|
Rootkit.TDSS kbiwkmbk... Hallo! habe mir am Wochenende ein Rootkit eingefangen. Bei allem was ich tue, also z.B. einen Ordner/Programm öffnen, erhalte ich immer folgende Fehlermeldung: "Dateiname" - Ungültiges Bild globalroot\systemroot\system32\kbiwkmbkfpvsgn.dll ist entweder niht für die Ausführung unter Windows vorgesehen oder enthält einen Fehler. Installieren Sie das Programm mit den Originalinstallationsmedien erneut, oder wenden Sie sich an den Systemadministrator oder Softwarelieferanten, um Unterstützung zu erhalten. Kaspersky erkennt es zwar, aber desinfizieren bzw. lösche funktioniert nicht. Combofix konnte ich einmal starten, danach schien das Problem auch gelöst zu sein, doch dann fing alles wieder von vorn an. Seitdem kann ich Combofix auch nicht mehr starten. Mittlerweile komm ich nicht mal mehr ins Internet. Ich will das System nicht neu aufsetzen. Ich hoffe, mir kann hier jemand helfen!? Achj ja, habe Vista Home Premium, 32-bit auf meinem Laptop. Danke im Voraus redbomb |
Hallo und :hallo: Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (etx. Platten, SD-Cards, ... mit anklemmen!! Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen. |
habs leider nicht eher geschafft... hoffe das nützt was: http://www.file-upload.net/download-1895697/logs.zip.html |
Bitte das nächste Mal die Logdateien so belassen wie sie sind. Es gibt keinen Grund, reinen Text als MS-Worddatei abzuspeichern! Dein System sieht so ziemlich im Eimer aus, bei diesem Patchstand eigentlich kein allzu großes Wunder: Code: Platform: Windows Vista (WinNT 6.00.1904)Bitte mal den Avenger anwenden Vorbereitungen: a) Deaktiviere den Hintergrundwächter vom Virenscanner. b) Stöpsele alle externen Datenträger vom Rechner ab. Danach: 1.) Lade Dir von hier Avenger: Swandog46's Public Anti-Malware Tools (Download, linksseitig) 2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen: http://mitglied.lycos.de/efunction/tb123/avenger.png 3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code: files to delete:5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. Dann sehen wir weiter. |
Hab vielleicht am Anfang Updates aufgespielt aber habs dann im Laufe der Zeit irgendwie verschwitzt. Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows Vista ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! File "C:\Windows\system32\cmd.execf" deleted successfully. File "c:\windows\system32\inethttpfilter.dll" deleted successfully. Folder "C:\32788R22FWJFW" deleted successfully. Folder "C:\Program Files\EZ Save MHT" deleted successfully. Completed script processing. ******************* Finished! Terminate. |
Okay, probiers wieder mit Combofix. Besorg Dir auf jeden Fall ComboboFix neu, der Link folgt gleich in der Anleitung. ComboFix bitte wieder mit unter Vista mit Rechtsklick => Als Admin ausführen: Die Anweisungen bitte genau so umsetzen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Wichtig! Bitte die combofix.exe per Rechtsklick, "Ziel speichern unter" unter smss.exe abspeichern! Besonders hartnäckige Malware erkennt eine combofix.exe und würde sich vor ihr gezielt verstecken! Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code] |
Ich habe Combofix unter smss.exe auf dem Desktop abgespeichert, aber es will nicht starten. D.h. es erscheint so ein kleines Dialogfeld mit einer Fortschrittsanzeige und danach passiert nix mehr. Außerdem habe ich noch festgestellt, dass in meinen Netzwerkverbindungen ein Linux Internet Gateway Device drin steht, der da nicht hingehört. Und bei meiner Internetverbindung steht dann da: Verbindung mit nicht identifiziertem Netzwerk (Sitecom)... Bin kurz davor, den Laptop gegen die Wand zu schmeißen :( |
Da sind noch Reste vom alten Combofix, geh mal auf Start, Ausführen (oder Win-Taste + R) und tipp ein: combofix /U Dann mit Enter bestätigen. Versuch dann erneut die umbenannte Combofix Datei zu starten. |
Combofix startet jetzt, allerdings tauchen da immer wieder diese Fehlermeldungen "... - Ungültiges Bild" auf. Und wenn ich die nicht bestätige, dann passiert auch nix mehr bei Combofix. Kann ich das irgendwie umgehen? |
Wüsste ich jetzt aus dem Stehgreif nicht genau wie. Bestätige die einfach alle mal. Wie wieviele sind das denn? |
:Boogie:Guten Morgen! Das waren Unmengen von Anzeigen. Wie wenn man in ein Bienennest sticht und die wütend werden. Bin das Rootkit jetzt aber los geworden. Nachdem Combofix nicht funktioniert hat, hab ich mir Sophos Anti-Rootkit runtergeladen, und seitdem habe ich nicht mehr die nervigen Warnmeldungen und es wird auch nix mehr gefunden :Boogie: Nur mein Internet will noch nicht funktionieren. Es wurde zwar eine Verbindung zu Sitecom hergestellt, aber im Netzwerk- und Freigabecenter steht bloß eine Verbindung bis zu "Nicht identifiziertes Netzwerk", aber nicht weiter ins Internet. Gestern stand bei mir auch noch ein "Linux Internet Gateway Device" als Netzwerk drin. Hab dann noch etwas recherchiert und daraufhin UPnP im Router deaktiviert. Jetzt steht das Netzwerk nicht mehr da, aber die Verbindung klappt immer noch nicht :( |
Wegen der verbindung: Ich vermute da ist irgendwas falsch an den Netzwerkeinstellungen. Geh mal in die Konsole cmd.exe und führe diesen Befehl aus: ipconfig /all > c:\ipconfig.txt Öffne danach die Datei c:\ipconfig.txt und poste den Inhalt hier mit Codetags umschlossen. |
internet geht wieder :Boogie: Habe ipconfig ausgeführt, und habe festgestellt dass beim Standardgateway nichts mehr drin steht und der DNS-Server verstellt war. Hab das geändert und jetzt gehts wieder :Boogie: Vielen, vielen Dank für deine Hilfe und noch einen schönen Sonntagabend! Heike |
Schön! :party: :daumenhoc Bitte nochmal zur Überprüfung: Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 02:36 Uhr. |
Copyright ©2000-2025, Trojaner-Board