|
Win32/cryptor, Security Center gefälscht...AVG hat ca 11 Sachen gefunden. [NOTFALL] Leute es handelt sich um einen Notfall... Ich muss private Dateien Morgen Mittag abgeben... Und ich hab verschiedene malware drauf... Verschiedne Trojan Dropper und ein W32 Cryptor ist drauf. Da ich bisschen erfahrung habe, konnte ich den W32/Crtyptor entfernen(der hat unteranderem warscheinlich diese komische Antivirus-Plus installiert und das Security Center von Microsoft gefälscht.) hab ihn entfernt durch die Prozesse (rundll32.exe habs in der Registry den Autostart von diesem Antiviurs Plus entfernt, aber die Dateien noch nicht gelöscht wollte den genauen Pfad haben damit ichs mit Avenger machen kann.) Ausserdem öffnen sich ständig irgendwelche Werbefenster in IE obwohl ich MF als Standard eingerichtet habe Ich benutze Windows XP SP 3 und als Antivirus -> AVG Hier log von GMER Clip #GCM Hier Log von HiJackTHis sollte eigenltich sauber sein.. Clip #GCO hier noch DIe LOgDatei von Malwarebytes hab gelöscht alles.. Zitat:
Danke für eure Hilfe! |
Hi lösche sofort alle Sachen mit MAM, die MSA.exe läuft neben der C:\cleanup.exe ! Poste ebenfalls ein neues GMER-Log und ein OTL-Log: OTL Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop * Doppelklick auf die OTL.exe * Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen * Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output * Unter Extra Registry, wähle bitte Use SafeList * Klicke nun auf Run Scan links oben * Wenn der Scan beendet wurde werden 2 Logfiles erstellt * Poste die Logfiles hier in den Thread. chris |
Hier der OTL LOg -> Clip #GDJ Hier der OTL Extra Log -> Clip #GDK Hier der GMER LOG Zitat:
Ich komm in den C nur mit dem DebugModus Abgesicherterkommt auch nicht mehr rein. Was soll ich sonst machen? |
Hi, Nachtigall ick hör dir trapsen... Der atapi-Treiber ist wahrscheinlich infiziert... Zitat:
weiss das Teil was gelesen werden und kann sich optimal bei einer Virensuche "ausblenden"))... Die Bereinigung kann ins Auge gehen, aber ich denke so viel ander Möglichkeiten haben wir nicht... Prüfe das hier mal: Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code: C:\Dokumente und Einstellungen\$h0©K\Lokale Einstellungen\Temp\RarSFX0\autorun.exe ()
Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet! Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß! Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen. chris |
Kann ich nicht vorher ein backup machen oder soo?? Also diese sachen sind 100% cleaan sind meine Visual Basic Projecte hab Random name undso C:\VF7HWjPpt.exe C:\ytlmlfc.exe |CLEAN C:\horj.exe | C:\VF7HWjPpt.exe Die Autorun Datei ist sauber habs gecheckt ist mein Visual Basic die Protable version von mir... Aber im Temp odner sind komische dateinamen die auf exe enden jfzllg.exe utbyxlql6h.exe ausserdem war da ne xxxyyyzzz.dat datei, hab ich auf txt umbenannt siehe da meine MSN Addy ohne PW allerdings... SOll ich bevor ich COmboFix voreiligmache Hijackthis log machen? Achja mit AVG hb ich immernoch nichts gelöscht nur mit MalwareBytes.. Ausserdem komm ich immernoch nujr mit dem DebugModus ins Windows sonst kommt nen BLuescreen mit ner Fehlermeldung Deaktivieren sie alle Antiviren Programme Sicherheistsoftware blablab |
Hi, falls Du erstmal CF nicht einsetzen willst, folgendes Vorgehen: Von XP-CD booten in die Rettungskonsole gehen und dort dann von Hand die atapi.sys ersetzen... Vorher eine Sicherungskopie der atapi.sys erstellen, damit wir die bei virustotal.com prüfen lassen können... Per Hand Treiber kopieren (atapi.sys etc.) im ersten Fall wenn die Installations-Dateien auf dem Rechner sind, im zweiten von der xp-boot-cd. Code: expand c:\WINDOWS\ServicePackFiles\i386\atapi.sy_ c:\windows\system32\atapi.sysDeine Anfrage wegen Teamspeak. Ich sitze hier hinter einer Firmenfirewall die alle möglichen Ports sperrt und nicht von mir beeinflusst werden kann... Dr. WEB erkennt in den meisten Fällen TDSS... http://www.trojaner-board.de/59299-anleitung-drweb-cureit.html chris chris |
So hab das mit atapi sys gemacht etc.. Alles geklappt komme ins Windows auch ohen den Debugmodus asuführen zu müssen, d.h. er bootet normal. So jetzt die infizierte atapi sys datei wurde von mir auf Virustotal hochgeladen. Log - Virustotal ich werde jetzt nochmal Dr.Web machen. Und Post editieren |
Hi, die Erkennungsrate ist schon ganz schön "ernüchternd"... Lass auch GMER noch mal laufen, TDSS-Varianten fallen auch andere Systemtreiber an... Das Problem beim TDSS ist, er speichert sich das Original in einem eigenen, verschlüsselten Filesystem. Versucht Windows die verseuchte Treiberdatei (also quasi "ihn selbst") zu lesen, so gibt er einfach die nicht infizierte Treiberdatei zurück... Darauf fallen (fast) alle Scanner z. Z. rein... Gleichzeitig versucht er SW die ihn trotzdem erkennen können zu blocken (Abstürze von GMER etc.)... Die Änderungen an dem verseuchten Treiber sind nur marginaler Natur... Mal sehen was Dr. Web noch so ausspuckt... chris |
Dr.Web war sauber(schnell scan) Hier der GMER - LOG GMER -LOG Ich bin mir immernoch nicht sicher ob Rootkit weg ist. Ich hab immer Probleme wenn ich mein PC Neustarte und sich mein Fritz! Wlan Stick N neu verbiden muss braucht der PC laange zeit bis der das Programm initialisiert und er mit dme verbidnen anfangen kann, erst dann wird z.B. auch Windwos Live messenger gestartet... |
Hi, spwh.sys fällt etwas auf, Du hast aber Daemon-tools installiert... Dann noch der Treiber hier: C:\Windows\System32\Drivers\axtmugef.SYS Lass den mal bei Virustotal prüfen... Das bitte deinstallieren und noch mal ein neues HJ-Log... Was macht Dr. Web? chris |
Wie gesagt Dr.Web war sauber (schnell Scan) Was soll ich jetzt genau mit spwh.sys machen.. ?! Und den Treiber axtmugef.sys Finde ich nicht im drivers Ordner Neues HJT Log -> Clip #GEX |
Hi, lass die Datei ebenfalls bei Virustotal prüfen. Dr. Web bitte Fullscan! Das HJ-Log ist sauber... chris |
ich finde die spwh.sys nirgendwo... hab auch suche gemacht erfolglos... Dr.Web Scan kann ich erst Morgen bringen, was kann ich bis dahin sonst noch so machen... Vllt kannst du mir mit meinen I-net Prob auch helfen? WIe gesagt der braucht so lange bis der das Fritz! Programm initialisiert udn sich verbidnen kann und erst danach öffnet sich auch MSN... |
Hi, wie definierst Du lang. Hast du schon versucht die F.-Box zu resetten? chris |
Hat wenig mit der Fritz box zu tun (ein anderer PC hängt am Kabelund der ist natürlich direkt drinne) Das programm auf meinem PC wird nach ner Minute erst initialisiert obwohl der PC schon hochgefahren ist. Hier der Dr.Web Log Hab nur das Wesentliche aufgeschrieben... Die Log Datei war 26 MB groß da war jede einzelne Datei... Und das geht schon voll in die Privatsphäre alles hier zu posten... Zitat:
Sicher das Call of Duty .exen Infiziert sind.. sind von der CD installiert und etliche male erflogreich ohne Absturz gespielt |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:02 Uhr. |
Copyright ©2000-2025, Trojaner-Board