Tastatur und Touchpad nach Malwarescan totThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
01.01.2010, 20:00
Member
Beiträge: 13 |
#1
Ich bin nach der im Forum unter "Malware Defense wie entfernen?" von Argus beschriebenen Anleitung exakt vorgegangen. Malware wurde offensichtlich erfolgreich weggeputzt, allerdings funktionieren jetzt Tastatur und Touchpad bei meinem IBM Thinkpad T61p nicht mehr (Maus geht). Ohne Tastatur kann ich natürlich den Logfile nicht posten (schreibe von einem Anderen Rechner aus). Was kann ich tun (OHNE EINGABEMÖGLICHKEIT PER TASTATUR?) Danke für einen guten Rat!!
|
|
|
||
01.01.2010, 20:25
Member
Beiträge: 694 |
#2
Hi,
das hört sich nicht so gut an... Probiere Dir Treiberupdates aus dem Internet (http://www-307.ibm.com/pc/support/site.wss/MIGR-67853.html) zu besorgen (Systemtreiber?) und einzuspielen bzw. eine USB-Tastatur an den Notebook zu hängen... Du kannst auch versuchen über die Systemwiederherstellung den letzten Stand herstellen zu lassen... chris |
|
|
||
01.01.2010, 23:25
Member
Themenstarter Beiträge: 13 |
#3
Danke für die Tipps. Hab eine externe Tastatur angeschlossen (auf naheliegende Lösungen kommt man oft nicht!) und jetzt kann ich wieder arbeiten. Hab zunächst die Tastatur und das Touchpad deinstalliert und neu gestartet, jetzt funktioniert beides wieder. Was mich nur beunruhigt: im Gerätemanger steht bei den beiden Prozessoren ein gelbes Dreieck mit Ausrufezeichen (wie vorher bei Tastatur und Touchpad auch). Drohen hier weitere Probleme? Auch das Windows-Sicherheitcenter lässt sich nicht einschalten.
Hier noch der Logfile nach meinem gestrigen Scan mit Malwarebytes: Malwarebytes' Anti-Malware 1.43 Datenbank Version: 3467 Windows 6.0.6000 Internet Explorer 7.0.6000.16916 01.01.2010 07:47:53 mbam-log-2010-01-01 (07-47-41).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 225880 Laufzeit: 40 minute(s), 54 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 6 Infizierte Registrierungswerte: 6 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 1 Infizierte Dateien: 21 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\{F9197A7E-CE10-458e-85F8-5B0CE6DF2BBE} (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Malware Defense (Rogue.MalwareDefense) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\PUT2VIDQLG (Trojan.FakeAlert) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\B1RQJ7YJ0U (Trojan.FakeAlert) -> No action taken. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\losalamos (Trojan.Downloader) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\settdebugx.exe (Rogue.Installer) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\notepad (Trojan.Agent) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\malware defense (Rogue.MalwareDefense) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\put2vidqlg (Trojan.Dropper) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\notepad (Trojan.Agent) -> No action taken. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: C:\Users\Uwe\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\malware Defense (Rogue.MalwareDefense) -> No action taken. Infizierte Dateien: C:\Windows\System32\sshnas.dll (Trojan.Downloader) -> No action taken. C:\Users\Uwe\AppData\Local\Temp\settdebugx.exe (Rogue.Installer) -> No action taken. C:\Windows\System32\config\systemprofile\ntload.dll (Trojan.Agent) -> No action taken. C:\Windows\System32\notepad.dll (Trojan.Agent) -> No action taken. C:\Users\Uwe\ntload.dll (Trojan.Agent) -> No action taken. C:\Users\Uwe\AppData\Local\Temp\ntload.dll (Trojan.Agent) -> No action taken. C:\Users\Uwe\AppData\Local\Temp\wscsvc32.exe (Trojan.FakeAlert) -> No action taken. C:\Users\Uwe\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\scandisk.dll (Trojan.Agent) -> No action taken. C:\Users\Uwe\Downloads\free__animal_sex_movie.40062.exe (Trojan.Downloader) -> No action taken. C:\Windows\System32\krl32mainweq.dll (Trojan.DNSChanger) -> No action taken. C:\Users\Ewa\Desktop\Malware Defense.lnk (Rogue.MalwareDefense) -> No action taken. C:\Users\Ewa\Desktop\Malware Defense Support.lnk (Rogue.MalwareDefense) -> No action taken. C:\Users\Ewa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Malware Defense.lnk (Rogue.MalwareDefense) -> No action taken. C:\Users\Uwe\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Malware Defense.lnk (Rogue.MalwareDefense) -> No action taken. C:\Windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader) -> No action taken. C:\Users\Uwe\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\scandisk.lnk (Trojan.Downloader) -> No action taken. C:\Users\Uwe\AppData\Local\Temp\nsrbgxod.bak (Trojan.Agent) -> No action taken. C:\Windows\msa.exe (Trojan.Agent) -> No action taken. C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> No action taken. C:\Users\Uwe\AppData\Local\Temp\b.exe (Trojan.Dropper) -> No action taken. C:\Users\Uwe\AppData\Local\Temp\c.exe (Trojan.Dropper) -> No action taken. Für die Hilfe 1000 dank im Voraus strix |
|
|
||
01.01.2010, 23:38
Moderator
Beiträge: 5694 |
#4
Na dann wollen wir mal sehen, ob da wirklich alles weggeputzt wurde
Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop >Doppelklick auf die OTL.exe -->Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen >Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output >Unter Extra Registry, wähle bitte Use SafeList >Klicke nun auf Run Scan links oben >Wenn der Scan beendet wurde werden 2 Logfiles erstellt >Poste die Logfiles in Code-Tags hier in den Thread. |
|
|
||
02.01.2010, 02:41
Member
Themenstarter Beiträge: 13 |
#5
Ich hab alles Mögliche versucht, die Logfiles als Code-Tags zu formatieren, bekam beim Klick auf "Antwort erstellen" aber jedes Mal die Fehlermeldung "Der Text ist zu kurz, mindestens 10 Zeichen".
Deshalb muss ich die 2 Logfiles nun doch als Anhang schicken, sorry. Zitat OTL Extras logfile created on: 02.01.2010 01:23:09 - Run 1 Anhang: Extras.Txt
|
|
|
||
02.01.2010, 02:42
Member
Themenstarter Beiträge: 13 |
||
|
||
02.01.2010, 13:17
Moderator
Beiträge: 5694 |
#7
Java aktualisieren
Deine Javaversion ist nicht aktuell. Da einige Schädlinge (z. B. Vundo) über Java-Exploits in das System eindringen, deinstalliere zunächst alle vorhandenen Java-Versionen über Systemsteuerung => Software => deinstallieren. Starte den Rechner neu. Downloade nun die Offline-Version von Java (Java SE Runtime Environment (JRE) 6 Update 17) von SUN. Wenn Du auf Download geklickt hast, erscheint eine Seite, wo Du das Betriebssystem auswählen musst (also Windows) und ein Häkchen bei "I agree" setzen musst. Dann auf den Button "Continue" klicken. Dort die jre-6u17-windows-i586.exe downloaden und anschließend installieren, eventuell angebotene Toolbars nicht mitinstallieren. RootRepeal Download RootRepeal.zip oder von hier zum Desktop Entpacke es und klicke RootRepeal.exe und starte das Program Klicke unten auf Report und danach auf Scan Haacke an in Select Scan : * Drivers * Processes * SSDT * Hidden Services Klicke den OK Knopf Schliesse alle andere Programme und benutze dein Rechner nicht waehrend der Scann lauft Klicke OK Nach ablauf Save Report und speichere es auf dem Desktop als RootRepeal.txt Poste nachher das log RootRepeal.txt Für mich: Zitat [2009.12.31 13:52:44 | 00,036,864 | ---- | M] () -- C:\Windows\System32\H8SRTdvhqqsmjpu.dll |
|
|
||
02.01.2010, 22:37
Member
Themenstarter Beiträge: 13 |
#8
Danke nochmal für die Unterstützung, Swisstreasure.
Hab Java deinstalliert und neu installiert, wie angegeben. Hab RootRepeal von dem von Dir genannten Link nicht downloaden können, soweit ich verstanden hab, wegen momentaner Serverüberlastung. Hab dann downgeloaded durch Klick auf Deinen Link "RootRepeal.zip" und entpackt. Beim Klick auf die Anwendung kommt (mehrfach probiert) eine Fehlermeldung in einem Fenster "RootRepeal Error": "FOPS DeviceIoControlError! Error Code = 0x0000024 Extended Info (0x000000f4) Was nun? |
|
|
||
03.01.2010, 04:09
Moderator
Beiträge: 5694 |
#9
Rootkit-Suche mit Gmer
Was sind Rootkits? Wichtig: Bei jedem Rootkit-Scans soll/en: • alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein, • keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen), • nichts am Rechner getan werden, • nach jedem Scan der Rechner neu gestartet werden. • Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten! Lade Dir Gmer von dieser Seite herunter (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern. • Gmer ist geeignet für => NT/W2K/XP/VISTA. • Alle anderen Programme sollen geschlossen sein. • Starte gmer.exe (hat einen willkürlichen Programm-Namen). • Vista-User mit Rechtsklick und als Administrator starten. • Gmer startet automatisch einen ersten Scan. • Sollte sich ein Fenster mit folgender Warnung öffnen: Code WARNING !!! • Unbedingt auf "No" klicken, anschließend über den Copy-Button das bisherige Resultat in die Zwischenablage zu kopieren. • Füge das Log aus der Zwischenablage mit STRG + V in Deine Antwort in Deinem Thread ein. . • Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware", • Hake an: System, Sections, IAT/EAT, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files. • Wichtig: "Show all" darf nicht angehakt sein! • Starte den Scan durch Drücken des Buttons "Scan". Mache nichts am Computer während der Scan läuft. • Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet. • Füge das Log aus der Zwischenablage in Deine Antwort hier ein (mit STRG + V). Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst! Nun das Logfile in Code-Tags posten. |
|
|
||
03.01.2010, 13:26
Member
Themenstarter Beiträge: 13 |
#10
Hab nur den ersten Scan gemacht wie beschrieben. Bei der weiteren Anleitung "Falls das nicht der Fall war..." war ich mir unsicher, ob ich das auch noch ausführen sollte.
Dank + Gruß strix Hier das Resultat: [Code] GMER 1.0.15.15281 - http://www.gmer.net Rootkit quick scan 2010-01-03 13:18:15 Windows 6.0.6000 Running: 4ljet6ou.exe; Driver: C:\Users\Uwe\AppData\Local\Temp\kfldapog.sys ---- Disk sectors - GMER 1.0.15 ---- Disk \Device\Harddisk0\DR0 sector 08: copy of MBR ---- Devices - GMER 1.0.15 ---- AttachedDevice \Driver\tdx \Device\Ip SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation) AttachedDevice \Driver\tdx \Device\Tcp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation) AttachedDevice \Driver\tdx \Device\Udp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation) AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF Dynamic/Microsoft Corporation) AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (WDF Dynamic/Microsoft Corporation) ---- Services - GMER 1.0.15 ---- Service C:\Windows\system32\drivers\H8SRTbebrflldmw.sys (*** hidden *** ) [DISABLED] H8SRTd.sys <-- ROOTKIT !!! ---- EOF - GMER 1.0.15 ---- [Code/] |
|
|
||
03.01.2010, 23:45
Moderator
Beiträge: 5694 |
#11
Schritt 1
Lade den Avenger herunter und entzippe ihn auf den Desktop. Nicht gezippt direkt als EXE ist der Avenger hier erhältlich. Starte die avenger.exe durch Doppelklick und akzeptiere mit OK die Nutzungsbedingungen. Füge den Inhalt der folgenden Codebox vollständig und unverändert bei "Input script here" ein und klicke auf "Execute". Beantworte die Frage, ob Du sicher bist, dass das Skript ausgeführt werden soll mit "Ja". Code
Beantworte die Frage zum Neustart des Rechners (Reboot now?) ebenfalls mit "Ja". Nachdem der Rechner neu gestartet ist (das kann auch zweimal nötig sein und passieren!) und das DOS-Fenster, das der Avenger geöffnet hat, wieder geschlossen ist, öffnet Avenger Deinen Editor mit dem Avengerlog, zu finden auch unter C:\avenger.txt. Den Inhalt bitte posten. Ein Backup der entfernten Objekte wurde als C:\avenger\backup.zip angelegt. Schritt 2 Scanne erneut mit GMER und mache auch den zweiten Teil. Schritt 3 Nun kontrollieren wir den Master Boot Record,ob alles in Ordnung ist: • Downloade die MBR.exe von Gmer und • speichere das Programm auf Deinem Desktop. • Mache einen Doppelklick auf das Programm, um es zu starten. • Wenn Dein Antiviren-Programm anschlägt, bitte ignorieren bzw. die Aktion zulassen. • Nun wirst Du ein Logfile auf Deinem Desktop namens mbr.log finden, • Poste mir den Inhalt dieser Logdatei hier in den Thread. |
|
|
||
04.01.2010, 00:13
Member
Themenstarter Beiträge: 13 |
#12
Hier das Resultat von Schritt 1. wenn ich das richtig verstehe, wurde eine Datei nicht gefunden. Trotzdem weiter machen??
Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows Vista ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Driver "H8SRTd.sys" disabled successfully. Driver "H8SRTd.sys" deleted successfully. Error: file "C:\Windows\system32\drivers\H8SRTbebrflldmw.sys" not found! Deletion of file "C:\Windows\system32\drivers\H8SRTbebrflldmw.sys" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist File "C:\Windows\System32\H8SRTdvhqqsmjpu.dll" deleted successfully. File "C:\Windows\System32\H8SRTctajuorjlf.dll" deleted successfully. File "C:\Windows\System32\H8SRTqjuaqugnjr.dat" deleted successfully. Error: file "Quelle: http://board.protecus.de/t38653.htm#ixzz0baqSieBD" not found! Deletion of file "Quelle: http://board.protecus.de/t38653.htm#ixzz0baqSieBD" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Completed script processing. ******************* Finished! Terminate. |
|
|
||
04.01.2010, 09:46
Moderator
Beiträge: 5694 |
#13
Ja das sieht doch schon sehr gut aus. Genau mache noch die Punkte 2 + 3
|
|
|
||
04.01.2010, 10:19
Member
Themenstarter Beiträge: 13 |
#14
Danke Swiss für diesen Support! Ich hab gestern Nacht noch zu Hause (jetzt bin ich im Büro) den Schritt 2 (Scan mit GMER) gemacht und dabei einen Bluescreen bekommen:
Bluescreen BCCode c2 BCP1 00000007 BCP2 0000113D BCP3 08450001 BCP4 84355500 Service Pack 0_0 Product: 256_1 Dateien, die bei der Beschreibung des Problems hilfreich sind: C:\Windows\Minidump\Mini010410-01.dmp C:\Users\Uwe\AppData\Local\Temp\WER-78936-0.sysdata.xml C:\Users\Uwe\AppData\Local\Temp\WER40B7.tmp.version.txt ...und jetzt? (kann erst heute abend weiter machen) HG ustrix |
|
|
||
04.01.2010, 17:58
Moderator
Beiträge: 5694 |
#15
Dann mache einmal Schritt 3
|
|
|
||