![]() |
Ntoskrnl-hook Schönen guten Abend, ich habe vor gut einer Woche mein bestelltes Dell Studio XPS 1340 erhalten. Windows Vista 32-Bit-Betriebssystem Intel Core 2 Duo CPU, P8600 2,4 GHz NVIDIA GeForce 9500M (GF 9200MGS + GF 9400MG) So weit so gut, eine Woche hat es getan was es sollte, dh. Office-Anwendungen, Poker, WinAmp und die Games FM 2009 sowie Assassins Creed. Heute kommt ohne unmittelbaren Grund plötzlich ein Bluescreen, der mir berichtet, er müsse zu meines Laptops Sicherheit herunterfahren :mad: Ich schaue dem gespannt zu und lasse ihn wieder hochbooten, mache daraufhin ein Screening mit dem vorinstallierten McAfee Security Center. Der meldet mir 2 entdeckte Trojaner der Marke "NTOSKRNL-HOOK", Entdeckungsname "Generic Rootkit.d!rootkit". Ich gucke also im Internet, was ist das denn überhaupt? In diesem moment erscheint erneut der Bluescreen, besagter Inhalt. Dumm nur, dass er mir den Bluescreen nun jedesmal andreht, soabld ich mich wieder anmelden will. Der nächste Schritt war dann der Abgesicherte Modus, in dem ich mich momentan befinde. Nach diversen Suchen über Google habe ich dann diverse Programme (Malwarebytes' Anti-Malware, Combifix), die sich aber nicht öffnen lassen, sobald sie heruntergeladen worden sind. Auch die Reinstallations-CD mit Reparaturmodus hat mch nicht weiterbringen können, was im Endeffekt heißt: Ich bitte um HILFE! :( |
Hallo und :hallo: Schließe alle Anwendungen und lass folgendes laufen: Rootkitscan mit RootRepeal
ciao, andreas |
Danke dir erstmal für die fixe Antwort :) Leider komme ich nur bis zur Auswahl der Platte C, danach initialisiert er und plötzlich ist er weg, wie die anderen Programme auch. Ich hoffe doch ich blamiere mich jetzt nicht... :( |
Benenne es um in Quiek.exe und versuche es nochmal. ciao, andreas |
Dasselbe in grün. Er bringt mir übrigens (das hatte ich vorhin vergessen zu schreiben) die Nachricht, dass ich die exe auf eigene Gefahr ausführe und nicht garantiert werden kann dass es im Safe Mode funktioniert. |
Wie ist es mit anderen Programmen, also nicht mit Sicherheitsprogrammen, sondern "normalen"? Gibt es dort auch Probleme? Versuche combofix.exe in cofi.exe umzubenennen und zu starten. ciao, andreas |
Der Reihe nach: Normale Programme laufen ohne Probleme. Ich habe ComboFix nocheinmal runtergeladen und deinem Rat nach benannt, und es tat sich was! Ein Fenster DOS-Manier, ähnlich der Eingabeaufforderung, öffnete sich, und gleich darauf ein Pop-Up mit der nachricht, auf meinem laptop gebe es Rootkit-Aktivitäten und er möchte das System sofort runterfahren. Die folgenden Pfade soll ich mir aufschreiben: C:\Windows\system32\gxvxcfsyqwdrg... .sys C:\Windows\system32\gxvxc.... .dll C:\Windows\system32\gxvxc.... .dll Daraufhin habe ich RootRepeal noch einmal geladen, umbenannt, und es öffnete sich auch da für eine Millisekunde ein Fenster, um dann zu verschwinden. |
Da ist das Problem, ich brauche die genauen Dateinamen, ansonsten habe ich keine Chance. Bitte notiere dir jeden Buchstaben und kontrolliere zur Sicherheit nochmal. ciao, andreas p.s.: Start => Ausführen => devmgmt.msc eingeben und [Enter] drücken Ansicht => Ausgeblendete Geräte anzeigen => Nicht-PNP-Treiber Dort den Treiber gxvxc..... deaktivieren => Rechner neustarten, nochmal probieren. |
C:\Windows\system32\drivers\gxvxcfsyqwdrgqfvphbncceaiooiqgnetwiuit.sys C:\Windows\system32\drivers\gxvxcvqlenkwqitqqxpcocugcebwpuxsmfvvm.dll C:\Windows\system32\drivers\gxvxcbenbgxbywrhvegepfbcyajmnjexodfpf.dll :Boogie: |
1.) Anleitung Avenger (by swandog46) Lade dir das Tool Hopsassa und speichere es auf dem Desktop:
Code: Files to delete:
2.) ComboFix Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert. Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. ciao, andreas |
Avenger.txt PHP-Code: |
Dann stimmen die Dateinamen nicht, bitte noch einmal genau kontrollieren, jeden Buchstaben. Neues Skript für Avenger: Code: Drivers to delete: |
Zitat:
Es tut wieder, ich hoffe das bleibt jetzt auch so. Vielen Dank dir für deine Zeit und deine Geduld :) |
Zitat:
Zitat:
Jetzt sollte Combofix wieder laufen, poste bitte das Log von Combofix. ciao, andreas |
Code: ComboFix 09-06-01.03 - Simon Laptop 03.06.2009 19:44.1 - NTFSx86 |
Das Combofix-log war etwas länger als die maximal erlaubte Menge. Hier nun der Rest: Code: ------- Zusätzlicher Suchlauf ------- |
Wurde der Rechner erst kürzlich neuinstalliert? 1.) Deaktiviere den Wächter von Avira. 2.) Packe den Ordner c:\qoobox mit Zip oder Rar, lade das Archiv bei einem Filehoster (z.B. www.materialordner.de) hoch und schicke mir den Link als PN. 3.) Aktiviere den Wächter von Avira. 4.) Systemdetails mit RSIT prüfen
5.) http://www.trojaner-board.de/51871-a...tispyware.html (nur Punkt 1-3 der Anleitung abarbeiten) ciao, andreas |
Das Laptop hab ich erst vor ner guten Woche bekommen :( Qoobox: http://www.materialordner.de/b4J5Z9ICPjZcjqliOLhUYu2MEw9lcLHe.html Code: info.txt logfile of random's system information tool 1.06 2009-06-03 20:56:30 |
PHP-Code: |
Code: 2009-06-01 11:18:37 ----D---- C:\ProgramData\WindowsSearch |
Code: 2009-06-03 00:18:08 ----D---- C:\Windows\ModemLogs |
Klicke auf Editieren und ersetze [ PHP][ /PHP] durch [ CODE][ /CODE], ansonsten ist das nicht lesbar. ciao, andreas |
Im very sorry, falls ich dir mehr Arbeit bereite als nötig, abr ich bin was das angeht ein absolutes Antitalent. Das ist nochmal der erste Teil, den ich nicht mehr editieren konnte: Code: Logfile of random's system information tool 1.06 (written by random/random) |
Und hier nun das log von SuperAntiSpyware: Code: SUPERAntiSpyware Scan Log |
Für das ComboFix-Script brauche ich einige Zeit. SuperAntiSpyware kann wieder deinstalliert werden. Lade in der Zwischenzeit die ZIP-Dateien, die sich im Ordner C:\avenger befinden, bei einem Filehoster hoch und schicke mir den/die Links als PN (Private Nachricht). ciao, andreas |
Der Ordner C:\avenger existiert nicht. Zumindest nicht wenn ich auf normalem Wege nachgucke. Zitat:
|
Zitat:
Hast du irgendwelche P2P-Programme installiert (gehabt)? 1.) Start => Ausführen => cmd [Strg][Umschalt][Enter] sfc /scannow [Enter] (Vista-DVD bereithalten) exit [Enter] Sollte es kein Ausführen geben, dann hier die ersten Schritte abarbeiten => http://www.trojaner-board.de/72647-b...ktivieren.html 2.) Start => Ausführen => mrt => OK ciao, andreas p.s.: Welches Antivirenprogramm hast du denn eigentlich? Ich sehe da Avira und Mcafee, aber keines scheint zu laufen? |
Code: Microsoft Windows [Version 6.0.6001] McAfee habe ich gestern im Überschwang der Gefühle abgeräumt und Avira draufgespielt, und bis eben war ich in dem sicheren Gefühl, es wäre am laufen. Dann habe ich heute Nachmittag noch einmal hier ins Forum geschaut, um absolut sicher zu gehen, dass ich den Trojaner los bin. Und siehe da, eine PN eines anderen Users, dass ich noch lange nicht über den Berg bin. :( Btw: Avenger habe ich nicht gefunden, habe es gestern auch deinstalliert. Sollte ich es trotzdem noch finden? |
Zitat:
Je genauer ich mir die Logs anschaue, desto mehr neige ich zur Neuinstallation. Das ist ja grauenvoll. :( Zitat:
Poste das Log von Code: C:\Windows\Logs\CBS\CBS.log ciao, andreas |
Zitat:
Zitat:
Zitat:
Beim Öffnen sagt er mir "Zugriff verweigert" |
Die schnellste und sicherste Lösung ist immer Neuinstallation. Nur für den Fall, das schwerwiegende Gründe dagegen sprechen, würde ich weitermachen wollen. Viel wichtiger für die Zukunft ist jedoch, wie hast du das bekommen? Lies dir die letzten beiden Links in meiner Signatur durch. Irgendwo hast du einen grundsätzlichen Fehler begangen. ciao, andreas |
Zitat:
Ich habe mir beide Links durchgelesen und verstanden, kann mir jedoch nicht erklären wie ich mir die Malware eingefangen haben könnte. Geben die Logs darüber in irgendeiner Weise Aufschluss? |
Zitat:
Zitat:
Erstelle ein Filelisting.
Lasse dich nicht von den Fehlermeldungen verunsichern, das liegt an Vista. ciao, andreas |
Alle Zeitangaben in WEZ +1. Es ist jetzt 07:53 Uhr. |
Copyright ©2000-2025, Trojaner-Board