Hello,

bin leider die ganze Woche wieder unterwegs, insofern wirds in den kommenden Tagen wohl nix mit dem FRST scan

Da unser Timing betreffend der online-Zeiten am Wochenende ein bisschen unglücklich verlaufen ist, hab ich am Montag noch ein paar Scans mit hier oft verwendeten Programmen durchgeführt, die keine custom-Fixes verlangen..


AdwCleaner:

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v2.306 - Datei am 22/07/2013 um 11:45:00 erstellt
# Aktualisiert am 19/07/2013 von Xplode
# Betriebssystem : Windows 7 Home Premium Service Pack 1 (32 bits)
# Benutzer : admin - AKOYA
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\admin\Desktop\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Ordner Gelöscht : C:\Program Files\Common Files\DVDVideoSoft\TB
Ordner Gelöscht : C:\ProgramData\boost_interprocess

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\063A857434EDED11A893800002C0A966

***** [Internet Browser] *****

-\\ Internet Explorer v10.0.9200.16635

[OK] Die Registrierungsdatenbank ist sauber.

*************************

AdwCleaner[R1].txt - [1382 octets] - [22/07/2013 11:29:49]
AdwCleaner[R2].txt - [1442 octets] - [22/07/2013 11:38:19]
AdwCleaner[S1].txt - [1375 octets] - [22/07/2013 11:45:00]

########## EOF - C:\AdwCleaner[S1].txt - [1435 octets] ##########
         

MBAM:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.07.22.02

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 10.0.9200.16635
admin :: AKOYA [Administrator]

22.07.2013 11:59:15
mbam-log-2013-07-22 (11-59-15).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 274269
Laufzeit: 8 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Users\Birgit\AppData\Local\Temp\rpdoknktsnwamqdunws.bfg (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Birgit\AppData\Local\Temp\ineydeqhkhiaapdyrre.bfg (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

und dann noch GMER drüberlaufen gelassen, natürlich nix in Eigenregie gelöscht und genau nach Anleitung (IAT/EAT und "show all" unchecked, quickscan)

keine Warnmeldung beim Starten des Programms.

GMER log

Code: Alles auswählenAufklappen

ATTFilter

GMER 2.1.19163 - hxxp://www.gmer.net
Rootkit scan 2013-07-22 13:50:24
Windows 6.1.7601 Service Pack 1 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 WDC_WD15EARS-00Z5B1 rev.80.00A80 1397,27GB
Running: gmer_2.1.19163.exe; Driver: C:\Users\admin\AppData\Local\Temp\ugtdrpob.sys


---- Kernel code sections - GMER 2.1 ----

.text           ntkrnlpa.exe!ZwRollbackEnlistment + 140D                                                            8305A9F5 1 Byte  [06]
.text           ntkrnlpa.exe!KiDispatchInterrupt + 5A2                                                              830941F2 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text           C:\Windows\system32\DRIVERS\atipmdag.sys                                                            section is writeable [0x9260E000, 0x2D293E, 0xE8000020]

---- User code sections - GMER 2.1 ----

.text           C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe[1896] kernel32.dll!SetUnhandledExceptionFilter  7754F4FB 4 Bytes  [C2, 04, 00, 00]

---- Devices - GMER 2.1 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                              eamon.sys
AttachedDevice  \FileSystem\fastfat \Fat                                                                            fltmgr.sys
AttachedDevice  \FileSystem\fastfat \Fat                                                                            eamon.sys

---- Disk sectors - GMER 2.1 ----

Disk            \Device\Harddisk0\DR0                                                                               unknown MBR code

---- EOF - GMER 2.1 ----
         

Ich hoffe, mit meinem eigenständigen Vorgehen nicht irgendwie Deine "Autorität untergraben" oder irgendwas verbockt zu haben... dachte mir halt, mit MBAM, AdwClnr und GMER im reinen Lesebetrieb kann nicht wirklich viel schief gehen und hab ein paar Logs aufm Stick, die wir ohnehin vielleicht noch benötigen werden, und geht ja auch nicht gerade im Handumdrehen...

also vielleicht kannst Du's Dir ja kurz durchsehen, bis ich den FRST hab.

Vielen Dank + LG hot

Servus,

Zitat:

Zitat von hotelier

bin leider die ganze Woche wieder unterwegs, insofern wirds in den kommenden Tagen wohl nix mit dem FRST scan

Für den FRST-Scan ist keine Zeit...

Zitat:

Zitat von hotelier

dachte mir halt, mit MBAM, AdwClnr und GMER im reinen Lesebetrieb kann nicht wirklich viel schief gehen

aber blind andere Tools laufen lassen... dafür ist Zeit...


Bis GMER durchgelaufen ist, ist FRST mindestens 3 mal fertig... aber ich muss deine Vorgehensweise nicht verstehen, oder?

Klar, du hast es wohl nur gut gemeint... du verlängerst aber mit solchen Aktionen die gesamte Bearbeitungszeit vom Beginn bis zum Schluss, das muss dir klar sein...


FRST-Logdateien bitte...

"unterwegs" heisst in meinem fall nicht keine zeit sondern: nicht dort, wo der standrechner ist
hier in österreich ist schon vorlesungsfreie zeit, d.h. eltern besuchen usw...

sonntag bis montag mittag hab ich im zehn-minutentakt F5 gedrückt in der hoffnung, die nächste anweisung zu erhalten (kein vorwurf!!!!!!! ich bin unendlich dankbar, dass du dir das antust!!!wär ja noch schöner, wenn du dich nach meinen seltsamen online-zeiten richten solltest). und bestimmt wär sich da auch der FRST scan ausgegangen. wollt halt nur die wartezeit überbrücken mit tools, die ohne individualisierte eingaben operieren und (wahrscheinlich)nix kaputtmachen +GMER halt wegen rootkits schauen

eerrm...ja, völlig irrelevant.
sorry für die 2 minuten, die dich das lesen gekostet hat. aber ich leg halt wert auf nachvollziehbarkeit meines handelns



bis FRST kommt: lässt sich ausm GMER-log irgendwas fürchterliches herausdeuten? (sowas wie "sofort von sauberen rechner aus alle passwörter tauschen", etc.)


ahja: FRST einfach vom desktop aus starten oder das ganze prozedere mit usb boot?

Servus,

Zitat:

Zitat von hotelier

bis FRST kommt: lässt sich ausm GMER-log irgendwas fürchterliches herausdeuten? (sowas wie "sofort von sauberen rechner aus alle passwörter tauschen", etc.)

Nein, bisher seh ich nichts "Fürchterliches"...

Zitat:

Zitat von hotelier

ahja: FRST einfach vom desktop aus starten oder das ganze prozedere mit usb boot?

In meiner Anleitung steht nichts von "USB-Boot", oder?
ganz normal vom Desktop... dein Rechner startet ja normal.

Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomme ich keine Benachrichtigung über neue Antworten.
PM an mich falls Du denoch weiter machen willst.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen!