TR/TDss.WP.1 kbiwkmxkycbqkt.dll .sys
 

Hallo, ich hab seit gestern Abend ein Problem.

Mein Avira Antivir bringt immer Eine Meldung mit:

In der Datei 'C:\Windows\System32\kbiwkmxkycbqkt.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/TDss.WP.1' [trojan] gefunden.

und auch C:\Windows\System32\drivers\kbiwkmxkycbqkt.sys'

Kommt auch wieder wenn ich lösche oder in Quarantäne verschiebe.

Manuell kann ich die besagten Dateien nicht finden.

Hat angefangen als der PC 2 Stunden unberührt an war.
Wie ich gerade sehe eine Minute nach dem automatischen Update.

Also vielleicht gar kein Virus sondern nur ein Fehler in AntiVir?

hijackthis, Ad-Aware, Spybot - Search & Destroy und Windows Defender haben nichts gebracht.

Kann mir einer helfen?

Danke schon mal

PS. Benutze Windows Vista Home Premium und IE8

Moin Jacki.

Da Avira den Schädling scheinbar kennt versuchen wir es erstmal auf die schonende Art und Weise bevor wir schwere Geschütze auffahren.

LiveCD

Die PC-Welt stellt folgendes Paket zur Erstellung bereit: http://www.hitech-blog.com/wp-conten...pcwVistaPE.zip
Downloade dir das Paket, entpacke es in einen eigenen Ordner und starte das Setup durch einen Doppelklick auf die pcwVistaPE.exe.
Es öffnet sich ein Setup welches dich in mehreren Schritten durch den Installations- und Brennvorgang führt. Danach steht dir eine LiveCD zur Verfügung welche du in dein Laufwerk einlegst und den Rechner neustartest.
Der PC sollte dann von der LiveCD booten, dass heisst er startet das Mini Betriebssystem von der CD.
Dort ist Avira enthalten. Starte Avira und führe ein Update durch. Danach mache einen Vollscan mit den Einstellungen die hier beschrieben werden:
http://www.trojaner-board.de/54192-a...tellungen.html
Die Funde lässt du bitte löschen oder in die Quarantäne verschieben.
Poste danach das log. Das müsste auch von der LiveCD aus gehen. Starte den Rechner bis du weiter Anweisungen bekommst nicht neu sondern lasse ihn nur mit dem Live System laufen.

lol, bei mir kam diese meldung seit heute auch , einfach so, als ich den pc seit gestern das erste mla angemacht habe -.- ich mach das auch mal mit der live cd , avira hat bei mir beim normalen scannen in windows, versteckte dateien gefudnen die ich lösche aber immer weider da sind, , aber mal gucken mit der cd ^^

Bitte eröffne einen eigenen Thread... Das wahrt die Übersicht. ;)

moin moin undoreal,
ich bin beim installieren von Windows Server 2008
Er fragt nach einem Key, wenn ich keinen eingebe kann ich später vielleicht mein Windows nicht mehr nutzen... Was tun?

Warum muss ich überhaupt so viel installieren?, es muss doch nur auf die CD :-\

Scheinbar hab ich den Virus schon länger und nur Avira erkennt denn ab jetzt oder?
Kommt es vielleicht in Frage Avira zu sagen dass er bei dem keine Meldung bringen soll und man lässt alles so? (Ich glaub deine Nackenhaare stellen sich grad auf, aber bevor noch mehr kaputt geht…)

Hallo zusammen!
Ich leider unter dem gleichen Problem und bin auch grad bei der Live-CD.

@ Jacki: Vielleicht hilft dir diese Anleitung von PC-Welt weiter:Der USB-Stick als Notfallsystem - PC-WELT

Wenn du eine Vista-DVD besitzt brauchst du Windows Server 2008 gar nicht!
Den Virus zu ignorieren rate ich dir erstmal ab. Solange er sich nicht tatsächlich als fehlerhafte Meldung entpuppt.

greetz!

PS: Der Grund, weswegen soviel installiert werden muss, ist folgender: Die Live-CD enthält am Ende ein kleines Betriebssystem, das direkt von der CD gestartet werden kann. Was du runtergeladen hast ist nicht gleich das Image für die bootfähige CD, sonder ein Tool, welches das Image Stück für Stück erstellt. Dafür brauchst du z.b. das "Windows Automated Installation Kit". Ein Programm, was am Ende vom "Vista PE Builder" gebraucht wird, um von deiner System-DVD (Vista oder das runtergeladenene Windows Server 2008) ein Mini-System zu erstellen.

Mit der Live-CD komm ich nicht so recht weiter. Hab keine DVD nur das vorinstallierte.

Habe jetzt mal Kaspersky und Panda ausprobiert, beide finden nichts.
Schon komisch…

Ich lass mal Avira deinstalliert und warte ab was sich ergibt oder guck wie ihr weiter kommt :)

Okay. Meine Live-CD ist erstellt.

Jacki, wenn du nach einer Seriennummer für Windows Server 2008 gefragt wurdest, hast du wahrscheinlich nach Punkt 4 des PC-Welt Programms ("Windows Server 2008 einhängen") die Installation von Windows Server 2008 begonnen. Das ist gar nicht nötig. Du hast das hoffentlich nach der Aufforderung zur Seriennummer abgebrochen. Sonst hättest du jetzt ein anderes Windows über dein Vista gebügelt. :headbang:
Du brauchst das gemountete Image von Windows Server 2008 nur, damit der Vista-PE Builder die notwendigen Daten für sein Mini-System zusammen bekommt.

jop habs noch rechzeitig abgebrochen.

CD erstellen ging jetzt wohl auch :)

Hey Jacki,

Avira hat die Dateien bei mir gefunden und gelöscht. Leider hab ich mit dem Vista-PE keine Internetverbindung hinbekommen. Deswegen kann ich auch grad keine log-File posten. Allerdings hat Vista den Trojaner auch mit der Virusdatenbank vom 03.06.2008 gefunden. Somit ist schon mal eine fehlerhafte Meldung nach einem Antivir-Update ausgeschlossen. Es wird sich wohl um was "Echtes" handeln.

Korrigiert mich bitte, wenn ich falsche Schlüsse ziehe!

MOMENT mal Jacki!

Warum zur Hölle kommst du auf die Idee Avira zu deinstallieren?? :twak:

Das ist ja wohl nicht sein Ernst?!

Du bist mit einem der fiesesten Rootkits infiziert die momentan im Umlauf sind und vertreibst evtl. grade Kinderpornografie über deinen Rechner ohne es zu merken!
Dafür bist du haftbar und machst dich grade strafbar weil du grob fahrlässig handelst.

Eine CD ist bei jedem gekauften Rechner dabei! Und einen Lizenz Schlüssel für dein Windows brauchst du natürlich auch.

Warum wählst du windows Server erstellen? Du möchtest eine VistaPE Cd erstellen.

Trenne den Rechner auf jeden Fall umgehen vom Internet! Und dann erstelle die verdammte CD oder setze die Kiste am besten gleich neu auf. Bevor du richtig Schaden anrichtest und die Kripo bei dir vor der Tür steht...

Bereinigung nach einer Kompromitierung

Hinweis: Die Analyse eines Virenscanners ist völlig unzureichend, um Aussagen über das System zu machen!

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record reparieren:

Vista:

Um die Wiederherstellungskonsole zu starten, einfach die Windows Vista DVD in das Laufwerk legen und davon booten.
Nach kurzer Zeit wird nach den gewünschten Länder und Spracheinstellungen gefragt.

Im anschließenden Fenster kann man über den Eintrag "Systemwiederherstellungsoptionen" die Wiederherstellungskonsole öffnen.

Durch klicken auf "Weiter" wird Windows veranlasst nach gültigen Windows Installationen auf der Festplatte zu suchen. Anschließend wird eine Liste der gefundenen Installationen zur Auswahl angezeigt.

Nach der Auswahl der gewünschten Windows-Version wird ein neues Fenster geöffnet welches die folgenden Möglichkeiten anbietet:

- Systemreparatur: Automatisches Reparieren von Windows Startproblemen (Bootsector usw.)
- Systemwiederherstellung: Herstellen von Windows über vorhandene Wiederherstellungspunkte
- Windows Komplett Wiederherstellung: Komplettes wiederherstellen eines Windows-Backups
- Windows Speicher Diagnose Tool: Arbeitsspeicher auf Fehler überprüfen (Neustart erforderlich)
- Eingabeaufforderung: Kommandozeile/Eingabeaufforderung

Öffne die Eingabeaufforderung, gib Bootrec.exe ein drücke Enter.

Wähle die /FixMBR Option. fixmbr reinschreiben und Enter drücken.

Einen Personal Computer neuaufsetzen:

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV sowie andere AV-Scanner findet nur einen Bruchteil aller infizierten Dateien!

Außerdem sollte die Sicherung über eine LiveCD geschehen da sich Viren gerne an Dateien anhängen oder externe Datenträger infizieren.
Das wird durch die Nutzung einer LiveCD verhindert.
Auf Grund der bekannten Oberfläche empfehle ich VistaPE.
Die PC-Welt stellt folgendes Paket zur Erstellung bereit: http://www.hitech-blog.com/wp-conten...pcwVistaPE.zip
Downloade dir das Paket, entpacke es in einen eigenen Ordner und starte das Setup durch einen Doppelklick auf die pcwVistaPE.exe.
Es öffnet sich ein Setup welches dich in mehreren Schritten durch den Installations- und Brennvorgang führt. Danach steht dir eine LiveCD zur Verfügung welche du in dein Laufwerk einlegst und den Rechner neustartest.
Der PC sollte dann von der LiveCD booten, dass heisst er startet das Mini Betriebssystem von der CD.
Sollte er das nicht tun so musst du im BIOS den First Boot Device auf CD/DVD-Rom ändern. Wie das geht findest du bei google...


Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!

Hi, also ist der Virus jetzt bei dir auch im normalem Vista weg?

Ich weiß leider nicht was das live OS genau anders macht, also was den entscheidenden Unterschied in diesem Fall macht. Warum wir Avira dort und nicht im richtigen System ausführen sollen.

Aber wenn es hilft gerne :)


EDIT: Um Panda zu installen muss man Avira deinstellen!! nur deshalb

Neu aufsetzen kommt eher nicht in Frage...

Werd jetzt mal die CD booten

Uah!!! Jacki, wenn du es nicht verstehst dann vertraue mir bitte einfach und tue genau das was ich dir sage.

Du hast zwei Optionen:

1. Du setzt den Rechner neu auf. Die Anleitung habe ich dir grade gepostet. Das wäre bei dieser Art der Infektion sicher ratsam da es die einzige wirklich sichere Variante ist.

2. Du erstellst die VistaPE Live CD und führst dann einen Vollscan mit Avira auf aggressiven Einstellungen durch und postest hinterher das log.


Dir ist vielleicht nicht ganz klar, dass der Angreifer momentan VOLLzugriff auf dein System hat?!
Er kann das hier lesen und jede Menge dummes Zeug mit deinem Rechner anstellen für das du dich hinterher verantowrten musst.
Mal ganz abgesehen davon, dass er so oder so deine Privatsphäre auseinandere genommen hat indem er sich die letzten Urlaubsfotos ansieht.


Die Live CD verhindert das der Trojaner aktiv wird. Da dein Computer dann komplett von der CD aus startet, die ja sauber ist, hat er keine Chanche sich zu verstecken oder dummes Zeug anzustellen.

Hey Jacki,

im "normalen Vista" wurde bei mir erstmal nichts mehr gefunden. Allerdings, da ist undoreal recht zu geben, heißt das noch gar nichts.
In C:\windows\temp habe ich zum Beispiel eine gleichnamige Datei mit der Dateiendung "tmp" gefunden. Um die hat sich Antivir gar nicht geschert. Dein temporäres Verzeichnis solltest du also auch gleich von Vista-PE aus leeren.

@undoreal: Vielleicht sollten wir die Pferde im Stall lassen und Thesen etwas vorsichtiger formulieren.

Bin jetzt mit anderem PC drin, ganz ruhig.

Die CD lässt sich nicht booten!
Leider, ich wollte es machen, ka zeigt schwarzes Bild, weiße Schrift, Überschrift Boot-Manager irgendwas englisches dass er nicht booten kann Hartware…, Software… ich versteh nicht was er will.
Ich glaube ich habe sie richtig erstellt.

Also mal bisschen zum Verständnis.
Für mich als normaler PC Nutzer ist es nur eine störende Fehlermeldung und du überrumpelst mich damit so.

Ja ich bin auch froh dass ich mich mit dem letzten Assischeiß den es so gibt nicht auskenne!
Ich glaub dir schon und denke dass du viel Ahnung hast aber puuh das ist echt hälftig, es dauert ewig meine Daten zu retten und alles neu zu machen. Und du meintest der Virus könnte auch mit auf meine externen Festplatten gehen und die ganze Arbeit wäre so auch noch umsonst.

Wie es mit der Haftung ist weiß ich nicht genau, aber für einen Virus was so gut wie von keinem Programm erkennt und von keinem gelöscht werden kann, kann der User nichts. Wäre es so würden 13 jährige Mädchen und 65 jährige Opis auch einfach verhaftet obwohl sie nichts gemacht haben. Also werd ich jetzt mal nicht mit der Kripo rechnen…

Ja Vollzugriff, keine Ahnung!
Klingt gar nicht gut aber wenn ich jetzt schon so nen Misst in denn 3 Wochen seit letzter Neuinstallation bekommen hab kann ich gleich wieder was bekommen -.-
Und es ist doch nicht gesagt dass echt einer dran hockt und mit meinem Computer Unsinn macht...

Am liebsten würde ichs so lassen, aber ich weiß einfach nicht ob er ein Problem für mich ist/wird oder eben überhaupt nicht :-\

Ich weiß nich ob dus verstehst aber wegen so nem Dreck hab ich jetzt mega Probleme.
Naja genau genommen hab ich ja keine „spürbaren“ Auswerkungen, aber was du so sagt schockt schon, weshalb ich eig. nicht auf denn Virus scheißen will und ihn schon gerne los hätte.

Wie machen wir weiter?
Soll/Muss ich wirklich meine wichtigsten Daten extern speichern und mein System neu aufsetzen oder kommen wir vielleicht zügig auf ne andere zumindest akzeptable Lösung?

Ähm, nein! Das System ist kompromitiert. Soll ich das für euch Beide unter Umständen buchstabieren? Wisst ihr überhaupt was das bedeutet?
Habt ihr euch mal gefragt wie der Spam in eurem Postkasten landet oder die Kinderpornos verteilt werden? Oder Ddos Attacken auf Microsoft Server durchgefühert werden?
Durch Rechner wie deinen Jacki!

Nimm die Avira Rescue Disk: http://www.free-av.com/en/products/1...ue_system.html
Das sollte auch funktionieren.

PS: Hast du Jura studiert oder Ahnung vom Thema?
DU bist haftbar für die Sicherheit deines Systems! Egal ob oder welcher Scanner was findet oder nicht. AV-Scanner sind dämlich und finden in den meisten Fällen überhaupt nichts.

Ich sag doch ich habe nicht viel Ahnung davon. Ich behaupte niemals dass ich recht habe oder der gleichen. Sorry falls es so rüber gekommen ist.

Nur kann man nicht Haftbar oder Verantwortlich sein für etwas was man unmöglich kontrollieren kann!
Man müsste sich jahrelang mit der Zehne beschäftigen, und selbst dann wäre man nicht 100% sicher. Und das kann wohl nicht von jedem PC Besitzer erwartet werden.

Aber gut dem deutschen Gesetzt trau ich sogar so einen absoluten Schwachsinn zu, keiner der so etwas beschließt ist in der Lage für die Sicherheit seines Systems zu sorgen.


Einfach ALLE Daten zu löschen wird für kaum bis gar keinen eine annehmbare Lösung sein! Und wird es für mich auch niemals sein, dass muss ich dir gleich sagen.

Oder wie machst du denn dass?? Löscht du alle paar Monate alle Dateien von deinem PC?


Also gut, kann man sich wohl viel drüber Streiten aber bringt nicht viel.

Mit dieser Avira Rescue Disk kann ich updaten und nen Suchlauf starten.
Muss vorher auswählen ob Funde gelöscht oder nur protokolliert werden sollen. Löschen?

Ich muss es morgen mal laufen lassen, es dauert extrem lange.

Log kann ich nicht leider posten, aber soll ich dir dann mal die eventuellen Funde abschreiben?

Gibt ja auch extra Software für Rootkits, da vielleicht mal was versuchen?

Glaub mir mich regt ein externer Zugriff und die Gefährdung von Konten usw, usw. mindestens genauso auf, es geht ja um meine. Ich bin hier damit wir es lösen können. Nur so übel hätte ich es mir niemals vorgestellt. Nur wie gesagt, man muss es irgendwie human lösen.

Du bist dir schon sicher dass es so was ernstes sein muss und das ganze System infiziert ist und eig. alle Daten weg müssten?

Erste Lektion: Unwissenheit schützt vor Strafe nicht. Genug davon. Sieh zu, dass du das tust was ich dir sage und den Rechner wieder bereinigt bekommst.
Du wärst nämlich nicht der Erste der hier aufschlägt weil er ein bei eBay ersteigertes Motorrad nicht bezahlt hat oder bei dem die Kripo vor der Tür stand und alle Rechner mitgenommen hat weil von diesen aus gecrackt wurde. Die Tränen und die Verzweiflung sind dann groß.

Dann hast du ein generelles Problem denn ein Rechner muss nunmal alle paar Jahre platt gemacht werden. Welche Daten wie gesichert werden dürfen habe ich dir gepostet.

Die ist up to date. Starte den Suchlauf und speichere das log auf einem USB Stick. So kannst du es dann hier posten. Und starte den Rechner in der Zeit bis ich dir weitere Anweisungen gebe nicht neu!

Bei Zeiten... ich weiss schon was ich tue. Warum mit Kanonen auf Spatzen schießen? Erstmal kleine Geschütze. Mit den großen kann man sich nämlich ganz gut den Rechner zerschießen. Und das willst du ja offenkundig nicht.


Danke.
Betreibst du online Banking? Wenn ja dann hoffe ich das du inzwischenen deine Bank informiert hast?
eBay und alle anderen Zugangsdaten und Passwörter solltest du dringend von einem sauberen PC aus ändern!


Das ist nicht zu übersehen ja. Bei dir läuft eine der tausend Varianten des TDSS Rootkits. Dieses Rootkit versteckt den eigentlich schädlichen Prozess vor dir. Daher hast du keine Ahnung ob sich grade jemand von deinem Rechner aus einen Film ansieht oder dir über die Webcam zusieht.
Meistens sitzt am anderen Ende nicht direkt eine Person da die tausende von infizierten Maschienen zu verwalten haben. Die Arbeit übernehmen dann Bots die deinen Rechner nach allem durchsuchen was wichtig erscheint.
Dein Rechner hängt in einem Botnetz welches vom Cracker für viele verschiedene Dinge mit denen man schmutziges Geld verdienen kann genutzt wird.
Guck dir mal die Bilder weiter unten in diesem Blog Beitrag an: http://www.prevx.com/blog.asp Das ist echt! Da bietet ein BotNetz Inhaber seine Dienste an für die dann die Clienten der Opfer missbraucht werden. Er könnte nach einem erfolgreichen Einbruch jegliche Spuren der Infektion so löschen das sie nicht mehr auffindbar sind. Und dann erkläre das mal dem Staatsanwalt.
Der Betreiber dieses BotNetzes bietet unter anderem folgende Dienste an:
- Einbruch in e-Mail Konten
- ICQ Datenklau
- SpamMail verschicken (e-Mail, Skype, ICQ)
- Oder er vergrößert nur sein BotNetz. Da würden dann alle deine Freunde eine ICQ Nachricht oder e-Mail von dir bekommen welche sagt: schau dir mal die tollen Fotos an! Nur leider sind die Fotos ebenfalls verseucht und deine Freunden dann auch.
- Ddos Angriffe
und vieles weitere.
Bemerkst du die Ausmaße? Das Beispiel ist absolut real und die Größe des BotnEtzes von dem ich hier rede wird auf über 4000Rechner geschätzt.
Wobei das noch ein winzlings BotNetz ist. Die Größe des Sturm BotNetzes wird im Millionen Bereich geschätzt! Von denen sind so 200-40.000 Rechner gleichzietig online. Kannst du dir vorstellen was man mit dieser Rechen-Power alles anstellen kann? Das geht sogar soweit, dass in Italien damit die Börse manipuliert wurde und der Betreiber Unmengen Geld absahnte.

Hi undoreal,
man kann mit Avira Rescue Disk wirklich keine Logs irgendwie abspeichere. Man ist nur auf der einen Ansicht.

Es gab 10 Funde, die ich gelöscht habe. Die zwei besagten Dateien waren auch dabei.
Alles andere waren Dinge die ich schon lange habe und kenne.
Eines war ne Datei aus dem VistaPE Ordner denn ich noch auf dem Desktop habe.

Dann gab es doch Funde bzw. Meldungen im Verzeichnis C:\Blocks\AllBlocks\
Namen waren da Microsoft office und IE6

Weißt du was dieser Blocks Ordner ist? Hat den jedes Vista System order gehört es zu einer extra Software das Herstellers, in dem Fall HP.

Wenn ich den PC wieder starte (ohne Internet) dann sind die Fehlermeldungen von Avira weg.

Was auch noch interessant ist, die Datei kbiwkmxkycbqkt.sys die ich aus einer leeren .txt erstellt habe und schreibgeschützt an die Stelle kopieren wollte an der immer die Fehler gefunden werden (ja lol, hätt ja klappen können^^) ist jetzt auf dem Desktop wieder sichtbar, was sie vorher einfach nicht war.

Mir ist auch aufgefallen dass ich im System32 Ordner jetzt eine kbiwkmobqwnbns.dat und kbiwkmtctqvxip.det habe, was vorher nicht da war.

Es sieht soweit wieder alles normal aus, mit keinem Programm ist mehr was zu finden…
Doktor? bin ich geheilt?
Ich weiß dass nur weil jetzt Avira Ruhe gibt nicht alles weg sein muss und die Antiviren Programme längst nicht alles finden, aber was kann man tun?
So weiß man doch nichts von der Gefahr in der man vielleicht schwebt. Gerade diesen „Virus“ habe ich sichrer schon länger drauf nur seit einem Update kann er erkennt werden.


Ist Onlinebanking durch die Eingabe von TANs nicht sicher auch wenn einer die Logindaten hat? Ich denke dass die TANs nicht nach einem einfach Muster generiert wurden da genau dort der Sinn liegt sie nicht knacken zu können.

Kann man sagen wo man sich so ein Rootkit einfängt?
Vermehrt auf torrent Seiten und ähnlichem?

Gibt es sonnst noch etwas was ich für meine Sicherheit tun kann?
Unbekanntere Tools, FF statt IE8?

Die Dinge die du schon länger hast hast du wahrscheinlich geklaut oder? Bei Torrent? Weas meinst du bewegt die Leute sich mehrere Stunden oder Tage hin zu setzen und einen Crack, Keygen ode sonst wie zu programmieren?
Falls du die Antwort nicht schon erahnen kannst: Sie packen dem Ganzen noch ein hübsches Pferdchen als Geschenk bei und verdienen sich dumm dämlich.

Die Dateien die jetzt sichtbar sind wurden vorher vom Rootkit versteckt. Womit wir bei der eientlichen Suche nach dem Schädling wären.



ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK
  Wichtig! Bitte die combofix.exe per Rechtsklick, "Ziel speichern unter" unter BlaBlub.exe abspeichern!
  Besonders hartnäckige Malware erkennt eine combofix.exe und würde sich vor ihr gezielt verstecken!

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.



Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

Überprüfe den Rechner danach mit SuperAntiSpyware und Anti-Malware und poste die logs.

Sehr viel Text, demnach mal die Logs auf einem alten Webspace von mir geupt.
Und der Vorteil dass ich es wieder löschen kann wenn du es gesehen hast, da es etwas sensible Informationen enthält.
www.fg-beta.bplaced.net/ComboFix.txt
www.fg-beta.bplaced.net/PandaActiveScan.txt
www.fg-beta.bplaced.net/mbam-log-2009-08-26 (23-51-23).txt xD

Ich kenne nicht die genau Statistik aber man darf davon ausgehen das so gut wie jeder gerade Jugendliche schon mal etwas runtergeladen hat was man als anständiger Bürger im Laden kaufen sollte.

z.B. eine Datei von ESL Aequitas (Anticheattool für Onlinegames) würde gefunden und gelöscht. Aber ist ja normal dass es auch mal harmlose Dinge findet oder?
Zum Beispiel der letzte Fund von Panda wird als Virus erkannt, es ist aber eine Software für meine Logitech Multimediatastatur.

Aber in der Tat vor ca. einer Woche hatte ich einen Keygen der keiner war. Danach hatte ich Probleme mit Java, bei jedem öffnen von IE8 kamen 2-3 Fehlermeldungen.
Als ich dann Java endlich mit „Windows Install Clean Up“ richtig löschen konnte und neu installierte ging wieder alles. Vielleicht kam das Problem jetzt noch von dort.

Bis jetzt wusste ich eigentlich bei jedem Virenbefall und manchmal folgendem Windows neu aufsetzen wo ich den Misst eingefangen hatte.
.exen die sich als mp3 ausgeben und einen Player installieren wollen oder ähnliches.
Irgendwie bisschen selber schuld ja…

Da bin ich ja jetzt echt froh dass wir doch ohne durchs Fenster springende FBI Agenten ausgekommen sind und wünsche dir noch viel Erfolg beim säubern der anderen ca. 40.000 Systeme :D

Ich bedanke mich vielmals bei dir und hoffe dass wir uns nicht so schnell wieder sehen müssen ;)

Gruß jacki

Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Rufe die Seite Virustotal auf.

* Dort suche über den "Durchsuchen"-Button folgende Datei raus und lade sie durch Druck auf den "Senden der Datei"-Button hoch.

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

LopSD

Deaktiviere deine Sicherheitsprogramme wie Antivirus etc., du kannst sie nach dem Scan wieder aktivieren.

* Lade dir Lop S&D herunter
* Starte die Installation per Doppelklick. Dort "Je suis d'accord avec les termes" anwählen und dann jeweils auf "suivant" klicken
* Nach beenden der Installation erscheint eine Verknüpfung zu Lop S&D auf deinem Desktop, bitte per Doppelklick ausführen.
* Wähle die Sprache deiner Wahl aus und danach die Option 1
* Es kann sein, dass dein Rechner neustartet, lasse dies zu.
* Warte ab bis der Scan beendet ist und das Logfile angezeigt wird.
* Poste das Log hier

*Das generierte Logfile wird unter C:\lopR.txt abgespeichert.
*Sollten die Desktopsymbole nicht von selbst wieder erscheinen, rufe mit Strg+Alt+Entf den Taskmanager auf und wähle unter Prozesse->Neuen Task ausführen aus. Gib dort explorer ein.



Das MBAM Log ist nicht online. Reiche das bitte nach.

MBAM Log ist online!
Nur wird es hier nicht als Link erkannt weil hinten ein Leerzeichen drin ist.
Hätte woher %20 dazwischen setzen müssen.
Einfach ganzen Link in dein Browser kopieren.

http://www.fg-beta.bplaced.net/lopR.txt

Hast du die MBAM Funde löschen lassen?

Lösche bitte den ganzen Favoriten Ordner.

Und lösche den Mist hier:

C:\Users\xxx\AppData\Roaming\uTorrent\Sony Vegas Pro 9 + Crack and KeyGen.rar.torrent
C:\Users\xxx\Documents\Xilisoft Corporation\MP4 Converter\crack.js
C:\Users\xxx\Documents\Xilisoft Corporation\Video Converter Ultimate\crack.js

Wenn du weiterhin sowas ausführst dann landest du garantiert irgendwann ganz böse auf der Schnautze!