RKIT/Agent.oxr <-- was tun

#0
23.08.2009, 18:05
Member

Themenstarter

Beiträge: 126
#16 So im abgesicherten Modus lief Malwarebytes. Hier der Log:
Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2551
Windows 5.1.2600 Service Pack 2 (Safe Mode)

23.08.2009 17:58:14
mbam-log-2009-08-23 (17-58-06).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 301902
Laufzeit: 1 hour(s), 6 minute(s), 41 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
\\?\globalroot\systemroot\system32\UACcfuwnnehwm.dll (Rogue.Agent) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\UAC (Rootkit.Trace) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
\\?\globalroot\systemroot\system32\UACcfuwnnehwm.dll (Rogue.Agent) -> No action taken.
C:\System Volume Information\_restore{B0291703-6AD9-4EA7-BF41-1B846936A384}\RP38\A0040166.exe (Trojan.Banker) -> No action taken.
C:\WINDOWS\system32\uacinit.dll (Trojan.Agent) -> No action taken.
Seitenanfang Seitenende
23.08.2009, 18:16
Moderator

Beiträge: 5694
#17 Nun nochmals im Normalmodus versuchen.
Jetzt sollte auch Combofix gehen. Du musst halt Avira kurzzeitig beenden.

Gruss Swiss
Seitenanfang Seitenende
23.08.2009, 18:17
Member

Beiträge: 3716
#18 hast du die Funde löschen lassen?
Wenn ja, update MalwareBytes im normalen Modus, schließe alle laufenden Programme, trenne am besten die Internetverbindung, in dem du das Netzwerkkabel ziehst oder das WLAN abschaltest, starte nun einen Full scan, mache nichts am PC, am Ende lösche die Funde und poste das log.
Danach führe Radix aus, auf dem Tab Scan alles aktivieren, wieder alle Programme aus, Internetverbindung trennen wie beschrieben, nichts am pc machen. Das Log wird wahrscheinlich zu groß sein, sodas du es hier anhängen musst.
Seitenanfang Seitenende
23.08.2009, 19:22
Member

Themenstarter

Beiträge: 126
#19 Malwarebytes funktioniert wieder. Lasse es gerade drüber laufen.
Danach lasse ich ComboFix nochmal drüber laufen.
Schonmal danke das ihr mir bis hierher so gut geholfen habt.
Seitenanfang Seitenende
23.08.2009, 19:43
Member

Beiträge: 3716
#20 Bitte lies das, was ich zum trennen der Verbindung und dem Abschalten der Programme geschrieben hab, es ist dann wesendlich leichter, malware zu entfernen.
Seitenanfang Seitenende
23.08.2009, 22:09
Member

Themenstarter

Beiträge: 126
#21 Entweder bin ich zu blöd oder es geht einfach nicht. Antivir läßt sich einfach nicht beenden. Wenn ich alle Prozesse von Antivir per Taskmanager schliesse, schlägt ComboFix immer noch Alarm es sei immer noch aktiviert. Prompt macht der PC dann den Abflug und startet neu.
Habe aus Versehen bei Malwarebytes einen Quickscan gemacht. Trotzdem hier das Log:
Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2683
Windows 5.1.2600 Service Pack 2

23.08.2009 21:44:54
mbam-log-2009-08-23 (21-44-46).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 98219
Laufzeit: 3 minute(s), 58 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\UAC (Rootkit.Trace) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\uacinit.dll (Trojan.Agent) -> No action taken.
Seitenanfang Seitenende
23.08.2009, 23:36
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#22 AntiVir beenden
Rechtsklick auf das Antivir Icon neben die Uhr und das haeckchen bei Guard entfernen


Entferne ComboFix mit
Start > Ausführen> Kopiere rein ComboFix /U OK

Download ComboFix nochmal ,benenne es aber waehrend du es runterlaedst um nach Combo-Fix


__________
MfG Argus
Seitenanfang Seitenende
24.08.2009, 11:42
Member

Beiträge: 3716
#23 Anmerkung, cf kann die Prozesse von Avira, falls noch welche laufen, dann auch selbstständig beenden. Ich hoffe du hast MalwareBytes die Funde entfernen lassen?
Seitenanfang Seitenende
24.08.2009, 13:29
Member

Themenstarter

Beiträge: 126
#24 Ja habe die Funde entfernen lassen.
Da ich aber z. Z. nur Mittagspause habe ,lasse ich erst heute Abend CombFix und Radix drüber laufen.
Seitenanfang Seitenende
24.08.2009, 21:59
Member

Themenstarter

Beiträge: 126
#25 So hier der Radix Log.
ComboFix folgt.

Anhang: log1.txt.rar
Seitenanfang Seitenende
25.08.2009, 14:05
Member

Beiträge: 3716
#26 OK, nun noch bitte combofix
Seitenanfang Seitenende
25.08.2009, 19:03
Member

Themenstarter

Beiträge: 126
#27 Habe ComboFix gestartet aber es passiert nichts. Wie gesagt alle Programme habe ich geschlossen, Router ausgestellt, Computer nicht mehr angerührt.
Seitenanfang Seitenende
25.08.2009, 19:40
Member

Beiträge: 3716
#28 start ausführen
combofix /u
enter
danach combofix laden, befor du speicherst endere den namen in hilfe.exe
dann speichere es und versuch es erneut auszuführen. wenn das auch nicht hilft, gehe in den abgesicherten Modus und starte es noch mal.
Seitenanfang Seitenende
25.08.2009, 21:34
Member

Themenstarter

Beiträge: 126
#29 Auch im abgesicherten Modus passiert nichts. ComboFix startet, es kommen die üblichen Warnhinweise und danach geschiet nichts mehr. Oder ist das normal?
Seitenanfang Seitenende
25.08.2009, 21:44
Member

Beiträge: 3716
#30 nein.
mache hiermit weiter:
http://virus-protect.org/artikel/tools/mbr.html
dort den punkt
Dann via Start - Ausführen >> schreibe rein: cmd
reinkopieren :

C:\mbr.exe -f

auf c:\ wir dann ein mbr.log abgelegt
ist nur ein ausschnitt! abarbeiten, poste dieses log.
Seitenanfang Seitenende