Bitte um Hilfe habe mir den GUV 2.07 Trojaner eingefangen.

[Petra]

===== Punkt 2 =====

MBR mit aswMBR von Avast prüfen

Wichtig:
Deinstalliere über Systemsteuerung => Software/Programme vorhandene CD-Emulatoren wie Alcohol, Daemon-Tools oder ähnliche, da sie das Ergebnis verfälschen können.

Lade (falls noch nicht vorhanden) aswMBR.exe von Avast herunter und speichere das Tool auf deinem Desktop (nicht woanders hin).
XP Benutzer: Doppelklick auf die aswMBR.exe, um das Tool zu starten.
Vista und Windows 7 Benutzer: Rechtsklick auf die aswMBR.exe und Als Administrator starten wählen.
Es wird sich ein Eingabe-Fenster mit einigen Angaben öffnen.

Es werden die aktuellen Signaturen von Avast heruntergeladen.
Stelle unten links im Kästchen AV-Scan auf Quickscan ein.
Haken lassen bei Trace disk IO calls.

Alle anderen Programme schließen.
Während des Scans nichts mehr am Computer machen.

Klicke Scan, um den Suchlauf zu starten.

Wenn der Scan beendet ist, was mit Scan finished sucessfull! gemeldet wird, klicke Save log, um das Logfile zu speichern.
Poste mir den Inhalt von aswASW.txt vom Desktop hier in den Thread.

Bitte zunächst keine Änderungen vornehmen, also weder Fix noch FixMBR drücken.

Falls es sich um einen Laptop oder einen Computer mit vorinstalliertem Windows handelt, schreibe mir bitte genau den Typ auf. Bei Laptops mit vorinstalliertem Windows sollte auf keinen Fall der MBR mit diesem Tool gefixt werden, da dadurch unter Umständen nicht mehr auf die Recovery-Partition zugegriffen werden kann.

Wichtiger Hinweis: Auf keinen Fall MBRFix durchführen, wenn Du:

1. einen Laptop mit einer Recovery-Partition hast (diese kann danach nicht mehr angewählt werden).
2. noch andere Betriebssysteme, wie z. B. Linux installiert hast (Linux kann dann nicht mehr gebootet werden).
3. mit einem Verschlüsselungsprogrammen eine Vollverschlüsselung der Windowspartition bzw. gesamten Festplatte durchgeführt hast (Daten werden unlesbar).

Info: Was ist eigentlich ein MBR?

[markreusse]

Hallo Petra hier nun das logfile oder codetags. keine ahnung was ich hier mache, grins. hoffe es ist richtig.

Code:

GMER 1.0.15.15641 - http://www.gmer.net
Rootkit scan 2012-07-31 17:21:54
Windows 6.0.6002 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0 WDC_WD25 rev.01.0
Running: wdfbml0j.exe; Driver: C:\Users\MARKRE~1\AppData\Local\Temp\fwliipog.sys


---- System - GMER 1.0.15 ----

SSDT            C473923E                                                                                                                                ZwCreateSection
SSDT            C4739248                                                                                                                                ZwRequestWaitReplyPort
SSDT            C4739243                                                                                                                                ZwSetContextThread
SSDT            C473924D                                                                                                                                ZwSetSecurityObject
SSDT            C4739252                                                                                                                                ZwSystemDebugControl
SSDT            C47391DF                                                                                                                                ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!KeSetEvent + 215                                                                                                           824F28D8 4 Bytes  [3E, 92, 73, C4]
.text           ntkrnlpa.exe!KeSetEvent + 539                                                                                                           824F2BFC 4 Bytes  [48, 92, 73, C4] {DEC EAX; XCHG EDX, EAX; JAE 0xffffffffffffffc8}
.text           ntkrnlpa.exe!KeSetEvent + 56D                                                                                                           824F2C30 4 Bytes  [43, 92, 73, C4] {INC EBX; XCHG EDX, EAX; JAE 0xffffffffffffffc8}
.text           ntkrnlpa.exe!KeSetEvent + 5D1                                                                                                           824F2C94 4 Bytes  [4D, 92, 73, C4] {DEC EBP; XCHG EDX, EAX; JAE 0xffffffffffffffc8}
.text           ntkrnlpa.exe!KeSetEvent + 619                                                                                                           824F2CDC 4 Bytes  [52, 92, 73, C4] {PUSH EDX; XCHG EDX, EAX; JAE 0xffffffffffffffc8}
.text           ...                                                                                                                                     

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0                                                                                                 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice  \Driver\kbdclass \Device\KeyboardClass1                                                                                                 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice  \FileSystem\fastfat \Fat                                                                                                                fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)
AttachedDevice  \FileSystem\fastfat \Fat                                                                                                                fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Control\Session Manager@PendingFileRenameOperations                                                       ???rt????? ??p??????p???Miniporttreiber f?r erweiterten Microsoft USB 2.0-Hostcontroller?U??system32\DRIVERS\usbehci.sys?usbehci.sys????????????????????????????????????t????????????????????r?r?r?r?r?r?r?????????????g????system32\DRIVERS\usbhub.sys?\usbhub.sys?????????????????????????????????????t????????????????????r?r?r?r?r?r?r?????????????g??????|??r?????????e?????? ??L??????p?????:??r????????h????????????r?&??Microsoft????????r??????La?????r?????r??wsdprint.inf:Microsoft.NTx86...1:WSDPrint_Device:6.0.6002.18005:umb\http://schemas.microsoft.com/windows/2006/08/wdp/print/printerservicetype????????????????h?????q#????r???r??? ???r???5??????nA??6.0.6002.18005?FD ??@wsdprint.inf,%wsdprintdevice.devicedesc%;WSD-Druckger?t????? ?????????????r??????????????????(?&????????????????????1???????r???C?????????????r?????????r??????s???USB2-aktivierter Hub?dhubtreiber?????? ??L??????p?????8??r????????h?????Miniporttreiber f?r universellen Microsoft USB-Hostcontroller???system32\DRIVERS\usbuhci.sys?usbuhci.sys???????????
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\C6B56403F35B1A94E9AB3A1F78DA05E2\Usage@SoleFeature  1090471200

---- Files - GMER 1.0.15 ----

File            C:\Windows\$NtUninstallKB47909$\1031484148                                                                                              0 bytes
File            C:\Windows\$NtUninstallKB47909$\1903610451                                                                                              0 bytes
File            C:\Windows\$NtUninstallKB47909$\1903610451\@                                                                                            2048 bytes
File            C:\Windows\$NtUninstallKB47909$\1903610451\cfg.ini                                                                                      46 bytes
File            C:\Windows\$NtUninstallKB47909$\1903610451\Desktop.ini                                                                                  4608 bytes
File            C:\Windows\$NtUninstallKB47909$\1903610451\L                                                                                            0 bytes
File            C:\Windows\$NtUninstallKB47909$\1903610451\L\qnbwvoto                                                                                   67072 bytes
File            C:\Windows\$NtUninstallKB47909$\1903610451\U                                                                                            0 bytes

---- EOF - GMER 1.0.15 ----

[markreusse]

Hallo Petra,

ich habe mal eine frage warum immer auf den desktop abspeichern?????
punkt 2 mache ich noch

[markreusse]

Hallo Petra,

ich habe einen dell vostro 1510 und das ist meine ich windows vorinstalliert aber bin ich mir nicht sicher. kann ich das irgendwo im system rausfinden?
Habe windows vista 2007 drauf mit servicepack 2 und 32 bit betriebssystem

[markreusse]

Hallo Petra,

hier der scan vom schritt 2

aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-07-31 17:38:10
-----------------------------
17:38:10.771 OS Version: Windows 6.0.6002 Service Pack 2
17:38:10.771 Number of processors: 2 586 0xF0D
17:38:10.771 ComputerName: MARKSLAPTOP UserName: mark reusse
17:38:13.407 Initialize success
17:44:44.180 AVAST engine defs: 12073101
17:45:36.112 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0
17:45:36.112 Disk 0 Vendor: WDC_WD25 01.0 Size: 238475MB BusType: 3
17:45:36.611 Disk 0 MBR read successfully
17:45:36.611 Disk 0 MBR scan
17:45:36.627 Disk 0 Windows VISTA default MBR code
17:45:36.799 Disk 0 Partition 1 00 DE Dell Utility Dell 8.0 109 MB offset 63
17:45:36.970 Disk 0 Partition 2 00 07 HPFS/NTFS NTFS 10240 MB offset 225280
17:45:37.157 Disk 0 Partition 3 80 (A) 07 HPFS/NTFS NTFS 218123 MB offset 21196800
17:45:37.173 Disk 0 Partition - 00 0F Extended LBA 10000 MB offset 467914752
17:45:37.438 Disk 0 Partition 4 00 07 HPFS/NTFS NTFS 9999 MB offset 467916800
17:45:38.140 Disk 0 scanning sectors +488394752
17:45:39.232 Disk 0 scanning C:\Windows\system32\drivers
17:48:30.861 Service scanning
17:49:09.443 Modules scanning
17:51:53.976 Disk 0 trace - called modules:
17:51:54.117 ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll iastor.sys
17:51:54.117 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8686eac8]
17:51:54.132 3 CLASSPNP.SYS[8ab9e8b3] -> nt!IofCallDriver -> [0x85d29350]
17:51:54.148 5 acpi.sys[806a06bc] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-0[0x85d3b030]
17:51:56.051 AVAST engine scan C:\Windows
17:53:04.676 AVAST engine scan C:\Windows\system32
18:17:58.064 AVAST engine scan C:\Windows\system32\drivers
18:18:39.092 AVAST engine scan C:\Users\mark reusse
18:48:27.008 AVAST engine scan C:\ProgramData
18:58:12.148 Scan finished successfully
20:22:17.828 Disk 0 MBR has been saved successfully to "C:\Users\mark reusse\Desktop\MBR.dat"
20:22:17.843 The log file has been saved successfully to "C:\Users\mark reusse\Desktop\aswMBR.txt"


hoffe das hilft.

gruss mark

[Petra]

Hallo markreusse,

ich habe mal eine frage warum immer auf den desktop abspeichern?????

das geben die Programmierer der Tools so vor - vermutlich, weil man sie dort am einfachsten wiederfinden kann

Gmer zeigt schon, was los ist:

Leider habe ich schlechte Nachrichten für Dich. Du hast es mit einer ernstzunehmenden ZeroAccess-Infektion zu tun. Diese Infektion versteckt sich über einen Rootkit und einen manipulierten Treiber, den ein Antivirus-Programm nicht löschen kann. Das Tool hat nur die Dateien "drumherum" löschen können. Diese Infektionsart setzt Anti-Virus-Programme außer Kraft und erlaubt dem Angreifer die volle Kontrolle über Dein System zu übernehmen. Es werden Systemdateien so manipuliert, dass auch nach Entfernung des Rootkits die Infektion erneut aktiviert wird, sobald die entsprechende Systemdatei genutzt wird.

Eine Bereinigung ist zwar möglich, aber sehr schwierig und langwierig. Ich würde auf jeden Fall eine Neuinstallation Deines Systems empfehlen und alle Deine Passwort-Daten schnellstmöglich von einem weiteren, virenfreien System aus ändern!

Eine ausführliche Anleitung zum Neuaufsetzen von Windows Vistsa findest Du hier. Dort wird auch erklärt, wie Du am besten bzgl. der Sicherung Deiner Daten vorgehst.

Sebastian Lienau hat im Avira-Forum in einem prima Beitrag mal etwas ausführlicher erklärt, wie es trotz aktuellem Antivirus-Programm und Vorsicht zu solchen Infektionen kommen kann => hier klicken.

[markreusse]

HAllo Petra,

das hört sich ja nicht gut an.
also sollte ich erstmal an einem anderen rechner meine passwörter ändern, aber hat er dann nicht doch zugriff auf meine passwörter wenn ich meinen rechner neu starte?
ich sollte auch meinen computer platt machen und windows komplett neuinstallieren, also einmal format c sozusagen.

Kann man nur auf meinen laptop zu greifen wenn er an ist oder auch wenn ich in aus habe bzw. im standby?

Was mich auch noch interresiert ist woran hast du dies erkannt?

Habe was von bitdefender gefunden ein removaltool, ist dies empfehlenswert????

Und welche programme würdest du mir zur sicherheit für meinen laptop empfehlen. Ihr habt ja genug empfehlungen nur welche sind dort wirklich gut?

Gruß mark

p.s. nochmal vielen Dank für deine mühen.

[Petra]

Hallo markreusse,

also sollte ich erstmal an einem anderen rechner meine passwörter ändern, aber hat er dann nicht doch zugriff auf meine passwörter wenn ich meinen rechner neu starte?

richtig, von einem anderen Rechner ändern. Und von dem verseuchten aus dort nicht mehr einloggen, sondern den neu aufsetzen

ch sollte auch meinen computer platt machen und windows komplett neuinstallieren, also einmal format c sozusagen.

ganz genau!

Was mich auch noch interresiert ist woran hast du dies erkannt?

Gmer zeigt es hier:

---- Files - GMER 1.0.15 ----

File C:\Windows\$NtUninstallKB47909$\1031484148 0 bytes
File C:\Windows\$NtUninstallKB47909$\1903610451 0 bytes
File C:\Windows\$NtUninstallKB47909$\1903610451\@ 2048 bytes
File C:\Windows\$NtUninstallKB47909$\1903610451\cfg.ini 46 bytes
File C:\Windows\$NtUninstallKB47909$\1903610451\Desktop.ini 4608 bytes
File C:\Windows\$NtUninstallKB47909$\1903610451\L 0 bytes
File C:\Windows\$NtUninstallKB47909$\1903610451\L\qnbwvoto 67072 bytes
File C:\Windows\$NtUninstallKB47909$\1903610451\U 0 bytes

---- EOF - GMER 1.0.15 ----

Und mache Dir keine Hoffnung, das Löschen dieser Dateien bringt nichts. Klicke mal auf den Link, den ich oben eingefügt habe (den Artikel von Sebastian Lienau).

Habe was von bitdefender gefunden ein removaltool, ist dies empfehlenswert????

kann ich nichts zu sagen, ich kenne es nicht im Einsatz.

Und welche programme würdest du mir zur sicherheit für meinen laptop empfehlen. Ihr habt ja genug empfehlungen nur welche sind dort wirklich gut?

Avira ist schon ok. Viel wichtiger ist es Windows, Java, Browser usw. topaktuell zu halten und im Browser z. B. mit NoScript die Ausführung von Skripten zu verbieten und nur auf vertrauenswürdigen Seiten erlauben.


Viele Hinweise findest Du in unseren Blogeinträgen zur Absicherung:

Lesenswerte Blogeinträge zum Thema Absicherung

Wie mache ich mein Windows sicher?
Wie kann ich mein System in Zukunft von Malware frei halten?
Wie kann ich prüfen, ob meine Software aktuell ist?
Datensicherung
Browser- und Plugincheck
DNS manipuliert?

[markreusse]

Guten Morgen Petra,

nochmal vielen Dank für deine Arbeit.

Ich habe noch eine frage zu meinen Dateien auf meinen Infiziertem Rechner. Kann ich meine privaten Dateien einfach auf einer externen Festplatte sichern oder sind diese auch infiziert. denn dann würde ja eine sicherung keinen Sinn machen, wenn ich sie dann wieder neu aufspiele?
und auf was können die denn eigentlich alles zugreifen? Wenn er an ist wenn er aus ist etc.

Gruß
Mark

[markreusse]

Hallo Petra,

in deinem BEitrag hast du auch ws von manipulierten Treibern erzählt. Jetzt geht mir auchein licht auf denn seit einiger Zeit habe ich Probleme mit meine CD Laufwerk. der will ständig einen neuen treiber installieren etc.

Kann sich dieser Virus oder was es auch ist. in meinem wlan router einnisten???