|
AV meldet Obfuscator.ER und Spy.Agent.xps Hallo Trojaner-Board Community, Seit etwa einer Woche habe ich einen vermeintlichen Virus auf meinem System (Laptop, Windows Vista Business SP1, Avira AntiVir PE, CCleaner, Windowsfirewall Aktiv) Der äußerte sich bisher durch gelegentliches Aufrufen von Werbeseiten mit dem IE, ohne das ich auch nur annähernd etwas gestartet hätte. Zunächst wollte ich natürlich selber erst mal was herausfinden, leider lassen sich weder AntiMalware noch Hijackthis installieren. Bei ersterem folgt nach erfolgreicher Installation ein Windowsfenster mit "Malwarebytes... funktioniert nicht mehr". HJT startet erst gar nicht. Seit ich mir dann die Sunbelt Personal Firewall installiert habe, meldet sich kein Fenster mehr (ich blocke ja auch alle ein/ausgehenden Verbindungen die ich nicht kenne...) Außerdem findet AntiVir seit etwa 2 Tagen immer die selben Schädlinge: --> SPR/Tool.Obfuscator.ER.42 --> TR/Spy.Agent.xeq beide im Ordner C-Windows-System32-Beginnend mit "MSIVX..." Hochladen bei einem Onlinevirenscanner geht nicht, da ich die Dateien nicht finden kann, trotz entsprechenden Einstellungen in den "Ordneroptionen" Eventuell hat einer von euch noch einen Tipp zum weiteren Vorgehen. Neu Aufsetzen wäre sicherlich kein Problem, aber die Mühe möchte ich mir nur machen wenn es unbedingt sein muss (Mein Laptop hat eine XP Version samt Treiber mitgeliefert, die würde ich dann bei der Gelegenheit draufspielen...) Auf alle Antworten freue ich mich, Danke schon mal im Voraus, Viele Grüße Hedgehog :) |
Hallo und :hallo: Zitat:
http://www.trojaner-board.de/51262-a...sicherung.html Den hatte ich gerade und wir sind immer noch nicht durch. :) http://www.trojaner-board.de/74136-a...ndet-mods.html Wenn dir der Weg lieber ist, dann fange mit Gmer an. ciao, andreas |
Danke :) Ging ja richtig Fix mit ner Antwort hier :daumenhoc Wie gesagt, Neu aufsetzen würd ich nur wenn nichts anderes mehr geht, mir fehlt grade die Zeit. Werds heut Abend mal mit Gmer probieren :) Irgendwie muss das mit HJT doch funktionieren... |
Warum die HJT ausser Kraft setzen, leuchtet nicht wirklich ein, der ist dort gar nicht zu sehen. :D ciao, andreas |
So, hier die Log-File von GMER. Gefunden hat er was. LINK -->http://rapidshare.com/files/245695782/123.log Einfachere Frage: Soll ich nach dem selben Prinzip vorgehen wie in dem anderen Fall (den zweiten Link den du mir gesendet hast)?? Grüße und gute Nacht |
Schöner Link, nur ich kann da nicht so richtig klicken. :D Zitat:
ciao, andreas |
Zutrauen, das eigentlich schon. Du hast es ja wirklich gut beschieben. Nur ob ich die Skripte so verwenden kann... Sorry, keine ahnung warum Rapidshare nicht mitspielen will. Habs jetzt bei mir auf meinen Webspace bei Funpic hoch geladen. --> http://tocoolforhell.to.funpic.de/123.log Und bevor ichs vergesse: Vielen Dank für deine Unterstützung!! :) |
1.) Anleitung Avenger (by swandog46) Lade dir das Tool Hopsassa und speichere es auf dem Desktop:
Code: Drivers to delete:
2.) Poste ein neues Gmer-Log. ciao, andreas |
Das meinte GMER: Code: Logfile of The Avenger Version 2.0, (c) by Swandog46 |
Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an. ComboFix Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert. Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. ciao, andreas |
OK, ab heute hab ich wieder Zeit :) Hier das Gmer Log: --> http://tocoolforhell.to.funpic.de/gmer 23.6.09.log Danach hab ich Hopsassa ausgeführt, mit dem oben beschriebenen Script. Ergebnis: Zitat:
Viele Grüße, Hedgehog :) |
Weiter mit Combofix. Zitat:
ciao, andreas |
Hier das Protokoll: http://tocoolforhell.to.funpic.de/Log.txt |
Du hast da Software am Laufen, die ich noch nicht gesehen habe. Was ist das? Zitat:
Code: c:\windows\system32\bmpsap.dllciao, andreas |
Vielen Dank für deine Unterstützung, Andreas. Hast auf jeden Fall was gut bei mir!!! Alle 4 Dateien hab ich hochgeladen. "Traktor" ist ne DJ Software, die ich mal Testweise Installiert hab. |
Scripten mit Combofix
Code: KILLALL::
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. ciao, andreas |
ComboFix will nicht starten... der Ladebildschirm erscheint, dann bricht es ab. Soll ich neu starten? |
Start => Ausführen => combofix /u => OK Speicher das Script nicht auf dem Desktop, sondern als C:\cfscript.txt. Lade dir ein neues Combofix auf deinen Desktop. Start => Ausführen => combofix c:\cfscript.txt [Strg][Shift/Umschalt][Enter] ciao, andreas |
Ich habe gemacht: - Start->Ausführen->combofix /u --> wie vorhin, kein erfolg. - Neue Exe geladen, direkt auf Desktop - Skript in c:/verschoben, nochmal neu den Inhalt reinkopiert. - Start->Ausführen->combofix c:/... und dann auf ok bisher nix gebracht, der LAdebalken geht durch und danach passiert nichts... Antivir ist auf inaktiv, Sunbelt Firewall komplett deaktiviert und das Touchpad wird nicht berührt... |
Hm, dann halt anders. Start => Ausführen => combofix /u => OK Klicke auf "Für alle Neuen" in meiner Signatur, lies alles aufmerksam und arbeite die komplette Liste unter Punkt 2 ab. ciao, andreas |
Combofix streikt weiter... CCleaner ausgeführt, HJT arbeitet (seltsamerweise :) ) Code: Logfile of Trend Micro HijackThis v2.0.2 |
Catia? Ist das ein Firmenrechner? ciao, andreas |
Nope, Studentenversion. |
Sind doppelposts erlaubt?? Falls nein, evtl den älteren schließen... Hier Anti-Malware Log... Soll ich den Rechner jetzt neu starten wegen Combofix?? Oder nochmal probieren?? Code: Malwarebytes' Anti-Malware 1.38 |
Hast du die Funde auch löschen lassen? Dort steht: No action taken. Zitat:
Zitat:
Du hattest eine Umleitung in die Ukraine drin. Alle Kennwörter von einem sauberen Rechner aus ändern. Solltest du Onlinebanking machen, dann informiere deine Bank. Bankkonto und andere Konten (z.B. ebay, o.a.) sorgfältig beobachten. ciao, andreas |
Außer die beiden Hpsassa dateien alle gelöscht --> Quarantined and deleted successfully Malwarebytes will neu starten, werd ich dann auch machen. Hijackthis hab ich mal offen gelassen, hab aber nichts gefixt bisher. Werd wie gesagt Neu starten und dann nochmal hier her schauen. Zu den Kennwörtern: Hab bisher bewusst kein Onlinebanking, eBay,PayPal, etc genutzt... Trotzdem erschreckend, dass irgend einer in der Ukraine meine Daten hat... Wo hast du gesehen, wo die Daten hingegangen sind?? Edit: Alles hochgefahren... |
Zitat:
Zitat:
http://www.utrace.de/whois/85.255.112.105 Code: organisation: ORG-UL25-RIPE |
Odessa, Krass... wenn man bedenkt was die theoretisch machen können... hoffe dass da nix geklaut wurde an Daten. Prinzipiell noch eine kurze frage: Softwarefirewall (Also als ersatz für die Windows Frewall) - Abraten oder Gute Sache? Hab seit dem ZWischenfall hier die Sunbelt Firewall am laufen, auf meinem Home PC läuft die Sygate PErsonal Firewall... Welche der beiden (oder welche überhaupt??) wäre zu empfehlen??? Hab grade nochmal mein Vista und mein AV geupdatet, AV laufen lassen und dann CCleaner, Anti-Malware und HJT durchlaufen lassen. Malware hat nur die Hopsassa.exe im Verzeichnis gefunden und gelöscht, HJT gibt folgendes Log zutage: Code: Logfile of Trend Micro HijackThis v2.0.2 |
1.) Kaspersky - Onlinescanner Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware. ---> hier herunterladen => Kaspersky Online Scanner => Hinweise zu älteren Versionen beachten! => Voraussetzung: Internet Explorer 6.0 oder höher => die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter => Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken => Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als => Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten => Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen 2.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte. ciao, andreas |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 19:23 Uhr. |
Copyright ©2000-2025, Trojaner-Board