Keine AV-Softw. u. regedit nach Trojaner

Dieses Thema im Forum "Sicherheit" wurde erstellt von migue, 1. März 2006.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. migue

    migue ROM

    Registriert seit:
    1. März 2006
    Beiträge:
    7
    Hallo wer kann mir helfen?

    Leider haben wir uns einen Trojaner (Nathaniell.zip) eingefangen.
    Dieser Trojaner setzte mein Norten AntiVirus außer Betrieb ohne den Schädling zu erkennen. Und der Editor Regedit lässt sich nicht mehr öffnen.
    Unser PC scheint sonst soweit zu laufen, das Betriebssystem ist Windows XP/2.

    Hier eine Zusammenfassung was ich bisher gemacht habe:
    1. Über Symantec habe ich mir die Abhilfe "FxLodear.exe" heruntergeladen,
    mit nachfolgender FxLodear.log Ergebnisdatei.
    2. NAV deinstalliert, während der Deinstallation diverse Fehlermeldungen über fehlende
    Dateien.
    3. NAV installiert, jedoch lässt sich das NAV nicht öffnen.
    4. Deinstallation des NAV und über Symantec das Deinstallatinsprogramm „SymNRT“
    laufen lassen.
    5. Die Neuinstallation NAV lief ohne Probleme durch, ließ sich jedoch nicht öffnen.
    6. Regedit.exe versucht im Verzeichnis unter WINDOWS auszutauschen, jedoch beim
    Umkopieren der Regedit in ein anderes Verzeichnis „WINDOWS/alt“ war sofort unter
    dem Verzeichnis WINDOWS die Regedit.exe wie aus dem Nichts autom. eingefügt
    worden, somit war ein Austausch nicht möglich.
    7. 9x Sicherheitsupdates von Windows heruntergeladen, alle wurden übernommen.
    8. PC Online über Bitdefender gescannt, Ergebnis 1 Virus (Win32.Bagle.EV@mm) auf
    2 Dateien.
    9. Für diesen Trojaner (Win32.Bagle.EV@mm) über „Antibagle-de.exe“ von Bitdefender,
    (soll für Win32.Bagle.[C-F] einsetzbar sein) laufen lassen, jedoch ohne Viren Erkennung.
    10. Ad-Aware 6.0 heruntergeladen, gescannt und auch hier kein Virus sondern nur 5x Cookies entfernt
    11. Meine letzte Tätigkeit war "Hijackthis" einzusetzen und die Logdatei anzuhängen.

    FxLodear.log
    Symantec Trojan.Lodear/Trojan.Lodav Removal Tool 1.3.0
    process: anti_troj.exe (terminated)
    process: anti_troj.exe (terminated)
    C:\WINDOWS\exefld\169296.exe: (deleted)
    C:\WINDOWS\exefld\169437.exe: (deleted)
    C:\WINDOWS\exefld\197703.exe: (deleted)
    C:\WINDOWS\exefld\76343.exe: (deleted)
    C:\WINDOWS\system32\antiav_dll.dll: (deleted)
    C:\WINDOWS\system32\antiav_exe.exe: (deleted)
    C:\WINDOWS\system32\anti_troj.exe: (deleted)
    directory C:\WINDOWS\exefld: (deleted)
    registry: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run: auto__antiav__key (value deleted)
    registry: HKEY_USERS\S-1-5-21-1369620130-286669263-1804846635-1008\Software\Microsoft\Windows\CurrentVersion\Run: auto__antiav__key (value deleted)
    registry: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\: anti_troj (value deleted)
    registry: HKEY_USERS\S-1-5-21-1369620130-286669263-1804846635-1008\Software\Microsoft\Windows\CurrentVersion\Run\: anti_troj (value deleted)
    registry: HKEY_USERS\S-1-5-21-1369620130-286669263-1804846635-1008\Software\FirstRRRun\ (key deleted)
    Trojan.Lodear/Trojan.Lodav has been successfully removed from your computer!
    Here is the report:
    The total number of the scanned files: 86999
    The number of deleted threat files: 7
    The number of directories deleted: 1
    The number of threat processes terminated: 2
    The number of registry entries fixed: 5

    2. Durchlauf:

    Symantec Trojan.Lodear/Trojan.Lodav Removal Tool 1.3.0
    Trojan.Lodear/Trojan.Lodav has not been found on your computer.

    Suchergebniss unter welchen Ordnern die regedit.exe sich befindet

    regedit.exe C:WINDOWS
    REGEDIT.EXE C:WINDOWS\I386
    REGEDIT.EXE-1A8FAE24.pf C:WINDOWS\Prefetch
    REGEDIT.EXE-1B606482.pf C:WINDOWS\Prefetch
    REGEDIT.EXE-258EE920.pf C:WINDOWS\Prefetch
    regedit.exe C:WINDOWS\system32\dllcache



    Ergebnis vom Online scannen über Bitdefender:

    Geprüfte Dateien Status
    C:\WINDOWS\system32\winlog.dll Infiziert: Win32.Bagle.EV@mm
    C:\WINDOWS\system32\winlog.dll Desinfektion fehlgeschlagen
    C:\WINDOWS\system32\winlog.dll Löschung fehlgeschlagen
    C:\WINDOWS\system32\winlog.exe Infiziert: Win32.Bagle.EV@mm
    C:\WINDOWS\system32\winlog.exe Desinfektion fehlgeschlagen
    C:\WINDOWS\system32\winlog.exe Löschung fehlgeschlagen




    Logfile enfernt. Link zum Log siehe Beitrag #2


    Ich hoffe, dass mir jemand weiterhelfen kann!
     
  2. ghost60

    ghost60 Halbes Gigabyte

    Registriert seit:
    14. Juli 2005
    Beiträge:
    6.265
  3. deoroller

    deoroller Wandelndes Forum

    Registriert seit:
    18. Juli 2000
    Beiträge:
    116.642
    Deaktiviere die Systemwiederherstellung und fixe mit Hijackthis im abgesicherten Modus die bösen Sachen. Danach kann auch Bitdefender die Viren löschen.
     
  4. migue

    migue ROM

    Registriert seit:
    1. März 2006
    Beiträge:
    7
    Hallo und danke für die Info. Systemwiederherstellung habe ich deaktiviert und versucht über die F8-Taste beim Neustart den abgesicherten Modus zu starten. Leider öffnet sich immer nur das Boot-Menu und bietet mir die Hard Disk oder CDROM an, nach meiner Info erscheint normalerweise das Startmenü oder hat der Trojaner auch hier schon zugeschlagen?
     
  5. migue

    migue ROM

    Registriert seit:
    1. März 2006
    Beiträge:
    7
    Hallo Ghost,
    danke auch dir für deine Hilfe, mir war nicht bekannt, dass man über Hijackthis auch die Auswertung erhalten kann oder gibt es noch eine andere Info bzw. Berechtigung?
     
  6. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    beende mal den (die) Prozess(e) C:\WINDOWS\system32\winlog.exe im Taskmanager (nicht winlogon!), überprüfe die Dateien hier, und poste das Ergebnis.

    Edit
    Wer lesen kann ist klar im Vorteil, schaue mal was der Bagle so alles kann und melde mich gleich wieder.



    Grüße Jasager
     
  7. migue

    migue ROM

    Registriert seit:
    1. März 2006
    Beiträge:
    7
    Hallo Jasager, danke für deine Info aber leider stelle ich gerade fest, dass der Task-Manager über den Affengriff und über die Taskleiste mit re. Maustaste sich nicht öffnen lässt?
     
  8. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    scheint grenzwertig, die sicherste Variante wäre sicherlich eine Neuinstallation, wenn du das nicht machen willst besorgst du dir killbox und löschst du die Dateien:

    C:\WINDOWS\system32\winlog.dll
    C:\WINDOWS\system32\winlog.exe

    on reboot.
    Das Problem mit der Regedit habe ich nicht ganz verstanden, funktioniert diese nicht?


    Grüße Jasager
     
  9. migue

    migue ROM

    Registriert seit:
    1. März 2006
    Beiträge:
    7
    Der Editor regedit.exe wird nicht gestartet, die Eieruhr geht kurz an und das war's.
     
  10. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    mache erstmal das mit killbox, vielleicht funktioniert der Rest ja dann automatisch wieder.


    Grüße Jasager
     
  11. Mopao

    Mopao Byte

    Registriert seit:
    30. Dezember 2004
    Beiträge:
    14
    hey

    #Scane mit Symantec Security Check ---->klicke auf Viren-erkennung (Virus Detection) dann Start. Downloading ActiveX erlauben,das Ergebnis hier posten. (Bitte am Ende) --->Mit Internet Explorer

    #Lade dir Ewido Security Suite unbeding Update,noch nicht scannen.

    #lade Adaware, Spybot unbeding Update,noch nicht scannen.

    #PC neustarten--> abgesicherter Modus
    Starte das HijackThis "Scan" klicken (Folgende Einträge) Häckchen setzen & Button "Fix checked" klicken
    O4 - HKLM\..\Run: [ImInstaller_IncrediMail] C:\DOKUME~1\ARBEIT~1\LOKALE~1\Temp\ImInstaller\Inc rediMail\incredimail_install.exe -startup -product IncrediMail
    O4 - HKLM\..\Run: [key2] C:\WINDOWS\system32\winlog.exe
    O4 - HKCU\..\Run: [key2] C:\WINDOWS\system32\winlog.exe

    #PC neustarten--> abgesicherter Modus
    Arbeitsplatz -> rechter Mausklick -->Windows Explorer -> "Extras/Ordneroptionen" ->
    "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
    ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
    aktivieren -> "OK"

    Loesche:
    C:\WINDOWS\system32\winlog.exe
    C:\WINDOWS\system32\winlog.dll
    C:\DOKUME~1\ARBEIT~1\LOKALE~1\Temp\ImInstaller\Inc rediMail\incredimail_install.exe

    1. Öffne notepad (editor) Unter Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheit ein notepad editor.
    Oder unter Start/Programme/Zubehör/Editor
    2. copiere diser Code rein:
    Code:
    cd %windir% 
    attrib /s /d -h -s system32 
    attrib -s -h -r system32\cmd.com 
    attrib -s -h -r system32\bszip.dll 
    attrib -s -h -r system32\netstat.com 
    attrib -s -h -r system32\ping.com 
    attrib -s -h -r system32\regedit.com 
    attrib -s -h -r system32\taskkill.com 
    attrib -s -h -r system32\tasklist.com 
    attrib -s -h -r system32\tracert.com 
    del system32\cmd.com 
    del system32\bszip.dll 
    del system32\netstat.com 
    del system32\ping.com 
    del system32\regedit.com 
    del system32\taskkill.com 
    del system32\tasklist.com 
    del system32\tracert.com 
    
    3. Speichere die Datei als Fix.bat auf Desktop
    4. Doppel klick auf diese Datei Fix.bat

    Sollten jetzt cmd und regedit auch Task-Manager per Tastenkombi (Strg+Alt+Entf) funktionieren

    #PC neustarten--> abgesicherter Modus
    #Starte Ewido Security Suite mach ein voller Scan (Complete System Scan)

    #Danach der PC mit Adaware, Spybot scannen und alle Funde entfernen.

    #Inhalt folgende ordner loeschen:
    C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp---> Inhalt löschen
    C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temporary Internet Files---> Inhalt löschen
    C:\WINDOWS\temp---> Inhalt löschen
    C:\WINDOWS\Prefetch---> Inhalt löschen

    Bitte Folgende Ergebnis posten!
    #PC neustarten:
    #Neue HijackThis Log,den Report des Ewido Scans, Symantec Security Check Ergebnis hier posten.

    Gruss
    Mopao
     
  12. migue

    migue ROM

    Registriert seit:
    1. März 2006
    Beiträge:
    7
    Danke für den Hinweis,
    habe Killbox geladen und werde es morgen testen.
     
  13. migue

    migue ROM

    Registriert seit:
    1. März 2006
    Beiträge:
    7
    Hallo Leute,

    danke an alle die mir Tipps gegeben haben. Ich habe den Trojaner über HijackThis beheben bzw. entfernen können. Und zwar habe ich nach dem scannen über HijackThis die vier betroffenen Einträge die ich über BitDefender angegeben bekommen habe, per "fix checked" mit Häckchen setzen entfernen lassen.

    Nochmals danke an euch!
     
  14. Mopao

    Mopao Byte

    Registriert seit:
    30. Dezember 2004
    Beiträge:
    14
    Hmm ist nicht alles!

    cmd und regedit auch Task-Manager per Tastenkombi (Strg+Alt+Entf) funktionieren wieder?

    Der PC hat Wurm W32/Alcra.B Infektion

    Gruss
    Mopao
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen