|
@ RushHour777: Wenn ich dir einen Tipp geben darf, solltest du, wenn du dich nicht so gut zurecht findest, einmal zuerst den Profis zusehen, wie die das machen (z.b.: mytrille, usw.). Und noch was, wenn du jemanden helfen willst, dann mach es ausführlich, mit so einem Satz: Zitat:
Oder mit diesem: Zitat:
Zitat:
Zitat:
|
Hi, hat alles ein bisschen gedauert, mein Chef hatte mich zwischenzeitlich im Büro angetroffen und bedauerlicherweise den Virus gesehen. Es ist nämlich immer noch ein Firmen Laptop. Der war jedenfalls "not very amused" und möchte auch nicht dass das "RSIT" ausgeführt wird; gibts eine andere Möglichkeit? Anyway, wir haben dann nochmal den AntiVir upgedatet und das System komplett gescannt. Nachdem er mir 4 Funde angezeigt und ich diese gelöscht habe, hab ich nochmal mit CCleaner gesäubert, Computer neu gestartet und aufeinmal war das Symbol des Virus aus der Taskleiste weg und seit mittlerweile 2 Stunden bekomme ich keine Pop-Ups mehr. Kann ich davon ausgehen, das die Welt jetzt wieder i.O. ist? Nachfolgend aber noch der Bericht von Gmer. VG GMER 1.0.15.14966 - http://www.gmer.net Rootkit scan 2009-03-30 15:05:19 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.15 ---- SSDT F20EC63C ZwCreateThread SSDT F20EC628 ZwOpenProcess SSDT F20EC62D ZwOpenThread SSDT F20EC637 ZwTerminateProcess SSDT F20EC632 ZwWriteVirtualMemory ---- User code sections - GMER 1.0.15 ---- .text C:\WINDOWS\SMINST\Scheduler.exe[2360] USER32.dll!GetSysColor 7E368E78 5 Bytes JMP 00418ED0 C:\WINDOWS\SMINST\Scheduler.exe .text C:\WINDOWS\SMINST\Scheduler.exe[2360] USER32.dll!GetSysColorBrush 7E368EAB 5 Bytes JMP 00418F40 C:\WINDOWS\SMINST\Scheduler.exe .text C:\WINDOWS\SMINST\Scheduler.exe[2360] USER32.dll!SetScrollInfo 7E369056 7 Bytes JMP 00418DC0 C:\WINDOWS\SMINST\Scheduler.exe .text C:\WINDOWS\SMINST\Scheduler.exe[2360] USER32.dll!GetScrollInfo 7E37DFE2 7 Bytes JMP 00418D10 C:\WINDOWS\SMINST\Scheduler.exe .text C:\WINDOWS\SMINST\Scheduler.exe[2360] USER32.dll!ShowScrollBar 7E37F2F2 5 Bytes JMP 00418E90 C:\WINDOWS\SMINST\Scheduler.exe .text C:\WINDOWS\SMINST\Scheduler.exe[2360] USER32.dll!GetScrollPos 7E37F704 5 Bytes JMP 00418D50 C:\WINDOWS\SMINST\Scheduler.exe .text C:\WINDOWS\SMINST\Scheduler.exe[2360] USER32.dll!SetScrollPos 7E37F750 5 Bytes JMP 00418E00 C:\WINDOWS\SMINST\Scheduler.exe .text C:\WINDOWS\SMINST\Scheduler.exe[2360] USER32.dll!GetScrollRange 7E37F787 5 Bytes JMP 00418D80 C:\WINDOWS\SMINST\Scheduler.exe .text C:\WINDOWS\SMINST\Scheduler.exe[2360] USER32.dll!SetScrollRange 7E37F99B 5 Bytes JMP 00418E40 C:\WINDOWS\SMINST\Scheduler.exe .text C:\WINDOWS\SMINST\Scheduler.exe[2360] USER32.dll!EnableScrollBar 7E3B8005 7 Bytes JMP 00418CD0 C:\WINDOWS\SMINST\Scheduler.exe ---- Devices - GMER 1.0.15 ---- AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 VMkbd.sys (VMware keyboard filter driver (32-bit)/VMware, Inc.) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 VMkbd.sys (VMware keyboard filter driver (32-bit)/VMware, Inc.) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 tdrpman.sys (Acronis Try&Decide and Restore Points Volume Filter Driver/Acronis) AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 tdrpman.sys (Acronis Try&Decide and Restore Points Volume Filter Driver/Acronis) Device \Driver\usbhub \Device\000000aa hcmon.sys (VMware USB monitor/VMware, Inc.) Device \Driver\usbuhci \Device\USBFDO-0 hcmon.sys (VMware USB monitor/VMware, Inc.) Device \Driver\usbuhci \Device\USBFDO-1 hcmon.sys (VMware USB monitor/VMware, Inc.) Device \Driver\usbhub \Device\000000ac hcmon.sys (VMware USB monitor/VMware, Inc.) Device \Driver\usbuhci \Device\USBFDO-2 hcmon.sys (VMware USB monitor/VMware, Inc.) Device \Driver\usbuhci \Device\USBFDO-3 hcmon.sys (VMware USB monitor/VMware, Inc.) Device \Driver\usbhub \Device\000000ae hcmon.sys (VMware USB monitor/VMware, Inc.) Device \Driver\usbehci \Device\USBFDO-4 hcmon.sys (VMware USB monitor/VMware, Inc.) AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) Device \FileSystem\Cdfs \Cdfs DLAIFS_M.SYS (Drive Letter Access Component/Sonic Solutions) ---- Registry - GMER 1.0.15 ---- Reg HKLM\SOFTWARE\Classes\CLSID\{AD4675AC-CD94-7214-BA3C-8006BE6E9646}\InprocServer32@ C:\PROGRA~1\NETMEE~1\rrcm.dll Reg HKLM\SOFTWARE\Classes\CLSID\{AD4675AC-CD94-7214-BA3C-8006BE6E9646}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{AD4675AC-CD94-7214-BA3C-8006BE6E9646}\ProgID@ RTP.RTP.1 Reg HKLM\SOFTWARE\Classes\CLSID\{AD4675AC-CD94-7214-BA3C-8006BE6E9646}\VersionIndependentProgID@ RTP.RTP ---- EOF - GMER 1.0.15 ---- |
an crusader punkt 1: sorry hast mich falsch verstanden das sollte eidentlich ein link werden für die anleitung punkt 2: ok ich werde meine anleitungen deutlicher schreiben punkt 3 und 4 : werde ich machen danke dir für deine hilfe jetzt weiß ich mehr aber bevor ich mcih angemeldet habe habe ich mich 2 wochen schlau gemacht mfg RushHour777:schmoll: |
Hi, für Firmenrechner gibt es leider keinen Support, tut mir Leid. :( Wende dich bitte an den zuständigen Admin, der weiß dann auch welche Tools eingesetzt werden dürfen und welche nicht. Ich kann deinen Chef gut verstehen, RSIT ist sehr ausführlich und ermöglicht tiefreichende Einblicke ins System, ohne werde ich jedoch nicht genau erkennen können wo welche Malware sitzt. (Ich könnte dir noch Alternativen nennen, aber die Programme sind alle ähnlich ausführlich) @rushhour Der Unterschied zwischen deinen und meinen Programmen ist, dass meine Programme den Rechner unverändert lassen, bis ich weiß, was es für Malware ist und wie ich die entfernen kann. Du lässt eine Vielzahl von Programmen über den Rechner laufen und kannst hinterher noch nicht mal sagen welche Infektion halb/ganz oder gar nicht entfernt wurde. Installierst ein Antivirenprogramm nach dem andern, ohne dem User zu sagen, dass er vorher das alte und sein eigenes deaktivieren/deinstallieren muss. (Das mögen für dich Kleinigkeiten sein, aber das sind Sachen, die der TO eventuell nicht weiß, und die ernsthafte Probleme verursachen können. Daher muss das in der Anleitung erscheinen) Ich will dir ja nicht zu Nahe treten, aber in vielen anderen Foren ist es üblich die Helfer für die Bereinigungen auszubilden: Das dauert in der Regel ein Jahr, gerne auch länger. 2 Wochen sind da nichts... Kannst du denn ein Hijackthis log ohne Hilfe von automatischer Auswertung analysieren? lg myrtille |
@myrtille schonmal danke für deine antwort ich weiß das die automatische hijackthis logfileauswertung fehlerhaft ist deshalb halte ich mich auch daraus was es mit hijackthis angeht ich weise nur daraufhin das man hijackthis installieren soll damit es die anderen ausawerten können und selbst kann ich das nich aber wie kann ich das lernen evtl. wie hast du das gelernt? mgf RushHour777 (gutes forum hier wird man echt geholfen ) :aplaus: |
Zitat:
Zitat:
(und mir gemerkt welche Programme zum bereinigen genutzt wurden) Alternativ bilden viele englischen Foren sehr professionnel aus. lg myrtille |
Danke für deine Antwort dann werde ich zukünftig mich erstmal raushalten und werde mich in anderen theats umkuken (und ein biischen mehr lernen) danke mfg RushHour777:aplaus::aplaus::aplaus::aplaus: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:54 Uhr. |
Copyright ©2000-2024, Trojaner-Board