| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Windows XP Repair MalwareWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
06.07.2011, 07:33
| #1 |
 |  Windows XP Repair Malware Hallo liebe Community, ich wurde vor einigen Tagen von Windows Xp Repair befallen. Fake Security Center, unsichtbare Dateien, extrem langsam, ungefragte Reboots, etc. Ich habe mich einer Empfehlung dieser Seite folgend zunächst an rkill, malwarebytes und TDSSKiller gehalten. Ich habe diese Programme zuerst im abgesicherten Modus ausgeführt, aber nach einem Reboot war Windows XP Repair wieder aktiv wie zuvor. Also habe ich jetzt nochmal im normalen Modus alle Programme geupdated und drüber laufen lassen. Ich habe den Pc aber noch nicht neu gestartet, ich wollte euch erstmal die Ergebnisse posten und um Rat fragen, damit ich das Problem wirklich los werde. rkill.log This log file is located at C:\rkill.log. Please post this only if requested to by the person helping you. Otherwise you can close this log when you wish. Rkill was run on 05.07.2011 at 22:35:22. Operating System: Microsoft Windows XP Processes terminated by Rkill or while it was running: C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cRdQIGspBdjhpow.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\19390244.exe C:\Dokumente und Einstellungen\Marian Kasprowski\Eigene Dateien\eXplorer.exe Rkill completed on 05.07.2011 at 22:35:53. malwarebytes log: Malwarebytes' Anti-Malware 1.51.0.1200 www.malwarebytes.org Database version: 7029 Windows 5.1.2600 Service Pack 3 Internet Explorer 6.0.2900.5512 06.07.2011 08:06:22 mbam-log-2011-07-06 (08-06-22).txt Scan type: Full scan (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|) Objects scanned: 332946 Time elapsed: 2 hour(s), 7 minute(s), 23 second(s) Memory Processes Infected: 0 Memory Modules Infected: 0 Registry Keys Infected: 0 Registry Values Infected: 1 Registry Data Items Infected: 0 Folders Infected: 0 Files Infected: 2 Memory Processes Infected: (No malicious items detected) Memory Modules Infected: (No malicious items detected) Registry Keys Infected: (No malicious items detected) Registry Values Infected: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cRdQIGspBdjhpow (Trojan.FakeAlert) -> Value: cRdQIGspBdjhpow -> Quarantined and deleted successfully. Registry Data Items Infected: (No malicious items detected) Folders Infected: (No malicious items detected) Files Infected: c:\dokumente und einstellungen\all users\anwendungsdaten\crdqigspbdjhpow.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. c:\dokumente und einstellungen\all users\anwendungsdaten\19390244.exe (Trojan.Agent) -> Quarantined and deleted successfully. Hoffe ihr könnt mir weitere Handlungsanweisungen geben.  Danke. |
|
06.07.2011, 13:23
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Windows XP Repair Malware CustomScan mit OTL
__________________Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
ATTFilter netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
__________________ |
|
06.07.2011, 16:04
| #3 |
| | Windows XP Repair Malware Gesagt, getan, nun hat sich allerdings OTL aufgehangen (keine Rückmeldung) an der Stelle, wo es unten in der Statusanzeige heißt: "Scanning firefox settings...", dazu fällt mir noch ein, dass ich jetzt auch grade Iexplorer benutze, denn seit dem Virusbefall kriege ich beim Versuch firefox u starten die Fehlermeldung: "Couldn't read application.ini".
__________________Soll ich einfach OTL mit dem gleichen Skript noch mal neu starten oder vorher irgendeine andere Aktion durchführen? Vielen Dank für die Hilfe übrigens, ich weiss das sehr zu schätzen. |
|
06.07.2011, 20:23
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Windows XP Repair Malware Probier es bitte nochmal. Wenn das nicht klappt probier es so: Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
__________________ Logfiles bitte immer in CODE-Tags posten |
|
06.07.2011, 23:10
| #5 |
| | Windows XP Repair Malware Auch wenn ich OTL mit Minimal Output laufen lasse, das gleiche Ergebnis, irgendwann bleibt er bei "Scanning firefox settings..." hängen und egal wie lange ich warte, es tut sich nichts, der Mauszeiger verwandelt sich eine Stopuhr, klickt man auf die OTL Arbeitsoberfläche: Reagiert nicht. Muss ich Firefox deinstallieren? Gibt es eine andere Möglichkeit? |
|
07.07.2011, 08:45
| #6 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Windows XP Repair Malware Dann überspringen wir OTL erstmal. Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.  Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen: Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop. Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )  Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen!
__________________ --> Windows XP Repair Malware |
|
07.07.2011, 19:24
| #7 | |||
| | Windows XP Repair Malware Hi, also, ich habe TDSSKiller schon diverse Male im abgesicherten Modus laufen lassen, bevor ich mich an dieses Forum gewendet habe, da ich nach jedem Neustart komischerweise wieder von Windows XP Repair geplagt wurde, obwohl mir vor dem Reboot ein Malware/Rootkit freier Pc angezeigt wurde. Ich habe aber alle in den letzten Tagen ausgeführten TDSSKiller Skripte gespeichert und führe diese nun in chronologischer Reihenfolge auf (momentan wird mir (im nicht abgesicherten Modus) kein Befund angezeigt): Zitat:
Zitat:
Zitat:
|
|
07.07.2011, 19:25
| #8 | ||
| | Windows XP Repair MalwareZitat:
Zitat:
Das sind alle Protokolle die ich habe. |
|
07.07.2011, 21:35
| #9 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Windows XP Repair Malware Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
Textbox.
.
Hybrid-Darstellung
