![]() |
Okay, Dr. Web ist durch und hat nix gefunden. MBAM läuft grad. ESET kommt danach dran. |
Liste der Anhänge anzeigen (Anzahl: 1) Hier schon mal das Logfile von MBAM. Code: Malwarebytes' Anti-Malware 1.51.2.1300 http://www.trojaner-board.de/attachm...1&d=1318272527 Hm, sieht schon komisch aus... Außerdem hab mich mal fsutil reparsepoint query c:\xyz ausprobiert. Ergebis Fehler: Zugriff verweigert ESET läuft noch mindestens 'ne Stunde (hat erst 26% nach 34 min). Hat leider schon 3 Threads gefunden, jeweils Java/Agent.DS trojan :headbang: |
Na toll, ESET hat auch was gefunden, allerdings wieder was ganz anderes, als MBAM: Code: C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\worms.jar-554e9856-1b106dd1.zip Java/Agent.DR trojan |
Hab spaßeshalber noch ein neues Avira Free Antvirus installiert und damit noch mal die ganze Platte gescannt. Ergebnis wie bei ESET. Avira hat auch die drei zip-Dateien in C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\ angemeckert und sie in die Quarantäne verschoben. Gute Nacht erst mal! :sleepy: |
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!! Code: :OTL Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann! |
Da isses: Code: All processes killed C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-560666a7-n\ Hab grad noch mal auf dem infizierten Rechner gesucht. Dort taucht diese Datei 2x auf in: c:\programme\microsoft\autoroute c:\programme\HP\digital imaging\bin |
Zitat:
|
Ich bin übrigens ein Depp. Hatte ich doch in der Zwischenzeit c:\xyz in c:\aaa umbenannt, damit es am Anfang der Liste erscheint ... :headbang: Daher konnte OTL es nicht natürlich finden. SORRY! :stirn: Kannst du mir bitte einen neuen Text für die "Custom Scan/Fixes" Box schicken, nur um die c:\aaa zu löschen? Könnte der vielleicht so aussehen? :OTL O32 - AutoRun File - [2007.01.30 21:38:34 | 000,000,000 | -HSD | M] -- C:\aaa :Files C:\aaa :Commands [emptytemp] [resethosts] Die "ICQ Search" befand sich übrigens immer noch im IE und im Firefox. Hab die mal rausgenommen. Grüße, Troja007 |
Zitat:
Ja einfach nur in meinem Script das xyz passend umbennen |
Den Befehl fsutil reparsepoint query / delete hatte ich gestern auch noch gefunden. Ergebnis jeweils: Fehler: Zugriff verweigert Genausowenig funzt delrp.exe aus dem Windows Ressource Kit: The delete call failed. Das scheint mir eine richtig fiese Sache zu sein mit diesem reparse point. Das Ding wird manchmal aus als junction point bezeichnet. Es gibt dafür spezielle Tools zum Erstellen und Löschen, die aber alle auf "normale" reparse points ausgerichtet sind. Wie man an dieses Exemplar hier rankommt, ist mir ein Rätsel. |
Was ist denn mit der Hosts-Datei passiert? Die alte wurde ja ersetzt (da war aber nix drin außer 127.0.0.1 localhost) Die neue lässt gerade keinen Internetzugriff zu: 127.0.0.1 localhost ::1 Localhost Hat das einen Grund? |
Noch besser: Ich kann die nicht mehr editieren - also speichern oder löschen ??? Erledigt: Avira war Schuld! |
Der Internetzugriff durch die Hostsdatei wird nur eingeschränkt wenn dort deutlich andere Sachen drinstehen. AFAIK muss nichtmal mehr das 127.0.0.1 localhost eingetragen sein, weil der loopback/localhost direkt schon im Stack integriert ist. Zitat:
|
Nee, die hatte ich gestern auch gefunden. Probier ich jetzt auch noch aus. Aber ehrlich gesagt glaube ich mittlerweile nicht mehr daran, dass man mit solchen Tools was erreichen kann (in diesem Fall). Vermutlich müsste man mit irgendwelchen Low-level HDD-Tools ran. Aber davon hab ich keinen Schimmer. EDIT: Wie erwartet: Error deleting c:\aaa: Zugriff verweigert |
Dann muss man entweder sich damit abfinden, dass dieser Rechner nicht mehr zu retten ist und man formatieren muss :pfeiff: oder du versuchst junction bzw. fsutil über eine Live-CD wie BartPE oder OTLPE auszuführen Diese Live-CD unbedingt auf einem anderen, garantiert sauberen Rechner bitte erstellen! |
Alle Zeitangaben in WEZ +1. Es ist jetzt 07:05 Uhr. |
Copyright ©2000-2025, Trojaner-Board