Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Windows Defender und Folgeerkrankungen (https://www.trojaner-board.de/79044-windows-defender-folgeerkrankungen.html)

newuser 04.11.2009 20:55
OK, hier angehängt. Vielleicht kann ich ja als Vorzeigepatient unser Gesundheitssystem retten, hoffe nur, dass ich dabei nicht selbst den Löffel abgebe, wer weiß, welche Hacker da gerade meine Laptop übernommen haben:

Anhang 4574
Anhang 4575

undoreal 04.11.2009 21:35
Das sieht schon wesentlich besser aus.

Führe bitte folgendes Skript aus:

Code:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 DelCLSID('{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}');
 DelCLSID('{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75}');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Control Panel\IOProcs','MVB');
 RegKeyParamDel('HKEY_USERS','S-1-5-19\Control Panel\IOProcs','MVB');
 RegKeyParamDel('HKEY_USERS','S-1-5-20\Control Panel\IOProcs','MVB');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Control Panel\IOProcs','MVB');
 RegKeyParamDel('HKEY_CURRENT_USER','Control Panel\IOProcs','MVB');
 BC_DeleteFile('mvfs32.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Suche mal bitte wie in der AVZ Anleitung beschrieben wird nach der Datei:
Zitat:
mvfs32.dll
Mache einen Screenshot von den Funden und hänge die Bild Datei an deinen nächsten Post an. Wenn nichts gefunden wurde ist auch gut.

Danach wieder zwei neue logs. ;)

newuser 04.11.2009 22:23
Das Skript habe ich ausgeführt, die angegebene Datei wurde bei der Such nicht gefunden.

die beiden neue Log-Dateien:

Anhang 4578

Anhang 4579

Viele Grüße

undoreal 04.11.2009 22:35
Das sieht ganz gut aus.

Wie geht es dem Rechner? Auffälligkeiten?

Scanne mal mit MBMA nur um sicher zu gehen, dass da keine Reste auf dem PC sind die man mit AVZ nicht sieht.

newuser 04.11.2009 22:47
Als ich gerade nach mbma gegoogled habe (jetzt weiß ich's ;-), sind die bösen Seiten wieder aufgesprungen, das Problem besteht also weiter...

undoreal 04.11.2009 23:03
EDIT erst noch ein AVZ Skript:
Code:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 DeleteFile('C:\WINDOWS\system32\DRIVERS\snpstd3.sys');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\GLKbFilter.sys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Danach wieder zwei avz logs posten. =)

newuser 05.11.2009 14:09
Hallo, ich dachte, ich hätte hier heute morgen schon was gepostet, scheint was schief gegangen zu sein.

Script ist ausgeführt, das Problem bleibt bestehen, anbei nochmal die beiden Logs von heut morgen:

Anhang 4594

Anhang 4595

Als weiteres Problem ist mir aufgefallen, dass man Antivir nicht mehr updaten kann. Auch ein Versuch, auf die Seite von rootkit-revealer zu kommen, scheiterte.

Ich würde beizeiten ohnehin Format-C machen, um auf nummer Sicher zu gehen. Nur hab ich allerdings auf Wikipedia über Rootkits gelesen, die möglicherweise sogar eine Neuinstallation überleben und sich ins Bios festkrallen. Wie groß wäre die Sicherheit bei Neuinstallation?

Viele Grüße

undoreal 05.11.2009 15:22
Dadurch das xampplite installiert hast wird die Analyse nicht grade einfacher. Wenn du damit also nicht täglich arbeitest wäre es super wenn du deinstellieren würdest.
Und deinstalliere mal bitte den MySpace IM. Der ist mir schon die ganze Zeit ein Dorn im Auge. Eigentlich sollte der sauber sein aber wer weiss..
Danach mit dem cCleaner Punkte 1&2 aufräumen.


Suche bitte wie in der AVZ Anleitung beschrieben wird nach der Datei:
Zitat:
hqweiuz.exe
Mache einen Screenshot von den Funden und hänge diesen an deinen nächsten Post an.

Code:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 DeleteFile('hqweiuz.exe');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\pdnetctl.sys');
 DeleteFile('PDCOMP.sys');
 DeleteFile('PDFRAME.sys');
 DeleteFile('PDRELI.sys');
 DeleteFile('PDRFRAME.sys');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\hqweiuz.exe');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\PDCOMP.sys');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\PDFRAME.sys');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\PDRELI.sys');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\PDRFRAME.sys');
 DeleteFiel('        Simbad.sys');
 DeleteFile('        C:\WINDOWS\system32\DRIVERS\Simbad.sys');
 DeleteFile('C:\WINDOWS\system\SP5X_32.DLL');
ExecuteSysClean;
ExecuteRepair(9);
ExecuteWizard('TSW', 3, 3, true);
BC_Activate;
RebootWindows(true);
end.

newuser 06.11.2009 22:35
Hallo. Nachdem ich massive Probleme bekommen habe (z.B. Text durch Fremdeinwirkung in Word-Dokument und Komplett-Abstürze von Outlook) habe ich den kompletten Laptop platt gemacht und neu formatiert. Trotzdem danke für den Hilfsversuch.


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:10 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131