|
Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten Anleitung und Downloadlink hier => http://www.trojaner-board.de/82358-t...entfernen.html Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm! Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet, Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten. Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C:) nach, da speichert der TDSS-Killer seine Logs. Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten! http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg |
Moin, hat alles geklappt wie angewiesen, hier das TDSS-log: Code: 14:29:09.0622 0660 TDSS rootkit removing tool 2.7.40.0 Jun 15 2012 15:13:31Mo |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie Zitat:
|
Hab CF durchlaufen lassen, musste danach nochmal neustarten. Hier der log: Combofix Logfile: Code: ComboFix 12-06-19.01 - *** 19.06.2012 16:17:08.1.4 - x64Gruß, Mo |
Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!! Code: Firefox::4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. http://users.pandora.be/bluepatchy/m...s/CFScript.gif 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann! |
Moin Arne, alles gemacht wie angewiesen, hier das log: Combofix Logfile: Code: ComboFix 12-06-20.02 - *** 20.06.2012 19:29:22.2.4 - x64Grüße und wie immer: Besten Dank, Moritz |
Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM! Downloade dir bitte  aswMBR.exe und speichere die Datei auf deinem Desktop.
Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none). Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes: Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button. |
Moin, so, alles soweit es ging befolgt. GMER ist zwar nicht abgestürzt, hat aber auch nichts gefunden und mir daher auch kein log zum kopieren ausgespuckt. OSAM lief ohne zicken, hier das log: OSAM Logfile: Code: Report of OSAM: Autorun Manager v5.0.11926.0Hab aswMBR.exe geladen und durchlaufen lassen. Zitat:
Code: aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST SoftwareDank und Gruß, Mo |
Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
Moin, bald fertig? Das klingt ja vielversprechend! Ich habe beide tools scannen lassen (inklusive update natürlich). Das Malearebytes log: Code: Malwarebytes Anti-Malware 1.61.0.1400Und as SASW log: Code: SUPERAntiSpyware Scan LogUnd eine weitere Frage: Welches Antivirus-programm (freeware) würdest du persönlich mir für die Zukunft empfehlen? Liebe Grüße, Mo |
Keine Funde! :daumenhoc Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme? Zitat:
Die Frage - welcher Virenscanner oder ob der installierte reicht - taucht ständig auf. Der Virenscanner - egal welcher - kann und wird niemals 100% Schutz bieten können. Neue/unbekannte Schädlinge können immer durch die Lappen gehen. Geld ausgeben muss man nicht für einen Scanner, sowas wie Avast oder Microsoft Security Essentials sind für die privaten Gebrauch völlig ausreichend. Abgesehen davon nutzen verschiedene Virenscanner unterschiedliche Signaturen und Techniken, das führt dazu, dass zB Scanner1 Schädling X entdeckt, aber Schädling Y übersieht. Scanner2 erkennt Schädling Y, dafür aber Schädling X nicht... Wichtiger ist, dass du dich an Regeln hälst. Der beste Virenscanner bringt nichts, wenn du dich falsch verhälst und fahrlässig/unvorsichtig bist. Airbag und Sicherheitsgurt im Auto sind ja auch keine Gründe dafür auf die Verkehrsregeln zu pfeifen. Halte Dich am besten grob an diese Regeln:
Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar? |
Moin, nein, ist alles sauber soweit, keine weiteren Klagen oder Funde. Vielen vielen dank fürs säubern meines Systems. Immer schön auf so kompetente Hilfe zurückgreifen zu können. Durch die Diskussion über den "besten" Virenscanner hier im Forum hab ich mich auch schon gekämpft, wollte daher nur fragen was du persönlich empfehlen würdest. Ich werde wohl in Zukunft mit Avast arbeiten. vielen Dank nochmal, dass hat wirklich sehr geholfen. Liebe Grüße, Mo |
Dann wären wir durch! :abklatsch: Die Programme, die hier zum Einsatz kamen, können alle wieder runter. Mit Hilfe von OTL kannst du auch viele Tools entfernen: Starte bitte OTL und klicke auf Bereinigung. Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen. Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken. Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast) Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers: Adobe - Andere Version des Adobe Flash Player installieren Notfalls kann man auch von Chip.de runterladen => http://filepony.de/?q=Flash+Player Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind. Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
Hey, eine kleine Frage noch: Ich war grad dabei meinen Rechner noch ein bisschen aufzuräumen, und habe unter msconfig im Systemstart die 2 Dateien gefunden, von denen ich stark annehme, das sie für meinen Trojaner verantwortlich waren. Als ich Windows damals im abgesicherten Modus gestartet hatte, hatte ich diese 2 Anwendungen für den Systemstart deaktiviert, und danach lief Windows wieder im normalen Modus. Danache habe ich ja prompt mein Problem hier dargelegt. Sind die 2 Einträge im Register des Systemstarts nur noch Artefakte, und ich muss ihnen keine Beachtung schenken? Oder bin ich das Elend womoglich doch noch nicht ganz los? Hier die 2 Elemente, inkusive Befehl und Ort, so wie in msconfig aufgeführt: Systemstartelement: unosngiosuggoiu Befehl: C:\ProgramData\unosngio.exe Ort: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Systemstartelement: mjt0uikj.exe Befehl: C:\Windows\System32\rundll32.exe C:\Users\***\Appdata\Local\Temp\mjt0uikj.exe,H9922 Ort: C:\Users\***\AppData\Roaming\Microsoft\Windows\Sart Menu\Programs\Startup Vielen Dank fürs Anschauen und Bearbeiten Es grüßt mal wieder, Mo |
Das sollten verwaiste Einträge sein. Mach bitte ein neues OTL-Log, dann kann ich die auf einen Schwung entfernen Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code: hier steht das LogLade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.
Code: netsvcs
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 11:37 Uhr. |
Copyright ©2000-2025, Trojaner-Board