Thread für Terence 007 (Bifrose)Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
02.01.2010, 15:19
Moderator
Beiträge: 5694 |
||
|
||
02.01.2010, 15:21
Moderator
Themenstarter Beiträge: 5694 |
#2
Terence007 postete:
hier meine OTL logs: Code OTL logfile created on: 02.01.2010 14:01:09 - Run 1 Code OTL Extras logfile created on: 02.01.2010 14:01:09 - Run 1GMER läuft noch... |
|
|
||
02.01.2010, 15:22
Moderator
Themenstarter Beiträge: 5694 |
#3
Zitat Während GMER lief, habe ich einen Komplettabsturz mit Bluescreen gehabt: |
|
|
||
02.01.2010, 15:28
Moderator
Themenstarter Beiträge: 5694 |
#4
Backdoor Warnung
Da Dein Computer mit einer sog. Backdoor (Hintertür) infiziert ist, lies Dir diesen Beitrag sehr aufmerksam durch. Eine Backdoor versteckt sich durch ein Rootkit. Backdoors verursachen diverse Schäden in Windows und erlauben dem Angreifer die komplette Kontrolle über das infizierte System zu übernehmen. Sei Dir bewusst, dass der Angreifer neue Schädlinge bei Bedarf "nachladen" kann, dass er Tastatur-Eingaben mitloggen kann, dass er Programme ausführen kann und/oder sehen kann, was auf Deinem Bildschirm passiert. Daher lautet meine dringende Empfehlung, zu formatieren und Windows neu zu installieren. Das Thema wird sehr kontrovers diskutiert, aber viele Experten aus der "Security Comunity" sind sicher, dass ein einmal mit einer Backdoor infiziertes System auch nach einer Bereiniung nicht wieder als vertrauenswürdig anzusehen ist, denn es ist nicht das Gefährliche, was wir sehen, sondern das, was wir nicht sehen. Eine weitere Gefahr bei dieser Art von Infektion ist der Identitätsklau, denn diese Art von Schädling kann alle Deine Passwörter stehlen, E-Mail-Daten, Bankdaten, Karten-Nummern usw. durch Mitloggen der Tastatur-Eingaben ausspionieren. Mit diesem System auf keinen Fall mehr Online-Banking, Filesharing, Mailing oder Messaging betreiben. Keine Up- und Downloads, außer auf Security-Seiten. Es ist daher eine gute Idee, alle auf diesem System gespeicherten oder benutzten Passwörter von einem garantiert sauberen Rechner aus durch neue Passwörter zu ersetzen. Bitte trenne den Computer während der Neuinstallation oder Bereinigung vom Internet (Netz und WLAN), denn wenn der Computer am Netz angeschlossen ist, kann der Angreifer das System weiter modifizieren und vorbeugende Maßnahmen treffen, damit eine Bereinigung so manipuliert wird, dass Fixes nicht so ausgeführt werden, wie vorgesehen. Tiefergehende Informationen zu diesem Thema findest Du bei Gehen Sie sicher ins Internet. Lasse mich wissen, ob Du den Rechner neu aufsetzt oder ob Du trotz obiger Warnung eine umfangreiche, langwierige Bereinigung versuchen möchtest, deren Ende sein könnte, dass das System trotz Bereinigungsversuch neu aufgesetzt werden muss. Zitat Da der Computer aktuell als komprimitiert eingestuft wird, unbedingt den Rechner vom Netz trennen, wenn er unbeaufsichtigt ist. |
|
|
||
02.01.2010, 15:56
Moderator
Themenstarter Beiträge: 5694 |
#5
Bitte gehe zudem noch unter c:\windows\minidump und sende mir das letzte Log nach dem Absturz von GMER zu.
|
|
|
||
02.01.2010, 16:01
Member
Beiträge: 17 |
#6
Vielen Dank für die Antwort.
Der Rechner gehört meiner Freundin. Die schreibt da gerade ihre Abschlussarbeit drauf. Daher würde ich gerne eine Bereinigung versuchen. Ich würde dann der Rechner neu aufsetzen, wenn sie mit der Arbeit fertig ist. Wie siet das denn mit Datenbackups aus ? Wenn ich da jetzt ne externe Festplatte anschließe und Daten draufziehe, kann ich dann sicher sein, dass ich nicht das neu aufgesetzte System wieder infiziere, wenn ich die Daten zurückspiele ? Der Grund ist, dass meine Freundin neulich ne Email vom Admin ihres Arbeitgebers bekommen hat: Zitat Liebe Kollegen,Vielen Dank für die Hilfe... |
|
|
||
02.01.2010, 16:10
Moderator
Themenstarter Beiträge: 5694 |
#7
Schritt 1
ComboFix © (by sUBs) Download ComboFix © by sUBs und speichert es auf den Desktop! Waehrend ComboFix runter geladen wird aendere Combofix um in Combo-fix.exe und nicht nachher wenn CF schon auf dein Rechner steht Note:Wenn wehrend du ComboFix runterlaedst oder anwendet ein Meldung deines Virenscanner kommt oder ein anderen Realtime scanner Schalte diese scanner dann aus und download ComboFix erneut Es gibt scanner die bestimmte komponente die durch CF benutzt werden als verdaechtig ansehen und versucht sie zu blokkieren oder zu entfernen Starte combofix.exe Note:Vista Um Combofix unter Vista(32 Bit) nutzen zu koennen muss man es als Administrator starten. Also rechte Maustaste auf die Combofix.exe und "Als Administrator ausfuehren" waehlen. Folge den Instruktionen in das Fenster Wenn ComboFix schon vorher benutzt worden ist kann es sein das du eine Meldung bekommst das es ein Update gibt Erlaube diesen Update und klicke OK im "NirCmd“ fenster klicke nach ablauf auf "ja“um den Scan zu starten Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combo-fix.txt) nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen" Befolge diese Anleitung Schritt 2 Rootkitscan mit RootRepeal • Gehe hierhin, scrolle runter und downloade RootRepeal.zip. • Entpacke die Datei auf Deinen Desktop. • Doppelklicke die RootRepeal.exe, um den Scanner zu starten. • Klicke auf den Reiter Report und dann auf den Button Scan. • Mache einen Haken bei den folgenden Elementen und klicke Ok. . Drivers Files Processes SSDT Stealth Objects Hidden Services Shadow SSDT . • Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen. • Wähle C:\ und klicke wieder Ok. • Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld. • Wenn der Suchlauf beendet ist, klicke auf Save Report. • Speichere das Logfile als RootRepeal.txt auf dem Desktop. • Kopiere den Inhalt hier in den Thread. |
|
|
||
02.01.2010, 16:45
Member
Beiträge: 17 |
#8
Hier das Combofix log file:
Code ComboFix 10-01-01.05 - Katja 02.01.2010 16:36:44.1.1 - x86 |
|
|
||
02.01.2010, 16:57
Member
Beiträge: 17 |
#9
Mit dem besagten USB-Stick hab ich so meine Probleme...
Seit einiger Zeit heißt er PENDRIVE obwohl wir ihn so nicht genannt haben. Ich habe ihn daraufhin schon komplett neu formatiert, seit einiger Zeit heißt er aber wieder so. Wenn man ihn einsteckt, geht das Autorun Fenster auf und AntiVir springt sofort an (Bifrose, svchost.exe). Jetzt auf Ordner im Explorer öffnen zu klicken, ist die einzige Möglichkeit, auf den Stick zuzugreifen. Wenn man das Autorun Fenster schließt, kommt man nicht mehr auf den Stick. Im Arbeitsplatzt erscheint ein normales Ordnersysmbol statt dem Festplattensymbol. Dieser Beitrag wurde am 02.01.2010 um 17:00 Uhr von Terence007 editiert.
|
|
|
||
02.01.2010, 16:59
Member
Beiträge: 17 |
#10
Hier noch das rootrepeal log file:
Code ROOTREPEAL (c) AD, 2007-2009Vielen Dank nochmal !! |
|
|
||
02.01.2010, 17:27
Moderator
Themenstarter Beiträge: 5694 |
#11
Ja der Stick ist das grosse Poblem.
Desinfizierung/Absicherung externer Medien Lade Dir den Flash Disinfector von sUBs und speichere Flash_Disinfector.exe auf Deinem Desktop ab. Gehe nun wie folgt vor: • Trenne den Rechner physikalisch vom Netz. • Deaktiviere den Hintergrundwächter deines AVP. • Schließe jetzt alle externe Datenträgeran Deinen Rechner an. • Starte den Flash Disinfector mit einem Doppelklick und folge ggf. den Anweisungen. • Wenn der Scan zuende ist, kannst du das Programm schließen. • Starte Deinen Rechner neu. Hinweis: Flash Disinfector desinfiziert all Deine Laufwerke von Autoruninfektionen und erstellt einen versteckten Ordner mit demselben Namen, so dass dein Datenträger in Zukunft vor dieser Infektion geschützt ist. Während dem Scan wird Dein Desktop kurzfristig verschwinden und dann wiederkommen. Das ist normal. |
|
|
||
02.01.2010, 17:56
Member
Beiträge: 17 |
#12
So, hab FlashDisinfector ausgeführt.
Jetzt heisst der Stick wieder so, wie er heißen sollte und man kann ihn auch wieder öffnen. Gibt es noch weitere Schritte für mich zu tun ? Übrigens springt Avira schon beim Download von FlashDisinfektor an ! Danke nochmal ! Grüße Terence007 |
|
|
||
03.01.2010, 03:54
Moderator
Themenstarter Beiträge: 5694 |
#13
Darum diese Satz in der Anleitung:
Zitat • Deaktiviere den Hintergrundwächter deines AVP.>>> Download Cureit! von Dr.WEB zum Desktop Starte dein Recher in abgesicherten Modus Doppelklick drweb-cureit.exe und erlaube um den expres scan zu starten Dies ist ein kurzer scan. Wenn etwas gefunden wird waehle “Verschieben” Klicke Optionen>Einstellungen aendern > entferne bei “Ueberpruefen”das haeckchen bei “Heuristische Analyse” Klicke Reiter “Aktionen”und aendere bei Malware: Adware auf Verschieben Dialer auf Verschieben Scherz auf Bericht Riskware auf Bericht Hacktools auf Verschieben Entferne das haeckchen bei “Bestaetigung anfordern” klick OK Im Hauptfenster reiter Ueberpruefung>"Benutzer definiert" anklicken und waehle die zu scannende Drives Klick danach den gruenen Pfeil um der scan zu starten Am Ende klicke Datei>Pruefbericht speichern Das log auf den Desktop aufheben Starte neu in normal Modus! Poste nachher den log(Dokumente\DrWeb\CSV) von Dr.Web Cureit in dein folgender Bericht zusammen mit ein log von HijackThis. Die Reporte von Cureit findet man standardmaessig in folgenden Ordner %userprofile%\doctorweb\cureit.log (einfach in Start/Ausführen eingeben und Enter druecken) |
|
|
||
03.01.2010, 11:57
Member
Beiträge: 17 |
#14
Zitat Darum diese Satz in der Anleitung:Klar, aber in deiner Anleitung steht der Satz "Deaktiviere deinen Hintergrundwächter" erst nach "Lade dir FlashDisinfector" herunter. Sollte aber davor stehen :-) Egal. Vielen, vielen Dank für die Hilfe. Dr. Web läuft gerade auf dem Rechner. Werde die logs gleich hier posten. Grüße Terence007 |
|
|
||
03.01.2010, 20:36
Member
Beiträge: 17 |
#15
so endlich fertig:
hier das cureit csv log file: Code 4a6154dd.qua\data001;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4a6154dd.qua;Tool.ProcessKill.18;; |
|
|
||
Zitat