Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Laptop wahrscheinlich mit TR/Dropper infiziert (https://www.trojaner-board.de/69408-laptop-wahrscheinlich-tr-dropper-infiziert.html)

john.doe 01.02.2009 19:44
Lass MalwareBytes noch einmal im Quickscan laufen und klicke zum Schluss auf Ausgewähltes entfernen (o.ä.). Deaktiviere oder deinstalliere Avira. Lass anschliessend ComboFix laufen.

ciao, andreas

sycho 01.02.2009 21:40
Ich habe Malwarebytes ein paar mal laufen lassen bis alle Fehler behoben waren. Den Avira Scanner in der Taskleiste beendet (auf Symbol geklickt). Anschließend ComboFix gestartet - er sagt, avira wäre immer noch aktiv.

Ich habe daraufhin im Taskmgr. alle Avira Prozesse beendet - nur ein einziger ließ sich nicht beenden. Daraufhin bin ich zu 'Start' -> 'ausführen' -> 'msconfig' gegangen. Hab alle Avira-Dienste beendet und das System neugestartet.

Beim start von ComboFix: Avira wird noch ausgeführt.

Darauf habe ich das System im abgesicherten Modus neugestartet (Start-ausführen-msconfig-boot: safemode). ComboFix ausgeführt: Avira wird noch ausgeführt.

Darauf habe ich das System im Diagnose-Modus neugestartet (Start-ausführen-msconfig-Diagnose-Modus). ComboFix ausgeführt: Avira wird noch ausgeführt.

Nun habe ich Avira unter 'Systemsteuerung-Software' deinstalliert. Anschließend Neugestartet und ComboFix ausgeführt: Avira wird noch ausgeführt.

Evtl. hängt dieses ComboFix sich an den Restdateien oder den Registry-Einträgen auf?!
Ich weiß es nicht.

Viele Grüße,
Benjamin

john.doe 01.02.2009 21:42
Lässt ComboFix sich nicht starten? Die Meldung wegen Avira kannst du ignorieren.

ciao, andreas

sycho 01.02.2009 22:42
Das Ding ist, ComboFix meldet beim Start des Prog, dass Avira immernoch aktiv sei und ich hab keine Lust, das der Computer evtl. Schaden nimmt, wenn ich es trotzdem laufen lasse.

Grüße,
Benjamin

john.doe 01.02.2009 23:00
:) Du musst sowieso Neuaufsetzen, aber deine Entscheidung.

Ich bin raus,
andreas

sycho 01.02.2009 23:07
Hallo Andreas,

Zitat:
Du musst sowieso Neuaufsetzen, aber deine Entscheidung.

-> Ja, das muß ich wohl. Aber ich werde zunächst die vorhandenen Daten auf einer externen Platte sichern. Dann werd ich ComboFix nochmal ausführen - und dann lass ich das Prog durchziehen, ist mir wurscht aber dann sind die Daten in Sicherheit. Das Ergebnis von ComboFix werde ich dann hier posten. Vielen Dank für die Unterstützung bis hier!

Viele Grüße,
Benjamin

sycho 02.02.2009 13:03
Hallo,

ich habe zwischenzeitlich meinen USB-Stick formatiert. Der Trojaner ist immernoch im System und zwar auf allen Laufwerken! Habe erst Prevx CSI, dann Malwarebytes laufen gelassen. Prevx CSI erkennt die Datei 'vshost.exe' in der sich der Dropper befindet - auf C:, D: und G: (USB-Stick), löscht den Dropper aber nicht, da Freeware-Version.

Ich kann den USB-Stick ruhig nochmals formatieren, nach ca. 5 Sek. erscheinen zwei versteckte Dateien auf dem Stick: 'autorun.inf' und 'vshost.exe'. Der Dropper kopiert sich also irgendwie darauf.Malware Bytes erkennt diese Datei erst gar nicht.

Verdammt ärgerlich, da ich mir heute eine neue Platte zulegen wollte um die Daten zu sichern. Das macht aber kein Sinn wenn sich der Dropper noch dazwischen befindet. Was soll ich jetzt machen?

Grüße,
Benjamin


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:03 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19