ich kann kein AVZ starten, auch nicht im abgesichertem ;.(

ich hab übern zweiten pc grad den mcafee stinger gesaugt und durchsucht gerade, aber glaube der is fürn a****, aber den kann ich wenigstens starten.. das geile:antivir läuft ohne zu meckern,tzz..

Mach bitte jetzt nicht einfach irgendetwas sondern nur das was wir dir sagen.
Ansonsten geht das alles schief.

Antivirus Live-CD

Drucke dir diese Anleitung aus da sie dir während du mit der Live-CD arbeitest nicht zur Verfügung steht!


1. Brennen und Starten der LiveCD:

• Downloade dir dieses Archiv:
  Code: Alles auswählenAufklappen

  ATTFilter

  http://qshare.com/get/866107/MultiAVBootCD.zip.html
           

• Entpacke die Datei in einen eigenen Ordner. Das Passwort lautet: LiveCD2009
  
• Brenne die entpackte .iso Datei mit einem Brennprogramm deiner Wahl. Kostenlos und gut ist zum Beispiel der CdBurnerXP
  
• Lege die Cd ins Laufwerk ein und starte den Rechner neu. Er sollte nun von der CD booten und einen Auswahlbildschirm auf Italienisch anzeigen. Wenn der Rechner nicht von der CD bootet sondern ganz normal Windows startet musst du im BIOS den boot device ändern.(Google Hilft )

2. Datensicherung:

• Wähle im Auswahlbildschirm die zweite Option (Menu antivirus) aus.
  
• Im folgenden Auswahlbildschirm wähle den zweiten Eintrag (Avvio die GDATA) aus.
  
• Das G-Data Rettungssystem startet nun.
  
• Du wirst automatisch gefragt ob die Virus Signatures aktuallisiert werden sollen bestätige erst durch drücken des Si Buttons und danach mit Ok.
  
• Warte bis das Update beendet ist (100%) und schließe das Fenster durch Klicken des Chiudi Buttons.
  
• Danach kannst du das G-Data AntiVirus Fenster erstmal schließen.
  
• Öffne den File Manager (Gestione file) durch drücken des Akten Zeichens in der Taskleiste.
  
• Navigiere zu deinen Festplatten. Diese finden sich im Menü auf der Linken Seite unter Filesystem -> mnt
  
• Stecke deinen USB-Stick oder deine externe Festplatte in einen freien USB-Slot.
  
• Öffne den File Manager ein zweites mal und navigiere zu deinen USB-Stick. Dieser findet sich als letzter Eintrag im Menü des File Managers auf der Linken Seite.
  
• Nun hast du zwei Fenster geöffnet zwischen denen du per Drag&Drop bzw. Copy&Paste Daten verschieben kannst.
• Sichere deine wichtigen Dokumente. Allerdings so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben.
b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV durchsucht werden.
c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV sowie andere AV-Scanner findet nur einen Bruchteil aller infizierten Dateien!

3. Schädlingssuche:


Viele Rootkits verändern beim Windows Start ihren Namen. Daher ist es wichtig, dass während der folgenden Prozedur der Rechner nie das normale Windows Betriebssystem startet sondern immer von der LiveCD bootet. Solltest du mal nicht schnell genug die CD ins Laufwerk bekommen oder das BootMenü verpassen so drücke den Reset Knopf am Computer um zu verhindern, dass Windows gestartet wird.


G-DATA:

• Starte nun die Schädlingssuche.
• Anfallende Log/Bericht Dateien speichere unbedingt!!
• Schreibe dir außerdem die Funde ab!!
• Nachdem G-Data durch ist starte den Rechner neu.

F-Secure:

• Boote wieder von der CD und mache mit F-Secure weiter (Avvio di F-Secure).
• F-Secure updatet sich von alleine. Klicke dich durch die Dialoge und starte den Scan.
• Log/Bericht Dateien auf jeden Fall speichern und Funde abschreiben!!
• Nachdem der Scan beendet ist starte den Rechner neu.

DrWeb:

• Boote wieder von der CD und wähle (Avvio di DrWeb) aus.
• Danach wähle den ersten Eintrag DrWeb-LiveCD aus.
• Klicke im Hauptfenster unbedingt den grünen Button (Update Bases)!
• Danach starte den Scan durch drücken des Start Buttons.
• Log/Bericht Dateien auf jeden Fall speichern und Funde abschreiben!!
• Nachdem der Scan beendet ist starte den Rechner neu.

Kaspersky:

• Boote wieder von der CD und wähle (Avvio di kaspersky) aus.
• Danach wähle den ersten Eintrag rescue aus.
• Kasperksy09 startet. Das Update sollte automatisch starten. Wechsel in den Update Reiter und stelle sicher, dass das Update durchgeführt wird. Startet das Update nicht so starte es bitte manuell. Warte bis das Update beendet wurde und die Siganturen aktuell sind.
• Setze unter Settings -> Scan: den Haken bei All Archives.
• Wähle unter Settings -> Threads and Exclusions -> Settings: alle Bedrohungen aus. Einen Haken musst du selber für "other Programms" setzen.
• Wähle dann im Hauptfenster alle deine Festplatten sowie die Laufwerksbootsektoren aus (einfach alles auswählen!) und starte den Scan.
• Ist der Scan beendet rufe das log auf und speichere es.
• Schreibe dir außerdem wie immer alle Funde auf ein Blatt Papier ab!!

Alle Log/Bericht Dateien sowie die abgeschriebenen Funde packe bitte per G-Data Rettungssystem wie oben beschrieben auf einen USB-Stick und poste sie uns. Dazu musst du einen anderen PC benutzen da du den infizierten Rechner wie gesagt nur über die Live CD booten darfst bis du von uns andere Anweisungen bekommst.
Solltest du keinen anderen PC zur Verfügung haben bietet das DrWeb Live System einen integrierten FireFox an. Du kannst also von der DrWeb-LiveCD booten, FireFox aufrufen, das Trojaner-Board besuchen und uns die Funde posten.

Leider is mein Brenner ****zensur**** .. ähm .. breit/defekt

Ich habe noch einen 2gb-USB-Stick/mp3-player oder die Möglichkeit meine Platte an ein anderen PC zu hängen und durchsuchen zu lassen, allerdings wird der nicht die Registry durchgehen..

oder kann ich das tool schnell auf ne neue partition machen und n bootmenu vorschalten? hab genug frei für n paar partitionen ^^

Du kannst das auch auf eine Neue Partition packen und ein Boot Menü davor schalten. Sollte kein Problem sein.

ok, letzte Partition angepasst, neue Partition erstellt, Iso entpackt, Bootmenu geschaltet, und wie bekomm ich die Partition jetz bootfähig? =P

€dit: Hier hat sich gerade Antivir seit langem gemeldet -> TR/Crypt.XPACK.Gen

Du wirst wohl irgendwie einen Brenner auftreiben können oder?

hmpf, nein.. wozu habe ich denn nach einer anderen möglichkeit gefragt und jetzt extra die partition angelegt... was ist das denn fürn system ? sonst boote ich n xp/linux und greife dann auf die partition zu...

hijack und sowas alles, lässt sich auch nicht öffnen

Du brauchst die Boot CD.

omg, ich denke es ist möglich, und ich kann das machen... naja wayne, selbst is der mann ich hab jetzt erstmal ein neuen benutzer angelegt und unter dieser anmeldung kann ich alle progz starten..

Möglich ist alles. Alerdings musst du dir das selber beibringen. Jetzt noch an einer Bootfähigen Partition rumbasteln ist mir zu aufwändig.

Dafür gibt es CDs.

hm, dachte ihr kennt euch da aus, ik hab kein plan von linux bzw is ja knopix.. ich lass gerade mit AVZ auf ner anderen benutzerebene mein sys durchscannen und werd glei ma HijackThis ausführen.. zeigt hjt nur den aktiven benutzer an ?

Du sollst die Boot CD benutzen. -.-

soll ich die in den pci-slot oder zwischen die cpu-kühlerrippen schieben ? :/

=) Das kannst du mal ausprobieren. Lass mich wissen ob es geklappt hat. Würde mich interessieren.

Mit der Bootfähigen Partition geht das sicher aber da müsste ich jetztt selber google bemühen und das kannst du auch alleine machen.

So ein CD Brenner/Laufwerk kostet vlt. noch 30€.

PS: Ich kanns doch nicht ändern.

ich habe eben beim screen "Windows wird geladen" esc gedrückt.. und auf einma kann ich hijack starten.. dafür ist der andere benutzer jetzt auch verseucht

hier meine hjt-log

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:07:16, on 25.11.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\DAEMON Tools Lite\DTLite.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programme\Alwil Software\Avast4\setup\avast.setup
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Nachrichten - Service - Shopping bei t-online.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Nachrichten - Service - Shopping bei t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von T-Online
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 142.150.238.13:3124
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local>
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [WiseStubReboot] MSIEXEC /quiet SKIP_PPU_DRIVER_INSTALL=1 /I "C:\Programme\Gemeinsame Dateien\Wise Installation Wizard\WISC5C1C0F0D62F4DBF81D4D7EF397C228B_9_09_0814.MSI" TRANSFORMS="C:\Programme\Gemeinsame Dateien\Wise Installation Wizard\WISC5C1C0F0D62F4DBF81D4D7EF397C228B_9_09_0814.MST" WISE_SETUP_EXE_PATH="c:\nvidia\displaydriver\190.62\international\PhysX_9.09.0814_SystemSoftware.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [BrStsWnd.exe] C:\Programme\Brownie\BrStsWnd.exe WindowsStartUpModel (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [BrStsWnd.exe] C:\Programme\Brownie\BrStsWnd.exe WindowsStartUpModel (User 'Default user')
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O20 - AppInit_DLLs: winmm.dll
O23 - Service: Adobe Version Cue CS3 {de_DE} (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

--
End of file - 8138 bytes

anti-malware läuft gerade und davor hat sich avast mit Win32:Kates-G gemeldet

worin liegt eigentlich der unterschied:
-ob ich von cd boote...
-oder wenn ich die platte in anderen pc hänge, und die tools vom anderen windows über die platte fliegen lasse ??

und konntest du was in meinen avz-logs erkennen ???