|
Problem mit TR/Crypt.ZPACK und Rootkit.Gen Hallo zusammen, als erstes möchte ich kurz sagen das ich von dieser ganzen Virensache keine Ahnung habe. Auch „benutze“ ich meinen Computer aber so richtig kenne ich mich damit nicht aus, bin also kein „Crack“! Meine Anti Viren Software: ADAWARE und AntiVir Auf meinem Rechner hat ANTIVIR diese 2 Trojaner entdeckt. TR/Crypt.ZPACK.Gen TR\Rootkit.Gen Sie werden aber nicht gelöscht sondern sind immer wieder da. Seit einiger Zeit wunderte ich mich warum ich keine Mails mehr verschicken konnte und ab und zu irgendwelche Fenster aufgingen die dann sagten das ich meinen Rechner runterfahren soll usw. usw. I-Bay hat mir auch schon einige Male geschrieben das jemand versucht hat auf meinen Account zu zugreifen. Ich war jetzt 2 Wochen im Urlaub und bekam Post von meinem Internet Anbieter (Txxx) Die schrieben mir: „ … über Ihren Telekxxx Zugang Unerwünschte Werbemails verschickt wurden, worauf wir mit einer Beschränkung der Mailversandmöglichkeiten reagieren mussten…. …Die Mails wurden nicht über Ihren Telekxxx E Mail Account sondern per direkt Einlieferung über Ihren Telekxxx Zugang gesendet…“ Ich habe schon ein bisserl im Gegoogelt bin aber Ehrlich gesagt nicht schlauer als vorher. In einem Forum schrieb jemand das er ein ähnliches Problem hat worauf jemand antwortete er solle seinen Rechner formatieren. Ein anderer sagte darauf hin das das bei diesen Trojanern wahrscheinlich nichts bringt und es vergebene Mühe währe. (Hoffentlich muss ich nicht Formatieren :confused: ). Jetzt bin ich auf dieses Forum gestoßen und hoffe dass mir jemand hilft! Die Programme CCleaner und Malwarebytes hab ich schon ausgeführt. RSIT hab ich noch nicht laufen lassen. Ich wollte erst mal hier posten. Mit freundlichen Grüßen INGO Hier ist das Log von Maleware: Malwarebytes' Anti-Malware 1.40 Datenbank Version: 2756 Windows 5.1.2600 Service Pack 2 08.09.2009 13:53:57 mbam-log-2009-09-08 (13-53-57).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 177623 Laufzeit: 1 hour(s), 1 minute(s), 29 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 6 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 5 Infizierte Verzeichnisse: 1 Infizierte Dateien: 6 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Dropper) -> Data: c:\windows\system32\sdra64.exe -> Delete on reboot. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Dropper) -> Data: system32\sdra64.exe -> Delete on reboot. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (Userinit.exe) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\BITS\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemRoot%\System32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wuauserv\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemroot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: C:\WINDOWS\system32\lowsec (Stolen.data) -> Delete on reboot. Infizierte Dateien: C:\WINDOWS\Temp\2.tmp (Trojan.Dropper) -> Quarantined and deleted successfully. C:\WINDOWS\Temp\291.tmp (Trojan.Dropper) -> Quarantined and deleted successfully. C:\WINDOWS\system32\sdra64.exe (Trojan.Dropper) -> Delete on reboot. C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Delete on reboot. C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Delete on reboot. C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\wiaserva.log (Malware.Trace) -> Quarantined and deleted successfully. |
Hallo und Herzlich Willkommen! :) Zitat:
- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe: 1. lade Dir HijackThis 2.0.2 von *von hier* herunter HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen" 2. ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen:: → Klicke unter Start auf Arbeitsplatz. → Klicke im Menü Extras auf Ordneroptionen. → Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen → Geschützte und Systemdateien ausblenden → Haken entfernen → Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen. → Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein. 3. Für XP und Win2000 (ansonsten auslassen) → lade Dir das filelist.zip auf deinen Desktop herunter → entpacke die Zip-Datei auf deinen Desktop → starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen → kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread ** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen! 4. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool ccleaner herunter installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein 5. Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren! Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post: → vor dein log schreibst du:[code] hier kommt dein logfile rein → dahinter:[/code] ** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw grußCoverflow |
Hallo COVERFLOW, Danke für Deine Hilfe! :knuddel: Eine paar fragen hätte ich noch: Was ist denn jetzt besser eine Systemreinigung oder das Neu Aufsetzen des Systems? Oder soll es beides sein??? Soll ich nur bei Punkt 5 (GMER) offline sein? Oder soll ich mir erst alle Programme runterladen, dann Internet aus, alle Programme nacheinader laufen lassen und Ergebnisse posten? Bis dann INGO Hier ist schon mal HIJACKTHIS Log: Code: |
Punkt 3: Es sind nur 6 Verzeichnisse denn in einem Verzeichnis waren nur alte Einträge (über 6 Monate) Code: ----- Root ----------------------------- in der nächsten Antwort gehts weiter |
Zu Punkt 3 2. Teil Code: ----- Temp ----------------------------- |
Zu Punkt 3 3. Teil Code: 30.07.2009 10:48 798.234 IMT210.xml |
Zu Punkt 3 4. Teil Code: |
Zu Punkt 3 Letzter Teil Code: 09.04.2009 11:44 111 STS5B.tmp |
hi Zitat:
- Systemreinigung: gibt es keine Garantie für den Erfolg und es wird nun ein paar Tage dauern - Dein system war "offen" bzw kannst Du davon ausgehen durch den Trojaner(Backdoor) ist dein System kompromittiert (ermöglicht es Dritten, durch einen Backdoor, den voller Zugriff bzw Manipulationen an deinem System) Formatieren und Neuaufsetzten geht schneller als das System sauber zu bekommen. Aus Sicherheitsgründen (jetzt schon), ändere deine Passworte und Zugangsdaten überall, auch online Banking, deinen Benutzernamen, Foren etc - von einem sauberen System aus!! |
Hallo COVERFLOW, Du bist noch da??? Danke für Deine Hilfe! Ich werde mich jetzt an Punkt 5 wagen (GMER) und werd deshalb demnächst alles aus machen. Ich werde es dann evtl. erst morgen posten. Noch was: wie schalte ich denn am besten alle Wächter aus??? Bis dann INGO Punkt 4: CCLEANER txt file der Dateien auf meinem Rechner: Code: |
Zitat:
dananch bitte nicht vergessen wieder aktivieren!! |
Guten Morgen, hier kommt nun das Logfile von GMER (Punkt 5) Code: GMER 1.0.15.15077 [gmer.exe] - http://www.gmer.netDanke Bis dann INGO |
hi Zitat:
►Da eine hundertprozentige Erkennung von Rootkits unmöglich ist, ist die beste Methode zur Entfernung die komplette Neuinstallation. Falls Du dein System doch reinigen möchtest, gib mir bitte bekannt! |
Hallo COVERFLOW, Danke für Deine Hilfe und für die Auswertung. Ich denke das ich dann das System doch Neuinstallieren werde :heulen: Leider hab ich noch gar keine Ahnung wie ich das am besten anstelle. Auf meinem Rechner sind so viele Programme die ich gern behalten würde bzw. die weiter genutzt werden sollen, aber ich weiss nicht so recht wie ich diese Programme am besten speicher/sichere. Kann ich meine z.B. "C:/eigene Dateien/..." sichern? Wie sicher/speichere ich z. B. meine E-Mails unter Outlook? Ich hab zwar eine externe Festplatte aber wenn ich doch jetzt Programme auf der Festplatte speichere ist die dann auch verseucht? Wenn ich neu Installiere, ist dieser ROOTKIT dann auf jeden Fall weg oder soll er erst beseitigt werden? Wie bekomm ich denn z.B. raus wie meine Windows Lizensnummer ist? Die brauch ich doch... Und wie schütze ich mich dann später vor solch einem Rootkit? Gibts irgendwo eine verstänliche/einfache Anleitung wie ich mein System neu Aufsetze? Was brauche ich alles zum NEUANFANG??? Viel fragen... Noch mal vielen DANK INGO |
hi - Windows CD hast Du? Normalerweise steht die Nummer auf dem Rechner drauf (auf einem Aufkleber). Entweder oben auf dem Gehäuse, oder/aber hinten am Netzteil. Nicht Laptop oder? - Daten zu sichern wäre zuerst mal separat empfohlen (zB. auf USB, CD, Festplatte) man weiß ja nie... - kannst Du ja alle Daten sichern (Dokumente, Texte, Bilder, MP3-Files, Videos, Filme, Mails als textdatei usw). Aber vor zurückspielen empfehlenswert ist eine solche Datensicherung gründlich zu scannen von einem suaberen System aus, am besten mit mehreren Scannern. - Kostenlose Online Scanner -
können wir ja auch dein System einigermäße hinzukriegen, dann formatieren und neu zu installieren... |
Hallo Coverflow, habe noch eine frage: Langt es evtl. auch wenn ich Windows XP einfach noch einmal drüber Installiere? Ein Arbeitskollege meinte das dann ja wahrscheinlich nur die Installationsdateien überschriebne werden. Mein Problem ist nämlich das ich so viele Programe auf meinem Rechner habe und die wiederum gespeicherte Dateien "irgendwo" abgelgt haben, das es schwer sein wird diese Dateien wieder zu finden und abzuspeichern. GIBT ES KEINE MÖGLICHKEIT DIESEN ROOTKIT WEGZUBEKOMMEN ??? Bis dann INGO |
hi hmm.."drüberspielen" ist nicht empfohlen! versuchen können wir ja, nur halt das ist nicht unbedingt die sicherste und sauberste Methode und ob danach dein System einwandfrei läuft...: Vor dem nächsten Schritt, also bevor wir weitermachen: Da jederzeit etwas passieren kann, wenn du wichtige Daten hast die Du sichern möchtest, empfehle ich Dir es jetzt machen (wie Bilder, Musik usw) Unabhängig von einem Befall (weil ja kann eine Festplatte auch kaputt gehen, oder es gibt andere technische Probleme ), sollte man regelmäßig Sicherung machen und an einem sicheren Ort bewahren, wie CD und DVD, aber besser auf externe Festplatten oder/und USB-Sticks Mache das jetzt bitte! 1. - Kopiere den Text aus der Code-Box in ein Notepad-Dokument und speichere ihn als remove.txt auf deiner Festplatte C:\ Code: Drivers to delete:→ die avenger.exe per Doppelklick starten → füge den Inhalt aus der Codebox vollständig und unverändert in das leere Textfeld bei "Input script here" ein → dann klicke auf "Execute" → wirst Du gefragt, ob Du das Script ausführen willst. Beantworte die Frage "Ja". → auf die Fragae ob dein Rechner jetzt neu starten soll "Rebot now" bejahe bitte auch → nach Neustart wird ein Dos Fenster aufgehen. → wenn wieder geschlossen ist, es öffnet sich der Editor mit die Scanergebnisse : C:\avenger.txt → kopiere und füge den Inhalt direkt aus der Textdatei hier rein 2. erneut Gmer laufen lassen (wie hier - unter Punkt 2. http://www.trojaner-board.de/77227-p...tml#post463856 beschrieben) - Log posten |
Hallo COVERFLOW, danke für die viele Mühe die Du Dir gemacht hast!!! :dankeschoen: Ich war das ganze Wochenende nicht mehr am PC und hab erst heute morgen den Rechner wieder angemacht um ihn zu FORMATIEREN :( Mein Kumpel kam vorbei und wir haben das ganze zusammen gemacht. Jetzt bin ich gerade wieder dabei den Rechner so hin zu bekommen wie er vorher war (nur ohne Viren). Habe also deinen Beitrag erst jetz gelesen. Mist, Oulook wieder einstellen,usw, ... Hast Du evtl. noch ein paar Tipps für mich wie ich "sicherer" durchs "Internet Leben" gehe? Sowas wie jetzt hatte ich die letzten 10 Jahre nicht. Noch mal vielen DANK, wenn ich könnte würen wir :alc: PS: Wieso kennst Du dich denn damit so gut aus, arbeitest Du mit Viren und so Zeug? Bis dann INGO |
Zitat:
Ändere deine Passworte und Zugangsdaten! - von einem sauberen System aus Informationen, Tipps und Wissenswertes zum Schluss: Zitat:
(benutzen meist ActiveX und/oder Java: Kostenlose Online Scanner - ich wünsche dir alles Gute:) gruß Coverflowhttp://www.world-of-smilies.com/wos_...schilder92.gif |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:48 Uhr. |
Copyright ©2000-2025, Trojaner-Board