Seite 2 von 2 ErsteErste 12
Ergebnis 11 bis 18 von 18
  1. #11
    Gesperrt
    Registriert seit
    11.03.2012
    Beiträge
    10.169
    Das Lösch-Log nach dem Fixen kann ich mir jetzt, glaube ich, sparen,
    Nicht wirklich, denn das Skript war fuer OTL gedacht, nicht fuer OTLPE. Dafuer brauchst du ein anderes Skript.

    "Rechner" und "glaube ich" haben genauso viel gemeinsam wie "Kuehe" und "Tiefseetauchen".

    Hast Du DEN ultimativen Sicherheitstipp für die Zukunft?
    Fuer Leute wie dich? Klar! Lies hier den dritten Kasten.

    1.) Systemscan mit OTL

    Erstelle bitte OTL-Logfiles nach dieser Anleitung. Die Analyse der Logfiles wird uns zeigen, welche Reste noch entfernt werden müssen und welche Lücken ggfs. noch vorhanden sind. Bitte in alle Kategorien "Benutze Safelist" anhaken und oben "Scanne alle Benutzer".

    Füge die beiden Logfiles OTL.txt und Extras.txt als Anhang ein, indem Du unterhalb des Textfeldes auf Erweitert klickst und die Logdateien einzeln über Anhänge verwalten hochlädst.

    2.) Bereinigung mit Malwarebytes' Anti-Malware (Komplett-Scan)

    Mache bitte mit Malwarebytes' Anti-Malware einen Komplett-Scan nach dieser Anleitung und poste das Logfile hier in den Thread.

    ciao, andreas

  2. #12
    Einsteiger
    Registriert seit
    07.04.2012
    Beiträge
    9
    Da war ich wohl ein bisschen voreilig mit der Verabschiedung...

    Angehängt die OTL-Logs und hier der Malwarecheck (14 Findings )

    Malwarebytes Anti-Malware 1.61.0.1400
    www.malwarebytes.org

    Datenbank Version: v2012.04.04.08

    Windows XP Service Pack 3 x86 FAT32
    Internet Explorer 8.0.6001.18702
    Ernie :: NAME-0T2AW2B6E8 [Administrator]

    17.04.2012 19:43:41
    mbam-log-2012-04-17 (21-16-47).txt

    Art des Suchlaufs: Vollständiger Suchlauf
    Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
    Deaktivierte Suchlaufeinstellungen: P2P
    Durchsuchte Objekte: 284056
    Laufzeit: 1 Stunde(n), 29 Minute(n), 58 Sekunde(n)

    Infizierte Speicherprozesse: 2
    C:\Dokumente und Einstellungen\Ernie\Anwendungsdaten\ipjmqdog.exe (Trojan.LockScreen) -> 1724 -> Keine Aktion durchgeführt.
    C:\Dokumente und Einstellungen\Ernie\Anwendungsdaten\ipjmqdog.exe (Trojan.LockScreen) -> 2068 -> Keine Aktion durchgeführt.

    Infizierte Speichermodule: 0
    (Keine bösartigen Objekte gefunden)

    Infizierte Registrierungsschlüssel: 6
    HKCR\CLSID\{C689C99E-3A8C-4c87-A79C-C80DC9C81632} (Trojan.Banker) -> Keine Aktion durchgeführt.
    HKCR\linkrdr.AIEbho.1 (Trojan.Banker) -> Keine Aktion durchgeführt.
    HKCR\linkrdr.AIEbho (Trojan.Banker) -> Keine Aktion durchgeführt.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C689C99E-3A8C-4C87-A79C-C80DC9C81632} (Trojan.Banker) -> Keine Aktion durchgeführt.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\prh (Trojan.Banker) -> Keine Aktion durchgeführt.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\tst (Trojan.Banker) -> Keine Aktion durchgeführt.

    Infizierte Registrierungswerte: 2
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|PC Health Status (Trojan.LockScreen) -> Daten: C:\Dokumente und Einstellungen\Ernie\Anwendungsdaten\ipjmqdog.exe -> Keine Aktion durchgeführt.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|PC Health Status (Trojan.LockScreen) -> Daten: C:\Dokumente und Einstellungen\Ernie\Anwendungsdaten\ipjmqdog.exe -> Keine Aktion durchgeführt.

    Infizierte Dateiobjekte der Registrierung: 0
    (Keine bösartigen Objekte gefunden)

    Infizierte Verzeichnisse: 1
    C:\WINDOWS\system32\xmldm (Stolen.Data) -> Keine Aktion durchgeführt.

    Infizierte Dateien: 3
    C:\WINDOWS\system32\AcroIEHelpe.txt (Malware.Trace) -> Keine Aktion durchgeführt.
    C:\Dokumente und Einstellungen\Ernie\Anwendungsdaten\ipjmqdog.exe (Trojan.LockScreen) -> Keine Aktion durchgeführt.
    C:\WINDOWS\system32\xmldm\iexplore.exe_UAs004.dat (Stolen.Data) -> Keine Aktion durchgeführt.

    (Ende)

    Ciao,

    Ricky
    Angehängte Dateien Angehängte Dateien

  3. #13
    Gesperrt
    Registriert seit
    11.03.2012
    Beiträge
    10.169
    Da war ich wohl ein bisschen voreilig mit der Verabschiedung...
    Wir werden gleich sehen...
    14 Findings
    Naja, der Rechner ist doch entsperrt, wird schon wieder aller in Ordnung sein. Oder etwa doch nicht? Ich werde dir zeigen, worauf du achten solltest.
    HKCR\CLSID\{C689C99E-3A8C-4c87-A79C-C80DC9C81632} (Trojan.Banker) -> Keine Aktion durchgeführt.
    HKCR\linkrdr.AIEbho.1 (Trojan.Banker) -> Keine Aktion durchgeführt.
    HKCR\linkrdr.AIEbho (Trojan.Banker) -> Keine Aktion durchgeführt.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C689C99E-3A8C-4C87-A79C-C80DC9C81632} (Trojan.Banker) -> Keine Aktion durchgeführt.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\prh (Trojan.Banker) -> Keine Aktion durchgeführt.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\tst (Trojan.Banker) -> Keine Aktion durchgeführt.
    C:\WINDOWS\system32\xmldm (Stolen.Data) -> Keine Aktion durchgeführt.
    C:\WINDOWS\system32\xmldm\iexplore.exe_UAs004.dat (Stolen.Data) -> Keine Aktion durchgeführt.
    Alle Kennwoerter aendern, aber nicht von der verseuchten Kiste. Falls Onlinebanking mit dem Rechner durchgefuehrt wurde, Bank informieren und zeitweise Zugang sperren lassen.

    Aber ich bin ziemlich sicher, dass es noch dicker kommen wird.

    Rootkit-Suche mit Gmer

    Wichtig:
    • Alle Programme gegen Viren, Spyware, usw. müssen während des Scans deaktiviert sein.
    • Alle anderen Programme sollen geschlossen sein.
    • Während des Scans nichts am Rechner machen.
    • Nach jedem Scan der Rechner neu gestartet werden.
    • Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

    Lade Dir Gmer von dieser Seite herunter
    (auf den Button Download EXE drücken) und speichere das Programm auf dem USB-Stick.

    Kopiere die gmer.exe (bekommt bei jedem Download einen neuen Namen, also den Namen merken) nach C:\
    Starte wieder die explorer.exe und dann Gmer per Doppelklick.

    • Gmer ist geeignet für => NT/W2K/XP/VISTA/7 (nur 32Bit).
    • Starte gmer.exe (hat einen willkürlichen Programm-Namen).
    • Vista-User mit Rechtsklick und als Administrator starten.


    • Gmer startet automatisch einen ersten Scan.
    • Sollte sich ein Fenster mit folgender Warnung öffnen:

      Code:
      WARNING !!!
      GMER has found system modification, which might have been caused by ROOTKIT activity.
      Do you want to fully scan your system?
    • Unbedingt auf "No" klicken und nichts löschen!
      Über den Save-Button das bisherige Resultat als gmer.txt auf dem Desktop speichern.

    • Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
    • Entferne den Haken bei:
      • IAT/EAT
      • Show all
      • zusätzlichen Laufwerken, also nur die Bootpartition (meistens C:\) anhaken.

    • Starte den Scan durch Drücken des Buttons "Scan".
    • Wenn der Scan fertig ist klicke auf "Save" und speichere den Bericht gmer1.txt auf dem Desktop.
      Mit "Ok" wird Gmer beendet.
    • Oder füge das Log aus der Zwischenablage direkt in Deine Antwort hier ein (mit STRG + V).

    Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

    Nun das Logfile posten.

    ciao, andreas

  4. #14
    Einsteiger
    Registriert seit
    07.04.2012
    Beiträge
    9
    Hast Recht, da liegt wohl doch noch einiges im Argen...

    Der Scan hat gut 2 1/2 Stunden gedauert; dann mit der Meldung geendet "Gmer FOUND system modification caused by ROOTKIT activity"...

    Hier das Log:

    GMER 1.0.15.15641 - http://www.gmer.net
    Rootkit scan 2012-04-20 09:40:20
    Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 ST9160827AS rev.3.AAA
    Running: b2fzgg6d.exe; Driver: C:\DOKUME~1\Ernie\LOKALE~1\Temp\kwwdruod.sys


    ---- System - GMER 1.0.15 ----

    SSDT F7BF2C2C ZwClose
    SSDT F7BF2BE6 ZwCreateKey
    SSDT F7BF2C36 ZwCreateSection
    SSDT F7BF2BDC ZwCreateThread
    SSDT F7BF2BEB ZwDeleteKey
    SSDT F7BF2BF5 ZwDeleteValueKey
    SSDT F7BF2C27 ZwDuplicateObject
    SSDT F7BF2BFA ZwLoadKey
    SSDT F7BF2BC8 ZwOpenProcess
    SSDT F7BF2BCD ZwOpenThread
    SSDT F7BF2C4F ZwQueryValueKey
    SSDT F7BF2C04 ZwReplaceKey
    SSDT F7BF2C40 ZwRequestWaitReplyPort
    SSDT F7BF2BFF ZwRestoreKey
    SSDT F7BF2C3B ZwSetContextThread
    SSDT F7BF2C45 ZwSetSecurityObject
    SSDT F7BF2BF0 ZwSetValueKey
    SSDT F7BF2C4A ZwSystemDebugControl
    SSDT F7BF2BD7 ZwTerminateProcess

    ---- Kernel code sections - GMER 1.0.15 ----

    .text mrxsmb.sys!?AddFilePathA@@IJG_NKN@X AA011000 21 Bytes JMP AA011C0D \SystemRoot\system32\DRIVERS\mrxsmb.sys (Windows NT SMB Minirdr/Microsoft Corporation)
    .text mrxsmb.sys!?AddFilePathA@@IJG_NKN@X AA011016 55 Bytes [02, AA, F6, C1, 01, 0F, 85, ...]
    .text mrxsmb.sys!?AddFilePathA@@IJG_NKN@X AA01104F 73 Bytes [68, F0, CB, 02, AA, 56, E8, ...]
    .text mrxsmb.sys!?AddFilePathA@@IJG_NKN@X AA011099 161 Bytes [90, 64, 3A, 5C, 6E, 74, 5C, ...]
    .text mrxsmb.sys!?AddFilePathA@@IJG_NKN@X AA01113B 6 Bytes [00, EB, EA, 80, BF, CE]
    .text ...
    ? C:\WINDOWS\system32\DRIVERS\mrxsmb.sys suspicious PE modification

    ---- Devices - GMER 1.0.15 ----

    AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
    AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

    ---- Modules - GMER 1.0.15 ----

    Module (noname) (*** hidden *** ) AA080000-AA094000 (81920 bytes)

    ---- Processes - GMER 1.0.15 ----

    Process C:\WINDOWS\System32\ping.exe (*** hidden *** ) 3956

    ---- Files - GMER 1.0.15 ----

    File C:\WINDOWS\$NtUninstallKB65302$\2286401856 0 bytes
    File C:\WINDOWS\$NtUninstallKB65302$\2456710520 0 bytes
    File C:\WINDOWS\$NtUninstallKB65302$\2456710520\@ 2048 bytes
    File C:\WINDOWS\$NtUninstallKB65302$\2456710520\cfg.ini 279 bytes
    File C:\WINDOWS\$NtUninstallKB65302$\2456710520\Desktop.ini 4608 bytes
    File C:\WINDOWS\$NtUninstallKB65302$\2456710520\L 0 bytes
    File C:\WINDOWS\$NtUninstallKB65302$\2456710520\L\sunmmcfi 456320 bytes
    File C:\WINDOWS\$NtUninstallKB65302$\2456710520\U 0 bytes
    File C:\WINDOWS\$NtUninstallKB65302$\2456710520\U\00000001.@ 2048 bytes
    File C:\WINDOWS\$NtUninstallKB65302$\2456710520\U\00000002.@ 224768 bytes
    File C:\WINDOWS\$NtUninstallKB65302$\2456710520\U\00000004.@ 1024 bytes
    File C:\WINDOWS\$NtUninstallKB65302$\2456710520\U\80000000.@ 66560 bytes
    File C:\WINDOWS\$NtUninstallKB65302$\2456710520\U\80000004.@ 1024 bytes
    File C:\WINDOWS\$NtUninstallKB65302$\2456710520\U\80000032.@ 115712 bytes
    File C:\WINDOWS\$NtUninstallKB65302$\2456710520\version 866 bytes

    ---- EOF - GMER 1.0.15 ----


    Grüße,

    Ralph.

  5. #15
    Gesperrt
    Registriert seit
    11.03.2012
    Beiträge
    10.169
    Moin Ralph,

    da liegt wohl doch noch einiges im Argen...
    Vermutlich weitaus mehr als du glaubst. Du hast jetzt zwei Moeglichkeiten (eigentlich nur eine!):

    1.) Scan mit AntiZeroAcces.exe

    Info: Das Tool kann ggfs. das Rootkit selbst entfernen, aber nicht die Modifikationen in Access Control Lists (ACLs) wiederherstellen! Hat also hier mehr informellen Charakter.

    Lade AntiZeroAccess.exe herunter und speichere das Tool auf dem Desktop.

    Nur für 32Bit-Systeme geeignet!
    XP User: Doppelklick auf die antizeroaccess.exe, um das Programm zu starten.
    Vista and Windows 7 User: Rechtsklick auf das Icon und als Administrator ausführen wählen.

    Es öffnet sich eine Eingabeaufforderung.
    Tippe Y und Enter um den Scan zu starten.

    Warte, bis der Scan durchgelaufen ist.
    Folge den Instruktionen.
    Wenn "Press any key to exit" kommt, drücke irgendeine Taste.
    Wenn ein Neustart verlangt wird, lasse diesen zu.

    Poste das Logfile (AntiZeroAccess_Log.txt), welches das Tool erstellt, hier in den Thread.

    2.) Leider habe ich schlechte Nachrichten für Dich. Neben dem Gema-Trojaner hast Du es mit einer ernstzunehmenden ZeroAccess-Infektion zu tun. Diese Infektion versteckt sich über einen Rootkit. Diese Infektionsart setzt Anti-Virus-Programme außer Kraft und erlaubt dem Angreifer die volle Kontrolle über Dein System zu übernehmen. Es werden Systemdateien so manipuliert, dass auch nach Entfernung des Rootkits die Infektion erneut aktiviert wird, sobald die entsprechende Systemdatei genutzt wird.

    Bitte auf jeden Fall eine Neuinstallation Deines Systems durchführen und alle Deine Passwort-Daten schnellstmöglich von einem weiteren, virenfreien System aus ändern!

    Eine ausführliche Anleitung zum Neuaufsetzen von Windows XP findest Du hier. Dort wird auch erklärt, wie Du am besten bzgl. der Sicherung Deiner Daten vorgehst.

    ciao, andreas

  6. #16
    Einsteiger
    Registriert seit
    07.04.2012
    Beiträge
    9
    Hallo Andreas,

    so eine Sch...!
    So gesehen muß ich dem GEMA-Trojaner eigentlich für den Totalabsturz dankbar sein; wer weiß, wie lange ich den sonstigen Mist schon mit mir 'rumgeschleppt habe...

    Mittlerweile hat sich auch Avira mehrmals mit "Sirefef"-Findings gemeldet, das passt ja ziemlich gut zu der Beschreibung in dem Rootkit-Link, den Du mir geschickt hast. War zum Glück seit der Wiederherstellung mit der verseuchten Kiste nicht mehr online; werde mich dann wohl in der nächsten Woche an die Totaloperation machen...

    Muß nur gucken, wo ich die Basissoftware (XP) herbekomme; der Rechner war damals vorinstalliert ohne Begleitdatenträger...

    Mache vorher noch den Antizeroaccess und poste das Log (kann ein paar Tage dauern); wollte mich nur kurz zwischendurch gemeldet haben.

    Vielen Dank soweit,

    Ricky

  7. #17
    Gesperrt
    Registriert seit
    11.03.2012
    Beiträge
    10.169
    Muß nur gucken, wo ich die Basissoftware (XP) herbekomme; der Rechner war damals vorinstalliert ohne Begleitdatenträger...
    Solltest du jemand kennen, der die gleiche Version hat (Home, Professional, ...), dann reicht eigentlich dein Key.

    Hier gibt es ein Tutorial.

    ciao, andreas

  8. #18

Ähnliche Themen

  1. Antworten: 40
    Letzter Beitrag: 25.11.2012, 03:02
  2. Trojaner Hat Pc gesperrt!! Pc lässt mich im Abges.modus Nicht rein !geht aus
    Von Sunshinebaby2008 im Forum Unvollständig / Fehlendes Feedback
    Antworten: 2
    Letzter Beitrag: 16.04.2012, 15:36
  3. GEMA-GVU-Trojaner kann abgesicherter Modus nicht starten
    Von Fritzle im Forum Gelöst / Rechner bereinigt
    Antworten: 9
    Letzter Beitrag: 09.04.2012, 22:37
  4. Gema Virus Abgesicherter Modus geht nicht
    Von Mooke im Forum Gelöst / Rechner bereinigt
    Antworten: 3
    Letzter Beitrag: 25.03.2012, 21:05
  5. Gema VIRUS- abgesicherter Modus nicht möglich
    Von wandererhans im Forum Unvollständig / Fehlendes Feedback
    Antworten: 6
    Letzter Beitrag: 06.03.2012, 11:48

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
G Data
forum.botfrei.de wird überprüft von der Initiative-S