Trojaner AV Security Suit Hallo, ich versuche seit vorgestern einen Trojaner Namens "AV Security Suit" von meinem PC zu entfernen. Ich habe versucht nach der Anleitung in diesem Forum zu arbeiten. Nach dem ich den PC im Abgesicherten Modus (F8) hochgefahren hatte, ist mir aufgefallen das neben dem Benutzer "Mustermann" noch der Benutzer "Administrator" vorhanden ist. Beide sind aber Computer- administrator. Ich versuche mal zu erklären was ich bis jetzt gemacht habe, denn der Trojaner namens "AV Security Suit" ist leider immer noch da. Achso: Bitte lasst euch von den Zeiten und dem Datum in den Log files nicht irritieren. Ich bin in Sydney. Im Abgesicherten Modus ("Administrator"): 1.Programm "rkill" ausgeführt. Log file: _________________________________________________________________ This log file is located at C:\rkill.log. Please post this only if requested to by the person helping you. Otherwise you can close this log when you wish. Ran as Administrator on 23.06.2010 at 21:18:33. Processes terminated by Rkill or while it was running: Rkill completed on 23.06.2010 at 21:18:37. _________________________________________________________________ 2. Falsche Proxi Einstellungen entfernt. 3. Quick-Scan mit dem Programm "Malwarebytes" ausgeführt. Log file: _________________________________________________________________ Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4227 Windows 5.1.2600 Service Pack 3 (Safe Mode) Internet Explorer 6.0.2900.5512 23.06.2010 21:37:45 mbam-log-2010-06-23 (21-37-45).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 136212 Laufzeit: 8 Minute(n), 13 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 2 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\asam (Trojan.Dropper) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\asam.exe (Trojan.Dropper) -> Quarantined and deleted successfully. C:\WINDOWS\herjek.config (Malware.Trace) -> Quarantined and deleted successfully. _________________________________________________________________ 4. Programm "CCleaner" ausgeführt. Programm "Malwarebytes" wollte einen Neustart. Ich habe aber zuerst den "CCleaner" ausgeführt. Nach dem ich das alles gemacht hatte, habe ich die Verbindung ins Netz deaktiviert und den PC neu gestartet. Da ich ihn nicht im Abgesicherten Modus hochgefahren hatte, konnte ich mich nur als "Mustermann", welcher ebenfalls Computeradministrator ist, anmelden. So weit so gut, der Trojaner hatte sich nach dem Hochfahren nicht gemeldet. Nun bin ich wie folgt vorgegangen: 1. Nochmals des Programm "Malwarebytes"ausgeführt. Dieses mal aber den Full-Scan. --> es wurden erneut infizierte Objekte gefunden!!! Log file: _________________________________________________________________ Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Database version: 4227 Windows 5.1.2600 Service Pack 3 Internet Explorer 6.0.2900.5512 23.06.2010 22:56:41 mbam-log-2010-06-23 (22-56-41).txt Scan type: Full scan (C:\|D:\|) Objects scanned: 226576 Time elapsed: 55 minute(s), 53 second(s) Memory Processes Infected: 0 Memory Modules Infected: 0 Registry Keys Infected: 4 Registry Values Infected: 1 Registry Data Items Infected: 0 Folders Infected: 0 Files Infected: 2 Memory Processes Infected: (No malicious items detected) Memory Modules Infected: (No malicious items detected) Registry Keys Infected: HKEY_CURRENT_USER\Software\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully. Registry Values Infected: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\asam (Trojan.Agent) -> Quarantined and deleted successfully. Registry Data Items Infected: (No malicious items detected) Folders Infected: (No malicious items detected) Files Infected: C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Anwendungsdaten\syssvc.exe (Trojan.Dropper) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP207\A0068825.exe (Trojan.Dropper) -> Quarantined and deleted successfully. _________________________________________________________________ 2. Nochmals Proxi Einstellungen kontrolliert. Das Häkchen war gesetzt - ich habe es entfernt. 3. Nochmals Programm "CCleaner" ausgeführt. Programm "Malwarebytes" wollte einen Neustart. Ich habe aber zuerst den "CCleaner" ausgeführt. 4. Programm "RSIT" ausgeführt. Log file: _________________________________________________________________ (ist etwas groß, habe es aber gespeichert falls es wichtig ist) _________________________________________________________________ 5. AviraAntiVir --> Luke Filewalker durchgeführt. (es wurden keine Vieren gefunden) 6. Programm "Ad-Aware" durchgeführt. (es wurden keine Vieren gefunden) Log file: _________________________________________________________________ Logfile created: 24.06.2010 06:00:59 Ad-Aware version: 8.2.5 User performing scan: Mustermann *********************** Definitions database information *********************** Lavasoft definition file: 149.299 Genotype definition file version: 2010/06/15 23:24:58 ******************************** Scan results: ********************************* Scan profile name: Intelligenter Scan (ID: smart) Objects scanned: 12316 Objects detected: 0 Type Detected ========================== Processes.......: 0 Registry entries: 0 Hostfile entries: 0 Files...........: 0 Folders.........: 0 LSPs............: 0 Cookies.........: 0 Browser hijacks.: 0 MRU objects.....: 0 _________________________________________________________________ Jetzt habe ich die Verbindung zum Internet wieder hergestellt und der Trojaner hat sich nicht mehr gemeldet. Nachdem ich den PC aber neu gestartet hatte, war er wieder da. Kann mir jemand einen Tip geben was ich noch tun könnte? Hängt es vielleicht irgendwie mit den Benutzerkonten zusammen? Gruß |
Hallo und Herzlich Willkommen! :) - Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe: 1. lade Dir HijackThis von *von hier* herunter HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen" 2. Bitte Versteckte - und Systemdateien sichtbar machen den Link hier anklicken: System-Dateien und -Ordner unter XP und Vista sichtbar machen Am Ende unserer Arbeit, kannst wieder rückgängig machen! 3. → Lade Dir HJTscanlist.zip herunter → entpacke die Datei auf deinem Desktop → Bei WindowsXP Home musst vor dem Scan zusätzlich tasklist.zip installieren → per Doppelklick starten → Wähle dein Betriebsystem aus - Vista → Wenn Du gefragt wirst, die Option "Einstellung" (1) - scanlist" wählen → Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei hjtscanlist.txt präsentieren → Bitte kopiere den Inhalt hier in Deinen Thread. 4. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool ccleaner herunter installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein Zitat:
** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw gruß Coverflow |
Hallo, ich habe die erforderlichen Tools nun von einem anderen Rechner heruntergeladen und auf einem Stick gespeichert. Soll ich die Vorgänge im abgesicherten Modus ausführen? Wenn ja, mit welchem Benutzer? Beide, "Administrator" und "Mustermann", sind Computeradministrator. Grüße |
Ok, ich habe den PC im abgesicherten Modus hochgefahren und mich als "Administrator" (Computeradministrator) angemeldet. Dann folgende Anweisungen ausgeführt: 1. Programm "HijackThis" ausgeführt und Logfile gespeichert. Code: Logfile of Trend Micro HijackThis v2.0.2 2. Geforderte Dateien sichtbar gemacht. 3. Programm "HJTscanlist" ausgeführt. Code: Code: |
Hmm.. ich habe die Anweisungen jetzt mit den aktuellsten Versionen der Tools mehrmals durchgeführt. Leider ist er immernoch drauf. Kann mir jemand helfen? Was kann ich noch tun? |
hi kannst in den normalen Modus auch die Tools ausführen? Code: Dani → besuche die Seite von virustotal und die Datei/en aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren: → Tipps für die Suche nach Dateien Code: C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Anwendungsdaten\ejaihmtvd\wntumsutssd.exe → Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox) → "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist → das Ergebnis wie Du es bekommst (NICHT AUSLASSEN!) da reinkoperen (inklusive <geprüfter Dateiname> + Dateigröße und Name, MD5 und SHA1) Beispiel - das zu postende Logfile von Virustotal soll so wie hier aussehen Also nicht auslassen, sondern wie Du es bekommst da reinkopieren!: Code: Datei <hier kommt die Dateiname> empfangen 2009.xx.xx xx:xx:xx (CET) |
Hi, doch das Benutzerkonto "Administrator" war vorher anscheinend auch schon da, nur hab ich es nie gesehen weil ich meinen PC zuvor nie im abgesicherten Modus hochgefahren hatte. Freunde von mir sagten dass der "Addministrator" von Anfang an auf dem PC war. Wenn ich den PC normal hochfahre und dann Alt+Strg+Entf drücke, kann ich mich wie in Windows 2000 anmelden. Theoretisch auch mir dem Benutzer "Administrator". Dies geht aber nicht. Es erscheint folgende Fehlermeldung von Windows: "Auf Grund der Benutzerkontenbeschränkung ist eine Anmeldung nicht möglich". Ich glaube auch das hier ein mögliches Problem liegt. Ich habe also im abgesicherten Modus "Administrator", oben (23.06.2010, 23:14) beschriebenes Prozedere (mit Fullcheck) durchgeführt dann PC heruntergefahren. Danach im abgesicherten Modus "Mustermann", oben (23.06.2010, 23:14) beschriebenes Prozedere (mit Fullcheck) durchgeführt dann PC heruntergefahren. Jetzt habe ich den PC im normalen Modus hochgefahren. Wie beschrieben kann ich hier nur auf den Benutzer "Mustermann" zugreifen. Jetzt wieder oben (23.06.2010, 23:14) beschriebenes Prozedere (mit Fullcheck) durchgeführt. So, jetzt dachte ich ich hab ihn gekillt. Ich habe die Netzwerkverbindung wieder hersgestellt und gehofft "AV Security Suit" meldet sich nicht mehr. Dem war auch so. Aber dann..., als ich den PC ein zweites mal hochgefahren hatte war er wieder da. Hab nicht ganz verstanden wo ich es reinkopieren soll. Ich nehme an hier als Code. Hoffentlich meinst du es so... hab einfach mal das komplette Ergebis kopiert. Ein paar Vierenscanner haben hier ja wirklich einen Virus erkannt, oder? Code:
|
hi Da diese Dateien (noch) nicht bei allen Herstellern von Removern, Antiviren Programmen und Spyware Schutz Programmen bekannt sind, laden wir zur weitere Analyse zum Hersteller des Removers hoch: Datei Upload
C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Anwendungsdaten\ejaihmtvd\wntumsutssd.exe
|
Hallo, jep, habe das File hochladen können. "Your file (wntumsutssd.exe) was successfully submitted. If someone requested you submit this file please let them know that you have submitted the file." Gruß |
hi 1. Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren! 2. Lade und installiere das Tool RootRepeal herunter
|
Hallo, habe die Scans im abgesicherten Modus mit dem Benutzer "Administrator" durchgeführt. Hoffe das geht in Ordnung so. GMER Logfile: GMER Logfile: Code: GMER 1.0.15.15281 - hxxp://www.gmer.net --- --- --- Häkchen bei: Drivers, Hidden und Stealth Code: ROOTREPEAL (c) AD, 2007-2009 |
Hi, habe die Scans im abgesicherten Modus mit dem Benutzer "Administrator" durchgeführt. Hoffe das geht in Ordnung so. [CODE] GMER Logfile: GMER Logfile: Code: GMER 1.0.15.15281 - hxxp://www.gmer.net --- --- --- Code: ROOTREPEAL (c) AD, 2007-2009 |
Sorry, zweite Seite nicht gesehen. Deswegen zweimal gepostet. |
hi 1. - Kopiere den Text aus der Code-Box in ein Notepad-Dokument und speichere ihn als remove.txt auf deiner Festplatte C:\ Code: C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Anwendungsdaten\ejaihmtvd\wntumsutssd.exe → Empfehle ich Dir die Antivirus-Software zu deaktivieren - nach dem Lauf nicht vergessen wieder einzuschalten → die avenger.exe per Doppelklick starten → füge den Inhalt aus der Codebox vollständig und unverändert in das leere Textfeld bei "Input script here" ein → dann klicke auf "Execute" → wirst Du gefragt, ob Du das Script ausführen willst. Beantworte die Frage "Ja". → auf die Fragae ob dein Rechner jetzt neu starten soll "Rebot now" bejahe bitte auch → nach Neustart wird ein Dos Fenster aufgehen. → wenn wieder geschlossen ist, es öffnet sich der Editor mit die Scanergebnisse : C:\avenger.txt → kopiere und füge den Inhalt direkt aus der Textdatei hier rein 2. Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked" klicken→ PC neu aufstarten): HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen Code: O4 - HKLM\..\Run: [cwdalaoh] C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Anwendungsdaten\ejaihmtvd\wntumsutssd.exe poste erneut - nach der vorgenommenen Reinigungsaktion: ► TrendMicro™ HijackThis™ -Logfile - Keine offenen Fenster, solang bis HijackThis läuft!! |
Hallo, noch eine kurze Frage bevor ich mit den Aktionen beginne. Ich führe alles im abgesicherten Modus durch? Zitat:
Muss ich TrendMicro kaufen, oder kann ich ein anderes Prog. verwenden? |
Zitat:
wenn steht nichts über abgesicherten Modus [F8], dann sollst auch nicht machen! Zitat:
Zitat:
wie hier unter Punkt 1.:-> http://www.trojaner-board.de/87519-t...tml#post536355 |
Hallo, kann momentan leider nicht mehr so oft ins Netz. Avanger kann nicht ausführen. -error: invalid script. Must begin with a command directive. Was für eine anweisung fehlt? |
ah,,,mein Schuld, beim reinkopieren habe etwas ausgelassen:rolleyes: also habe ein neues Script erstellt - jetzt richtig nochmal: - Kopiere den Text aus der Code-Box in ein Notepad-Dokument und speichere ihn als remove.txt auf deiner Festplatte C:\ Code: Files to delete: |
Hallo, habe die Anweisungen befolgt. Hier die Logfiles. Code: Logfile of The Avenger Version 2.0, (c) by Swandog46 [CODE] HiJackthis Logfile: Code: Logfile of Trend Micro HijackThis v2.0.2 |
hi Reinigung und Prüfung: 1. Windows und die installierten Programme auf den neuesten Stand zu halten,sind Garanten für eine erhöhte Sicherheit! Java aktualisieren `Start→ Systemsteuereung→ Java→ Aktualisierung...(Update 20 schon fällig) danach deinstalliere: `Systemsteuerung → Software → Ändern/Entfernen...` Code: Java(TM) 6 Update 19 alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren **Der Temp Ordner,ist für temporäre Dateien,also der Inhalt kann man ohne weiteres löschen.- Dateien, die noch in Benutzung sind, nicht löschbar. **Lösche nur den Inhalt der Ordner, nicht die Ordner selbst!
3. reinige dein System mit Ccleaner:
4.
5. Auch auf USB-Sticks, selbstgebrannten Datenträgern, externen Festplatten und anderen Datenträgern können Viren transportiert werden. Man muss daher durch regelmäßige Prüfungen auf Schäden, die durch Malware verursacht worden sein können, überwacht werden. Hierfür sind ser gut geegnet und empfohlen, die auf dem Speichermedium gesicherten Daten, mit Hilfe des kostenlosen Online Scanners zu prüfen. → Also alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. Außerdem kann man die Autostarteigenschaft auch ausschalten: → Windows-Sicherheit: Datenträger-Autorun deaktivieren- bebilderte Anleitung v.Leonidas/3dcenter.org → Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten/wintotal.de → Diese Silly -Beschreibung stützt die Annahme, dass er über einen USB-Stick kam. Die Ursache ist durch formatieren des Sticks aus der Welt geschafft, Du solltest darauf achten, dass dort keine Datei autorun.inf wieder auftaucht und etwas wählerisch sein, wo Du deinen Stick reinsteckst. → Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner/klicke hier → um mit dem Vorgang fortzufahren klicke auf "Accept" → dann wähle "My computer" aus - Es dauert einige Zeit, bis ein Komplett-Scan durch gelaufen ist, also bitte um Geduld! Es kann einige Zeit dauern, bis der Scan abgeschlossen ist - je nach Größe der Festplatte eine oder mehrere Stunden - also Geduld... → Report angezeigt, klicke auf "Save as" - den bitte kopieren und in deinem Thread hier einfügen Vor dem Scan Einstellungen im Internet Explorer: → "Extras→ Internetoptionen→ Sicherheit": → alles auf Standardstufe stellen → Active X erlauben - damit die neue Virendefinitionen installiert werden können ** Wie ist den aktuellen Zustand des Rechners? |
Hallo, bin wieder zurück. Konnte längere Zeit nicht ins Netz. Zustand des Rechners ist gut. AV Security Suit hat sich nicht mehr gemeldet. Glaube aber der Online Scanner hat was auf meinem Stick gefunden. Hier die geforderten Log-Files. Code: SUPERAntiSpyware Scan Log Code: KASPERSKY ONLINE SCANNER 7.0: scan report |
hi Malwarebytes sollte erkennen und auch entfernen können, also schauen wir mal: alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. "E" solltest unbedingt anschließen! ** Update Malwarebytes Anti-Malware, lass es nochmal anhand der folgenden Anleitung laufen:-> Malwarebytes Anti-Malware - Bereinigung mit Malwarebytes' Anti-Malware (Vollständiger Suchlauf)
|
Hallo, Full Scan hat ihn gefunden und zerstört! Hier das Log File: Code: Malwarebytes' Anti-Malware 1.46 |
na prima:) Zum Schluss, scanne dein Sytem mit mindestens 3 Onlinescanner (Externe Sachen bitte anschliessen): - Vor dem Scan Einstellungen im Internet Explorer: Extras → Internetoptionen → Sicherheit → Stufe anpassen: alles auf Standardstufe stellen - Active X erlauben - Nicht gleichzeitig scannen! Nach jedem Scanvorgang starte dein System neu auf - speichere und poste das Logfile des Scans - die Ergebnisse als*.txt Datei speichern ** Wie ist den aktuellen Zustand des Rechners? |
Alle Zeitangaben in WEZ +1. Es ist jetzt 22:25 Uhr. |
Copyright ©2000-2024, Trojaner-Board