Trojaner-Board - Av Programme können nicht updaten

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Av Programme können nicht updaten - GMER findet Mods (https://www.trojaner-board.de/74136-av-programme-updaten-gmer-findet-mods.html)

Av Programme können nicht updaten - GMER findet Mods

Hallo liebe Forumsmitglieder,
ich bin über Onkel-Google ;) auf folgenden Thread in eurem Forum gekommen.

Ich habe das selbe Problem.

Mit Tralala gescannt ergibt folgende Meldung und folgenden Log

Meldung:

http://rapidshare.com/files/244469280/Meldung_GMER.JPG

Log:

Zitat:

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-06-14 16:51:27
Windows 5.1.2600 Service Pack 3

---- System - GMER 1.0.14 ----

SSDT 8A5D67D0 ZwAllocateVirtualMemory
SSDT \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G DATA Software AG) ZwClose [0xBAB893B0]
SSDT \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G DATA Software AG) ZwCreateKey [0xBAB8A090]
SSDT 8A5D7958 ZwCreateProcess
SSDT 8A51F208 ZwCreateProcessEx
SSDT 8A5A00F8 ZwCreateThread
SSDT \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G DATA Software AG) ZwDeleteKey [0xBAB8A1B2]
SSDT \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G DATA Software AG) ZwDeleteValueKey [0xBAB8A1D4]
SSDT \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G DATA Software AG) ZwOpenKey [0xBAB8A118]
SSDT \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G DATA Software AG) ZwOpenProcess [0xBAB892D6]
SSDT 8A5D6848 ZwQueueApcThread
SSDT 8A5B4648 ZwReadVirtualMemory
SSDT 8A58A1E8 ZwRenameKey
SSDT 8A5BFC58 ZwSetContextThread
SSDT 8A5A2B50 ZwSetInformationKey
SSDT 8A5A02D8 ZwSetInformationProcess
SSDT 8A5D7C00 ZwSetInformationThread
SSDT \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G DATA Software AG) ZwSetValueKey [0xBAB8A184]
SSDT 8A55F530 ZwSuspendProcess
SSDT 8A5BFBE0 ZwSuspendThread
SSDT 8A5DE420 ZwTerminateProcess
SSDT 8A5C0238 ZwTerminateThread
SSDT 8A5B46C0 ZwWriteVirtualMemory

Code 8A2C44F0 ZwEnumerateKey
Code 8A2C3D30 ZwFlushInstructionCache
Code 8A2F376E IofCallDriver
Code 8A2F439E IofCompleteRequest

---- Kernel code sections - GMER 1.0.14 ----

.text ntkrnlpa.exe!IofCallDriver 804EE130 5 Bytes JMP 8A2F3773
.text ntkrnlpa.exe!IofCompleteRequest 804EE1C0 5 Bytes JMP 8A2F43A3
.text ntkrnlpa.exe!ZwCallbackReturn + 2768 80501FA0 6 Bytes [ 20, E4, 5D, 8A, 38, 02 ]
PAGE ntkrnlpa.exe!ZwFlushInstructionCache 805ABEC4 5 Bytes JMP 8A2C3D34
PAGE ntkrnlpa.exe!ZwEnumerateKey 8061AB70 5 Bytes JMP 8A2C44F4
? eynadqmf.sys Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.14 ----

.text C:\WINDOWS\system32\svchost.exe[324] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 14, 84 ]
.text C:\WINDOWS\system32\winlogon.exe[628] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 74, 84 ]
.text C:\WINDOWS\system32\svchost.exe[860] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 5A, 84 ]
.text C:\WINDOWS\system32\svchost.exe[924] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 57, 84 ]
.text C:\WINDOWS\System32\svchost.exe[1108] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 48, 84 ]
.text ...
.text C:\Programme\Webroot\WebrootSecurity\SpySweeperUI.exe[1856] kernel32.dll!CreateThread + 1A 7C8106F1 4 Bytes [ 7B, 00, C4, 83 ]

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisCloseAdapter] [BAB42062] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisOpenAdapter] [BAB420D2] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisDeregisterProtocol] [BAB42326] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRegisterProtocol] [BAB422FC] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol] [BAB422FC] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter] [BAB420D2] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter] [BAB42062] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol] [BAB42326] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol] [BAB42326] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol] [BAB422FC] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter] [BAB420D2] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter] [BAB42062] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [BAB422FC] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [BAB42326] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [BAB42062] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [BAB420D2] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [BAB42062] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [BAB420D2] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [BAB422FC] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [BAB42326] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [BAB422FC] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [BAB420D2] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [BAB42062] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [BAB422FC] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [BAB42326] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [BAB42062] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [BAB420D2] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)

---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Ntfs \Ntfs ssfs0bbc.sys (Spy Sweeper FileSystem Filter Driver/Webroot Software, Inc. (www.webroot.com))

Device \Driver\Tcpip \Device\Ip 8A31E730
Device \Driver\Tcpip \Device\Ip 8A1C43D0
Device \Driver\Tcpip \Device\Ip 8A250A08
Device \Driver\Tcpip \Device\Ip 89478680
Device \Driver\Tcpip \Device\Ip 8A090260
Device \Driver\Tcpip \Device\Ip 89939678
Device \Driver\Tcpip \Device\Ip GDTdiIcpt.sys (G DATA Software AG)
Device \Driver\Tcpip \Device\Tcp 8A31E730
Device \Driver\Tcpip \Device\Tcp 8A1C43D0
Device \Driver\Tcpip \Device\Tcp 8A250A08
Device \Driver\Tcpip \Device\Tcp 89478680
Device \Driver\Tcpip \Device\Tcp 8A090260
Device \Driver\Tcpip \Device\Tcp 89939678
Device \Driver\Tcpip \Device\Tcp GDTdiIcpt.sys (G DATA Software AG)
Device \Driver\Tcpip \Device\Udp 8A31E730
Device \Driver\Tcpip \Device\Udp 8A1C43D0
Device \Driver\Tcpip \Device\Udp 8A250A08
Device \Driver\Tcpip \Device\Udp 89478680
Device \Driver\Tcpip \Device\Udp 8A090260
Device \Driver\Tcpip \Device\Udp 89939678
Device \Driver\Tcpip \Device\Udp GDTdiIcpt.sys (G DATA Software AG)
Device \Driver\Tcpip \Device\RawIp 8A31E730
Device \Driver\Tcpip \Device\RawIp 8A1C43D0
Device \Driver\Tcpip \Device\RawIp 8A250A08
Device \Driver\Tcpip \Device\RawIp 89478680
Device \Driver\Tcpip \Device\RawIp 8A090260
Device \Driver\Tcpip \Device\RawIp 89939678
Device \Driver\Tcpip \Device\RawIp GDTdiIcpt.sys (G DATA Software AG)
Device \Driver\Tcpip \Device\IPMULTICAST 8A31E730
Device \Driver\Tcpip \Device\IPMULTICAST 8A1C43D0
Device \Driver\Tcpip \Device\IPMULTICAST 8A250A08
Device \Driver\Tcpip \Device\IPMULTICAST 89478680
Device \Driver\Tcpip \Device\IPMULTICAST 8A090260
Device \Driver\Tcpip \Device\IPMULTICAST 89939678
Device \Driver\Tcpip \Device\IPMULTICAST GDTdiIcpt.sys (G DATA Software AG)

AttachedDevice \FileSystem\Fastfat \Fat ssfs0bbc.sys (Spy Sweeper FileSystem Filter Driver/Webroot Software, Inc. (www.webroot.com))
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
---- Processes - GMER 1.0.14 ----

Library \\?\globalroot\systemroot\system32\MSIVXqppkbftitlwhplvdnbfrorowqbdipuxs.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [860] 0x10000000

---- EOF - GMER 1.0.14 ----

Ich habe leider garkeine Ahnung und viel zu viel Koffeein Intuss, das ich irgendetwas mit dieser Information anfangen kann. Wenn jemand mir erklären könnte wodrauf ich achten muss oder die relevanten Stellen heraussuchen könnte wäre ich diesem sehr Dankbar.
Neu gekaufte Anti-Virus Software bringt leider nix - wenn mann sie nicht updaten kann.

Viele Grüße

Torben :)

Hallo und :hallo:

Zitat:

Neu gekaufte Anti-Virus Software bringt leider nix - wenn mann sie nicht updaten kann.

Ein Update würde auch nichts helfen, der ist neu, den kennen die sicher noch nicht. ;)

Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

Files to delete:

C:\WINDOWS\system32\MSIVXqppkbftitlwhplvdnbfrorowqbdipuxs.dll

http://saved.im/mzi3ndg3nta0/aven.jpg

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

ciao, andreas

Hey,
vielen Dank für die schnelle Antwort.

Ich die Datei erfolgreich gelöscht. In dem Logfile stand drinne, dass er noch ein Rootkit entdeckt hat -> gleicher Name nur *.sys am Ende. Genauso geschlöscht wie die Datei davor - mit Hopsassa.

Das Problem besteht leider weiterhin und ich bekomme beim restart die Fehlermeldung:

http://rapidshare.com/files/244486820/Fehlermeldung.JPG

Vielen Dank für die Bemühungen - vlt. bekommen wir es ja noch hin. :)

Viele Grüße
Torben

P.s.: Btw. das ach so tolle GDATA findet keine Rootkits - nen bissle frech ;D

EDIT: Bei einem erneuten Scan findet GMER die angesprochene *.sys-Datei. Ich versuche sie nochmal zu löschen

Neues Skript für Avenger:

Code:

Drivers to delete:

MSIVXserv.sys
 

Registry keys to delete:

HKLM\SYSTEM\ControlSet001\Services\MSIVXserv.sys

HKLM\SYSTEM\ControlSet002\Services\MSIVXserv.sys

HKLM\SYSTEM\ControlSet003\Services\MSIVXserv.sys

HKLM\SYSTEM\ControlSet004\Services\MSIVXserv.sys
 

Files to delete:

C:\WINDOWS\system32\MSIVXqppkbftitlwhplvdnbfrorowqbdipuxs.dll

Bitte anschliessend Log posten.

Start => Ausführen => c:\avenger.txt => OK

ciao, andreas

Moin Moin,

Hier das Logfile wie bestellt!

Zitat:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\MSIVXserv.sys" not found!
Deletion of driver "MSIVXserv.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: registry key "HKLM\SYSTEM\ControlSet001\Services\MSIVXserv.sys" not found!
Deletion of registry key "HKLM\SYSTEM\ControlSet001\Services\MSIVXserv.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: registry key "HKLM\SYSTEM\ControlSet002\Services\MSIVXserv.sys" not found!
Deletion of registry key "HKLM\SYSTEM\ControlSet002\Services\MSIVXserv.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: registry key "HKLM\SYSTEM\ControlSet003\Services\MSIVXserv.sys" not found!
Deletion of registry key "HKLM\SYSTEM\ControlSet003\Services\MSIVXserv.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: registry key "HKLM\SYSTEM\ControlSet004\Services\MSIVXserv.sys" not found!
Deletion of registry key "HKLM\SYSTEM\ControlSet004\Services\MSIVXserv.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\system32\MSIVXqppkbftitlwhplvdnbfrorowqbdipuxs.dll" not found!
Deletion of file "C:\WINDOWS\system32\MSIVXqppkbftitlwhplvdnbfrorowqbdipuxs.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

Funktioniert immer noch nicht. Und das Windows Update auch nicht. Was ist das denn für nen perverser Virus.

Liebe Grüße
Torben

Zitat:

Funktioniert immer noch nicht. Und das Windows Update auch nicht.

Das mag schon sein, aber den Rootkit bist du los.

1.) Lade die Dateien backup().zip aus dem Ordner c:\avenger bei einem Filehoster hoch (z.B. www.materialordner.de) und schicke mir die Links als PN (Private Nachricht).

2.) Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Sollte sich ComboFix nicht starten lassen, dann benenne es um in cofi.exe und versuche es nocheinmal.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Hi Andreas,
vielen Dank erstmal, das du dir die Zeit nimst - für einen völlig fremden.

Ich habe alles wie in deiner Anleitung beschrieben getan. Dies ist bei rausgekommen :

KLICK

Bin echt am verzweifeln hier langsam :(
Viel Grüße
Torben

Jaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa :Boogie:

Ich versteh jetzt garnichts mehr. War das jetzt CCleaner oder ComboFix oder was?

Auf jeden fall funktioniert es wieder !!

Chalalalalala

Eye ich danke dir. Jetzt schulde ich dir aber mindestens nen Kaffee!

Schönen Sonntag Abend noch.

Torben

Du glaubst wir seien schon fertig? :lach:

Da sehe ich noch den Spysweeper, hast du den selbst installiert?

Ich brauche jetzt etwas Zeit um das Script zu basteln. In ca. einer Stunde geht es weiter.

ciao, andreas

p.s.: Lasse in der Zwischenzeit schonmal RSIT laufen.

Systemdetails mit RSIT prüfen

Lade Random's System Information Tool (RSIT) von random/random herunter,
speichere es auf Deinem Desktop.
Starte mit Doppelklick die RSIT.exe.
Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt hier in den Thread.

Hey,
alles klar. Ich mach jetzt kurz ne Pause und dann geht es gerne weiter. Super das hier so ne rundum erneuerung meines PC's betrieben wird. Bin euch bzw. dir echt dankbar.

Ja Webroot Spy Sweeper habe ich mir sogar gekauft, da es sehr gut sein soll. Scanne gerade auch (jetzt dank dir mit neustem Update).

Möge die Macht mit dir sein ;)

Bis später :)

TOrben

So,
jetzt hab ich wieder nerven für den PC.

Infofile

Logfile

Was versteckt sich also noch....ich bin gespannt :)

Danke Andreas!

1.) Mausklick rechts auf

Code:

C:\cleanup.bat

=> Bearbeiten => kompletten Inhalt hier posten

2.) Lade die Datei

Code:

C:\zip.exe

bitte bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html

3.) Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

KILLALL::
 

Driver::

HJQKIHMZ
 

Registry::

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"=-
 

File::

C:\backup.reg

c:\dokumente und einstellungen\Torben-Matties Meyer\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT

c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT

c:\windows\system32\perfc007.dat

c:\windows\system32\perfh007.dat

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

Danach das Log von Combofix posten.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Hey,

Der Inhalt der Bat-Datei:

Zitat:

@ECHO OFF
cd %systemdrive%\
if exist %systemdrive%\avenger\backup.zip move /y %systemdrive%\avenger\backup.zip "%systemdrive%\avenger\backup-%date:/=.%-%time::=.%.zip"
move /y backup.reg %systemdrive%\avenger\
copy /y avenger.txt %systemdrive%\avenger\
for %%a in (c d e f g h i j k l m n o p q r s t u v w x y z) do if exist %%a:\avenger attrib -r -h -s %%a:\avenger\* /S /D & zip -r -S -q -m -! -P infected "%systemdrive%\avenger\backup.zip" %%a:\avenger\* -x %systemdrive%\avenger\backup*.zip & rmdir %%a:\avenger
del zip.exe
del cleanup.exe
del cleanup.bat

Combofix Log:

ComBofixLog2

Greetz
TOrben

EDIT:

Hier das RSIT nach Bereinigung:

KLICK MICH

Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

KILLALL::
 

Folder::

c:\avenger

C:\rsit
 

File::

C:\cleanup.bat

C:\zip.exe
 

DirLook::

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Webroot

c:\dokumente und einstellungen\Torben-Matties Meyer\Anwendungsdaten\Webroot

c:\programme\Webroot

c:\programme\MSSOAP

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

Danach das Log von Combofix posten.

Hi Andreas,

hier das Logfile:

KLICK MICH (Logfile3)

Ich habe keine Ahnung was ich hier mache aber ich bedanke mich für die von dir mit besten Wissen und Gewissen durchgeführte Reinigung.

Viele Grüße

Torben