|
@SkyFire: Satzzeichen sind keine Rudeltiere.. ;) Halte dich bitte ein bischen zurück und gebe nur dann Hilfe wenn du wirklich weisst was du tust. Das bezweifel ich grade ein bischen. Generell gilt folgendes: http://www.trojaner-board.de/69603-f...dem-forum.html @geissi: Ich benötige den vollen Dateipfad hier: Zitat:
Danach geht es weiter. Alle anderen Hilfestellungen ignoriere bitte vorerst. |
Müsste ich dir geschickt haben. Denke aber, dass das eine Profilnachricht gewesen sein dürfte. |
=) jo. War eine Profilnachricht. Ich hab's wieder raus genommen. Wenn da dein Nachname nicht drinn steht musst du auch nicht unbedingt editieren.. ;) Dateien Online überprüfen lassen: * Lasse dir auch die versteckten Dateien anzeigen! * Rufe die Seite Virtustotal auf. * Dort suche über den "Durchsuchen"-Button folgende Datei raus und lade sie durch Druck auf den "Senden der Datei"-Button hoch. Zitat:
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren! * Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. GMER - Rootkit Detection
|
Ich habe folgende Fragen: Soll ich nur die Datei C:\Dokumente und Einstellungen\Markus\Markus.exe hochladen oder auch andere? Bei der Datei kommt: Die Datei wurde bereits analysiert: MD5: 69492a0890932e58e21626c04efb69f6 First received: 2009.04.11 19:35:04 (CET) Datum 2009.04.13 17:06:42 (CET) [+1D] Ergebnisse 10/40 Permalink: analisis/58996bb694b3be5a0f74a18388b56567 Der Permalink führt zu der Website: http://www.virustotal.com/de/analisis/58996bb694b3be5a0f74a18388b56567 Und eine weitere Frage: Was soll ich denn eigentlich bei den Meldungen von AntiVir machen? Soll ich da die Viren immer in die Quarantäne verschieben? |
Du solltest nur die eine hochladen, ja. Bei dir läuft wie vermutet ein Backdoor Trojaner. Der ermöglicht VollZugriff auf deinen Rechner und ist deentsprechend gefährlich. Du solltest deinen Rechner neuaufsetzten um keine ganz bösen Überraschungen zu erleben. Bereinigung nach einer Kompromitierung Hinweis: Die Analyse eines Virenscanners ist völlig unzureichend, um Aussagen über das System zu machen, kann aber als Hilfsmittel eingesetzt werden, sofern er von einem sauberen System aus betrieben wird. Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist. Master Boot Record überprüfen: Lade dir die mbr.exe von gmer auf den Desktop und führe die Datei mit Administrator-Rechten aus. Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck Zitat:
Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen. Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!! |
Ich muss sagen, dass ich glaube, die Überprüfung der alten Datei zu dir geschickt zu haben. Sie wird in 13 bis 19 Minuten neu überprüft. Was soll ich jetzt machen? Ich habe gerade schon gmer laufen. |
Hier nun die neue Überprüfung: Datei Markus.exe empfangen 2009.04.14 18:19:10 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 19/40 (47.5%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 3. Geschätzte Startzeit ist zwischen 70 und 100 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.101 2009.04.14 Virus.Win32.Rootkit.CF!IK AhnLab-V3 5.0.0.2 2009.04.14 Win-Trojan/Agent2.20435.B AntiVir 7.9.0.143 2009.04.14 TR/Kobcka.HV.4 Antiy-AVL 2.0.3.1 2009.04.14 - Authentium 5.1.2.4 2009.04.14 - Avast 4.8.1335.0 2009.04.14 Win32:Rootkit-CF AVG 8.5.0.285 2009.04.14 Downloader.Small.FQL BitDefender 7.2 2009.04.14 Trojan.Kobcka.HV CAT-QuickHeal 10.00 2009.04.14 - ClamAV 0.94.1 2009.04.14 - Comodo 1113 2009.04.14 - DrWeb 4.44.0.09170 2009.04.14 Trojan.DownLoad.33158 eSafe 7.0.17.0 2009.04.13 - eTrust-Vet 31.6.6455 2009.04.14 - F-Prot 4.4.4.56 2009.04.14 - F-Secure 8.0.14470.0 2009.04.14 - Fortinet 3.117.0.0 2009.04.14 PossibleThreat GData 19 2009.04.14 Trojan.Kobcka.HV Ikarus T3.1.1.49.0 2009.04.14 Virus.Win32.Rootkit.CF K7AntiVirus 7.10.700 2009.04.11 - Kaspersky 7.0.0.125 2009.04.14 - McAfee 5584 2009.04.14 - McAfee+Artemis 5584 2009.04.14 Generic!Artemis McAfee-GW-Edition 6.7.6 2009.04.14 Trojan.Kobcka.HV.4 Microsoft 1.4502 2009.04.14 - NOD32 4007 2009.04.14 Win32/TrojanDownloader.Wigon.CA Norman 6.00.06 2009.04.14 - nProtect 2009.1.8.0 2009.04.14 - Panda 10.0.0.14 2009.04.14 Suspicious file PCTools 4.4.2.0 2009.04.14 - Prevx1 V2 2009.04.14 High Risk Cloaked Malware Rising 21.25.14.00 2009.04.14 Trojan.DL.Win32.Nodef.kr Sophos 4.40.0 2009.04.14 Mal/Pushdo-A Sunbelt 3.2.1858.2 2009.04.13 - Symantec 1.4.4.12 2009.04.14 Downloader TheHacker 6.3.4.0.306 2009.04.12 Trojan/Agent2.hoy TrendMicro 8.700.0.1004 2009.04.14 - VBA32 3.12.10.2 2009.04.12 - ViRobot 2009.4.14.1692 2009.04.14 - VirusBuster 4.6.5.0 2009.04.14 - weitere Informationen File size: 20435 bytes MD5...: 69492a0890932e58e21626c04efb69f6 SHA1..: 5b43be26ed55ac515c9ef17728d3d50abfd4c356 SHA256: bf49a2d87c50afd26d6d3420eedd633d50c4b12403c3fa1f47943b9b9fec2d62 SHA512: 121781d59fe90f981223c7569901ed636dbcaafe9f687c14e0ec1db3ef68c893 b22de663c21090eecbe2ff5e59bcd052f523e3b132dfe1a7d46df9e322315ce9 ssdeep: 384:1VUAbNOcTwazhhpfY57XoLrbOywc2CsGwYijX/1WEPOn:1K+9dfYxXA+aZEP 1WEPI PEiD..: - TrID..: File type identification Win32 Executable Generic (42.3%) Win32 Dynamic Link Library (generic) (37.6%) Generic Win/DOS Executable (9.9%) DOS Executable Generic (9.9%) VXD Driver (0.1%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x114c timedatestamp.....: 0x49df1343 (Fri Apr 10 09:37:07 2009) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x988 0x98c 6.48 9264ba40ea914701e240e2748591c773 .data 0x2000 0x45e 0x460 4.88 56cf267339276447a2da941f557ce9f9 .rsrc 0x3000 0x3dd0 0x3dd3 7.98 045d88849fbe747f1672f04de7bd5227 ( 2 imports ) > KERNEL32.dll: CreateThread, ExitProcess, ExitThread, GetLastError, GetModuleHandleA, GetSystemInfo, GetVersionExA, LocalAlloc, WaitForSingleObject > USER32.dll: BeginPaint, BlockInput, CharUpperA, CreateDialogParamA, CreateWindowExA, DefWindowProcA, DispatchMessageA, EndDialog, EndPaint, FindWindowA, GetAsyncKeyState, GetClassInfoExA, GetMessageA, GetSystemMetrics, GetTopWindow, LoadCursorA, LoadIconA, MessageBoxA, RegisterWindowMessageA, SetDlgItemInt, SetFocus, SetWindowTextA, ShowWindow, TranslateMessage, UpdateWindow ( 0 exports ) RDS...: NSRL Reference Data Set - Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=C8BD6751D3C1436A4FA30000BB355E00AA76C5A6' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=C8BD6751D3C1436A4FA30000BB355E00AA76C5A6</a> ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=69492a0890932e58e21626c04efb69f6' target='_blank'>http://www.threatexpert.com/report.aspx?md5=69492a0890932e58e21626c04efb69f6</a> |
Der Bericht von GMER ist leider zu lang für das Forum mit 134026 Zeichen. Falls jemand daran interessiert ist, soll er sich melden.. |
Das kam bei der mbr.exe heraus: Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK |
Lade das Gmer-Log bei einem Filehoster hoch (z.B. www.materialordner.de) und poste den Link. Das hier hast du hoffentlich gelesen? ciao, andreas |
Ich habe den Link ziemlich gelesen, ja. Nun wollte ich aber fragen, was aufgrund meines Logs der mbr.exe Datei zu tun ist. |
Lade bitte das Gmer-Log hoch und poste den Link. Das MBR-Log sagt, dass dein MBR sauber ist. ciao, andreas |
Ich lasse gerade nochmal GMER durchlaufen. Danach lade ich es hoch. |
Hier der Link: http://www.materialordner.de/ccFf7cLfPjbzWzY2q9LzWTKswOwZ5am7.html |
Schau selbst: http://www.bitdefender.de/VIRUS-1000...an.kobcka.html Neuinstallation ist in jedem Fall der schnellere und sicherere Weg. Poste bitte ein aktuelles HJT-Log. ciao, andreas |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 21:51 Uhr. |
Copyright ©2000-2025, Trojaner-Board