|
Virusbefall Worm/Downadup - 2. befallener Rechner Hallo Trojaner-Board, hallo Arne, nachdem der erste Rechner hier die Wurmkur erhalten hat und wieder sauber ist, benötigt jetzt die zweite befallene Kiste Hilfe. :aufsmaul: Ich hab mich bei einer Freundin mit dem Worm/Downadup infiziert (so nennt ihn meine AVG Rescue Disc). Nach einmaligem Anstecken eines infizierten USB-Sticks war es passiert. Mein Antivir hat zur Feier des Tages noch lustig mit einer Warnung gewunken ... Jetzt habe ich den Worm/Downadup auf einigen Wechseldatenträgern, und zwar in der autorun.inf. Außerdem auf meiner Systempartition u.a. im Ordner /Recycler/S-5-3-42 .../jwgkvsq.vmx. Die AVG-Rescue-Disk findet die Störenfriede, beseitigt sie, beim nächsten Scan snd sie allerdings wieder da. Nach Anleitung die Logfiles von Defogger, OTL, Gmer und Malwarebytes erzeugt und angekoppelt. Ich freu mich schon auf Eure Hilfe! :party: Jan |
Wurde auf diesem 2. PC garnichts mit Malwarebytes gefunden? :confused: |
Also, erneuter Scan mit MWBytes ergab das gleiche Bild - nämlich nichts Code: Malwarebytes' Anti-Malware 1.51.0.1200Code: :confused: |
Zitat:
Zitat:
Automatische Wiederhabe (Autoplay) ist komplett deaktiviert auf diesem Rechner? Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. |
Genau, K: ist eine externe Festplatte, bzw. eine Partition der externen Festplatte. Autorun ist auf dem Rechner allerdings aktiv. Hier das gewünschte OTL-Log: Code: ========== OTL ========== |
Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten. http://www.trojaner-board.de/attachm...rnen-start.png Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen: Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop. Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern ) http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif |
Kaspersky Log-File, nichts gefunden: Code: 2011/07/03 19:55:25.0313 1844 TDSS rootkit removing tool 2.5.8.0 Jun 28 2011 19:12:16 |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Hi Arne, hier das CoFi-Log. Code: ComboFix 11-07-02.03 - Jan 07/03/2011 21:45:11.1.1 - x86Cheers, Jan |
Zitat:
|
Doch, hab ich. Allerdings musste ich das irgendwie zweimal machen. Nach dem ersten Mal war ZA immer noch da. Ich seh gerade, daß der Starmenü-Eintrag noch da ist. Unter Systemsteuerung/Software ist es weg. Im Atsratmenu sind die Icons weg und die links tot. :wtf: |
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM! Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
Also, hier die Logs: Gmer Code: GMER 1.0.15.15640 - hxxp://www.gmer.netCode: Report of OSAM: Autorun Manager v5.0.11926.0Hier wäre vielleicht informativ zu erwähnen, daß ich eine Partition mit Ubuntu samt Startmanager auf dem Rechner habe. Code: MBRCheck, version 1.2.3 |
Zitat:
Hast Du noch andere Betriebssystem außer WinXP drauf? Wenn nicht, also WinXP das einzige installierte System ist: Starte den Rechner neu und wähle im Bootmenü die Wiederherstellungskonsole aus. Tipp dort den Befehl fixmbr ein (dann Enter, mit j bestätigen) danach den Befehl fixboot (dann Enter, mit j bestätigen) Mit exit (dann enter drücken) wird der Rechner neu gestartet. Führe im normalen Windowsmodus MBRcheck und GMER nochmals aus und poste das neue Log. |
N'Abend TB, mein laienhafter Verstand sagt mir, daß es eine Partition meiner externen Platte ist. Auf der ist natürlich kein BEtriebssystem installiert, weder WinXP noch sonstwas. Code: PhysicalDrive2 Model Number: MaxtorBasics Desktop, Rev: 0122Code: PhysicalDrive0 Model Number: TOSHIBAMK8032GAX, Rev: AD001A:confused: Zwecks der Datensicherung. Wenn ich die Daten auf DVDs brenne, besteht die Gefahr, daß ich den Virus mitnehme (à la autorun.inf o.ä.)? Gibt es eine Variante, nur die Daten zu sichern ohne irgendwelchen Virenkram? Das wär doch ne feine Sache! :confused::confused: Cheers, Jan |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 19:07 Uhr. |
Copyright ©2000-2024, Trojaner-Board