|
Combofix versucht sich dauernd erfolglos zu öffnen Einen wunderschönen guten Tag... Nachdem mein PC von nem bösen Trojaner heimgesucht wurde, habe ich nach einigem rumpfuschen in der Registry Combofix runtergeladen und laufen lassen... Soweit so gut, irgendwann war der Scan beendet und Combofix hat den PC neu gestartet... Seitdem öffnet sich ungefähr 10 mal pro Sekunde ein Dos-Fenster mit Combofix und wird sofort wieder geschlossen/abgebrochen... Hat wer ne Idee, was da los sein könnte? :( Liebe Grüße Badgerli |
Das kommt davon wenn man Combofix und andere Sachen auf eigene Faust machen will http://www.trojaner-board.de/images/icons/icon4.gif http://www.trojaner-board.de/95175-combofix.html http://www.trojaner-board.de/images/icons/icon4.gif Zitat:
|
Danke für diese hilfreiche Antwort :balla: Hab mich da halt 1 zu 1 an eine Anleitung gehalten, bei exakt gleichem Problem mit exakt gleichen Logs... Systemwiederherstellung hat da allerding geholfen... ;) |
System nach Spy.Banker.Gen2 wieder sauber? Einen wunderschönen guten Morgen! Vor ein paar Tagen fing mein Virenscanner (Avira) an, Alarm zu schlagen, eine Datei (c:\Benutzer\Badger\Appdata\Roaming\(bei jedem Start neu erstellter Ordner mit ner vierstelligen Zahl als Namen)\Acroff.dll ) sei mit Trojan.Banker.Gen2 infiziert... Löschen lassen half dann auch nur kurzzeitig... Habe daraufhin in der Registry 3 oder 4 Einträge gelöscht, die auf diesen Ordner wiesen (einer davon war in den Firefox extensions). Seitdem keinen einzigen Alarm mehr vom Virenscanner bekommen, aber bevor ich mich irgendwo auf wichtigen Seiten anmelde, möchte ich erstmal sicher gehen, dass der Rechner wirklich wieder sauber ist... Daher: Defogger benutzt und dann OTL laufen lassen, hier der Log: Danke schonmal für die Hilfe! PS: Hab nochmal alle meine Logs von Malwarebytes durchgeschaut (insgesamt 10, alle sauber bis auf eins(war der erste Scan)): : Malwarebytes' Anti-Malware 1.51.2.1300 www.malwarebytes.org Database version: 8192 Windows 6.1.7600 Internet Explorer 8.0.7600.16385 19.11.2011 12:11:27 mbam-log-2011-11-19 (12-11-27).txt Scan type: Quick scan Objects scanned: 168538 Time elapsed: 3 minute(s), 18 second(s) Memory Processes Infected: 0 Memory Modules Infected: 0 Registry Keys Infected: 2 Registry Values Infected: 1 Registry Data Items Infected: 0 Folders Infected: 0 Files Infected: 2 Memory Processes Infected: (No malicious items detected) Memory Modules Infected: (No malicious items detected) Registry Keys Infected: HKEY_CLASSES_ROOT\CLSID\{C689C99E-3A8C-4c87-A79C-C80DC9C81632} (Trojan.Banker) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C689C99E-3A8C-4C87-A79C-C80DC9C81632} (Trojan.Banker) -> Quarantined and deleted successfully. Registry Values Infected: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Userinit (Backdoor.Agent) -> Value: Userinit -> Quarantined and deleted successfully. Registry Data Items Infected: (No malicious items detected) Folders Infected: (No malicious items detected) Files Infected: c:\Users\Badger_2\AppData\Roaming\acroiehelpe048.dll (Trojan.Banker) -> Quarantined and deleted successfully. c:\Users\Badger_2\AppData\Roaming\appconf32.exe (Backdoor.Agent) -> Quarantined and deleted successfully. |
Zitat:
Abgesehen davon hast du nichtmal Angaben zu deinem Betriebssystem oder gar Logfiles von deinem Virenscanner gepostet! Zitat:
|
Wieso machst du jetzt ein neues Thema auf? :balla: => http://www.trojaner-board.de/105417-...s-oeffnen.html |
hm, anderes Problem (zugegebenermaßen "related"), leichte Verpeiltheit und Verdrängung des "Konfliktes" sind glaube ich die möglichen Antworten... Sorry dafür... |
Die Anleitung kam leider von nem anderen Board (weiß auch nimmer welches) und LEIDER nimmt man es dort nicht so genau mit Warnungen bezüglich Combofix... Und sorry für meinen Kommentar dazu, fühlte mich im ersten Moment ein wenig zu unrecht angeschnauzt und hatte nur wenige Sekunden Zeit... Später konnt ich es dann nimmer editieren... Memo an mich: Nächstes Posting (auch Startposting) nicht unter Zeitdruck erstellen (zumal ich eigentlich durchaus weiß, dass es sinnvoll ist, mehr Infos zu geben...), ist einfach aus der Panik heraus entstanden, weil ich abends von der Arbeit nach Hause muss und da keinen anderen Internetzugang hätte, als den in der Form nicht funktionstüchtigen Laptop... Wie auch immer, SORRY :stirn: PS: was mir gerade noch auffällt... Logfiles posten wäre nicht gegangen, weil ich durch das Problem nichtmal an den Rechner kam ;) |
Ich führe die beiden Themen mal zusammen |
Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! ESET Online Scanner
|
Malwarebytes Log: Code: Malwarebytes' Anti-Malware 1.51.2.1300Eset Log: Code: ESETSmartInstaller@High as downloader log: |
Zitat:
|
Update now war bei mir ausgegraut, dachte das würde heißen, dass es keine Updates gibt gerade... Habs nochmal neu runtergeladen und nu gehts ;) Melde mich dann in ungefähr 2 Stunden, wenns fertig ist |
Da isser Code: Malwarebytes' Anti-Malware 1.51.2.1300 |
Ok. Hat Combofix zufällig ein Log erstellt? Wenn nicht schau mal nach ob da ein Ordner C:\Qoobox existiert. |
Finde keinen Combofix Log, aber der Ordner ist vorhanden, ja... In der \Lastrun\drev_.txt stehen "C:\install.exe" "C:\Users\Badger_2\AppData\Roaming\AcroIEHelpe.txt" "C:\Users\Badger_2\AppData\Roaming\srvblck2.tmp" "C:\Windows\pkunzip.pif" "C:\Windows\pkzip.pif" Und befinden sich nu alle im Quarantine Ordner in Qoobox |
Ich brauch den Quarantäneordner von Combofix. Bitte folgendes machen: 1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinflussen! 2.) Ordner Quarantine in C:\Qoobox in eine Datei zippen 3.) die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang in den Thread posten! 4.) Wenns erfolgreich war Bescheid sagen 5.) Erst dann wieder den Virenscanner einschalten |
Ist hochgeladen |
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann! |
Code: All processes killed |
Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet, Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten. Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition nach, da speichert der TDSS-Killer seine Logs. Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten! http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen: Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop. Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern ) http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif |
In voller Pracht und Länge :D Code: 13:30:32.0451 3024 TDSS rootkit removing tool 2.6.21.0 Nov 24 2011 12:32:44 |
Dann bitte jetzt CF ausführen, unter kontrollierten Bedingungen!! ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie Zitat:
|
Hm... Das Problem vom Anfang mit Combofix trat wieder auf... Aber hab inzwischen die Lösung gefunden, nach dem restart als Admin anmelden... Allerdings bereitet Combofix nun schon seit ner knappen Stunde angeblich das Logfile vor... Ist das normal? Offensichtlich hats nu doch geklappt ;) Code: ComboFix 11-11-28.02 - Badger 28.11.2011 17:15:52.2.2 - x64 |
Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
|
Code: aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software |
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt: ESET Online Scanner
|
Code: Malwarebytes' Anti-Malware 1.51.2.1300Code: SUPERAntiSpyware Scan LogCode: ESETSmartInstaller@High as downloader log: |
Überreste und ein paar Cookies. Kann alles weg. Rechner ansonsten wieder im Lot? |
Bis gerade eben wollte ich ja schreiben, doch gerade beim Systemstart hatte ich nen schwarzen Bilschirm mit nem Fenster, dass mein Windows möglicherweise nicht legal sei, da es nicht aktiviert wurde (nutze das System seit nem knappen Jahr von daher wundert mich der Zeitpunkt)... Hatte nur die Möglichkeit auf OK zu klicken, danach kam dann "Windows wurde aktiviert" und alles läuft normal... Nur Windows Update nicht (sagt immer, dass es nicht gestartet werden kann, weil der Dienst nicht gestartet sei, was er aber ist...) Können aber vom Rest völlig unabhängige Probleme sein... Den Softonic Downloader kann ich nach dem Laden der Software auch bedenkenlos zernichten und verstören, richtig? ;) Danke für deine Mühen auf jeden Fall schonmal :) |
Dann wären wir durch! :abklatsch: Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt. Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken. Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast) Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink: Mozilla und andere Browser => http://filepony.de/?q=Flash+Player Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind. Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
Danke danke danke danke :) Einziges Problem: Windows Update will absolut nicht funktionieren, wie gesagt, bei direktem Klicken auf Update kommt, dass nicht nach Updates gesucht werden kann, weil der Update Dienst nicht gestartet wurde (laut Systemsteuerung isser aber aktiv), wenn ich manuell Updates runterlade, kann ich die msi Dateien nicht öffnen, da kommt immer "Das Installationsprogramm hat einen Fehler festgestellt: 0xc8000247"... Google konnte mir bisher auch nicht helfen, aber ich nehme an das ist dann wohl eher ein Fall für einen neuen Thread, oder? |
Das hier gelesen? => Windows update service not working - Windows 7 Forums |
Speziell diesen Thread nicht, aber viele andere, wodurch ich im Endeffekt fast alle dort beschriebenen Sachen ausprobiert habe, habs nu durch alles ergänzt, was ich noch nicht gemacht hatte... Immer noch keinen Erfolg... |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:14 Uhr. |
Copyright ©2000-2024, Trojaner-Board
