2009.05.15 - VirusBuster 4.6.5.0 2009.05.15 - weitere Informationen File size: 653 bytes MD5...: 2ba4f239a5028332d95e21a0b90880a6 SHA1..: 1419ccc1a2479c047cf4ae63323f0c7d1130ceaa SHA256: f38d1407d6b91f5257f52566a892e78df90ffa2e4b4aa537e0c32354a6732268 SHA512: 22e3c20d67285ba6f8ff843b4c30c6f15fb8d12ee899a37562461671bd6cdda2 aeff7d0587988c46ef34dbe3106e4ccffe9d1e88abd329e4ae73b216acff1007 ssdeep: 12:8i8oVJCOGrV1WlDG2efTWlwyY+vWOZKujdflDmo0n:8MJWUlD/efClwX+RZ9B 4o0 PEiD..: - TrID..: File type identification Windows Shortcut (100.0%) PEInfo: - PDFiD.: - RDS...: NSRL Reference Data Set - |
Im Avenger habe ich, da ich die von dir genannten drei Dateien nicht finden konnte, nur den Temp Ordner löschen lassen. Leider kann ich das Avenger Log nicht mehr finden, kann es sein, dass es durch den MBAM bedingen Neustart gelöscht wurde? Ich kann mich zwar errinern, dass darin stand, dass der Temp Ordner gelöscht wurde und dass keine Rootkits gefunden wurden, aber soll ich zur Sicherheit lieber nochmal mit Avenger scannen? Wie ich die Autostart-Einträge entfernen kann weiss ich wie gesagt nicht. Die Häckchen davor hatte ich im msconfig schon enfternt bevor ich überhaupt zum ersten Mal hier gepostet hatte, aber das reicht ja scheinbar nicht aus. Hier nun noch das MBAM-Log: Malwarebytes' Anti-Malware 1.36 Datenbank Version: 2139 Windows 5.1.2600 Service Pack 3 16.05.2009 05:31:00 mbam-log-2009-05-16 (05-31-00).txt Scan-Methode: Vollst‰ndiger Scan (C:\|) Durchsuchte Objekte: 312049 Laufzeit: 1 hour(s), 11 minute(s), 16 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschl¸ssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 6 Infizierte Speicherprozesse: (Keine bˆsartigen Objekte gefunden) Infizierte Speichermodule: (Keine bˆsartigen Objekte gefunden) Infizierte Registrierungsschl¸ssel: (Keine bˆsartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bˆsartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bˆsartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bˆsartigen Objekte gefunden) Infizierte Dateien: C:\Qoobox\Quarantine\C\WINDOWS\system32\ovfsthetchwtpyxohyyidyqcnqgflctufnhayq.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\WINDOWS\system32\ovfsthmnopiayjjtytdaxardvvylaoffqstrtu.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\ovfsthldwrsovsokfktprqmjdvjmwkyoeiqejb.sys.vir (Trojan.TDSS) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{B31FE3A2-97D8-4653-8417-75A3A7235F09}\RP0\A0000001.sys (Trojan.TDSS) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{B31FE3A2-97D8-4653-8417-75A3A7235F09}\RP0\A0000003.dll (Trojan.TDSS) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{B31FE3A2-97D8-4653-8417-75A3A7235F09}\RP0\A0000004.dll (Trojan.TDSS) -> Quarantined and deleted successfully. Danke übrigens nochmals für deine Mühe, den Virus doch noch zu entfernen - im Forum von Avira wurde mir daegegen direkt gesagt, dass ich formatieren muss, daher weiss ich deine Bemühungen wirklich zu schätzen. |
Hi, im Avengerscript noch folgende Zeile ergänzen, um den Treibereintrag zu löschen... Code: Drivers to delete: |
Avenger Log: Logfile of The Avenger Version 2.0, (c) by Swandog46 h**tp://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Driver "pohci13F" deleted successfully. Completed script processing. ******************* Finished! Terminate. |
Hi, wir müssen abschließend noch aufräumen: Systemwiederherstellung löschen http://www.systemwiederherstellung-deaktivieren.de/windows-xp.html Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt: Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung -> anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten; Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder). Einen ersten Restorepunkt setzten: Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen Combofix deinstallieren (falls noch nicht gemacht): Start->Ausführen-> combofix /u Aufräumen: Backups von Avenger&Co (falls vorhanden) löschen: Falls der Rechner einwandfrei läuft, können die Backups der Bereinigungstools gelöscht werden (soweit vorhanden): C:\Qoobox - loeschen und Papierkorb leeren (ComboFix Backups) C:\avenger\backup.zip - loeschen und Papierkorb leeren (Avenger) C:\VundoFix Backups - loeschen und Papierkorb leeren C:\RVAXO-results.log -->Papierkorb leeren Backupfiles von HJ liegen im HJ-Ordner Passwörter etc. ändern nicht vergessen... Und, was meinte AVIRA? Bie Rootkit und Backdoor sollte eigentlich Neuaufgesetzt werden, da Einstellungen und "Hintertürchen" angelegt worden sein können... chris & out |
So, ich habe alle von dir aufgezählten Schritte durchgeführt. Also im Forum von Avira wurde mir direkt zur Neuinstallation von Windows geraten, ohne vorher irgendein anderes Programm auszuprobieren. Du hast nun auch nochmal geschrieben, dass man bei Rootkits, wie ich es ja hatte, normalerweise das System neu aufsetzt. Ist mein PC denn nun trotzdem wieder sauber oder muss ich doch noch formatieren? |
Hi, besser wäre Neuaufsetzen auf jeden Fall, besonderst dann, wenn sicherheitsrelevante Dinge gemacht werden (Homebanking etc.)... Ansonsten bleibt es im "Ermessen" des Einzelnen, was er weiter tun will... chris |
Also ist mein PC noch immer nicht wieder sauber? Ich dachte, wir hätten das Rootkit entfernt. Hat es denn dann überhaupt etwas gebracht, was wir bis hierher gemacht haben? Gibt es noch irgendwas, was man tun kann (abgesehen vom Neuaufsetzen)? |
Hi, momentan ist nach meinem Kenntnisstand und dem der verwendeten Tools der Rechner sauber... Aber: Falls das Rootkit was ganz neues eingeschleust hat, oder Dir irgendwelche Ports freigeschaltet hat, sehe ich (und die tools) das nicht... Ports können über eine Firewall wieder geschlossen werden, nach einigen Tagen und einer gewissen Verbreitung der Malware, wird diese wieder erkannt... Also in dem Fall: Teetrinken und abwarten, V-Tools updaten und ab- und an neuscannen... Ein Restrisiko bleibt, wie wenn SW getestet wird (oder Autoelektrik etc.)... im Prinziep geht es, aber Fehler sind nun mal drin... chris Ps.: Und was von Deinem Rechner schon "abgegriffen" wurde (Passwörter etc.) kann ich Dir nicht sagen, daher in so einem Fall Pwd sofort von einem sauberen Rechner aus ändern, und die verwendeten Pwd für den Rechner ebenfalls nach Bereinigung alle ändern... |
Okay, dann werde ich in der nächsten Zeit mehrmals pro Woche Scans mit MBAM und AV machen und schauen, ob der PC sauber bleibt. Ich habe übrigens einen Router, also sollte das mit den Ports wahrscheinlich nicht so das Problem sein. Passwörter hatte ich bereits vom Laptop aus geändert. Auf jeden Fall vielen Dank für deine Hilfe. :) Eine Frage habe ich allerdings noch: Ich habe auf meiner Festplatte einen Ordner namens C:\ERDNT bemerkt. Was genau ist das und ist es ungefährlich oder sollte ich es löschen? |
Hi, erdnt ist ein Backup-Ordner von Combofix, kann nach Deinstallation von CF gelöscht werden... chris & Out |
Okay, hab ich gemacht. Noch irgendetwas, dass ich noch machen soll, bevor ich mit dem PC wieder ins Internet gehe? |
Hi, falls noch keine Firewall: http://www.tallemu.com/free-firewall-protection-software.html chris |
Ich nutze die Windows Firewall und habe einen Router. Reicht das und ist sonst noch etwas zu machen? |
Hi, ist Ok! chris |
Gut, dann nochmal vielen Dank für deine Hilfe. :) |
Leider muss ich mich nochmal melden, da mein PC scheinbar immer noch nicht wieder sauber ist. Und zwar habe ich noch immer das Problem, dass ich im Firefox bei Google Suchergebnissen auf Werbeseiten, Ebay oder anderen Suchmaschinen umgeleitet werde, anstatt zu der Seite, die eigentlich das Ergebnis der Suche ist, manchmal kommt auch "google.de/undefinded" mit einer 404 Meldung. Ich muss aber sagen, dass dieses Problem im Vergleich zu vor unerer Reinigungsaktion hier im Thread seltener auftritt und ich bei einem zweiten Klick auf das Suchergebnis jetzt immer zur richtigen Seite komme, was vorher nicht der Fall war. Im Internet Explorer tritt das Problem übrigens garnicht auf. Ich war seit der Reinigung hier im Thread abgesehen vom Ausprobieren des Google Problems und Antivir etc. Updates im Grunde nicht im Internet, weshalb ich eine Neuinfektion eigentlich ausschliessen würde. Scans mit MBAM und Antvir fanden nichts, Spybot nur ein paar Trackingcookies. Hier auch noch ein HJT-Log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 03:17:31, on 24.05.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16827) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Google\Update\GoogleUpdate.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype\Plugins\Plugins\1163D2B46CC742E5A3CC9E4157887751\TalkAndWrite.exe C:\Programme\Analog Devices\Core\smax4pnp.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Analog Devices\SoundMAX\SMax4.exe C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe C:\programme\steam\steam.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programme\Outlook Express\msimn.exe" R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 131.247.2.241:3127 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [TalkAndWrite] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype\Plugins\Plugins\1163D2B46CC742E5A3CC9E4157887751\TalkAndWrite.exe /run O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [SoundMax] "C:\Programme\Analog Devices\SoundMAX\SMax4.exe" /tray O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [igndlm.exe] C:\Programme\Download Manager\dlm.exe /windowsstart /startifwork O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: ICQ6.5 (2).lnk = C:\Programme\ICQ6.5\ICQ.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://www.quadv.com/quadvtv1/Rawflow.cab O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (CDownloadCtrl Object) - http://www.fileplanet.com/fpdlmgr/ca..._2.3.5.107.cab O16 - DPF: {3B1E1AB9-98C2-4B7E-AE01-59C84302BBDB} (RayVActiveXCtrl Object) - http://update.rayv.com/viewer/webins...ayvactivex.cab O16 - DPF: {3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} (CTVUAxCtrl Object) - http://dl.tvunetworks.com/TVUAx.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1171887300859 O16 - DPF: {8FEFF364-6A5F-4966-A917-A3AC28411659} (SopCore Control) - http://download.sopcast.com/download/SOPCORE.CAB O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe O23 - Service: Google Update Service (gupdate1c9a91c6c86c0de) (gupdate1c9a91c6c86c0de) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod Service - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: TVersityMediaServer - Unknown owner - C:\Programme\TVersity\Media Server\MediaServer.exe -- End of file - 8590 bytes |
Hi, wenn der IE funktioniert, scheidet eine generelle Umleitung etc. aus. Das kann dann nur an einer Extension oder dem bei Firefox eingetragenen DNS-Server liegen...(Bin aber nicht so der Firefox-Crack)... Fangen wir mal an: Lösche mal alle privaten Daten (Firefox->Extras->Private Daten löschen). Wenn das nichts hilft: Nacheinander alle PlugIns abschalten, bis der Fehler nicht mehr auftritt. Wenn auch das nichts hilft: Arbeite alles was unter dem Link angegeben ist ab und berichte dann im Thread! Erstmal keine PlugIns installieren und das gemachte Backup von Firefox nicht einspielen. http://www.trojaner-board.de/411645-post19.html chris Ps.: Kennst Du die beiden Sachen: O16 - DPF: {3B1E1AB9-98C2-4B7E-AE01-59C84302BBDB} (RayVActiveXCtrl Object) - http://update.rayv.com/viewer/webins...ayvactivex.cab O16 - DPF: {8FEFF364-6A5F-4966-A917-A3AC28411659} (SopCore Control) - http://download.sopcast.com/download/SOPCORE.CAB |
Jap, die beiden Sachen kenne ich. Die sind beide schon wesentlich länger auf dem PC als das Problem besteht, denke daher nicht, dass diese die Ursache sind. Ich muss jetzt leider erstmal weg, wenn ich wiederkomme werde ich aber die von dir gelinkte Liste abarbeiten. |
So, ich habe nun Firefox mit allen privaten Daten und Löschen der Profilordner Firefox deinstalliert, Regseeker und CCleaner laufen lassen und Firefox neuinstalliert ohne irgendwelche Backups einzuspielen. Man glaubt es kaum, direkt bei der ersten Google Suche mit der frischen Firefox Installation wurde ich leider wiederrum falsch weitergeleitet. Ich habe mal probehalber die "Googleupdate.exe" in den Prozessen beendet und seitdem ist das Problem nicht mehr aufgetreten, aber das kann doch nicht wirklich die Ursache sein, oder? |
Hi, nichts ist unmöglich... Lade die Exe mal bei virustotal.com hoch und lasse sie prüfen und poste dann das Ergebnis... Wäre auch mir neu, ausser es ist ein Schädling... chris |
Jetzt funktioniert leider garnichts mehr auf meinem PC. Es geht beim Starten los, "Benutzereinstellungen werden geladen" dauert ewig, dann ist nach dem Starten keine Taskleiste verfügbar und im Taskmanager unter "Prozesse" steht bei den meisten Prozessen unter Benuzer dort wo sonst mein Benutzername stehen sollte garnichts. Ich nehme an, dass das irgendwie mit Regseeker und CCleaner zusammenhängt, beim Versuch, die Registry Backups der beiden Programme wieder einzufügen erscheint allerdings "Zugriff auf die Registrierung fehlgeschlagen". |
Noch eine Anmerkung: "Fehler beim Zugriff auf die Registrierung" ist die genaue Fehlermeldung, wenn ich versuche, die CCleaner bwz. Regseeker Backups wiederherzustellen. |
Hi, das sieht wirklich nicht gut aus... wahrscheinlich wurde zuviel "wegoptimiert"... oder was neues auf den Rechner gekommen... Zuerst solltest Du die Fesplatte überprüfen lassen: Explorer->Laufwerk C anwählen, recht Maustaste ->Eigenschaften->Extras->Jetzt prüfen->"Dateisystemfehler automatisch korrigieren" und "Fehlerhafte Sektoren suchen/wiederherstellen" anwählen->Starten. Jetzt kommt die Frage (da kein exklusiver Zugriff auf das Laufwerk möglich ist), ob beim nächsten Booten geprüft werden soll:->Ja, Rechner neu starten. Das kann jetzt sehr lange gehen... Danach solltest Du noch mal das Einspielen der Backup (von der Reg-Reinigung) probieren, wenn das nicht geht, eine Reparaturinstallation versuchen (die installierte SW bleibt dabei erhalten). Versuch bitte mal ob Du den Regeditor von Windows aufrufen kannst: Start->Ausführen->regedit... chris |
Ich hab das System auf Fehler prüfen lassen, Ergebnis war, dass das Volumen fehlerfrei ist, beim Doppelklick auf die Registrierungsdateien im Explorer kommt aber immer noch der selbe Fehler. Regedit lässt sich starten, soll ich dort noch etwas versuchen oder soll ich trotzdem eine Reparaturinstallation starten? |
Hi, Moment, auf welche Registrierungsdateien klickst Du? Die Backups von den Tools (CCleaner bzw. Regseeker)? Versuche die Backup über die Tools einzuspielen (wenn das geht)... Wenn Du einen neuen Benutzer anlegst, lädt der normal? Falls MBAM noch lauffähig ist, lass das noch mal laufen... chris |
Genau, ich hab direkt im Explorer auf die Backups geklickt. Ich habe nämlich zwar im Regseeker eine Funktion gefunden, die Backups einzuspielen, wolllte aber erst die CCleaner Backups einspielen, da diese ja jünger sind, weil ich CCleaner nach dem Regseeker ausgeführt habe. Im CCleaner habe ich aber leider keine Funktion gefunden, um Backups einzuspielen. Naja, nochmal genauer nachschauen. Wie ich einen neuen Benutzer anlege weiss ich ehrlich gesagt nicht. Normalerweise mach ich das über die Systemsteuerung, aber auf die kann ich ja wegen der fehlenden Taskleiste nicht zugreifen. Gibt es noch einen anderen Weg? |
*kurz einspringe* [Strg][Alt][Entf] => Taskmanager => Karte: Anwendungen => Neuer Task... => nusrmgr.cpl => OK Das Backup beim Regseeker funktioniert nicht. Im Ordner von Regseeker (c:\programme\regseeker) befindet sich ein Ordner Backup. Dort gibt es mehrere Dateien mit Datum, Uhrzeit und der Endung .reg. Doppelklick auf die Regdatei => Klick auf Ja. ciao, andreas |
Wie gesagt, wenn ich auf die .reg Dateien doppelklicke und dann Ja wähle erscheint leider "Fehler beim Zugriff auf die Registrierung". |
Gibt es denn keinen Systemwiederherstellungspunkt? Lässt sich ein neues Profil anlegen? ciao, andreas |
Systemwiederherstellung hatte ich leider wegen dem Virus deaktiviert. Ob sich ein Profil erstellen lässt kann ich jetzt nicht sagen, da ich im Moment nicht an den PC kann, werde ich aber prüfen. Lässt sich mit regedit übrigens noch etwas machen? Da hatte Chris ja gestern gefragt, ob sich dieses starten lässt, was der Fall ist. |
Ich bin nur wegen des Profils und des Backups von Regseeker eingesprungen, immerhin ist die Anleitung von mir. Den Rest macht Chris4You. *wieder ausklinke* ciao, andreas |
Also MBAM ist nicht mehr lauffähig, beim Klick auf mbamgui.exe passiert nichts und beim Klick auf mbam.exe erscheint "Runtime Error "372": Failed to load control 'vbalGrid' from vbalsgrid6.ocx. Your version of vbalsgrid6.oxc may be outdated. Make sure you are using the version of the control that was provided with your application." Einen neuen Benutzer anzulegen scheint auch nicht zu gehen, zumindest auf die von Andreas beschriebene Weise. Wenn ich den Task ausführe öffnet sich zwar ein Fenster Benutzerkonten, das aber komplett weiss und leer ist. Ein Klick auf Startseite oder einen der beiden Pfeile bewirkt auch nichts. |
Hi, ich denke es läuft auf eine Reparaturinstallation hinaus. Gleichzeitig würde ich doch noch gerne was in der Hinterhand haben, daher sollten wir noch eine Notfall-CD vorbereiten: Antivir, Rescue-CD (ACHTUNG: Gibt Probleme bei ATI-Grafikkarten!) http://www.avira.de/de/support/support_downloads.html Dort bitte das Rescue System sowie das update dazu runterladen. Beim Start der Anwendung leere CD in den Brenner, CD brennen lassen. Zweite CD brennen mit dem ausgepackten Update. Von CD booten (Einstellung im BIOS vornehmen)... http://www.pcwelt.de/start/sicherheit/antivirus/news/149200/ G Data-Rettungs-CD, Größe ca. 110 MB: http://www.gdata.de/typo3conf/ext/dam_frontend/pushfile.php?docID=826 Runterladen und dann auf CD brennen, von CD booten (im Bios die Bootreihenfolge umstellen, gilt auch für AVIRA).... Wenn wir die dann haben: Hast Du ein Backup Deiner Daten, wenn nicht jetzt machen..., dann: XP-CD einwerfen, im Bios die Bootreihenfolge umstellen und wie folgt vorgehen (gg. Ausdrucken): http://www.winboard.org/forum/installation/52759-reparaturinstallation-windows-xp-grafische-anleitung.html Ist die Reparatur abgeschlossen, würde ich bevor Windows das erste mal wieder Startet gleich von der Rettungs-CD starten und den Rechner noch mal scannen lassen, man weiss nie...(Normalerweise legen Trojaner/Viren den Wirtsrechner nicht lahm, da sie ihn ja "benutzen" wollen, aber bei einem Programmierfehler...) chris |
Okay, ich habe eine Reparaturinstallation ausgeführt und vorm Booten von Windows zuerst einen Virusscan mithilfe der Antivir Rescue CD gemacht, der ohne Fund verlief (übrigens genau wie vor der Reparaturinstallation). Danach habe ich Windows gestartet und zum Glück ist soweit ich das sehe alles wieder normal, die Prozesse im Taskmanager sehen normal aus, Kopieren und Einfügen geht wieder, Sound ist wieder da und die Taskleiste ist auch wieder verfügbar. Das Einzige was mir gerade als unnormal auffällt ist, dass der WMP nun eine ältere Version hat, aber das ist wahrscheinlich durch die Reparatur bedingt Danke erstmal dafür, ich hätte nicht gedacht, ohne Format C: nochmal ein funktionierendes Windows auf dem Rechner zu sehen. ;) Was soll ich als nächstes machen? MBAM laufen lassen? Die Registry Backups einspielen? Regseeker und CCleaner wieder laufen lassen (Firefox ist noch nicht wieder installiert)? Oder einfach wieder online gehen und schauen, was beim Googeln passiert? |
Hi, nein lass mal stecken... Als erstes die Sicherheits-SW wieder zum Laufen bringen, am besten auf einem anderen PC runterladen (Stick!), den dann schreibschützen und auf Deinem Rechner installieren, erst dann Online gehen. Dann Firefox installieren und ausprobieren. Wenn er wieder anfängt wie folgt vorgehen: Tipp mal in der Adresszeile von Firefox about:config ein (Sicherheitsabfrage abnicken) und such nach keyword.URL. Richtig wäre: Code: http://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q= |
Hi, hat sich schon was getan? Chris Ps.: Bin morgen am Mittwoch den ganzen Tag unterwegs... |
So, ich habs nun eine Weile ausprobiert und kann glücklicherweise berichten, dass ich bisher keine Probleme mehr hatte. :) Soll ich noch irgendetwas machen oder kann ich nun wieder normal mit dem PC umgehen? Ansonsten natürlich vielen Dank für deine Hilfe und ich melde mich wieder, falls die Probleme doch noch nicht vorrüber sind. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 21:21 Uhr. |
Copyright ©2000-2025, Trojaner-Board