Trojaner Backdoor.Generic11.ZNE trotz Anleitung noch da Hallo liebe Helfer, Ich habe mir auf sehr dumme Weise trotz AVG Backdoor.Generic11.ZNE eingefangen - über einen alten Mozi - :-(; weil ein Adobe download im IE nicht ging und ich A... dann im Mozi weitergesurft bin... Ich bin nach der Anleitung im Forum unter dem Titel Schädling BackDoor.Generic11.ZNE nicht weg zu bekommen / gelöst von chris4you vorgegangen, aber leider sagt MAM und Prevx dass er noch da ist. Bitte helft mir. Wie kann ich ihn rückstandsfrei entfernen? Leider kann ich meinen Rechner zwecks Arbeit in den nächsten Wochen nicht neu aufsetzen. Höchstens auf Internet verzichten. (Einziges echtes Problem derzeit ist, dass meine CD und DVD Laufwerke nicht mehr gehen, weil's offenbar den ATAPI Treiber geschossen hat, aber das ist nicht so schlimm, ich habe noch nicht versucht es zu fixen) Ich habe ComboFix zweimal laufen gelassen (der wollte das so) danach jeweils MAM. Ich habe also je 2 ComboFix und 2 MAM logs. cclean log und RSIT log habe ich auch - bitte sagt mir welche ich posten soll Hier die Prevx-Meldung als Screenshot http://users.fh-salzburg.ac.at/~bgro...screenshot.jpg Vielen Dank in voraus LG, burnie |
Hallo burnie:) - Auf jeden Fall sieht nach Rootkit/wikipedia.org aus:o Grundsätzlich muss ein infiziertes System als kompromittiert gelten, und man kann nie ganz sicher sein, dass man alle Folgen der Infektion beseitigen konnte. - Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe: - Bitte unbedingt alle vorhandenen Ergebnisse/Logs posten! 1. ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen:: → Klicke unter Start auf Arbeitsplatz. → Klicke im Menü Extras auf Ordneroptionen. → Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen → Geschützte und Systemdateien ausblenden → Haken entfernen → Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen. → Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein. 2. Für XP und Win2000 (ansonsten auslassen) → lade Dir das filelist.zip auf deinen Desktop herunter → entpacke die Zip-Datei auf deinen Desktop → starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen → kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread ** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen! 3. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool ccleaner herunter installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein 4. Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren! 5.
Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post: → vor dein log schreibst du:[code] hier kommt dein logfile rein → dahinter:[/code] ** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw gruß Coverflow |
Hi Coverflow, Vielen Dank für Deine Hilfsbereitschaft! Leider komme ich erst jetzt dazu, Deine Anleitung abzuarbeiten (Stress - ausgerechnet jetz wo's schön wird) 1. Ist bei mir immer so eingestellt. 2. filelist Code: ----- Root ----------------------------- Code: 7-Zip 4.57 |
4. gmer Code: GMER 1.0.15.14972 - http://www.gmer.net Code: 07/16/09 20:48:31 [Info]: BlackLight Engine 2.2.1092 initialized Die Proggies im System-Tray habe ich laufen gelassen (ATI, Maxtor, TimeCalendar, Winamp-Agent) Ich hoffe das hat gepasst. PPS: Ich habe mir den Trojaner am Dienstag, 14.7. um ca 18:25 eingefangen. Hoffnungsvolle Grüsse, burnie |
hi 1. poste mir noch auch: ComboFix.txt Log v. Malwarebytes Anti-Malware 2. CombiFix entfernen: Start → Ausführen → Kopiere rein Combofix /u → OK Entferne auf C:\ Qoobox (falls noch vorhanden) → Papierkorb leeren oder einfach nur entfernen, C:\ Qoobox (falls noch vorhanden) auch löschen→ Papierkorb leeren 3. den Quarantäne Ordner überall leeren - Antivirus bzw Anti-Spy-Programm usw 4. Ausführung im normalen Modus:
5. starte dein system neu auf 6. den Quarantine-Inhalt löschen danach update Malwarebytes Anti-Malware, lass es nochmal laufen, lösche alles, was gefunden wird,Log posten 7. lade Dir HijackThis 2.0.2 von *von hier* herunter HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen" |
Hallo Coverflow, ... erst jetzt - Projektstress, musste mir nen tmp-compi herrichten. Hier das Combifix log (das 2., beim ersten Durchlauf sagte CF ich soll es nochmal laufen lassen) Code: ComboFix 09-07-14.07 - burnie 15.07.2009 11:48.2.2 - NTFSx86 Code: Malwarebytes' Anti-Malware 1.39 Liebe Grüsse, burnie |
reHi, Combifix liess sich deinstallieren, aber Qoobox nicht löschen. Hier die Fehlermeldung. http://users.fh-salzburg.ac.at/~bgrosseg/fehler_del.jpg Ich werde versuchen den Ordner im abgesicherten Modus zu löschen und dann weiterzumachen. LG, b |
... Qoobox lässt sich mit derselben Felhermeldung auch im abgesicherten Modus nicht löschen ;-( Was soll ich tun? Ich habe noch eine Frage: Über externe Festplatten und Sticks scheint sich da ja nix fortzupflanzen. Kann ich auf diese Weise eine Datensicherung machen. ... Und wie schaut das mit den anderen internen Platten aus? Die Scanner finden nur Probleme auf C: - könnte ich im Fall einer Neuaufsetzung (die ich vermeiden möchte - bzw. sowieso erst in ein paar Wochen machen kann) die andern internen Platten gefahrlos so lassen wie sie sind? LG, b |
- Wenn schon, dann Daten sichern und eine komplette Formatierung und Neuinstallation (sollte man alle 2 oder 3 Jahren sowieso machen). Innerhalb kurzer zeit sammelt sich nämlich schon ziemlich viel Mist - das ständige installieren und deinstallieren von Programmen, die tägliche Nutzung usw. Eine Auffrischung schadet bestimmt nicht;) Nun ich hätte gerne die erste Ergebnisse von ComboFix... - fahre mit SUPERAntiSpyware FREE Edition fort, dann noch die fehlenden Schritte abarbeiten - auch mit filelist.bat ein neues Log erstellen und posten |
reHi, Hier also das Combofix Log vom ersten Durchlauf. Code: ComboFix 09-07-14.07 - burnie 15.07.2009 11:18.1.2 - NTFSx86 |
rereHi, ... und hier das SAS Log Code: SUPERAntiSpyware Scan Log |
.. und das MAM Log nach dem 1. Durchlauf Code: Malwarebytes' Anti-Malware 1.39 |
.. und nach dem 2. Durchlauf (keine Veränderung) :-( Code: Malwarebytes' Anti-Malware 1.39 |
der HijackThis Log: Code: Logfile of Trend Micro HijackThis v2.0.2 |
und schliesslich filelist: Code: ----- Root ----------------------------- |
hi 1. - Malwarebytes' Anti-Malware - kannst entfernen - CombiFix entfernen: Start --> Ausführen -->Kopiere rein Combofix /u --> OK Entferne auf C:\ Qoobox (falls noch vorhanden) -->Papierkorb leeren oder einfach nur entfernen, C:\ Qoobox (falls noch vorhanden) auch löschen-->Papierkorb leeren 2. Lade und installiere das Tool RootRepeal herunter - setze einen Hacken bei: "Drivers", "Stealth Objects" und "Hidden Services" dann klick auf "OK" - nach der Scan, klick auf "Save Report" - speichere das Logfile als RootRepeal.txt auf dem Desktop und Kopiere den Inhalt hier in den Thread 3. Lade den Avenger herunter und entzippe ihn auf den Desktop. - (Nicht gezippt direkt als EXE ist der Avenger von hier)
Falls nicht, dann findest Du das Protokoll unter %systemdrive%\avenger.txt (in der Regel C:\avenger.txt). Achtung!: - Wenn Avenger nicht ausgeführt werden kann (ein Rootkit kann es verhindern), benenne avenger.exe um in avege.com und versuche es erneut. |
Hi Coverflow, schön dass Du wieder da bist! Wie gesagt lässt sich Qoobox nicht löschen - auch nicht im Abgesicherten / siehe Screenshot weiter oben. Ich mache gerade ein Backup meiner Daten, das wird jetzt noch eine gute Stunde dauern (hab leider kein S-ATA). ... dann mache ich wie beschrieben weiter. LG, burnie |
Hi nochmal, RootRepeal gibt bei Start 6 x folgende Fehlermeldung aus: http://users.fh-salzburg.ac.at/~bgrosseg/rr_err.jpg und dann folgende Warnung: http://users.fh-salzburg.ac.at/~bgrosseg/rr_err2.jpg danach ist der RR-Screen da, aber leer; i.e keine Möglichkeit Punkt 2. abzuarbeiten... ich mache weiter mit 3. Avenger LG, b |
Avenger scheint nix zu finden ... Code: Logfile of The Avenger Version 2.0, (c) by Swandog46 |
PS: Ich habe bei RootRepeal alle 4 settings jeweils mit und ohne "advanced" durchprobiert. |
hi 1. - versuche bitte die RootRepeal Datei in einen andere Namen und Endung umzubenennen wie z.B romy07.com Vorher trenne deinen Rechner vom Internet - oder entfernen, erneut herunterladen und gleich umbenennen 2. - Kopiere den Text aus der Code-Box in ein Notepad-Dokument und speichere ihn als remove.txt auf deiner Festplatte C:\ Code: Files to delete: → füge den Inhalt aus der Codebox vollständig und unverändert in das leere Textfeld bei "Input script here" ein → dann klicke auf "Execute" → wirst Du gefragt, ob Du das Script ausführen willst. Beantworte die Frage "Ja". → auf die Fragae ob dein Rechner jetzt neu starten soll "Rebot now" bejahe bitte auch → nach Neustart wird ein Dos Fenster aufgehen. → wenn wieder geschlossen ist, es öffnet sich der Editor mit die Scanergebnisse : C:\avenger.txt → kopiere und füge den Inhalt direkt aus der Textdatei hier rein |
Alle Zeitangaben in WEZ +1. Es ist jetzt 02:53 Uhr. |
Copyright ©2000-2024, Trojaner-Board