Trojaner Backdoor.Ciadoor eingefangen

#31 >>>
Bereinigung mit SDFix
• Lade das SDFix von AndyManchesta herunter und speichere es auf dem Desktop.
• Sollte Dein Anti-Virus-Programm SDFix als schädlich melden, bitte ignorieren und trotzdem zulassen. Das kommt daher, dass Entfernungsprogramme oft ähnliche Routinen, wie die schädlichen Programme nutzen, um die Schädlinge zu entfernen.

• Dieses Removal-Tool ist zur Ausführung auf Windows 2000 und Windows XP im abgesicherten Modus geeignet.
• Mache einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner zu entpacken.
• Starte den Computer neu in den abgesicherten Modus <= Hinweise beachten.
• Öffne den neu entstandenen SDFix Ordner in C:\, mache einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
• Gib ein Y ein, um den Reinigungsprozess zu beginnen.
• Geduld, das kann ca. 20 Minuten dauern.
• Das Programm wird alle Trojaner-Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
• Nun wirst Du darum gebeten, einen Taste zu drücken, damit der Rechner neu starten kann.
• Drücke auf eine beliebige Taste.
• Wenn der Rechner hochgefahren ist, wird das Fixtool noch einmal laufen, um den Reinigungsprozess zu vervollständigen.
• Auch hier ist wieder etwas Geduld gefragt, das kann mehrere Minuten dauern.
• Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf eine beliebige Taste, um das Skript zu beenden und Deine Desktop-Icons wieder zu laden.
• Wenn die Desktop-Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als Report.txt im Ordner SDFix speichern.
• Kopiere den Inhalt des Report.txt und poste den Bericht hier in den Thread.

>>>
Rootkitscan mit RootRepeal
• Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
• Entpacke die Datei auf Deinen Desktop.
• Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
• Klicke auf den Reiter Report und dann auf den Button Scan.
• Mache einen Haken bei den folgenden Elementen und klicke Ok.
.
Drivers
Files
Processes
SSDT
Stealth Objects
Hidden Services
Shadow SSDT
.
• Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
• Wähle C:\ und klicke wieder Ok.
• Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
• Wenn der Suchlauf beendet ist, klicke auf Save Report.
• Speichere das Logfile als RootRepeal.txt auf dem Desktop.
• Kopiere den Inhalt hier in den Thread.


>>>
Scan mit SystemLook

Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop.

Download Mirror #1 - Download Mirror #2

• Doppelklick auf die SystemLook.exe, um das Tool zu starten.
Vista-User mit Rechtsklick und als Administrator starten.
• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:

Code

:regfind
*9yqusig*
:filefind
*9yqusig*

• Klicke nun auf den Button Look, um den Scan zu starten.
• Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
• Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

#32 Ist SDFix auch für Vista geeignet?


Laut Forensuche scheint es wohl nicht auf Vista zu laufen.

Macht es auch Sinn Rootkitscan mit RootRepeal und Scan mit SystemLook ohne SDFix zu benutzen?

#33 Opps mein Fehler. Klar geht es für Vista nicht

Ja mach noch die beiden Scans und poste die Logs.

#34 Habe RootRepeal jetzt zweimal probiert, erst scannt es ganz normal, aber noch längerer Zeit (bestimmt über 2 Stunden) tut sich gar nichts mehr und es ist nur noch dieses kleine Fenster ohne irgendwas zu sehen.





SystemLook hat dann aber geklappt.

Code

SystemLook v1.0 by jpshortstuff (29.08.09)
Log created at 05:19 on 19/12/2009 by Bernhard (Administrator - Elevation successful)

========== regfind ==========

Searching for "*9yqusig*"
No data found.

========== filefind ==========

Searching for "*9yqusig*"
No files found.

-=End Of File=-

#35 Scanne mit CureIT und poste das Log:
http://board.protecus.de/t29350.htm


Hast du nooch Probleme?

#36 Den Express Scan habe ich gemacht, ohne Befund.
Den benutzerdefinierten Scan werde nachher noch machen und dann das Log posten.

Probleme habe ich mit dem PC nicht, läuft eigentlich alles ganz normal. Hoffe das ist ein gutes Zeichen.

#37 ja das ist ein sehr gutes Zeichen Dann warte ich noch Deine Rückmeldung wegen CureIT ab.

#38 Jetzt habe ich ein anderes Problem.

Bin in den abgesicherten Modus, aber dann wollte ich noch was auf einer Internet Seite gucken. Da im abgesicherten Modus keine Netzwerkverbindung besteht, habe ich den PC nochmal neu gestartet und auf einmal waren lauter blaue Streifen während des Startvorgangs.
Dann kam dieser Fehlerbildschirm, wo ich gefragt wurde im abgesicherten Modus starten, letzte funktionierende Konfiguration etc.
Habe dann die letzte funktionierende Konfiguration versucht, hat aber nichts geändert und Vista startete nicht mehr.Habe dann auch nochmal den normalen Modus versucht, aber mit dem gleichen Ergebnis.
Habe dann versucht per Windows CD zu reparieren, aber da kam nur die Meldung, das die Probleme nicht behoben werden konnten. Eine Sysstemwiederherstellung brachte auch keinen Erfolg.
In den abgesicherten Modus komme ich aber weiterhin hinein.


Hier mal ein Beispielbild wie die Streifen aussehen:


Edit: Jetzt komme ich auch nicht mehr in den abgesicherten Modus. Das Bild ist beim anschalten nur noch schwarz. Am Gehäuse des PC leuchtet durchgehend das rote Lämpchen, was sonst glaube ich nicht ist.

#39 Was hast Du dann gemacht dass DU nicht mehr hinein kommst!?!
Mit der WindowsCD kommst Du nun auch nirgends mehr hin?

System mit chkdsk überprüfen

1. Füge die Windows CD in das Laufwerk ein und starte von CD
2. Drücke irgendeine Taste, wenn vom System aufgefordert
3. Drücke R um die Recovery Konsole zu starten
4. Gebe dein Passwort ein, wenn Du dazu aufgefordert wirst
5. Du musst auswählen in welche Windowsinstallation Du dich einloggen willst. Gebe 1 ein und bestätige mit [Enter]
6. Bei der C:\Windows Eingabeaufforderung, gebe den folgenden Text ein und bestätige mit [Enter]:

Code

chkdsk /r

#40 Seit gestern habe ich endlich den PC wieder. Es war die Grafikkarte kaputt. Jetzt geht auch alles wieder und der PC ist sogar formatiert. Jetzt dürfe ja wirklich nichts mehr drauf sein, was das nicht hingehört.

#41 Danke Dir für die Rückmeldung und viel Spass mit dem Neuen System