|
AntiVir meldet TR/Crypt.XDR.Gen' in 'C:\WINDOWS\system32\drivers\amd64si.sys' Hallo zusammen, seit zwei Tagen erscheinen auf dem PC meiner Eltern nun immer wieder Trojaner_meldungen von AntirVir. Bei einem stand dabei, dass hier keine Optionen zum löschen oder "in Quarantäne packen" zur Verfügung stehen, weil es die Heuristik betrifft. Sollte daher diese Datei an AntiVir schicken, das funktionierte aber leider nicht. CC Cleaner habe ich bereits ausgeführt und auch Malwarebytes habe ich gestern drüber laufen lassen und die Dinger in Quarantäne gepackt. Habe danach nochmal AntiVir laufen lassen und heute SuperAntiSpyware. Das hat natürlich noch was gefunden. Denke die alten Reportdateien von gestern sind damit bestimmt hinfällig. Müsste ich dann ggf. nochmal neu scannen, oder? Hier nun aber erstmal die bisherigen Ergebnisse: 1. SUPERAntiSpyware: Code: SUPERAntiSpyware Scan Log2. Hijack this: Code: Logfile of Trend Micro HijackThis v2.0.2CC Cleaner hab ich so lange ausgeführt, bis keine Fehler mehr kamen. Ich bin des Weiteren mit meinem Laptop über wlan mit dem PC meiner Eltern verbunden? Kann da irgendwas passieren oder sich übertragen? Halte meine Programme immer auf dem neuesten Stand und lasse sie regelmäßig alles checken. Wäre toll, wenn mir jemand helfen könnte. lg, irie |
hmm ich habe dieses thema jetzt schon zweimal gepostet, einmal unter "plagegeister aller art" und einmal hier, weil ich dachte, dass es hier vlt. sinnvoller ist weil es ja auch um eine Auswertung des beigefügten logfile geht. ich habe hier in all den jahren schon öfter mal um hilfe gebeten und die ist auch immer prompt gekommen. danke dafür! nur dieses mal meldet sich wirklich gar niemand seit zwei tagen. fehlt meinem beitrag vlt noch irgend ne angabe? wenn ja, reiche ich sie sofort nach. lg, irie |
Hallo zusammen, ich warte jetzt schon seit drei Tagen auf eine Antwort. Es wäre wirklich schön, wenn mir jemand wenigstens sagen könnte, warum mir nicht geantwortet wird und anderen nach mir schon, obwohl sie teilweise die Anleitungen für den ersten Beitrag nicht befolgen. Ich kann mir denken, dass ihr hier viel zu tun habt, aber eine kurze knappe Antwort wäre trotzdem schön. Entweder ist es dann ne Zu- oder aber ne Absage. Aber dann muss ich nicht mehr ständig nachgucken, ob jemand geantwortet hat und neue "Anweisungen" gegeben hat. Dann könnte ich mich nämlich anderweitig umhören in puncto Hilfe. lg, irie |
Hey, danke, dass du geantwortet hast!:Boogie: Also da ich im Moment nicht so viel Zeit hab, da ich für meine mündlichen Prüfungen lernen muss, wäre es mir lieber, wenn wir den PC erstmal bereinigen könnten. Danach kann ich meinen Eltern dann auch ne Neuaufsetzung anbieten und mich in Ruhe damit beschäftigen. Also ich bin den ganzen Tag on. Achso, wie kann ich denn den anderen Thread schließen unter "Plagegeister.."? Der ist ja dann unnötog im Weg. lg, irie |
Hi, das wird nicht einfach, amd64si.sys ist/kann ein Rootkit (sein)... http://www.prevx.com/filenames/10434...64SI2ESYS.html Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code: C:\WINDOWS\system32\drivers\amd64si.sys
Gmer: http://www.trojaner-board.de/74908-a...t-scanner.html Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht chris |
Hey, danke, dass du hier übernimmst. Leider kann ich die Datei, die du angegeben hast, nirgends mehr finden. Hab sie auch schon unter Suche eingegeben, aber nix zu finden. Was soll ich nun machen! Kann ich den Schritt mit gmer jetzt schon ausführen oder ist der erst sinnvoll nachdem die Dateien gecheckt wurden? lg, irie |
Hmm ich hab die Ergebnisse bei superantispyware hinterher gelöscht, weil ich so lange auf ne antwort gewartet hatte. wahrscheinlich finde ich die deswegen nicht mehr, oder? soll ich den superantispyware-scan dann nochmal neu machen?das ist jetzt natürlich dumm gelaufen. |
Hi, dann lassen wir die Onlineprüfung einfach weg und machen bei Gmer weiter... chris |
Hey, also der scan mit gmer ist nun fertig. hier die ergebnisse: GMER 1.0.15.14966 - http://www.gmer.net Rootkit scan 2009-04-06 13:48:32 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.15 ---- SSDT F8D1BAF4 ZwCreateThread SSDT F8D1BAE0 ZwOpenProcess SSDT F8D1BAE5 ZwOpenThread SSDT \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xF4C8EDF0] SSDT F8D1BAEA ZwWriteVirtualMemory ---- Kernel code sections - GMER 1.0.15 ---- .text ntkrnlpa.exe!ZwCallbackReturn + 27B8 80501FF0 4 Bytes JMP 3CF8D1BA ---- Devices - GMER 1.0.15 ---- AttachedDevice \FileSystem\Ntfs \Ntfs avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH) AttachedDevice \FileSystem\Fastfat \Fat avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH) ---- Files - GMER 1.0.15 ---- File C:\WINDOWS\system32\config\software.LOG (size mismatch) 1024/16384 bytes ---- EOF - GMER 1.0.15 -- Mehr kam nicht und etwas "verneinen" musste ich auch nicht. Hoffe, das ist der richitge bericht, den ich genommen hab. aber was anderes stand auch nicht zur auswahl. lg, irie |
Zwischendurch kam aber auch noch diese Meldung von AntiVir: In der Datei 'C:\DOKUMENTE UND EINSTELLUNGEN\MUM & DAD\MUM & DAD.EXE' wurde ein Virus oder unerwünschtes Programm 'TR/Nomen.A' [trojan] gefunden. Ausgeführte Aktion: Datei in Quarantäne verschieben. Und: In der Datei 'C:\SYSTEM VOLUME INFORMATION\_RESTORE{2005CC72-E1D4-412C-8599-FDC32E05059E}\RP803\A0129113.SYS' wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XDR.Gen' [trojan] gefunden. Ausgeführte Aktion: Datei in Quarantäne verschieben Ich dreh am Rad! lg, irie |
Hi, das GMER-Log sieht schon mal gut aus... MAM, Prevx und RSIT: Malwarebytes Antimalware (MAM). Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html Fullscan und alles bereinigen lassen! Log posten. Alternativer Download: http://filepony.de/download-malwarebytes_anti_malware/, http://www.gt500.org/malwarebytes/mbam.jsp Prevx: http://www.prevx.com/freescan.asp Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters... RSIT Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/ speichere es auf Deinem Desktop. Starte mit Doppelklick die RSIT.exe. Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. Und noch: MBR-Rootkit Lade den MBR-Rootkitscanner von Gmer auf Deine Bootplatte: http://www2.gmer.net/mbr/mbr.exe Merke Dir das Verzeichnis wo Du ihn runtergeladen hast; Start->Ausführen->cmd Wechsle in das Verzeichnis des Downloads und starte durch Eingabe von mbr das Programm... Das Ergebnis sollte so aussehen: Zitat:
poste es im Thread; chris |
Hey, so hier nun schon mal der report von mam: Code: Malwarebytes' Anti-Malware 1.35Jetzt gehts weiter mit dem nächsten Prog. Lasse das jetzt durchlaufen. lg, irie |
hey, hier die Forsetzung: Prevx hat nix gefunden. Status: Clean Random's system information tool mit beiden logfiles: 1. Code: info.txt logfile of random's system information tool 1.06 2009-04-06 15:45:56Das zweite logfile kommt sofort. lg, irie |
ähm teil 2 ist irgendwie zu lang. du hast etwas von minimieren geschrieben. wie meinst du das? wie kann ich das minimieren? lg, irie |
Hi, entweder in mehrer Post aufteilen, oder hier uploaden und den Downloadlink posten: http://www.file-upload.net chris |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 15:10 Uhr. |
Copyright ©2000-2025, Trojaner-Board