|
Ist mein Rechner "rootkit" - frei ? Guten Abend, ich bin durch die Infoseite von Combo-Fix auf dieses Forum gestossen. Letzte Woche hat jemand, der mehr als ich von PCs versteht meinen Computer überprüft. Durch das Programm ComboFix wurden Rootkit - Aktivitäten festgestellt. Am Ende war er sich jedoch auch nicht sicher, ob alles entfernt wurde. Ich habe heute abend nochmal das Programm "Mailwarebytes" durchlaufen lassen, es entdeckte keine Fehler. Auch das auf dieser Seite empfohlene Programm "OTL" habe ich durchlaufen lassen. Ich habe alles Logs (ComboFix, Mailwarebytes vom 7.7. und Mailwarebytes und zweimal OTL von heute) hier hingeladen: h**p://w*w.file-upload.net/download-2666523/Logs.zip.html Während das Programm Mailwarebytes heute abend lief bemerkte mein NORTON Virenschutz folgendes: Dateil "perfc5932.dat" (Trojan.Gen) wurde isoliert und gelöscht. Das ebenfalls auf dieser Seite empfohlene Programm "GMER" ließ sich nicht starten. Es endete mit dem Windows Fenster "Windows hat ein Problem festgestellt . . ." Vielen Dank für Eure Hilfe Jochen aus Hamburg |
Hallo und :hallo: Mach bitte einen Vollscan mit malwarebytes dann sehen wir weiter. |
Fullscan Danke für Deine Mithilfe bei der Suche !! 1. Scan: Drei Files gefunden und isoliert: Files Infected: C:\Program Files\++\++\Binaries\++.dll (Trojan.Agent) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\Programme\ShoppingReport\Bin\2.5.0\ShoppingReport.dll.vir (Adware.Shopper) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{57A6823A-1951-404C-9B13-3C57FE463739}\RP1\A0002731.dll (Adware.Shopper) -> Quarantined and deleted successfully. 2. Scan: Malwarebytes findet nichts. Aber zwischendurch geht (versehentlich) NORTON wieder an und findet: C:\System Volume Information\_restore{57A6823A-1951-404C-9B13-3C57FE463739}\rp5\A0003448.dll (Trojan Horse) - entfernt und C:\System Volume Information\_restore{57A6823A-1951-404C-9B13-3C57FE463739}\rp5\A0003449.exe (Trojan Horse) - entfernt Bei einem dritten Scan eben mit Malwarebytes wurde nichts mehr gefunden. Hier ist das Log vom aktuellen dritten Scan: h**p://w*w.file-upload.net/download-2669466/mbam-log-2010-07-13--22-41-17-.txt.html Nochmals Danke ! |
Zitat:
Edith: Mooment, es war ja schon in der vorher verlinkten zip drin :D Ich muss mir die Logs nochmal genauer ansehen, melde mich später bzw. morgen nochmal. |
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus |
Hallo cosinus, leider bin ich mit GMER nur genauso weit wie am Montag gekommen: Das Programm startet und wird dann durch das Windows - Fenster mit der Fehlermeldung beendet: "Windows hat ein Problem festgestellt . . ." Hier ist der Scan mit OSAM: h**p://w*w.file-upload.net/download-2673249/jock.log.html Danke ! Gruß aus Hamburg |
Sieht ok aus. Bitte den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus. Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen. Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt. |
Kleines schwarzes Fenster taucht auf - und schließt sofort wieder. Bei Befehlseingabe direkt im schwarzen Fenster (ehemalige DOS - Ebene) taucht folgende Meldung auf: Bootkit Remover version 1.0.0.1 (c) 2009 eSage Lab www.esagelab.com main(): DeviceIoControl() ERROR 1 main(): DeviceIoControl() ERROR 1 main(): DeviceIoControl() ERROR 1 main(): DeviceIoControl() ERROR 1 ERROR: No physical disks found |
Hast Du keine Adminrechte?? :eek: Wenn Du ein Vista oder Win7 hättest würde ich das an der UAC festmachen, aber bei XP können es nur fehlende Adminrechte sein! |
Das würde mich sehr wundern: Es gibt auf diesem Rechner nur einen Benutzer: "Administrator" und als der bin ich angemeldet. Ich habe eben nochmal versucht das Programm im abgesicherten Modus zu starten: Dabei kam genau das gleiche Ergebnis. |
Von GMER gibt es ein spezielles Tool um den MBR (Master Boot Record) zu prüfen, der MBR wird zB auch vom Sinowal manipuliert. Die MBR.exe sollte aus der Konsole ausgeführt werden, also zB so: Die mbr.exe liegt direkt auf C:, dann öffnest Du über Start, Ausführen cmd.exe (schwarze Konsole öffnet sich) und dort tippst Du ein: c:\mbr.exe -f Und bestätigst mit Enter. Die Logdatei vom MBR-Tool findest Du im gleichen Pfad, von der die mbr.exe ausgeführt wurde, im obigen Beispiel c:\mbr.log - das bitte öffnen und den Inhalt hier posten. |
Folgende Anzeige: (bzw. gleicher Inhalt in der .log - Datei): Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, GMER - Rootkit Detector and Remover device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK |
So, dann doppelklick nochmal die remover.exe und poste die Ausgabe... |
Habe jetzt remover.exe auf C: kopiert: 1. Versuch: NORTON stoppte das Programm und löschte es. 2. Versuch: (NORTON deaktiviert): Gleiches Ergebnis wie vorhin Weiß nicht, ob es eine Rolle spielt, aber mein Rechner ist durch das Programm "Bootstar" in zwei Partitionen unterteilt. (Eine mit XP, eine mit Windows 98) |
Du hast doch Norton Internet Security installiert oder? Das wollte ich eigentlich später nach der Bereinigung schreiben aber davon solltest Du Dich besser verabschieden, alles was InternetSecurity im namen trägt, sollte man tunlichst meiden. Warum steht zB hier => Editorial | c't Deinstallier Norton bitte komplett, starte den Rechner neu und führ die remover.exe neu aus. |
Leider kommt wieder das gleiche Ergebnis: Bootkit Remover version 1.0.0.1 (c) 2009 eSage Lab esage lab - main main(): DeviceIoControl() ERROR 1 main(): DeviceIoControl() ERROR 1 main(): DeviceIoControl() ERROR 1 main(): DeviceIoControl() ERROR 1 ERROR: No physical disks found NORTON war nicht der Störenfried. |
Ok. Hast Du zufällig ne Windows-CD zur Hand? Zitat:
|
Ich habe hier eine CD "Operating System" mit Windows XP vom PC - Hersteller hp. Der zensierte Bereich war der Titel eines nicht jugendfreien Programmes, dass ich inzwischen gelöscht habe. VOLLTREFFER !! Der Starteintrag war zwar weg, aber im Explorer habe ich erstens noch das Verzeichnis gefunden und was viel schlimmer ist: Einträge mit Datum von gestern und heute. Habe jetzt alles von Hand gelöscht. |
Was hast Du da von Hand gelöscht? Boote Deinen Rechner bitte von der Windows-XP-CD und geh da in die Wiederherstellungskonsole. Dort den befehl fixmbr eintippen und mit Enter oder Return bestätigen, danach den Rechner neu booten. |
Ich habe sämtliche Dateien und sämtliche Unterverzeichnisse die noch unter "Programm Files" vorhanden waren einzeln gelöscht. Bei der CD erscheint ein blauer Bildschirm "Windows Setup", dann werden alle möglichen Dinge geladen und es erscheint die Meldung "Datei dac2w2k.sys ist nicht vorhanden oder beschädigt. Drücken Sie eine beliebige Taste um mit der Installation fortzufahren . ." Ist das richtig so, oder war ich gerade auf dem Weg alles zu löschen und Windows XP komplett neu zu installieren. Habe mich gerade erschrocken ! Gruß aus Hamburg und Danke für die Geduld mit mir. |
Nein von allein wird nichts gelöscht! Hat die CD sichtbare Beschädigungen, Kratzer oder dergleichen? |
Nein, die CD sieht heil aus. Dann werde ich mal loslegen. Danke ! |
Ich komme mir vor wie ein echter DAU: Beim Start fragt die CD, ob ich die automatische Wiederherstellung starten möchte (F6). Hätte ich das anwählen sollen ? Dann ist sie eben komplett durchgelaufen, wollte Windows starten und stoppte: "Setup wurde gestoppt, um Ihren Computer nicht zu beschädigen. Wenn diese Meldung zum ersten Mal auftaucht, starten Sie Ihren Computer neu. Sonst wenden Sie sich an Ihren Händler . . ." Ich glaube, ich werde gerade zum schwierigen Fall - sorry !! |
Zitat:
Zitat:
http://www.timetraveler.ch/wp-conten...05/setup11.gif |
Nein, dort war ich noch nicht. Es muss kurz davor gewesen sein: Es wurden alle möglichen Daten geladen. Dann erschien die Meldung jetzt wird Windows gestartet, dann kam der Bildschirm mit der Fehlermeldung |
Hast Du eine SATA-Platte? Wenn ja, stell mal im BIOS AHCI auf IDE um und botte nochmal von der CD. Hier ein Beispielbild, es kann und wird wahrscheinlich anders aussehen bei Dir: http://img.tomshardware.com/de/2007/...rheit/ahci.gif |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:07 Uhr. |
Copyright ©2000-2025, Trojaner-Board