System Fix / Google Umleitung einen wunderschönen tag euch allen ich hatte kurz vor heiligabend besuch von system fix... ich bin bei euch auch fündig geworden und hab mich an das tutorial gehalten. konnte allerdings den tdsskiller nicht starten. hab dann erstmal diesen schritt übersprungen und alle dateien wieder sichtbar gemacht. dann hab ich mir eset den onlinescanner runtergeladen und diesen durchlaufen lassen der hatte auch einiges gefunden das ich so nicht löschen konnte, im nachhinein weiß ich das ich nur einen haken hätte setzten müssen. ich hab dann aber aus dem log die dateien rausgesucht und die per hand gelöscht. dann hab ich noch mal eset laufen lassen und er fand dann nichts mehr... mein jetziges prob, das ich nicht hin bekomme ist, das ich immer wieder von google umgeleitet werde und auf den unmöglichsten seiten lande und das i-net auch sonst sehr langsam ist. wäre über hilfe sehr dankbar. lg Black-Night sorry hatte ich vergessen windows 7 home premium |
Hi, MBR-Check Lade Dir http://ad13.geekstogo.com/MBRCheck.exe und speichere die Datei auf dem Desktop.
TDSS-Killer Download und Anweisung unter: Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft? Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)! Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe. Nach dem Start erscheint ein Fenster, dort dann "Start Scan". Wenn der Scan fertig ist bitte "Report" anwählen. Es öffnet sich ein Fenster, den Text abkopieren und hier posten... OTL Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop
chris |
danke schön erstmal bis hir her der tdsskiller startete wieder nicht.... hir aber die anderen 3 logs. |
Hi, 111 GB \\.\PhysicalDrive0 MBR Code Faked ->MBR-Rootkit, oder ein spezieller Bootblock vom Hersteller... Wind 7-CD zum fixen? Hast Du was von Systinternal drauf? Eher nicht, oder?
Code:
Probiere danach mal den TDSS-Killer... Malwarebytes Antimalware (MAM) Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen: http://filepony.de/download-chameleon/ Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen") Fullscan und alles bereinigen lassen! Log posten. chris |
vielen dank... also hab den otl durchlaufen lassen als die grünen balken durchliefen ist der lappy abgestürzt und wieder neu hochgefahren konnte also keine resultate kopieren... aber die log hab ich eine win7 cd hab ich... und nein ich hab nix von systinternal ... das mam log kann ich noch nicht posten denn der full-scan dauert bei mir immer so circa 2 1/2 stunden |
sorry log vergessen All processes killed ========== OTL ========== Service HFFMSJ stopped successfully! Service HFFMSJ deleted successfully! C:\Users\Stuffi\AppData\Local\Temp\HFFMSJ.exe moved successfully. Service GUNH stopped successfully! Service GUNH deleted successfully! C:\Users\Stuffi\AppData\Local\Temp\GUNH.exe moved successfully. Service JTHVUXWEZMVJQ stopped successfully! Service JTHVUXWEZMVJQ deleted successfully! C:\Users\Stuffi\AppData\Local\Temp\JTHVUXWEZMVJQ.exe moved successfully. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Gast ->Temp folder emptied: 60466 bytes ->Temporary Internet Files folder emptied: 10540031 bytes ->Flash cache emptied: 566 bytes User: Public User: Stuffi ->Temp folder emptied: 44315937 bytes ->Temporary Internet Files folder emptied: 4369728 bytes ->Java cache emptied: 22775702 bytes ->FireFox cache emptied: 69012983 bytes ->Google Chrome cache emptied: 0 bytes ->Apple Safari cache emptied: 0 bytes ->Flash cache emptied: 2746 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 12288 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 1824 bytes RecycleBin emptied: 5123131 bytes Total Files Cleaned = 149,00 mb OTL by OldTimer - Version 3.2.31.0 log created on 12282011_200226 Files\Folders moved on Reboot... Registry entries deleted on Reboot... konnte die log als txt nicht angängen gab die fehlermeldung ungültige datei lg Black-Night |
Hi, okay, morgen bin ich wieder on... Immerhin hat er die Sachen die ich erkenne konnte noch gefixt... Mal sehen was MAM noch so sagt... wäre spannend zu schauen, ob der killer jetzt starten kann... Aber dann schließen, sonst kommt er mit dem Reboot MAM in die Quere... chris |
ok dann vielen dank schon mal ich wünsch dir eine gute nacht und bis mörgen dann... |
einen wunderschönen guten morgen wünsch ich dir... also mam hab ich durchlaufen lassen der hatt noch was gefunden log ist angehängt... und der tdsskiller läuft immer noch nicht lg Black-Night edit: ich werd immer noch umgeleitet :( |
Hi, wo hast Du denn den Killer rutnergeladen? Nich von Kaspersky direkt? (Im MAM-Log wird SoftonicDownloader_fuer_kaspersky-tdsskiller.exe (PUP.BundleOffer.Downloader.S gefunden und gelöscht... Hmm, möglich das es irgendwo Ausführungsbeschränkungen gibt, die das Teil hinterlassen hat. Was genau ist die Meldung von Windows? Startet ernur nicht oder kommt (und ist auch im Taskmanager nicht unter Prozessen zu sehen), oder bringt Windows eine Meldung "Keine Windows-Anwendung" oder so was ähnliches...? Poste nochmal ein aktuelles OTL-Log... Chris |
den ersten hatte ich bei softsonic runtergeladen den 2 hatte ich dann von deinem link... hab den ersten vorher gelöscht und mit ccleaner bereinigt. win. bringt gar keine meldung ich mach rechtsklick und als admin ausführen und nix passiert er hängt auch nicht im taskmamager... und hier noch mal die beiden otl logs |
Hi, gefällt mir nicht... im OTL-Log finde ich nichts... Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet! Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß! Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen. chris |
mich beschleicht schlimmes... seid circa 20min tut sich nichts mehr soll heißen die interne win. uhr ist stehen geblieben die festplatte arbeitet auch nicht mehr und der cursor ist auch eingefroren. :( was soll ich tun? |
Hi, dann haben sich die Schad-SW und CF in die "Wolle" gekriegt... Rechner ausschalten und neu Booten und schauen ob es ein Log von CDF gibt... chris |
und mir ist hier schon angst und bange geworden. win. ist ohne probs wieder hochgefahren. also ne CF log gabs nicht die sollte auf dem desktop liegen nehm ich mal an. hab aber noch mal versucht den tdsskiller laufen zu lassen und der will immer noch nicht. |
Hi, ok, dann ist noch was drauf was ich nicht sehe (Rootkit)... Kiommen wir mal "von aussen"... Dr. Web-Live-CD Lade Dir das Abbild (Dr.Web CureIt! —) runter (jeweils die neuste Version, z. Z. http://download.geo.drweb.com/pub/dr...livecd-600.iso) und brenne es auf CD/DVD. Stelle dann im BIOS die Bootreihenfolge um (zuerst von CD booten), boote dann von der erstellten CD und starte Dr. Web Live CD (default). Lass dann alle Festplatten untersuchen... Bei Funden bitte Name und Pfad notieren, bevor du sie von Dr. Web beseitigen lässt... Weiter Anweisungen: Dr.Web CureIt! — chris |
hat soweit alles gut geklappt und das proggi läuft auch noch durch und dazu hab ich mal ne frage: das läuft jetzt seid fast 3stunden auf c, in den ersten circa 15min hat er 97% geschafft die restliche 2stunden 45 durchsucht er die restlichen 3% ist das normal und ist abzusehen wann er fertig sein wird mit allem? desweiteren hat er auch schon einiges gefunden. lg Black-Night |
Hi, normalerweise ist das gut über Nacht laufen zu lassen... Kommt auf die Größe der Platte (Anzahl der Dateien) und CPU an... Bin mal gespannt was er so findet... Log posten... chris |
ok... naja die internen ist halt standart größe nen bischen gedanken mach ich mir um die beiden externen die eine 1tb die andere 2tb. ich las sowas normalerweise auch über nacht laufen aber ich bin ab morgen vormittag bis sonntag abend nicht mehr am pc... daher dacht ich ab besten gleich durchlaufen lassen, so das der scan bis morgen früh durch ist... 16 funde bis jetzt... lg Black Night |
Hi, kommt auf die Funde an, ob es Cookies, Adware oder schlimmeres ist... chris |
einen gesundes neues wünsch ich dir... also nachdem drweb 4mal durch gelaufen ist hatts endlich geklappt. aber das proggi zeigte mir nur ergebnisse an nachdem ich alles im scanner auf "move to quaranain" gestellt hatte. wieso auch immer... egal auch das erstellen bzw speichen der journal datei war zum wahnsinnig werden aber auch dieses hat geklappt hängt unten dran ich werd auch im moment nicht umgeleitet aber tdsskiller geht immer noch nicht. edit: zu früh gefreut werd wieder umgeleitet und zwar möchte ich meinen immer wenn die aufforderung kommt "firefox als standartbrowser" und ich dann das häkchen wegnehme bei dem steht "bei jedem start wieder nachfragen" bin mit aber nicht sicher. google instant geht auch nicht. lg Black-Night |
Hi, das sieht sie aus, als ob wir dem viech nicht bei kommen... Scanner finden nichts vernünftiges... scheint eine neue Variante von Rootkit zu sein... Oder ein gut verstecktes Browser -Addin... Bitte neues LOg und hitman: Hitman Lade Dir die passende Version von Hitman runter (32/64Bit), laufen lassen und Log posten. Downloads - SurfRight chris |
hi, solangsam :headbang: hir das log - <Log computer="STUFFI-PC" scan="Normal" version="3.6.0.138" date="2012-01-02T14:13:45" timeSpentInSecs="362" filesProcessed="57760"> - <Item type="Malware" malwareName="Bootkit" score="0.0" status="None"> - <Scanners> <Scanner id="Other" name="Win32/Bootkit" /> </Scanners> <File path="C:$MBR" hash="5F812227CE3EA5E4B44EF2AB2C411D7F6670C2B3D375B78E8A15770306ADD8F5" /> </Item> - <Item type="Suspicious" score="31.0" status="None"> <File path="C:\Program Files\BitTorrent\BitTorrent.exe" hash="4BF6EB2EBBDC448C3BD93698B41028719130C9F7C060E3AECFCE118B71FC364A" /> - <References> <File path="C:\Users\Stuffi\Desktop\ANWENDUNGEN\BitTorrent.lnk" /> </References> </Item> - <Item type="Suspicious" score="23.0" status="None"> <File path="C:\Users\Stuffi\AppData\Local\Temp\RarSFX0\procs\explorer.exe" hash="908FDB876715F0A77014A37396D9E964FA6359D98099929BAB4086E66D72BB9F" /> </Item> - <Item type="Suspicious" score="23.0" status="None"> <File path="C:\Users\Stuffi\AppData\Local\Temp\RarSFX0\procs\iexplore.exe" hash="908FDB876715F0A77014A37396D9E964FA6359D98099929BAB4086E66D72BB9F" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Microsoft\Windows\Cookies\68J68F6G.txt" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Microsoft\Windows\Cookies\7TSTU180.txt" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Microsoft\Windows\Cookies\95SBM9B9.txt" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Microsoft\Windows\Cookies\9ZN7W635.txt" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Microsoft\Windows\Cookies\A35QEJ4K.txt" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Microsoft\Windows\Cookies\AUPF9JID.txt" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Microsoft\Windows\Cookies\BJWI3L1H.txt" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Microsoft\Windows\Cookies\EYXGU26N.txt" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Microsoft\Windows\Cookies\L4440Y2B.txt" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Microsoft\Windows\Cookies\NP31WJQJ.txt" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Microsoft\Windows\Cookies\PSN1MGNW.txt" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Microsoft\Windows\Cookies\QKGLA94Q.txt" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Microsoft\Windows\Cookies\SU8L5L63.txt" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Microsoft\Windows\Cookies\UFES8RPV.txt" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Microsoft\Windows\Cookies\VL8FO22C.txt" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Microsoft\Windows\Cookies\Y1ER4EPE.txt" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:ad.360yield.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:ad.ad-srv.net" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:ad.adc-serv.net" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:ad.adperium.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:ad.yieldmanager.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:ad.zanox.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:adbrite.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:ads.adk2.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:ads.brandwire.tv" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:ads.carocean.co.uk" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:ads.creative-serving.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:ads.edelight.de" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:ads.glispa.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:ads.lycos.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:ads.pubmatic.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:adtech.de" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:advertise.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:apmebf.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:atdmt.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:bs.serving-sys.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:collective-media.net" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:de.sitestat.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:doubleclick.net" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:eas.apm.emediate.eu" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:emjcd.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:fastclick.net" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:invitemedia.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:kaspersky.122.2o7.net" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:media6degrees.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:mediaplex.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:serving-sys.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:smartadserver.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:tradedoubler.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:ww251.smartadserver.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:www.emjcd.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Users\Stuffi\AppData\Roaming\Mozilla\Firefox\Profiles\7dt0y5vd.default\cookies.sqlite:www.googleadservices.com" /> </Item> </Log> |
das problem besteht übrigens weiterhin werd umgeleitet und der tdsskiller funzt auch immer noch nicht. lg. Black-Night |
Hi, cookies, aber auch: <File path="C:\Users\Stuffi\AppData\Local\Temp\RarSFX0\procs\explorer.exe" ... Eine Explorer-Exe im Local-Temp-Verzeichnis, ausgepackt... Update MAM (neue Version), laufen lassen (fullscan) und ein neues OTL-Log... chris |
und die logs. als zip ging wegen der größe leider nicht anders. lg. Black-Night |
Hi, Fix für OTL:
Code:
chris |
hallöle so hab ich durchlaufen lassen... das erstemal ist otl abgestürzt ohne log technisch was zu hinterlassen. herunterfahren mußte ich auch von hand machen das aber auch nicht wirlich ging also hab ich das auch von hand erledigt. hab das proggi noch einmal durchlaufen lassen gleiches resultat nur das sich diesmal ein fenster öffnete mit nem hinweis das ne txt auf meinem desktop gespeichert wurde. danach kam aber gleich wieder die meldung das otl nicht mehr funzt und das prog. abbruch. runterfahren und starten mußte ich dann wieder selbst. lg Black-Night ps tdsskiller funzt aber immer noch nicht |
hab eben wieder festgestellt das ich immernoch ungeleitet werde. lg Black-Night |
Fix für OTL:
Code:
Lade Dir Farbar Service Scanner (http://download.bleepingcomputer.com/farbar/FSS.exe) runter, starte ihn und wähle folgende Optionen aus:
Starte durch "Scan". Das Logfile (FSS.txt) wird in dem Arbeitsverzeichnis erstellt. Log hier posten... Hast Du eine Win7-Boot-DVD? Wir müssen den MBR fixen, das wird dann doch ein neues Rootkit sein, das noch kein Scanner kennt... Falls dabei was schief geht, lässt sich der Rechner nichtmehr booten! Reparatur unter der Recovery-Konsole Win 7 Wie im Link beschrieben vorgehen und dann in der Konsole bootrec.exe /FixMbr eingeben. Tipparchiv - MBR unter Vista oder Windows 7 reparieren - WinTotal.de Falls keine WIN7-Boot-DVD vorhanden: Lade folgendes Abbild runter und brenne es via Nero etc. (ImageBurn:ImgBurn Download - ImgBurn 2.5.6.0) auf DVD (64 Bit): http://www.windows-tweaks.info/Downl...ecovery-CD.iso (32 Bit): http://www.windows-tweaks.info/Downl...ecovery-CD.iso Dann von dieser DVD starten und wie beschrieben vorgehen! chris |
hallöle.... ich hab mir gestern mal diesen pfad angesehen Users\Stuffi\AppData\Local\Temp\RarSFX0\procs\iexplore.exe und hab dann den ccleaner laufen lassen. der pfad ist weg und bis jetzt nicht wieder aufgetaucht. ich hab auch mal spybot laufen lassen der hatte einiges und das nicht nur cookis gefunden log hängt unten dran. das andere werd ich aber machen im laufe des tages. lg Black-Night |
hier erstmal das fss log |
nach einigem hin und her hab ichs dann hinbekommen das die cd endlich startet und vorallem auch das anzeigt was ich gebrauchen kann. hab mich an den link gehalten und den mbr gefixt ging auch alles sehr schnell. danach stand "prozess beendet" im eingabefenster, ich habs geschlossen und windows starten lassen was auch geklappt hat. ob ich immernoch von google umgeleitet werde kann ich dir noch nicht sagen aber ich hab als erstes den tdsskiller starten wollen und der will immernoch nicht. woran erkenne ich denn ob das alles geklappt hat?... lg Black-Night |
so habs eben getestet werd immernoch umgeleitet und google instand geht auch nicht... lg Black.Night |
Hi, prüfen wir mal ob es geklappt hat (fixmbr)... MBR-Check Lade Dir http://ad13.geekstogo.com/MBRCheck.exe und speichere die Datei auf dem Desktop.
So, FSS meldet einen TCP-Treiber, prüfen wir den mal: Dateien Online überprüfen lassen
Code: C:\Windows\system32\Drivers\tcpip.sys
Schauen wir mal ob wir ein Backup finden: Lade SystemLook von einem der folgenden Links und speichere das Tool auf dem Desktop. http://jpshortstuff.247fixes.com/SystemLook.exe - http://images.malwareremoval.com/jps...SystemLook.exe
Code:
Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert. Nenne den Killer mal bitte auf tdsskiller.com bzw. Tdsskiller.scr oder iexplorer.exe um und versuche dann ihn zu starten... Falls es wirklich die tcpip.sys ist, dann wird das Ganze noch übler, da sich das Teil so verankert hat, dass, wenn es entfernt wird, Internet nur noch mit massiven Klimmzügen zum laufen zu bekommen ist (da es alle notwendigen Einstellungen komplett zerschossen hat inkl. anderer Treibereinstellungen).... Irgendwie haben wir uns an was festgesbissen... wie sieht es aus, könntest Du den Rechner ggf. platt machen?
Code: netsvcs
chris |
soetwas dachte ich mir schon und suche mit nem anderen rechner die proggis raus die ich brauche und sichere daten denn ich brauch montag früh den rechner wieder in "alter" frische so hab ich das we um zu testen. kann ich denn aber wirklich sicher sein das wenn ich den lappy platt mache das ich dann das "ding" auch los bin? und es sich nicht vllt. auf den platten festgesetzt hat oder ist es was das die sys-dateien braucht um zu "überleben" |
Hi, folge den Anweisungen im vorangegangem Post, mit mbrcheck können wir sehen ob der mbr jetzt korrekt ist... Du solltest auf jeden Fall formatieren, folge ggf. den Anweisungen zur Neuinstallation (http://www.trojaner-board.de/104197-...anleitung.html)... chris |
meintest du jetzt nur die anweisungen mit dem mbr check oder alle? ich hab aufjedenfall erstmal die mbr log... un dich meinte mit den "platten" die beiden großen externen... |
ok hier alle logs. tdsskiller funzt nicht. lg Black-Night |
Hi, der mbr wurd nicht gefixt, ist immer noch kein standard-win7-mbr... ->How to fix MBR in Windows 7? | Windows 7 Themes oder mit mbrcheck wie folgt: mbrcheck starten und laufen lassen bis die folgende Anzeige kommt: Found non-standard or infected MBR. Enter 'Y' and hit ENTER for more options, or 'N' to exit: Y eingeben und Enter drücken Dann sollte folgende Anzeige kommen: Options: [1] Dump the MBR of a physical disk to file. [2] Restore the MBR of a physical disk with a standard boot code. [3] Exit. 2 auswählen Du bekommst nun: Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel): Richtige Auswahl ist 0 Auswahl des richtigen MBR-codes: [ 0] Default (Windows XP) [ 1] Windows XP [ 2] Windows Server 2003 [ 3] Windows Vista [ 4] Windows 2008 [ 5] Windows 7 [-1] Cancel Dann Enter... Es folgen dann einige Sicherheitsabfragen, die immer mit YES beantworten ->Successfully wrote new MBR code! ->"Please reboot your computer to complete the fix." Log dann posten und mbrcheck nochmal laufen lassen und prüfen ob er jetzt einen standard-win7-mbr anzeigt... chris |
sei mir nicht böse aber ich hab die c platt gemacht und win 7 neu installiert... hab aber nen neuen mbr check gemacht und es scheint alles ok zu sein. hier das log. |
Hi, das sieht gut aus, der MBR ist jetzt OK... Böse bin ich nicht, vielleicht hätte ich schneller reagiere und ihn gleich überschreiben lassen sollen den MBR. Das Problem ist immer, es kann auch ein OEM-MBR sein, dann geht nachher kein zurücksetzten auf den Auslieferzustand mehr ...(meist gibt es dann eine versteckte Wiederherstellungspartition ca. 10GB, die per spezieller Tastenkombination beim Booten erreicht werden kann)... Lass mich raten, keine Umleitungen mehr...? chris |
Alle Zeitangaben in WEZ +1. Es ist jetzt 20:40 Uhr. |
Copyright ©2000-2024, Trojaner-Board