|
b.exe hat ein Problem festgestellt... .... und muss beendet werden. Hallo, ich habe bereits ähnliche Themen gelesen, nur ganz so schlimm äußert sich die b.exe bei mir nicht... Nun beim Starten ist mein Rechner ja schon eine ganze Weile recht langsam. aber seit gestern taucht bei mir immer wieder diese Meldung auf: "b.exe hat ein Problem festgestellt und muss beendet werden" Andere Veränderungen konnte ich nicht feststellen, d.h. mein System läuft (bis jetzt) stabil, auch der Taskmanager funktioniert einwandfrei. In Verdacht habe ich ein Programm, welches nach der Installation auf einmal verschwand. Denn kurz nachdem ich sah dass es einfach weg war kam diese Meldung. Ich habe bereits nach "b.exe" auf Partition C und D gesucht, leider keine entsprechende Datei finden können.... HijackThis: Code: Code: |
Hi, da sind zwei Sachen zu sehen: O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll O4 - HKCU\..\Run: [Monopod] C:\DOKUME~1\***\LOKALE~1\Temp\b.exe daher: Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code: C:\WINDOWS\system32\msxml71.dll
Wenn erkannt, dann also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://saved.im/mzi3ndg3nta0/aven.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Achtung: Vergiss nicht die *** gegen den richtigen Pfad zu tauschen! Code: Files to delete:4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code: O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dllRandom's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. * Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/) * speichere es auf Deinem Desktop. * Starte mit Doppelklick die RSIT.exe. * Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. * Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. * In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". * Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. * Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. * Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. * Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. Gmer: http://www.trojaner-board.de/74908-a...t-scanner.html Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. Chris |
Wow, schonmal vorab ein Lob für die schnelle und ausführliche Antwort! Ich bin platt!
So...ich fahre nun mit Avenger und einem anschließenden Neustart meines Rechners fort.... :) |
Hi, das gesamte Log mit den Einzelauswertung der Scanner wäre schön... gewesen... :schmoll: chris |
Oh...pardon, kann man das noch nachholen? :headbang: MD5-Hashsuche liefert diese Informationen: msxml71.dll: http://www.virustotal.com/analisis/1d09ee0b86f9cf594ed71063f52ac7f0251d009fa7e677c051e6eba20958507a-1251746258 b.exe: http://www.virustotal.com/analisis/2746f3c747fffdd3d154ceb4b7ab6f5e8781cb6741b13966d465eb93238ab7f7-1251715256 -------------- So, die lahme Kiste ist oben! :rolleyes: Und ich glaube es sieht ganz gut aus... Code: Logfile of The Avenger Version 2.0, (c) by Swandog46 |
Hi, okay, jetzt noch bitte RSIT und Gmer... Hmm, oder umdrehen, zuerst rootkitsuche, dann können wir uns u. U. RSIT sparen... chris |
b.exe hat sich nicht mehr gemeldet :) (Hijackthis habe ich eben auch noch gefixed) Okay, dann RSIT zuerst, mach mich dran! :sword2: /edit: unfug Gmer war zuerst dran! |
Den Scan von Malewarebytes habe ich übrigends noch durchlaufen lassen, nur dann im Anschluss nichts entfernt. Code: Malwarebytes' Anti-Malware 1.40 |
Hi, einen Teil haben wir erwischt, das hier kann interessant werden: C:\WINDOWS\system32:Optix_ScreenCapS.dll (Rootkit.ADS) Nachdem wir die Logs (Gmer, RSIT) haben, MAM laufen lassen und alles bereinigen lassen... Falls Gmer was anzeigt müssen wir "umdisponieren"... Später müssen wir noch die Systemwiederherstellung "plätten"... Achtung: Das hier bitte umgehend löschen, sonst lädt sich was nach: C:\WINDOWS\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job chris |
Zitat:
leider weiß ich nicht wo man genau diese Jobs löschen kann...im Ordner Geplante Tasks steht nur einer von Apple drin, ansonsten nichts. :confused: |
Hi, kann versteckt sein... Was macht Gmer? chris |
Mhm...Ordnerinhalte werden eigentlich alle angezeigt... Ich glaube Gmer ist fertig, kommt nichts neues... -------------- Nachdem ich Gmer geöffnet habe kamen keine Fragen, aber es stand schon etwas da. Ich hab jetzt mal diese Informationen wie auch die von dem ausführlicherem Scan abkopiert. Direkt angezeigt nach dem Öffnen: Code: GMER 1.0.15.15077 [8x2ldgj2.exe] - http://www.gmer.net |
Hi, i. O. noch RSIT und dann MAM alles bereinigen lassen... Bin jetzt dann wech, morgen früh wieder zu erreichen... chris |
Der gründliche Scan läuft noch immer....hätte ich die Suche einschränken sollen? Bis morgen, bin dann auch weg... |
Okay, RSIT habe ich gescannt, MAM sagt mir jetzt nichts, deswegen poste ich erstmal die RSIT-Ergebnisse.
|
|
Und hier noch der Inhalt von info.txt: Code: info.txt logfile of random's system information tool 1.06 2009-09-02 20:15:13 |
Info - Teil 2 Code: Sicherheitsupdate für Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe" |
Hi, das sieht gut aus, zwar einige gestoppte Treiber in Temp-Verzeichnissen, aber die werden wir wohl nicht finden (gelöscht). Der Job ist noch da und muß gelöscht werden, eine Exe muß überprüft werden ... Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code: C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
Job löschen: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://saved.im/mzi3ndg3nta0/aven.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code: Files to delete:4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Dann ist auffällig, dass jede Menge Treiber laufen, kein Wunder das die Kiste lahm ist (Webcam usb, Webcam seriell etc.)... Was hat MAM noch ausgespuckt? chris |
Guten Morgen, VirusTotal spuckt folgendes aus: Code: Datei mdm.exe empfangen 2009.09.03 08:21:30 (UTC)MAM? Meinst du damit Malewarebytes??:confused: Habe mit Malewarebytes bis jetzt keinen weiteren Scan durchgeführt. Ich lösche jetzt den Job, damit das nicht noch länger was nachsaugt, die mdm.exe bleibt ja davon unberührt! :) /edit: So Avenger ist durch und meldet: Code: Logfile of The Avenger Version 2.0, (c) by Swandog46 |
Hi, okay, dann wären wir durch... Zur Sicherheit noch abschließend einen Scan mit Prevx: http://www.prevx.com/freescan.asp Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters... chris |
Liste der Anhänge anzeigen (Anzahl: 1) |
Hmm, kann ich nicht richtig erkennen, lass das Teil mal bei virustotal.com prüfen... Wahrscheinlichkeit ist allerdings hoch...! Hmm, taucht in keinem Log auf (spoolsrv.exe)... chris |
Blöd das die Grafik nochmal verkleinert wurde...grrr... Das Rootkit "spoolsrv.exe" soll sich unter c:\windows\system32 befinden, allerdings versteckt. Ich hab die Datei unter c:\windows\system32 und c:\windows\ nicht gefunden, trotz entsprechender Ordnereinstellung. Es gibt zwar ähnlich benannte Dateien, aber nicht exakt "spoolsrv.exe". :( Der Thread ist in der Registry...keine Ahnung wie ich das wegbekomme...soll ich den CCleaner mal ausführen? Danke für deine Betreuung, Navaki |
Hi, nachdem Gmer nichts gefunden hat, ist mir das zu heiss... Du kannst probieren, ob es geht wenn Du bei Virustotal den gesamten Pfad einfach reinkopierst und dann hochladen lässt: Code: C:\windows\system32\spoolsrv.exeCombofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird chris |
Zitat:
Zitat:
|
Hi, ich habe noch mal versucht das Bild zu entziffern. Wenn ich es richtig sehe ist ein ":" zwischen dem Pfad und der exe, C:\windows\system32:spoolsrv.exe. Das ist jetzt nicht mein Fachgebiet, das sieht aber aus wie ein alternativer Datenstrom (ADS), der an das Verzeichnis system32 angehängt wurde. Der ist so nicht sichtbar... Das deutet eindeutig auf Malware hin... Du verwendest doch NTFS als Filesystem, oder? Falls CF es nicht schafft, muss ich mich mal schlau machen... chris |
Zitat:
Zitat:
Zitat:
Code: ComboFix 09-09-02.02 - *** 03.09.2009 11:56.1.2 - NTFSx86 |
Hi, die ADS sind weg: Zitat:
chris |
Zitat:
|
Hi, es gibt da noch einiges was zu ändern wäre und noch eine kleine Frage: Was ist das hier: Code: c:\programme\Lineage II\system\npkycryp.sysDann sind einige Reg.-Einträge (Sicherheitscenter) verbogen, die geändert werden müssten (das macht eigentlich MAM)... ... [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000001 ... Du solltest unbedingt alle Passwörter ändern (Infostealer/Backdoor), ev. sicherheitshalber wenn Du eBanking machst das Konto sperren lassen (denk dabei auch an eBay etc.)... chris Ps.: Bin jetzt mal wech für ca. 1,5 h... |
Zitat:
Das Programm verbindet sich via Client mit einem Hauptserver, auf dem dann gespielt wird. Was die Datei "npkycryp.sys" tut weiß ich nicht, denke aber dass es evt. für den Verbindungsaufbau eine Rolle spielen könnte. Zitat:
Zitat:
Zitat:
|
Hi, MAM? (MAM==Malwarebytes Anti-Malware?)->Ja! So, mache dann noch mal einen Scan mit Prevx, dann sollten wir durch sein... chris |
Hi, mir kommt das Teil nicht geheuer vor, kannst du es löschen: C:\Programme\Lineage II Da muss noch irgendwo ein Loader versteckt sein, wenn das Teil wieder da ist... Mach bitte mal folgendes: Update MAM, gehe offline, lass dann ComboFix laufen und danach immer noch Offline MAM. Poste beide Logs und lasse den Rechner noch von Kapi durchsuchen: Kaskpersky OnlineScanner (IE benutzen) http://www.kaspersky.com/de/virusscanner Dann muß noch die Systemwiederherstellung gepättet werden: Systemwiederherstellung löschen BSI-Faltblattt (https://www.bsi.bund.de/cln_134/Cont...irenundCo.html) und dort unter Viren entfernen Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt: Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung -> anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten; Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder). Einen ersten Restorepunkt setzten: Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen Ich beziehe mich dabei auf das von Dir im Thread http://www.trojaner-board.de/76929-t...-gefahr-2.html gepostete MAM-Log.. chris |
Hi, falls das nichts hilft, werden wir CF scripten... chris |
So hab Lineage gelöscht, danach MAM geupdatet, dann zuerst CF gestartet und dann MAM (alles mit gekaptem Kabel) CF ist zunächst durchgelaufen ohne Probleme, hat dann aber kein Log-file erstellt...hab sehr lange gewartet...dann habe ich das Programm geschlossen und erneut ausgeführt, dann hats funktioniert. Ich hab dann mit MAM weitergemacht. Combofix: Code: ComboFix 09-09-02.02 - *** 03.09.2009 20:43.3.2 - NTFSx86Code: Malwarebytes' Anti-Malware 1.40 |
Zitat:
|
Hi, hmm der Stream ist weg, der Starteintrag in der Reg ist noch da: [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D97A8762-C04A-D035-3133-BC39230D0A40}] c:\windows\system32:spoolsrv.exe Der sollte noch weg.. Kennst Du Dich mit Reg.-Edit aus? Dann Kannst Du den Schlüssel löschen, sonst bastelte ich ein Script dafür. Chris Ps.: Das wäre seltsam, wenn ich mich erinnere, steht als Autor dort Dein nick...? |
Hi, wenn du von auskennen sprichst dann muss ich das klar verneinen, tut mir leid! :( Dieser Thread ist der erste den ich hier überhaupt gestartet habe, der andere ist von Nicki79....also so wird mir das zumindest angezeigt, wenn ich auf deinen Link klicke. Die Anweisungen befolge ich aber trotzdem! :) ~Navaki |
Oh mist, entschuldige....ich seh grad ich hab da wohl mal ausversehen falsch gepostet, sowas!!! :headbang: :headbang: :headbang: |
Das Script für den Onlinescan wird nicht ausgeführt....weißt du wo man da im IE die entsprechenden Einstellungen vornehmen muss? |
Hi, schau in dem anderen Thread mal Post #17 an, der ist von Dir :o).. Das nachfolgende in den Editor kopieren (Start->Ausführen notepad) und als weg.reg auf dem Desktop speichern (nicht als "TXT"-File): Code: REGEDIT4Dann sollte der Eintrag verschwunden sein... So, der Notebookakku ist gleich leer, muss schluss machen... chris Ps.: ActiveX im IE zulassen... Hab hier FF.. |
Zitat:
Hoff das Ding ist jetzt weg... Zitat:
Zitat:
|
/edit: Es geht! :rolleyes: |
Zitat:
Code: ------------------------------------------------------------------------------- |
Teil 2: Code: C:\Programme\Adobe\Adobe Version Cue CS2\data\database\data\ibdata1 Das Objekt ist gesperrt übersprungen |
Hi, hm, Du solltest mal Deine gesamten Emails bereinigen (löschen!)... Code: C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\Local Folders\Junk/[From "Rhi" <rhi_anne2@hotmail.com>][Date 27 Mar 2007 20:23:15][Subj Roberte]/html Verdächtige Objekte: Email-Worm.Win32.Bagle.mail übersprungenCode: C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\pop.gmx-3.net\Inbox/[From "Rhi" <rhi_anne2@hotmail.com>][Date 27 Mar 2007 20:23:15][Subj Roberte]/html Verdächtige Objekte: Email-Worm.Win32.Bagle.mail übersprungenhttps://addons.mozilla.org/de/thunderbird/addon/938 chris |
Okay hab mal alles aus der Inbox verschoben/gelöscht und auch den Papierkorb. Das Addon hab ich jetzt auch mal heruntergeladen....naja ich bekomme schon eine Menge Spam (sehe ich schon bei den GMS Spamschutznewslettern ^^) Dabei hüte ich mich immer meine E-mailadresse irgendwo anzugeben.... |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 22:15 Uhr. |
Copyright ©2000-2025, Trojaner-Board