Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Flacor.dat: Richtiges Vorgehen bei Datensicherung etc.

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 24.07.2010, 14:24   #1
GemFire
 
Flacor.dat: Richtiges Vorgehen bei Datensicherung etc. - Standard

Flacor.dat: Richtiges Vorgehen bei Datensicherung etc.



Hallo,

habe folgendes Problem: Mein Windows ist offenbar mit Flacor.dat infiziert, ich habe (was im Nachhinein wohl nicht so klug war) bereits mit Malwarebytes gescannt und die Probleme behoben.
Aktuell sieht es so aus:

Malwarebytes:
Fand 3 Infektionen, u.a. Flacor.dat. Die habe ich beheben lassen. Seitdem findet Malwarebytes nichts mehr, allerdings springt beim Scannen dauernd Antivir an und gibt untenstehende Meldungen raus:

Antivir findet nichts, spuckt aber sobald ich mit Malwarebytes einen Scan mache laufend diese Meldungen aus:

'C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\f874eb25dd27ffec.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Spy.Agent.fcn' [trojan] gefunden.

'C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\dcfb6c694d817b52.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Spy.Agent.fcn' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern


'C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\f874eb25dd27ffec.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Spy.Agent.fcn' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

usw. (immer mit teils anderen Bezeichnungen)



Hijackthis sagt dies:

Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:10:51, on 24.07.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE
C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe
C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe
C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\Programme\Yahoo!\Widgets\YahooWidgets.exe
C:\Programme\Yahoo!\Widgets\YahooWidgets.exe
C:\Programme\Creative\ShareDLL\CADI\NotiMan.exe
C:\Programme\Yahoo!\Widgets\YahooWidgets.exe
C:\Programme\Yahoo!\Widgets\YahooWidgets.exe
C:\Programme\Yahoo!\Widgets\YahooWidgets.exe
C:\Programme\Yahoo!\Widgets\YahooWidgets.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Crazy Browser\Crazy Browser.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Java\jre6\bin\java.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [CTDVDDET] "C:\Programme\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE"
O4 - HKLM\..\Run: [RCSystem] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" RCSystem * -Startup
O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Yahoo! Widgets.lnk = C:\Programme\Yahoo!\Widgets\YahooWidgets.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Dokumente und Einstellungen\***\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programme\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1265495935656
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Kaspersky Online Scan findet nichts


Worum es mir nun geht:

1. Ist es wirklich Flacor.dat oder was hab ich mir eingefangen bzw. ist der Rechner überhaupt noch infiziert?

2. Werde eine neue Festplatte einbauen und die alte entsorgen (wollte ich sowieso) und Windows neu installieren. Windows befindet sich derzeit auf C, habe aber noch 3 Partitionen mit Daten, sowie einige Word/PDF-Dateien auf C. Wie gehe ich hier am besten vor bzw. besteht die Gefahr, dass bereits Dateien (will v.a. MP3s, .doc, .pdf, und .jpegs sowie einige Videos (.avi oder .mpeg und .mov) sichern) infiziert sind, evtl. auch quer über die Partitionen?

Dachte an folgendes Vorgehen:
1. Alte HDD: Windows-CD rein, C-Partition löschen; alte HDD abschließen
2. Neue HDD einbauen, Windows installieren
3. nun die alte HDD anschließen (infizierte C-Parition wurde ja schon gelöscht) und nun die Daten der drei anderen Paritionen auf die neue HD rüberschieben

Die Frage hierbei ist nun, ob das sicher ist oder ob evtl. die 3 Partionen der aktuellen HDD schon infiziert sein können bzw. Dateien darauf?

Was mache ich mit den Dateien, die sich auf C, also der aktuellen Windows-Partition befinden? (Blöderweise sehr wichtige .doc und .pdfs, von einer Seminararbeit die ich gerade schreibe sowie einige wichtige Mails). Diese auf USB-Stick sichern? Da habe ich jetzt eben Angst, dass ich mir genau hierüber eine Infektion aufs neue System rüberschiebe, oder ist die unberechtigt?


Und noch eine Frage:

Ich hab richtig Angst wegen Online-Banking, da ich als der Rechner infiziert war dort eingeloggt war (hab aber nur KTO-Stand geschaut, nichts überwiesen). Hab jetzt von einem sauberen Rechner aus die Log-In PINs geändert. Reicht das aus oder müsste ich da gleich ein ganz neues KTO beantragen (immerhin kann ich ja die KTO-Nummer/Benutzernummer zum Einloggen nicht ändern, nur die PIN).


Sorry für das lange Posting und vielen Dank für Eure Hilfe!

Alt 24.07.2010, 15:31   #2
markusg
/// Malware-holic
 
Flacor.dat: Richtiges Vorgehen bei Datensicherung etc. - Standard

Flacor.dat: Richtiges Vorgehen bei Datensicherung etc.



nein, die bank solltest du aber anrufen und ihnen das problem mitteilen.
desweiteren sollte man, da trojaner immer besser werden, sich bei der bank nach sichereren verfahren zum online banking erkundigen, die kosten vllt einmalig was, ist aber immernoch besser als seinem geld vllt später mal nachlaufen zu müssen
wenn du noch an nen sauberen pc kommst, solltest du dort deinen stick mit panda usb vaccine "impfen"
Panda USB Vaccine - Download - CHIP Online
es wird damit eine schreibgeschützte autorun datei erstellt und keine malware sollte sich kopieren können, dannn kannst du mit der datensicherung anfangen.
in zukunft ist es ratsam, das programm zu nutzen, um damit autorun für usb zu deaktivieren, du weist nie, was freunde mitbringen, auch sollte man immer eigene usb laufwerke damit schützen, du weist ebenso nicht, was freunde so auf ihrem pc haben, internet kafees, auch sehr schlimm :-)
dann lies dir das hier durch:
http://www.trojaner-board.de/74052-s...-internet.html
eingeschrenktes nutzerkonto ist auf jeden fall ein muss. comodo firewall ist zu empfehlen, da sie mit verhaltenserkennung daher kommt, also keine signaturen zur malware erkennung braucht. und auch sonst alles was da steht umsetzen.

um dich noch weiter abzusichern:
um das surfen sicherer zu machen, würde ich Sandboxie empfehlen.
http://www.trojaner-board.de/71542-a...sandboxie.html
dieses programm ist freeware.
man sollte aber trotzdem, da nach ner weile immer ne meldung aufpopt, ne lizenz besorgen, die kostet 25 € ist lebenslang gültig und du kannst die auf allen deinen pcs verwenden
dieses programm ist höchst sinnvoll. nehmen wir an, du surfst in der sandbox auf einer internet seite, die einen trojaner enthällt,, dieser gelangt in die sandbox, du kannst dir zu 99 % sicher sein, dass er dort nicht raus kommt, dass heißt, mit leeren der sandbox ist der trojaner nicht mehr auf dem pc. so hättest du dir dein problem höchst warscheinlich ersparrt.
avira konfigurieren:


wenn du das alles umsetzt, und keine illegalen downloads etc machst, solltest du eigendlich sehr gut geschützt sein.
__________________


Alt 24.07.2010, 16:13   #3
GemFire
 
Flacor.dat: Richtiges Vorgehen bei Datensicherung etc. - Standard

Flacor.dat: Richtiges Vorgehen bei Datensicherung etc.



Danke für die ausführlichen Ausführungen.

Das Problem ist, dass ich sowohl USB-Stick als auch externe Festplatte bereits am infizierten PC angeschlossen hatte, da ich die Infektion zuerst nicht bemerkt habe - ich war eher auf der Suche nach einem Hardwarefehler, da er öfters diese bekannte Meldung brachte mit nach 30 Sec. runterfahren und dies dann auch tat.


Hab beide Laufwerke (externe HDD und Stick) Scannen lassen von Malwarebytes, Antivir und Kaspersky Online - keine Funde. Kann ich mir damit sicher sein, dass hier nix drauf ist? Ich will sie sonst ja ungern an den anderen, sauberen PC anschließen....
Umgekehrt würde Online-Scan mit Ubuntu-CD über Kaspersky wohl nicht viel bringen, da es mir scheint, dass dieser Scanner den Schädling nicht finden kann?

Gibt es denn allg. Erfahrung/Wissen dazu, ob diese Flacor.dat Mist sich in genannte Dateien (pdfs, docs, etc.) reinschreibt und Partitionen überspringen kann?

Das Seltsame wie gesagt ist, dass ich erstmals mit Malwarebytes Flacor.dat gefunden habe und entfernte. Nach dem Neustart kam "Flacor.dat kann nicht gefunden werden..." und Antivir brachte weiterhin obig genannte Funde beim Scannen. Nach nochmaligen Reboot (sonst nix geändert) findet nun kein einziger Scanner mehr etwas, wenn man direkt sucht.
Einzig Antivir schlägt an, wenn ich mit Malwarebytes oder SpyBot Search & Destroy die Festplatte scanne und bringt obige Meldungen. D.h. irgendwas muss ja noch da sein?
__________________

Alt 24.07.2010, 17:20   #4
markusg
/// Malware-holic
 
Flacor.dat: Richtiges Vorgehen bei Datensicherung etc. - Standard

Flacor.dat: Richtiges Vorgehen bei Datensicherung etc.



dies ist kein schädling der externe laufwerke infiziert, wenn du also bereits die platte geprüft hast, ohne funde, dann schließe die an und kopiere deine daten.
um sicher zu gehen, wirst du das saubere neu aufgesetzte system mit den von mir genannten tools absichern und erst dann die festplatte anschließen und erneut scannen.
um auf die meldung, modul kann nicht gefunden werden zurückzukommen, in der registry gibt es einen eintrag, über den diese datei gestartet werden soll, windows versucht also die datei zu starten, findet sie aber nicht.

wenn du auf irgendeine art und weise den pc durchsuchst, dann prüft avira automatisch die dateien, auf die zb kaspersky grade zugreift, wenn dort nen schädling enthalten ist, dann schlägt avira natürlich an.
nicht alle programme erkennen alles und das selbe.
das sicherste ist es wie gesagt, alles neu zu machen, die tipps zu beachten, die bank zu informiren und sich dann wirklich mal über sicherere verfahren beraten zu lassen, damit bist du denk ich auf der sicheren seite.

Alt 27.07.2010, 20:48   #5
GemFire
 
Flacor.dat: Richtiges Vorgehen bei Datensicherung etc. - Standard

Flacor.dat: Richtiges Vorgehen bei Datensicherung etc.



Hallo, ich nochmal:

Habe jetzt meine neue Festplatte bekommen und wollte beginnen mit Neuinstallation. Habe vorher aber nochmal ordentlich gescannt um einen noch besseren Überblick zu bekommen.

1. Kaspersky Online: Findet nichts

2. Antivir: Findet nichts mehr

3. Malwarebytes: Findet nichts mehr

4. Vipre Antivirus: Findet "Trojan.Win32.Generic!BT

5. Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7

Zitat:
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
6. Bootkit Remover

Zitat:
Program version: 1.1.0.0
OS Version: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`007e0000
Boot sector MD5 is: 5ddc20efcc4d1dab37c348c7db7289cf

Size Device Name MBR Status
--------------------------------------------
232 GB \\.\PhysicalDrive0 Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>
Kannst Du/Ihr mir was zu den Punkten 4 - 6 sagen? Flacor.dat bin ich ja offenbar los seit der Entfernung mit Malwarebytes (PC fährt sich nicht mehr selbst runter und es wird auch nix mehr gefunden). Oder kann der Schein da auch nur trügen? Habe hier schon oft gelesen, Flacor ließe sich nicht ebenso entfernen, sondern würde nach Entfernung nur nicht mehr auffindbar sein?


Handelt es sich bei "Trojan.Win32.Generic!BT" um eine andere/neue Geschichte, oder hängt das mit Flacor zusammen? Soll ich Vipre das Teil in Quarantäne schicken lassen oder löschen?

Was mir echt sorgen macht ist, dass offenbar mit dem MBR was nicht stimmt? Kann ich nicht wirklich deuten...

Nochmal zwecks vorgehen zwei Fragen:

Ich hab unheimlich Angst davor, mir die Schädlinge aufs neue System mitzunehmen? Ist das berechtigt, oder infizieren die keine Dateien wie .pdf, .docs, .avi, Outlook-Mails usw.? Muss ja schließlich einige Daten sichern...

Kommt es aufs gleiche raus, wenn ich die Daten mit Ubuntu Live sichere oder eben die nötigen Files von meiner Systempartition auf USB-Stick ziehe, dann die Windows-Partition lösche und später diese Festplatte wieder anschließe um von den verbleibenden Partitionen die restlichen Daten auf die neue Festplatte rüberschiebe? Letzteres wäre mir lieber, da Sicherung unter Ubuntu noch aufwändiger wäre...
Oder bekomme ich da Probleme, wenn was mit dem MBR der Platte ist? Oder wird das nicht zum Problem, wenn man dann eine Festplatte drin hat auf der Windows läuft und dann eben die alte (infizierte) nur anschließt - von der wird ja nicht mehr gebootet.....


Alt 27.07.2010, 21:06   #6
markusg
/// Malware-holic
 
Flacor.dat: Richtiges Vorgehen bei Datensicherung etc. - Standard

Flacor.dat: Richtiges Vorgehen bei Datensicherung etc.



ich brauche mal den genauen pfundort von fibre

bitte start ausführen, cmd.exe
dann gib ein
remover.exe dump \\.\PhysicalDrive0 c:\mbr.mbr
enter
falls das nicht klappt, verschiebe remover.exe
nachc:\windows\system32
dann noch mal
remover.exe dump \\.\PhysicalDrive0 c:\mbr.mbr
enter
lad mir die mbr.mbr hoch, ist auf c:
http://www.trojaner-board.de/54791-a...ner-board.html
ich sehe es mir mal an

Alt 27.07.2010, 21:47   #7
GemFire
 
Flacor.dat: Richtiges Vorgehen bei Datensicherung etc. - Standard

Flacor.dat: Richtiges Vorgehen bei Datensicherung etc.



Hat geklappt:

Alt 27.07.2010, 21:49   #8
markusg
/// Malware-holic
 
Flacor.dat: Richtiges Vorgehen bei Datensicherung etc. - Standard

Flacor.dat: Richtiges Vorgehen bei Datensicherung etc.



hmm die tools haben da manchmal schwierigkeiten. du kannst ja beim formatieren den mbr neu schreiben lassen, über die recovery konsole, dann meldest du dich mit der 1 an der windows instalation an und schreibst
fixmbr
enter evtl. mib y enter bestätigen, dann exit.
deaktiviere autorun
Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de
dann daten kopieren

Alt 27.07.2010, 21:51   #9
GemFire
 
Flacor.dat: Richtiges Vorgehen bei Datensicherung etc. - Standard

Flacor.dat: Richtiges Vorgehen bei Datensicherung etc.



Hat nun doch geklappt, hab die Datei hochgeladen, scheint hier nur noch nicht zu stehen.

Alt 27.07.2010, 21:53   #10
markusg
/// Malware-holic
 
Flacor.dat: Richtiges Vorgehen bei Datensicherung etc. - Standard

Flacor.dat: Richtiges Vorgehen bei Datensicherung etc.



das steht dann im upload channel, da hast keinen zugriff :-)ok melde mich morgen

Alt 27.07.2010, 21:54   #11
GemFire
 
Flacor.dat: Richtiges Vorgehen bei Datensicherung etc. - Standard

Flacor.dat: Richtiges Vorgehen bei Datensicherung etc.



Klasse, schon mal ganz ganz großes Dankeschön :-) Würde nicht sagen, dass ich wenig Ahnung von Windows/PCs habe, aber vor Dir muss man sich echt verneigen :-)

Alt 27.07.2010, 21:57   #12
markusg
/// Malware-holic
 
Flacor.dat: Richtiges Vorgehen bei Datensicherung etc. - Standard

Flacor.dat: Richtiges Vorgehen bei Datensicherung etc.



aber du kannst die datensicherung im prinzip schon machen, autorun ausschalten und dann gehts los

Alt 27.07.2010, 22:59   #13
GemFire
 
Flacor.dat: Richtiges Vorgehen bei Datensicherung etc. - Standard

Flacor.dat: Richtiges Vorgehen bei Datensicherung etc.



Nochmal ich:
Habe mich dran gemacht eine Ubuntu-CD zu brennen, dafür aber nochmal den vermeintlich sicheren Rechner gescannt. Sämtliche Scanner haben nix gefunden, allerdings gibt der Bootkit-Finder die gleiche Meldung "Unknwon BootCode..." aus, wie an meinem infizierten Rechner.

Habe die mbr.mbr Datei hiervon auch mal hochgeladen und mit entsprechendem Kommentar versehen. Vll. kannst Du da auch einen Blick drauf werfen? Handelt es sich evtl. nur um einen Fehlalarm? Ansonsten hätte ich echt ein Problem :-(
Damit das nicht zu unübersichtlich wird für Dich:

Habe 3 Dateien hochgeladen (2 von meinem Rechner, sind beide die gleichen - dachte erst da käme ein Link in den Thread, daher doppelt hochgeladen; die dritte von Uhrzeit 23:00 Uhr ist die vom vermeintlich sauberem PC).

Alt 28.07.2010, 14:44   #14
markusg
/// Malware-holic
 
Flacor.dat: Richtiges Vorgehen bei Datensicherung etc. - Standard

Flacor.dat: Richtiges Vorgehen bei Datensicherung etc.



ok der erste mbr ist schon mal sauber, die zweite sehe ich mir an, nehme aber auch an, dass sie ok ist.
das tool ist sehr gut, aber noch recht neu, der macher muss erst die datenbank von guten und schlechten mbrs vergrößern ich meld mich noch mal wegen pc 2

Alt 28.07.2010, 15:07   #15
markusg
/// Malware-holic
 
Flacor.dat: Richtiges Vorgehen bei Datensicherung etc. - Standard

Flacor.dat: Richtiges Vorgehen bei Datensicherung etc.



mbrs sind clean, leg also beruhigt los

Antwort

Themen zu Flacor.dat: Richtiges Vorgehen bei Datensicherung etc.
ad-aware, ad-watch, antivir, antivir guard, avira, bho, browser, converter, desktop, e-banking, excel, festplatte, firefox, frage, hijack, hijackthis, hkus\s-1-5-18, jusched.exe, kaspersky, logfile, mp3, neue festplatte, problem, programm, software, system, virus, windows, windows xp, ändern



Ähnliche Themen: Flacor.dat: Richtiges Vorgehen bei Datensicherung etc.


  1. Trojaner flacor.dat in Adobe updater, ist er neutralisiert?
    Plagegeister aller Art und deren Bekämpfung - 19.12.2010 (14)
  2. flacor.dat Fehlermeldung - wie bekomme ich sie weg?
    Plagegeister aller Art und deren Bekämpfung - 28.11.2010 (1)
  3. flacor.dat (Backdoor- Trojaner) Log- Dateien
    Plagegeister aller Art und deren Bekämpfung - 10.10.2010 (0)
  4. Silentbanker - flacor.dat
    Plagegeister aller Art und deren Bekämpfung - 16.09.2010 (50)
  5. Check der logfiles nach flacor.dat
    Plagegeister aller Art und deren Bekämpfung - 07.09.2010 (5)
  6. flacor.dat -> System neu aufgesetzt
    Plagegeister aller Art und deren Bekämpfung - 29.08.2010 (1)
  7. Flacor.dat entdeckt
    Plagegeister aller Art und deren Bekämpfung - 20.08.2010 (29)
  8. flacor.dat erwischt - System neu aufsetzen
    Log-Analyse und Auswertung - 17.08.2010 (3)
  9. pc sauber nach flacor.dat?
    Log-Analyse und Auswertung - 15.08.2010 (21)
  10. flacor.dat Problem Trojaner?
    Log-Analyse und Auswertung - 05.08.2010 (8)
  11. Datenrettung bei flacor
    Log-Analyse und Auswertung - 05.08.2010 (3)
  12. Trojaner: flacor.dat - Anleitung ausgeführt + Logfiles
    Log-Analyse und Auswertung - 26.07.2010 (4)
  13. flacor.dat - bin ich ihn los?
    Plagegeister aller Art und deren Bekämpfung - 23.07.2010 (4)
  14. FLACOR.DAT -> System neu aufgesetzt -> Logs ok? DANKE!
    Log-Analyse und Auswertung - 20.07.2010 (8)
  15. Fehlermeldung RUNDLL......flacor.dat Malware?
    Plagegeister aller Art und deren Bekämpfung - 23.05.2010 (60)
  16. flacor.dat - Windows fährt herunter
    Log-Analyse und Auswertung - 19.05.2010 (2)
  17. Richtiges Löschen von banner.exe, bzw translator.exe
    Plagegeister aller Art und deren Bekämpfung - 15.02.2008 (17)

Zum Thema Flacor.dat: Richtiges Vorgehen bei Datensicherung etc. - Hallo, habe folgendes Problem: Mein Windows ist offenbar mit Flacor.dat infiziert, ich habe (was im Nachhinein wohl nicht so klug war) bereits mit Malwarebytes gescannt und die Probleme behoben. Aktuell - Flacor.dat: Richtiges Vorgehen bei Datensicherung etc....
Archiv
Du betrachtest: Flacor.dat: Richtiges Vorgehen bei Datensicherung etc. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.