|
Hi, lösche bitte mal die aktuelle Combofixdatei und lade die neueste version herunter. Trenne danach bitte die Internetverbindung, also bevor du das Skript ausführst. Scripten mit Combofix
Code: killall::
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann lg myrtille |
Hi, erstell bitte auch ein Log mit gmer und RootkitRevealer: Das sind einige Scans auf Dateien, Prozesse und Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):
Hatte übersehen, dass diese Logs nicht schon erstellt wurden. lg myrtille |
ComboFix neu Hallo Myrtille, ich habe ComboFix nochmal runtergeladen (bei bleepingcomputers - hoffe, das ist auch wirklich die aktuelle Version) und habe das von Dir angegebene Skript durch ComboFix laufen lassen (Avira deaktiviert). Dabei wird ja der PC neu gestartet, womit sich Avira aber wieder aktiviert und 4 Dateien meldet (C:\Windows\NIRCMD.exe, C:\ComboFix\hidec.exe, NirCmd.cfexe und nircmd.com). Da ich für jede gemeldete "verdächtige" Datei eine Aktion wählen muss (habe Ignorieren und Quarantäne probiert), führt das dazu, dass das gleichzeitig laufende ComboFix genau diese Dateien nicht mehr findet. Daher weiß ich nicht, ob ComboFix ordnungsgemäß durchgeführt wurde. Im Folgenden das logfile (zu lang zum posten, daher verlinke ich es) mit der Bitte und herzlichem Dank ums/fürs Durchsehen!! Merci unc Grüße! Ich mache mich jetzt auch gleich daran, die vorhin von Dir empfohlenen Schritte durchzuführen (gmer, rootkit) Link zum ComboFix logfile: File-Upload.net - ComboFixlog_2008-11-21.txt |
Gmer und RootkitRevealer Logfiles Hallo, hier auch die Logfiles von Gmer (als Link) und RootkitRevealer: Abermals: Vielen Dank fürs Anschauen und die Hilfe!!! :dankeschoen: 1.) Gmer File-Upload.net - GmerLog.txt 2.) RootkitRevealer Code: HKU\.DEFAULT\Control Panel\International 21.11.2008 18:49 0 bytes Security mismatch. |
Hi, die Logs sehen soweit gut aus. :daumenhoc Erstelle bitte nochmal ein Log mit RSIT. Es werden 2 Dateien erstellt (log.txt und info.txt). Poste den Inhalt beider Dateien hier. (Wenn die Dateien zu lange sind kannst du sie bei file-upload hochladen und die Links hier posten.) Wenn das Log ebenfalls unauffällig ist, würde ich vermuten, dass der Befall weg ist. lg myrtille |
RSIT Logfiles Guten Abend, die Aussicht auf einen möglicherweise wieder sauberen Rechner weckt ja richtig Hoffnung! :Boogie: Untenstehend verlinke ich meine Logfiles nach Ausführung von RSIT: Danke fürs Durchschauen! :) Noch eine Frage: Falls auch diese logs ergeben, dass mein Rechner clean ist: Heißt das, dass ich auch wieder Online-Banking machen könnte oder kann man nach einem Silentbanker nie mehr richtig sicher sein, dass der Rechner wirklich sauber ist? Liebe Grüße Link zur log.txt: File-Upload.net - log.txt Link zur info.txt: File-Upload.net - info.txt |
Hi, zu dem Thema, lies dir evlt. meine Anleitung mal durch. :) Ist zwar noch in der "Beta-Phase", aber kann trotzdem was bringen. http://www.trojaner-board.de/65029-t...-new-post.html |
Neuaufsetzen trotz entferntem Virus? Hallo, ich weiß nicht, wie die zuletzt von mir geposteten RSIT logfiles auszuwerten sind (könnte da nochmal jemand bitte reinschauen?), aber zumindest Avira und Kaspersky haben zuletzt keinen Virus mehr gefunden. Das ist vor allem das Verdienst von myrtille und Silent Shark, wofür ich nochmals herzlich danke!!! :dankeschoen: @ Silent Shark: Wenn ich Deinen Beitrag richtig verstehe, auf den Du mich dankenswerterweise hingewiesen hast, kann der Rechner kompromittiert sein, auch wenn ich nichts davon mitbekommen habe (keine Auffälligkeiten bei Online-Banking etc.). D.h. ich sollte einfach um ganz sicher zu gehen, den Rechner trotzdem neu aufsetzen? Danke für Eure Hilfe und viele Grüße |
Zitat:
Silent = Lautlos Spaß beiseite. Wenn du Onlinebanking weiter betreiben willst, würde ich dir raten, das System zu plätten. |
Silentbanker (keine Auffälligkeiten bei Online-Banking etc.) Ok ok.... :o Meinte damit, dass der Silentbanker bisher zumindest keine meiner Überweisungen entführt hat. (Seit der Virenmeldung habe ich selbstverständlich das Online-Banking ohnehin nicht mehr genutzt und traue mich auch jetzt nicht mehr). Danke nochmal für die Rückmeldung; dann werde ich den Rechner jetzt wohl doch noch plattmachen. Noch eine letzte Frage: Wenn ich meine Daten (nur die wichtigsten Ordner, kein Systemabbild) vor dem Neuaufsetzen auf meiner externen Festplatte sichere, besteht dann die Gefahr, die externe Platte mit möglichen Virusresten zu infizieren? Vielen vielen Dank für Eure nette, kompetente und immer superschnelle Betreuung!!! :daumenhoc |
Hi, zu deiner Frage: Da kannst du unbesorgt sein, die Daten sind sicher nicht infiziert. ;) mfg |
Hallo, nachdem ich den Trojaner dank Eurer Hilfe losgeworden bin :daumenhoc, würde ich den Beitrag hier im Board gerne löschen - zumal ich kürzlich festgestellt habe, dass ich bei einem von mir hier geposteten Logfile vergessen habe, private Daten zu anonymisieren. Leider kann ich trotz stundenlanger Suche in der Hilfe und allgemein hier im Board keine Möglichkeit finden, meinen Beitrag zu löschen oder wenigstens zu editieren. Ich habe wirklich alles durchgesucht. Kann mir eventuell jemand weiterhelfen? Vielen Dank schon im Voraus und beste Grüße Hannah100 |
Hi, das geht eigentlich nur über den Melden Beitrag. Ich hab jetzt mal das Kasperskylog gemeldet, damit die Infos da rausgenommen werden. Den Thread ganz löschen wär schade, da er so jetzt für andere Helfer als Nachschlagewerk dient, wenn sie mit derselben Infektion kämpfen. Das ist auch einer der Hauptgründe warum alle Bereinigungen öffentlich geschehen: Damit man auch später noch sehen kann welche Programme helfen und auf welche Besonderheiten während der Bereinigung zu achten ist. Wenn du den Thread auf jedenfall gelöscht haben willst, solltest du das entweder per PM bei den Admins oder per Meldebutton erfragen. (Ich kann das jedenfalls nicht machen. ;) ) lg myrtille EDIT: Für die Uploads bei file-upload.net hast du damals löschlinks angegeben bekommen. (wenn du ne emailadresse angegben hast sogar per mail), so kannst du diese Berichte aus dem Internet entfernen, auf die haben wir keinen Einfluss. Wenn du die Links nicht mehr hast wird es etwas schwieriger, da musst du dich entweder direkt an file-uplaod wenden oder warten. Die Dateien werden in der Regel nicht länger als 1 jahr aufbewahrt. Auch hier ist es so, dass die Berichte hilfreich für andere sein können. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 23:57 Uhr. |
Copyright ©2000-2025, Trojaner-Board