|
Hi, ok, dann ist noch was drauf was ich nicht sehe (Rootkit)... Kiommen wir mal "von aussen"... Dr. Web-Live-CD Lade Dir das Abbild (Dr.Web CureIt! —) runter (jeweils die neuste Version, z. Z. http://download.geo.drweb.com/pub/dr...livecd-600.iso) und brenne es auf CD/DVD. Stelle dann im BIOS die Bootreihenfolge um (zuerst von CD booten), boote dann von der erstellten CD und starte Dr. Web Live CD (default). Lass dann alle Festplatten untersuchen... Bei Funden bitte Name und Pfad notieren, bevor du sie von Dr. Web beseitigen lässt... Weiter Anweisungen: Dr.Web CureIt! — chris |
hat soweit alles gut geklappt und das proggi läuft auch noch durch und dazu hab ich mal ne frage: das läuft jetzt seid fast 3stunden auf c, in den ersten circa 15min hat er 97% geschafft die restliche 2stunden 45 durchsucht er die restlichen 3% ist das normal und ist abzusehen wann er fertig sein wird mit allem? desweiteren hat er auch schon einiges gefunden. lg Black-Night |
Hi, normalerweise ist das gut über Nacht laufen zu lassen... Kommt auf die Größe der Platte (Anzahl der Dateien) und CPU an... Bin mal gespannt was er so findet... Log posten... chris |
ok... naja die internen ist halt standart größe nen bischen gedanken mach ich mir um die beiden externen die eine 1tb die andere 2tb. ich las sowas normalerweise auch über nacht laufen aber ich bin ab morgen vormittag bis sonntag abend nicht mehr am pc... daher dacht ich ab besten gleich durchlaufen lassen, so das der scan bis morgen früh durch ist... 16 funde bis jetzt... lg Black Night |
Hi, kommt auf die Funde an, ob es Cookies, Adware oder schlimmeres ist... chris |
einen gesundes neues wünsch ich dir... also nachdem drweb 4mal durch gelaufen ist hatts endlich geklappt. aber das proggi zeigte mir nur ergebnisse an nachdem ich alles im scanner auf "move to quaranain" gestellt hatte. wieso auch immer... egal auch das erstellen bzw speichen der journal datei war zum wahnsinnig werden aber auch dieses hat geklappt hängt unten dran ich werd auch im moment nicht umgeleitet aber tdsskiller geht immer noch nicht. edit: zu früh gefreut werd wieder umgeleitet und zwar möchte ich meinen immer wenn die aufforderung kommt "firefox als standartbrowser" und ich dann das häkchen wegnehme bei dem steht "bei jedem start wieder nachfragen" bin mit aber nicht sicher. google instant geht auch nicht. lg Black-Night |
Hi, das sieht sie aus, als ob wir dem viech nicht bei kommen... Scanner finden nichts vernünftiges... scheint eine neue Variante von Rootkit zu sein... Oder ein gut verstecktes Browser -Addin... Bitte neues LOg und hitman: Hitman Lade Dir die passende Version von Hitman runter (32/64Bit), laufen lassen und Log posten. Downloads - SurfRight chris |
hi, solangsam :headbang: hir das log - <Log computer="STUFFI-PC" scan="Normal" version="3.6.0.138" date="2012-01-02T14:13:45" timeSpentInSecs="362" filesProcessed="57760"> - <Item type="Malware" malwareName="Bootkit" score="0.0" status="None"> - <Scanners> <Scanner id="Other" name="Win32/Bootkit" /> </Scanners> <File path="C:$MBR" hash="5F812227CE3EA5E4B44EF2AB2C411D7F6670C2B3D375B78E8A15770306ADD8F5" /> </Item> - <Item type="Suspicious" score="31.0" status="None"> <File path="C:\Program Files\BitTorrent\BitTorrent.exe" hash="4BF6EB2EBBDC448C3BD93698B41028719130C9F7C060E3AECFCE118B71FC364A" /> - <References> <File path="C:\Users\Stuffi\Desktop\ANWENDUNGEN\BitTorrent.lnk" /> </References> </Item> - <Item type="Suspicious" score="23.0" status="None"> <File path="C:\Users\Stuffi\AppData\Local\Temp\RarSFX0\procs\explorer.exe" hash="908FDB876715F0A77014A37396D9E964FA6359D98099929BAB4086E66D72BB9F" /> </Item> - <Item type="Suspicious" score="23.0" status="None"> <File path="C:\Users\Stuffi\AppData\Local\Temp\RarSFX0\procs\iexplore.exe" hash="908FDB876715F0A77014A37396D9E964FA6359D98099929BAB4086E66D72BB9F" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Microsoft\Windows\Cookies\68J68F6G.txt" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Microsoft\Windows\Cookies\7TSTU180.txt" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Microsoft\Windows\Cookies\95SBM9B9.txt" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Microsoft\Windows\Cookies\9ZN7W635.txt" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Microsoft\Windows\Cookies\A35QEJ4K.txt" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Microsoft\Windows\Cookies\AUPF9JID.txt" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Microsoft\Windows\Cookies\BJWI3L1H.txt" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Microsoft\Windows\Cookies\EYXGU26N.txt" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Microsoft\Windows\Cookies\L4440Y2B.txt" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Microsoft\Windows\Cookies\NP31WJQJ.txt" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Microsoft\Windows\Cookies\PSN1MGNW.txt" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Microsoft\Windows\Cookies\QKGLA94Q.txt" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Microsoft\Windows\Cookies\SU8L5L63.txt" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Microsoft\Windows\Cookies\UFES8RPV.txt" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Microsoft\Windows\Cookies\VL8FO22C.txt" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Microsoft\Windows\Cookies\Y1ER4EPE.txt" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:ad.360yield.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:ad.ad-srv.net" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:ad.adc-serv.net" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:ad.adperium.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:ad.yieldmanager.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:ad.zanox.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:adbrite.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:ads.adk2.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:ads.brandwire.tv" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:ads.carocean.co.uk" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:ads.creative-serving.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:ads.edelight.de" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:ads.glispa.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:ads.lycos.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:ads.pubmatic.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:adtech.de" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:advertise.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:apmebf.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:atdmt.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:bs.serving-sys.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:collective-media.net" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:de.sitestat.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:doubleclick.net" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:eas.apm.emediate.eu" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:emjcd.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:fastclick.net" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:invitemedia.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:kaspersky.122.2o7.net" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:media6degrees.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:mediaplex.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:serving-sys.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:smartadserver.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:tradedoubler.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:ww251.smartadserver.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:www.emjcd.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:www.googleadservices.com" /> </Item> </Log> |
das problem besteht übrigens weiterhin werd umgeleitet und der tdsskiller funzt auch immer noch nicht. lg. Black-Night |
Hi, cookies, aber auch: <File path="C:\Users\Stuffi\AppData\Local\Temp\RarSFX0\procs\explorer.exe" ... Eine Explorer-Exe im Local-Temp-Verzeichnis, ausgepackt... Update MAM (neue Version), laufen lassen (fullscan) und ein neues OTL-Log... chris |
und die logs. als zip ging wegen der größe leider nicht anders. lg. Black-Night |
Hi, Fix für OTL:
Code:
chris |
hallöle so hab ich durchlaufen lassen... das erstemal ist otl abgestürzt ohne log technisch was zu hinterlassen. herunterfahren mußte ich auch von hand machen das aber auch nicht wirlich ging also hab ich das auch von hand erledigt. hab das proggi noch einmal durchlaufen lassen gleiches resultat nur das sich diesmal ein fenster öffnete mit nem hinweis das ne txt auf meinem desktop gespeichert wurde. danach kam aber gleich wieder die meldung das otl nicht mehr funzt und das prog. abbruch. runterfahren und starten mußte ich dann wieder selbst. lg Black-Night ps tdsskiller funzt aber immer noch nicht |
hab eben wieder festgestellt das ich immernoch ungeleitet werde. lg Black-Night |
Fix für OTL:
Code:
Lade Dir Farbar Service Scanner (http://download.bleepingcomputer.com/farbar/FSS.exe) runter, starte ihn und wähle folgende Optionen aus:
Starte durch "Scan". Das Logfile (FSS.txt) wird in dem Arbeitsverzeichnis erstellt. Log hier posten... Hast Du eine Win7-Boot-DVD? Wir müssen den MBR fixen, das wird dann doch ein neues Rootkit sein, das noch kein Scanner kennt... Falls dabei was schief geht, lässt sich der Rechner nichtmehr booten! Reparatur unter der Recovery-Konsole Win 7 Wie im Link beschrieben vorgehen und dann in der Konsole bootrec.exe /FixMbr eingeben. Tipparchiv - MBR unter Vista oder Windows 7 reparieren - WinTotal.de Falls keine WIN7-Boot-DVD vorhanden: Lade folgendes Abbild runter und brenne es via Nero etc. (ImageBurn:ImgBurn Download - ImgBurn 2.5.6.0) auf DVD (64 Bit): http://www.windows-tweaks.info/Downl...ecovery-CD.iso (32 Bit): http://www.windows-tweaks.info/Downl...ecovery-CD.iso Dann von dieser DVD starten und wie beschrieben vorgehen! chris |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 22:08 Uhr. |
Copyright ©2000-2024, Trojaner-Board