Trojaner-Befall? Warnhinweise bei Systemstart (services, svchost, userinit) |
||
---|---|---|
#0
| ||
18.06.2008, 17:39
...neu hier
Beiträge: 3 |
||
|
||
18.06.2008, 17:55
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo, Demodhar
lasse zuerst alles gefundene von malwarebytes löschen. «« dann lade sdfix http://virus-protect.org/artikel/tools/sdfix.html unter C:\ findet man nun den SDFix-Ordner boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet) gehe in den Ordner C:\SDFix RunThis.bat doppelt klicken schreibe: Y folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten kopiere mit der rechten Maustaste den Text ab, der erscheint __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.06.2008, 17:59
...neu hier
Themenstarter Beiträge: 3 |
#3
Hallo Sabina,
danke - das mach ich dann nächste Woche, bis dahin komm ich an die Kiste nicht mehr dran Aber schonmal vielen Dank! |
|
|
||
19.06.2008, 00:34
Ehrenmitglied
Beiträge: 29434 |
#4
o.k ..poste dann das log.
danach kommen weitere Anweisungen (inzwischen klemme den Rechner vom Internet ab.....) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
25.06.2008, 15:09
...neu hier
Themenstarter Beiträge: 3 |
#5
Hallo,
hier das Log von SDFix: 1. Durchlauf SDFix: Version 1.196 Run by XXX on 25.06.2008 at 13:48 Microsoft Windows XP [Version 5.1.2600] Running From: C:\SDFix Checking Services : Restoring Default Security Values Restoring Default Hosts File Rebooting Checking Files : Trojan Files Found: C:\WINDOWS\SYSTEM32\GDIPLUS.DLL - Deleted Removing Temp Files ADS Check : Final Check : catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-06-25 13:59:22 Windows 5.1.2600 Service Pack 2 NTFS detected NTDLL code modification: ZwClose scanning hidden processes ... scanning hidden services & system hive ... scanning hidden registry entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Remaining Services : Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\\WINDOWS\\system32\\javaw.exe"="C:\\WINDOWS\\system32\\javaw.exe:*:Enabled:Java(TM) 2 Platform Standard Edition binary" "C:\\Programme\\NewSoft\\Presto! PageManager 6\\NetGroup.exe"="C:\\Programme\\NewSoft\\Presto! PageManager 6\\NetGroup.exe:*:Enabled:Netzwerkgruppe" "C:\\Programme\\Haufe\\iDesk\\iDeskService\\pythonw.exe"="C:\\Programme\\Haufe\\iDesk\\iDeskService\\pythonw.exe:*:Enabledythonw" "C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager" "C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager" "C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application" "C:\\Programme\\Tobit InfoCenter\\PocketSync\\PocketSync.exe"="C:\\Programme\\Tobit InfoCenter\\PocketSync\\PocketSync.exe:*:Enabled:InfoCenter Pocket Sync" "\\\\Server\\DAVID\\clients\\PocketPC\\PocketSync\\PocketSync.exe"="\\\\Server\\DAVID\\clients\\PocketPC\\PocketSync\\PocketSync.exe:*:EnabledocketSync.exe" "C:\\Dokumente und Einstellungen\\XXX\\Lokale Einstellungen\\Temp\\Tempor„res Verzeichnis 1 fr BZAEKweb.zip\\BZAEKweb.exe"="C:\\Dokumente und Einstellungen\\XXX\\Lokale Einstellungen\\Temp\\Tempor„res Verzeichnis 1 fr BZAEKweb.zip\\BZAEKweb.exe:*:Enabled:BZAEKweb" "C:\\Dokumente und Einstellungen\\XXX\\Eigene Dateien\\Bro\\intern\\Kanzleifhrung\\Strategie\\Klausurtagung\\Kanzleihandbuch\\Document85535.xls.scr"="C:\\Dokumente und Einstellungen\\XXX\\Eigene Dateien\\Bro\\intern\\Kanzleifhrung\\Strategie\\Klausurtagung\\Kanzleihandbuch\\Document85535.xls.scr:*isabledocument85535.xls" "C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes" "C:\\WINDOWS\\system32\\mmc.exe"="C:\\WINDOWS\\system32\\mmc.exe:*:Enabled:Microsoft Management Console" "C:\\WINDOWS\\system32\\drivers\\services.exe"="C:\\WINDOWS\\system32\\drivers\\services.exe:*:Enabled:sys" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager" "C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager" "C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application" Remaining Files : File Backups: - C:\SDFix\backups\backups.zip Files with Hidden Attributes : Mon 28 Jan 2008 1,404,240 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDUpdate.exe" Mon 28 Jan 2008 5,146,448 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" Mon 28 Jan 2008 2,097,488 A.SHR --- "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" Mon 4 Oct 2004 417,792 A..H. --- "C:\Programme\Canon\Canon Setup Utility 2.0\Maint.exe" Thu 27 May 2004 61,440 A..H. --- "C:\Programme\Canon\Canon Setup Utility 2.0\uinstrsc.dll" Mon 16 Jun 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\f7db876e78b88fd8276fd7d29cb7e4eb\BIT5.tmp" Mon 16 Jun 2008 107,520 ...H. --- "C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\ScanSoft\PDF Converter 5.0\Templates\~WRL1805.tmp" Tue 5 Sep 2006 19,456 A..H. --- "C:\Dokumente und Einstellungen\XXX\Eigene Dateien\Bro\XYZ\Hasco\Vertr„ge\Kdg KG\~WRL0694.tmp" Thu 7 Dec 2000 37,888 A..H. --- "C:\Dokumente und Einstellungen\XXX\Eigene Dateien\Bro\intern\Kanzleifhrung\Strategie\Aktenshuttle\CD Jaguar\JDHT\01\RUN.EXE" Thu 7 Dec 2000 37,888 A..H. --- "C:\Dokumente und Einstellungen\XXX\Eigene Dateien\Bro\intern\Kanzleifhrung\Strategie\Aktenshuttle\CD Jaguar\JDHT\02\RUN.EXE" ---------- Nachdem ich Malwarebytes nochmal hab durchlaufen lassen, waren 2 der Störenfriede ruhig (services.exe und svchost.exe) und meldeten sich nicht mehr nach Systemstart. Die "Datei öffnen - Sicherheitswarnung" bzgl der userinit.exe kommt jedoch nach wie vor. Dieser Beitrag wurde am 25.06.2008 um 15:14 Uhr von Demodhar editiert.
|
|
|
||
25.06.2008, 15:24
Ehrenmitglied
Beiträge: 29434 |
#6
Hallo,
1. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit "Speichern unter" auf dem Desktop. Gebe bei Dateityp "Alle Dateien" an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint Zitat cd\2. wende datfindbat an , poste alle logs, jeweils 3 monate (sind nach datum geordnet) http://virus-protect.org/datfindbat.html 3. Virus Removal Tool - AVPTool scanne im abgesicherten modus + poste den report (nur, was an virenwarnung kommt) http://virus-protect.org/artikel/tools/kaspersky.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
ein Kunde von uns hat sich etwas auf seinem Laptop eingefangen. Das Problem trat erstmalig auf nach Herunterladen einer Excel-Datei von einer eigentlich vertrauenswürdigen Seite. Ob das Problem tatsächlich daran liegt, kann ich nicht beurteilen
Seitdem passiert folgendes bei Systemstart:
1) ein cmd-Fenster öffnet sich für ein paar Sekunden, in der Titelleiste steht "C:\windows\system32\netsh.exe".
2) Als nächstes kommt eine "Datei öffnen - Sicherheitswarnung" bzgl der Datei "C:\windows\system32\drivers\services.exe"
3) Bestätigt man diese Meldung mit <Abbrechen> kommt die nächste Sicherheitswarnung bzgl "c:\dokumente und einstellungen\xxx\svchost.exe"
4) Dann dauert es ca 20 Sekunden in denen nichts passiert, gefolgt von einer erneuten Warnung bzgl "c:\windows\system32\drivers\services.exe"
5) Direkt nach Abbruch dieser Warnung kommt die nächste: "c:\dokumente und einstellungen\xxx\svchost.exe"
6) Letztendlich folgt dann eine Warnung bzgl der Datei "c:\dokumente und einstellungen\xxx\startmenü\programme\autostart\us erinit.exe"
7) Nach Abbruch all dieser Sicherheits-Warnungen kann man mit dem System normal arbeiten.
All diese angesprochenen Dateien haben im Explorer als Symbol ein abgewandeltes Excel-Icon.
Meiner Kenntnis nach hat die services.exe nix im system32\drivers-Verzeichnis verloren (sondern eine Ebene höher), genauso wenig wie die userinit.exe im Autostart oder die svchost.exe unter Dokumente und Einstellungen.
Das Löschen dieser Dateien im abgesicherten Modus ist möglich, jedoch sind sie spätestens nach dem nächsten Systemstart wieder da und es geht wieder bei Punkt 1) los.
Symantec Client Security Version 10 mit aktuellem Patch-Stand und Virendefinitionsdateien findet rein gar nichts.
Im folgenden die Logfiles von HiJackThis und Silent-Runners:
1.) Hijackthis-Logfile
Code
2.) Silent-Runners-LogfileCode
So, hier gibt's noch das Logfile von MalwareBytes Anti-Malware.Der Scan dauerte 1h 38m, während des Scans meldete die Fehlerberichterstattung dass "services.exe" ein Problem festgestellt hat und beendet werden musste.
Code
Mir ist klar dass die letzte Option ein Neuaufsetzen des Systems wäre - das würde ich jedoch gerne um jeden Preis verhindern, sofern möglich. Über eine Lösung des Problems -sofern möglich- wäre ich daher extrem erfreut!Ich hoffe das lässt sich noch retten.
Vielen Dank im Vorraus!
Demo