|
Malware? SVCHOST startet selbsttätig Seiten im Firefox, OLT Log Auswertung Hallo zusammen, bin neu hier und habe ein Problem bzw. weil ich ein Problem habe bin ich neu hier. Also, am 05.09. meldete sich AntiVir bei einem Scan mit ein paar Funden. Ok. Alles wurde in die Quarantäne verschoben. Im nächsten Scan nur noch 1 Fund, auch in Quarantäne verschoben. Danach keine Funde von AntiVir mehr. Aber: Wenn Firefox geöffnet ist, starten ab und an irgendwelche dubiosen Webseiten. Daraufhin habe ich AdAware neu installiert, gestartet und gescannt. 5 Funde in die Quarantäne verschoben. (Diese habe ich aber mittlerweile gelöscht). Naja, aber AdWatch blockiert seitdem immer mal wieder Aufrufe durch die SVCHOST auf IP Adressen mit schädlichem Inhalt. Bei weiterer Recherche bin ich dann auf OTL gestossen. Habe damit dann auch einen Scan durchgeführt und würde gerne wissen, ob hier jemand so nett ist und mal da drüber schauen würde um mit vielleicht einen Tip zu geben, wo denn noch das Problem der von selbst aufgerufenen IP Adressen stecken könnte und was ich ggf. dagegen unternehmen könnte. Ich habe mal die AntiVir Logs und den OLT-Log hochgeladen. Das System ist ein XP SP3. Vorab schon mal meinen herzlichen Dank dafür! --Falls ich hier irgendetwas falsch gepostet habe bitte ich um entschuldigung und einen entsprechenden Hinweis.-- |
Hallo und :hallo: Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! |
Hallo cosinus, tut mir leid, vor lauter Theater mit der Kiste hatte ich total vergessen in den Post mit aufzunehmen, dass ich Malwarebytes auch schon hab laufen lassen. Dabei waren 2 weitere Funde. Das Log anbei. Vielleicht zu entschuldigen, wenn man die Uhrzeit des Log betrachtet:crazy: Danke für Deine Hilfe! |
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. |
Hallo cosinus (arne), habe deine Anweisungen durchgeführt, alles kam wie beschrieben. Anliegend das LOG. Schwieriger Fall ?? Gruß Büttel |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Hi Arne, mal eben eine Zwischenfrage: CoFix läuft und hat Rootkitaktivitäten festgestellt. Dabei musste CoFix den Rechner neu starten. Nach diesem Start hat sich aber AntiVir wieder gestartet und meldet prompt ein Trojanisches Pferd. AntiVir fragt jetzt im Vordergrund "Zugriff verweigern?" Im Hintergrund ist ComFix noch aktiv. Was soll ich in diesem Fall machen? Gruß Büttel |
Moin zusammen, Ergänzung zu meinem letzten Eintrag von gestern Nacht: Ich hab dann nach einiger Zeit herausgefunden das der Ordner Qoo... in dem der Fund war, von ComboFix angelegt wurde. Damit war klar das ich AntiVir hier "ignorieren" mitgeben konnte. Danach ist ComboFix dann auch weitergelaufen und hat bis über 50 Prüfschritte unternommen. Aus dem verschlafenen Augenwinkel meine ich auch noch eine Fertigmeldung unten drunter gesehen zuhaben, dann hatte der Rechner aber auch schon einen Bluescreen mit der Meldung: "Bad pool header". Ich habe den Rechner dann neu gestartet und er bootete ganz normal. Allerdings war von ComboFix aktivitäten nichts mehr zu sehen. Ich muss heute mal schauen ob ich ein ComboFix-Log finde. Fall nicht, muss ich dann den Scan mit ComboFix wiederholen? |
AntiVir natürlich deaktivieren! |
Hi Arne, klar soweit, aber dann noch einmal den Scan mit ComboFix starten? Gruß Büttel |
Ja bitte nochmal starten |
Hallo, was lange währt...?!? Ich habe CoFix jetzt noch einmal gestartet. Keine besonderen Anzeigen, jedoch wieder ein wie oben beschriebener BlueScreen. Nach dem Neustart hier jetzt der Inhalt der LOG Datei von ComboFix, aus dem Ordner C:\Qoobox\Quarantine --> das einzige was ich finden konnte. -------- 2010-09-13 - 23:24:26 ------------- -------- 2010-09-13 - 23:30:37 ------------- -------- 2010-09-14 - 15:54:26 ------------- -------- 2010-09-14 - 15:55:12 ------------- Seit ab sofort ist der Rechner wieder wesentlich schneller als vorher, ist das ein gutes Zeichen? Muss mir der BlueScreen Sorgen bereiten? Grüße Der Buettel |
Ich brauche den Quarantäneordner von Combofix. Bitte folgendes machen: 1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf da nicht rummurksen! 2.) Ordner C:\Qoobox in eine Datei zippen 3.) die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html 4.) Wenns erfolgreich war Bescheid sagen 5.) Erst dann wieder den Virenscanner einschalten |
Hallo Arne, fertig! Gruß Buettel |
Hast Du den Virenscanner auch wirklich deaktiviert gehabt? Da ist keine brauchbare Datei drin im Archiv! Poste mal bitte das relevante aus dem AntiVir-Protokoll über die Funde in C:\Qoobox. |
Hi, hier der LOG von AntiVir: "In der Datei 'C:\Qoobox\32788R22FWJFW\afd.sys' wurde ein Virus oder unerwünschtes Programm 'TR/Rootkit.Gen3' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern" Gruß PS: Ist da vielleicht beim BlueScreen was weggekommen? |
Ja das kann sein :( machen wir einfach weiter Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus. Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen. Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt. |
Hallo, hier die Ergebnisse: 1.) GMER --> Blue Screen mit Fehler wie oben mehrfach beschrieben 2.) OSAM --> siehe nal. Datei OSAM.txt 3. Bootkit remover --> siehe anl. Datei BootkitRem.txt und den Auszug aus der DOS-Box: ... PhysicalDrive 0 Unknown boot code ->"Daher der BlueScreen??" Unknown boot code has been found on some of your physical disks. To inspect the boot code manually, dump the master boot sector: remover.exe dump <device_name> [output_file] To disinfect the master boot sector, use the following command: remover.exe fix <device_name> Done. |
Sieht eigentlich beides ok aus. Die Prüfsumme kenn ich nur der Bootkit Remover noch nicht. Einen Gegencheck zur Sicherheit: Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
Hallo, hier die TXT des MBR Check als Anlage. Gruß!! |
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
Hallo, da bin ich wieder. Hat ein wenig gedauert... viel Arbeit, na kennt ihr ja. Also anliegend die Logs der beiden Scanner Malwarebytes und Superantispyware. SuperAnti musste 2x laufen, ich hatte zuerst einen Punkt vergessen anzuhaken. Sieht doch ganz gut aus, oder? Der Rechner läuft jedenfalls erkennbar stabiler und runder als vorher. Grüße vom Buettel |
Zitat:
|
Hi Arne, joh, vergessen.:headbang: Nochmal zur Sicherheit?? Gruß Buettel |
Ja bitte ;) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 08:25 Uhr. |
Copyright ©2000-2025, Trojaner-Board