|
Kein Virenscanner- und Windowsupdate möglich Tag Allerseits, Tut mir leid, das ganze noch einmal durchzukauen, aber bei mir tat sich ein ähnliches Problem auf... Vor ca. einem Monat steckte ich wie üblich meinen USB Stick an, den ich von einem Bekannten zurückbekommen habe Als ich alles kopierte und ihn entfernte merke ich, dass ich nicht mehr auf meine Laufwerke zugreifen konnte. "Boot.com is not a valid system32 application" - Das Problem lag an einer boot.com in einem versteckten Ordner Boot direkt auf C Hab ich manuell entfernt und jetzt ist es wieder normal Aber, einige Sachen stimmen immer noch nicht - Internet Explorer, Windows Update und Systemwiederherstellung funktionieren nicht Auch der Virenscanner konnte nicht updaten - das konnte ich aber beheben, indem ich manuel updatete - Scan lieferte "jamfamous.dll" - ein Win32 Cryptor in meinem Firefox Ordner - wurde entfernt Trotzdem funktionieren oben genannte Sachen nicht Darum wollte ich fragen, ob jemand schauen könnt, ob sich noch das Böse auf meinem PC tummelt - und wenn, wie ich es entfernen kann Vielen Dank schon im Voraus Hj Log: Code: Logfile of Trend Micro HijackThis v2.0.2 |
Halli hallo Wirtshaus :hallo: Deinstalliere bitte CA oder AVG. Mehr als ein Virenscanner auf einem System ist nicht zu empfehlen. Lasse danach bitte die Kasperksy Rescue disk: http://devbuilds.kaspersky-labs.com/devbuilds/RescueDisk/kav_rescue_2008.iso laufen. Einfach die iso Datei auf eine CD brennen und von dieser booten. Signaturen Daten aktuallisieren/updaten. Alle Einstellungen für den Scan auf maximale Stude drehen und den Rechner überprüfen lassen. Das gleiche mache bitte mit der Avira Rescue Disk: http://www.free-av.com/en/products/12/avira_antivir_rescue_system.html Danach melde dich hier wieder und beschreibe bzw. poste die logs was gefunden wurde. |
So, also bevor ich den post gestern gelesen hab, hab ich noch Spybot S&D laufen lassen - dieser fand folgendes: Win32.Agent.sd Win32.TDSS.rtk -~~- .reg -~~- .eit und , siehe da ZLob.DNSchanger Das erklärt einiges Jedenfalls, hab ich diese damit gleich beseitigt, dann hab ich nacheinander die Rescue Disks drüberlaufen lassen Kaspersky - Hat nichts entdeckt Code: Virensuche: abgeschlossen 04.07.09 16:25 (Ereignis: 2, Objekte: 160177, Zeit: 03:06:32) nur einen Haufen Warnings konnte aber leider die log Datei nicht speichern Update, Virenprogramm und Win Explorer scheinen wieder zu funktionieren Wiederherstellung hab ich noch nicht probiert, die alten Wdh Punkte hab ich entfernt Scheint wieder alles normal zu sein Wenn noch was is bitte sagen Ansonsten Danke für die schnelle Antwort + Hilfe Ps: Das mit den 2 Antivirenprogs - das Etrust Antivirus (das es inzwischen gar nicht mehr gibt) war schon drauf; kriegs aber ned runter, ansonsten macht es nichts Will aber AVG benutzen - deshalb die zwei Muss sich nicht ändern, es sei denn es ist wirklich gefährlich für den PC :) Hier der momentane Hijack this: Code: Logfile of Trend Micro HijackThis v2.0.2 |
Würde mich wundern wenn Spybot ein Tdss Rootkit sauber entfernen kann. Das Avira und Kaspersky nichts finden ist nach wie vor traurig. Ich dachte daran hätte sich langsam mal geändert. Aber gut, dann machen wir das mehr oder weniger manuell: GMER - Rootkit Detection
Master Boot Record überprüfen: Lade dir die mbr.exe von gmer auf den Desktop und führe die Datei mit Administrator-Rechten aus. Poste das log! Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck Zitat:
Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop. Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig. Dann führe die mbr.bat. durch einen Doppelklick aus. Dabei muss sich die mbr.exe von gmer ebenfalls auf dem Desktop befinden! Der MBR wird bereinigt und es erscheint ein log. Poste auch diese log! |
!!! Arrgg Während ich Gmer ausgeführt habe ist ein schwerwiegender Fehler aufgetaucht!!! Problemsignatur: Code: BCCode : 50 BCP1 : E2B1A560 BCP2 : 00000000 BCP3 : B5CE3255 Währenddessen ist nach kurzer Zeit auf einmal der Bildschirm blau geworden Da stand irgendwas von: Es wurde ein Problem festgestellt Windows wurde hertuntergefahren um nicht geschädigt zu werden Verursacher möglicherweise: cxvafakj.sys Technische Daten: STOP 0x00000050 (0xE2B1A560,0x00000000,0xB5CF3255,0x00000001) Mehr konnt ich nich wirklich verstehend ablesen Unten stand noch, dass ein Abild des physischen Speichers gemacht wird, oder so etwas Danach ist er neugestartet WAs soll ich tun? :( :( EDIT: Das sagt Gmer, wenn ich den vollen Scan verneine Code: GMER 1.0.15.14972 - http://www.gmer.net |
So... Also ich hab Gmer nochmal benutzt Nachdem anfänglichen Scan hab ich beim PopUp wieder auf "no" geklickt, dann aber rechts alles angeschaltet, sodass er alles scannt (also System, Files, etc. auf C: und D:) Das ging offensichtlich normal durch Hier der log: Code: GMER 1.0.15.14972 - http://www.gmer.net |
Tut mir Leid, da er zu lang ist muss ich ihn dritteln... Code: ---- Devices - GMER 1.0.15 ---- |
Hier der 3. : Code: ---- Registry - GMER 1.0.15 ---- |
Das Rootkit bringt den Rechner down wenn gmer ihm auf die Füße tritt. Prevx
Anleitung Avenger (by swandog46) Lade dir das Tool Avenger und speichere es auf dem Desktop
Code: Files to delete:
|
Danke für die Hilfe soweit Also hier nochmal kurz der mbr log Code: Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.netDann mal an die Arbeit EDIT: Leider kann ich mit Prevx die Threats nicht entfernen, da dazu eine kostenpflichtige Lizenz benötigt wird... Soll ich den restlichen Anweisungen dennoch folgen? |
Hmmmm... Sieht alles nicht sehr vielversprechend aus Also Hier der Link für die beiden Scans von Prevx (leider keine Bereinigung): http://rapidshare.com/files/252625082/Scans.rar.html Desweiteren der avenger log Code: Logfile of The Avenger Version 2.0, (c) by Swandog46Achja, kurz bevor der PC neu gebootet hat schrie prevx irgendwas von "active threat found" C:\cleanup.exe Weiß nicht was das sein sollte Und nach dem Neustart kam ein paar mal die selbe Fehlermeldung (hab auf weiter und wiederholen ein paar mal gekilckt) Code: Exception Processing Message c0000013 Parameters 75b0bf7c 4 75b0bf7c 75b0bf7cSchlechte Nachrichten?... :confused: :schmoll: |
Mist, ich hatte sowas schon befürchtet daher wollte ich über die Rescue Disks arbeiten. Schade, dass die nichts finden. Egal, wir haben noch mehr in petto um dem beizukommen.. ;) Versuche mal ob du die Dateien mit File-Assassin erwischt. fileASSASSIN Downloade dir fileASSASSIN von Malwarebytest.org: http://www.malwarebytes.org/fa-setup.exe Installiere das Programm. Sollte es dabei zu Fehlermeldungen kommen könnte das am Schädling liegen. In diesem Fall downloade dir die Portable Version direkt auf einen USB-Stick: http://www.malwarebytes.org/FA_Portable.zip Entpacke das Archiv dort. Ein Doppelklick auf die fileASSASSIN.exe starte die PortableVersion. Starte den Rechner im abesicherten Modus. So wird der abgesicherte Modus am einfachsten aufgerufen: KLICK mich Starte das Programm und setze den Haken bei "Delete File". Alle anderen Haken lässt du wie sie sind. http://www9.picfront.org/picture/FlC...ileASSASIN.jpg Dann kopierst du bitte folgende Dateipfade per Copy&Paste in das Textfeld. Starte den Löschvorgang für jede Datei einzelt durch Drücken des "Execute"-Buttons. Zitat:
|
:( :( :( Code: c:\programme\youtubevideo\tbyout.dll deleted |
=) Hier ist garnichts verloren. Bevor ich den Holzhammer raushole versuche alles andere. Aber da jetzt langsam alle Stricke reißen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Wichtiger Hinweis: Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. |
Nur eine kleine Frage: Wie schalte ich die Antivirensoftware vollständig ab Ich kann nur die Applikation unten auf der Leiste schließen, aber reicht das? Ein Blick auf EndItAll zeigt, dass noch Prozesse von AVG etc. laufen - soll ich die einfach killn Da sagt er, dass das die Stabilität beeinträchtigen könnte... und das prevx kann ich irgendwie nicht mal abschalten Wie genau soll ich denn das machen, oder ist das nicht wichtig? Was soll ich denn alles schließen - Nur Anwendungen, Sachen die ein Fenster aufmachen, oder wirklich alles was in der Taskleiste läuft (außer Hardware entfernen, Sound und Internet Wizard - wegen wireless internet) |
Hm. AVG kenne ich grade nicht so gut. Kannst du über das Hauptfenster den Schutz komplett beenden? Wenn ja dann tue dies. Allerdings startet der Schutz meistens mit einem Neusatr wieder was für uns unpratisch ist. Daher wähle am besten per msconfig in den Reitern "Dienste" und "Systemstart" alles ab was mit AVG zu tun hat. (Einfach den Haken vor dem Eintrag rausnehmen) PrevX kannst du laufen lassen da es in der Free Version nichts blockt. Mit alle Anwendungen schließen ist gemeint, dass du alle offenen Fesnter schließen sollst. Allerdings solltest du auch ICQ usw. aus der Taskleiste schließe. |
Ich hab das Gefühl, dass ich nichts richtig mache Ich will es nicht zum scheitern bringen Also ich hab alles was ich konnte geschlossen Bei AVG hab ich was disabled und die MAin Application geschlossen Dann alles gemacht Bei Combo fix hat Prevx auf einmal gesagt : "Threat: setpath.cfexe in C:\Combofix" Während des Vorgangs, bevor der PC neustartete kamen dann die Meldungen "Netgear Wizard" (Wireless LAN) und "Prevx" haben ein Problem festgestellt und mussten geschlossen werden - hätte ich sie schon vorher schließen müssen? Dann reboot - beim hochfahren kam wieder das Fenster von Combofix, in dem stand: Do not start any applications till combofix is finished (preparing log file) Doch ich hab ne Menge im Autostart und sogar ein paar Fenster (auch das von Prevx) haben sich währenddessen geöffnet! Bitte alle Anweisungen aufgrund meines imensen Unwissen immer bis ins kleinste Detail (obwohl ja niemand so genau sagen kann, was ich auf meinem PC tun muss, außer mir - weil es ja kein anderer sehen kann) Jedenfalls hoffe ich dass ich wirklich nichts falsch gemacht hab Und im folgenden Post befindet sich eben der Combofix Log ANMERKUNG: Ich tu nur das was mir hier jemand sagt - nicht auf den Gedanken kommen, dass ich als denkender Mensch irgendwelche logischen Schlüsse ziehe - was nicht genannt wird, wird nicht gemacht |
Combofix Log File Report Sry wieder halbiert Code: ComboFix 09-07-05.04 - Lord 06.07.2009 21:05.1 - NTFSx86 |
Teil 2: Code: |
Das ist schon Ok so wie es gelaufen ist. CF ist halt ein Holzhammer... ;) Aktiviere AVG bitte wieder vollständig. Bevor wir weitermachen würde ich gerne ein neues gmer log sehen. Wenns geht auch mit dem Vollscan. Ich hoffe er schmiert jetzt nicht mehr ab. |
Bitte, dankeschön http://rapidshare.com/files/25317093...lscan.rar.html Der volle hat diesmal ohne Probleme geklappt EDIT: sorry Nur einmal eine abwegige Frage, hat nichts mit all dem zu tun weiß ja nicht ob ihr euch da so auskennt, aber ich hab gesucht und nichts gefunden Ich bitte dich um vielleicht ein paar generelle Tips wenns geht, denn folgendes Problem Mein Mausrad funktioniert zum scrollen ganz normal, ich seh auch das Lämpchen am receiver aufleuchten Aber In Ordnern mit der Ordneransicht "Liste" gehts nicht... Sonst schein es überall zu funktionieren Weiß auch nicht genau ob das vorher schon so war Ist mir aber nie aufgefallen... Woran könnte dies möglicherweise liegen Irgendeine Ahnung, ..... ist mir ein Rätsel Vielleicht im Zuge der Säuberung passiert... |
Das sieht soweit ganz gut aus. (Um deine Maus kümmern wir uns später) Lasse nun bitte SuperAntispyware und Anti-Malware dein System überprüfen und poste die logs. |
SUPERAntiSpyware Normaler Modus - Voller Scan Code: SUPERAntiSpyware Scan Log |
SUPERAntiSpyware Safe Mode - Voller Scan Code: SUPERAntiSpyware Scan Log |
Malwarebytes - AntiMalware Voller Scan Code: Malwarebytes' Anti-Malware 1.38Im Safe Mode konnte ich SuperAntiSpyware logischerweise nicht updaten Anti-Malware datete möglicherweise nicht up - Vielleicht musste er nicht, weil er schon am aktuellsten Stand ist Aber als ich das Programm installiert hab und die beiden Häkchen auf "updaten" und "starten" gesetzt hab, kam der Update Bildschirm nicht auf den Monitor und im Programm sagt er, dass er bereits auf dem neuesten Stand ist. EDIT: Das mit der Maus hat sich schöner weise lösen lassen, einfach mal den Treiber neuinstalliert Vielen Dank und gute Nacht |
Zitat:
Das sieht soweit alles halbwegs vernünftig aus. Allerdings würde ich wenn das meine Maschine wäre bei Gelegenheit den Rechner neuaufsetzen da man nicht ausschließen kann das noch Backdoors bei dir offen sind. Da SASW noch Malware gefunden hat machen wir noch einen Scan- Panda Active Scan Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation |
Ja, genanntes habe ich mit Super Anti Spyware unter Qu. stellen lassen und anschließend entfernt Hier der Panda Active Scan: Code: ;***********************************************************************************************************************************************************************************Wäre es denn wirklich ratsam neu aufzusetzen? Kann man denn nicht wissen ob ein PC wahrscheinlich virenfrei, etc. ist :/ |
Hm. Der Panda Scan liest sich nicht gut. Da stimmt was nicht. Setze den Rechner bitte neu auf. Bereinigung nach einer Kompromitierung Hinweis: Die Analyse eines Virenscanners ist völlig unzureichend, um Aussagen über das System zu machen, kann aber als Hilfsmittel eingesetzt werden, sofern er von einem sauberen System aus betrieben wird. Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist. Master Boot Record reparieren: XP: Um die Wiederherstellungskonsole zu starten, einfach die Windows XP CD in das Laufwerk legen und davon booten.. Wenn Ihr dazu aufgefordert werdet, wählt die erforderliche Optionen für den Start von der Installations-CD aus. Wenn der textbasierte Teil von Setup startet, wählt die Option zum Reparieren oder Wiederherstellen, indem Ihr die Taste [R] drückt. Gegebenfalls nun das Administratorkennwort eingeben. Nun gelangt Ihr zur Eingabeaufforderung der Wiederherstellungskonsole. Dort bitte den Befehl fixmbr eingeben und mit Enter bestätigen. Um die Wiederherstellungskonsole zu beenden und den Computer neu zu starten, gebt Ihr 'exit' ein Einen Personal Computer neuaufsetzen: Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!! Und hier noch ein paar Sachen damit der Rechner danach auch sauber bleibt.. ;)
Häufig gestellte Fragen: XP | Vista http://www.trojaner-board.de/71631-pc-wird-immer-langsamer-tun.html Zusätzlich kannst du natürlich immer gerne hier posten wenn du absolut nicht weiterkommst.. ;) |
Was :confused: :( :heulen: Dann ist ja nicht nur der PC verloren, ich kann nicht mal die Datein sicherstellen... Das heißt ich kann ihn gleich schmeißen? Das ist ja furchtbar... Das bedeutet wohl, dass alles andere keinen Sinn mehr macht... Und es ist wirklich so schlimm Was ist überhaupt mit dem PC, -kompromittiert?? Was stand denn in der log Datei Er ist also wirklich nicht mehr zu retten... :schmoll: Das wars also Danke für all die (vergeblichen), aber dennoch aufschlussreichen Tipps und danke für die Hilfe Meinen Dank und Anerkennung |
:) Ich wollte dein Wirtshaus nicht abreißen. ;) So schlimm ist das alles garnicht. Weisst du, ich habe kein gutes Gefühl dabei wenn ich deinen Rechner zusammenflicke und dich dann entlasse obwohl ist weiss, dass es gut sein kann das dein Rechner eben nicht so sauber ist wie es nach außen aussieht. Wer kann schon sagen ob über deinen Rechner grade Kinderpornos verteilt werden oder andere Rechner infiziert werden? Der Rechner ist augenscheinlich sauber und könnte nach "Bordkriterien" entlassen werden. Wenn du es drauf ankommen lassen möchtest dann musst du nicht neuaufsetzen. Ich behandel die Hilfesuchenden hier allerdings so wie ich meine Kiste auch behandel. Und die würde definitiv neu gemacht werden. Daher rate ich dir das auch. Sichere deine Daten, das kannst du nach unten genannten Kriterien ohne Probleme tun! Lies dir danach alles in Ruhe durch und mache den Rechner frisch. Dauert ungeübt vielleicht 4Stunden. Und ist echt nicht so kompliziert wie es am Anfang aussieht... ;) Bei Fragen stehen wir hier gerne zur Verfügung. |
Ich weiß Du hast ja Recht Danke nochmal, für die Arbeit Und, ja es ist nicht kompliziert oder unerträglich langwierig, aber ich hatte in der jüngeren Vergangenheit hald schon nur Ärger mit der Gerätschaft Und alles wieder von Anfang braucht hald noch mehr Geduld Werd mir Bilder, etc. - hoffentlich brauch ich keine Executables - die müssen draußen bleiben- auf ne Externe speichern und nach Angaben mit meiner XP CD ordentlich aufräumen Was auch immer für den Zustand auf meinem Rechner verantwortlich war, ich kann nur hoffen es wird nachher nicht noch einmal seinen Weg auf meinen Computer finden bzw. ich hoffe den selben Fehler nicht zwei mal zu machen Ich wünschte da könnte ich sicher gehn, aber außer, dass meine innerlichsten Dateien infiziert bis zum gehtnichtmehr sind, kann ich mich nur an ein paar sündige Aktionen erinnern - der Verfall meines PCs ging langsam und schleichend Tja, dann verabschiede ich mich nochmal dankend von dieser Seite und ihren Mitarbeitern Thread over :party: Problem solved |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:54 Uhr. |
Copyright ©2000-2025, Trojaner-Board