|
InCrediBar - wie werd ich das Ding wieder los? Hallo Community, mich hat es leider gestern auch erwischt mit der InCrediBar Toolbar. Und zwar gleich 5 x. Ich habe im Netz nach Schriftarten für Word gesucht und bin auf Schriftarten Fonts.de fündig geworden. Habe mir dort 5 Schriftarten runtergeladen und pro Schriftart diesen super netten Bonus dazu bekommen.... Installiert hat sich das Ding sicherlich beim installieren der Schriftarten. Unter C/Programme gibt es sogar nen Ordner Wie bei den meisten, habe ich nun anstatt meiner firefox-Oberfläche nun diese InCrediBar - Toolbar mit ner anderen Schriftart (beim Inet Expl. selbstverständlich auch...) Im Zuge meiner Suche nach Erste Hilfe bin ich auf das Trojaner-Board gestoßen, habe mir alles zum Thema durchgelesen und so wie beschrieben ausgeführt. Danke schon mal an Euch an dieser Stelle für die Ratschläge!!! Habe inzwischen folgendes erledigt: AviraAntivir -Standart freeware version: hat bis auf einige Warnungen nichts gefunden Malwarebytes: hat sie gefunden und in Quarantäne gesteckt, gelöscht habe ich sie nicht, Logdatei folgt AviraAntivir -Rescue System: hat außer noch mehr Warnungen nichts gefunden defogger disable: gescannt, Logdatei folgt OTL: gescannt, beide Logdateien folgen GMER: ebenfalls gescannt, Logdateien folgen Ich hoffe auf Eure Hilfe Vielen Dank schon mal vorweg. defogger_disable by jpshortstuff (23.02.10.1) Log created at 13:59 on 10/07/2012 (****) Checking for autostart values... HKCU\~\Run values retrieved. HKLM\~\Run values retrieved. Checking for services/drivers... -=E.O.F=- |
Führ bitte auch ESET aus, danach sehen wir weiter. Hinweis: ESET zeigt durchaus öfter ein paar Fehlalarme. Deswegen soll auch von ESET immer nur erst das Log gepostet und nichts entfernt werden. ESET Online Scanner Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.
Code: "%PROGRAMFILES%\Eset\Eset Online Scanner\log.txt"Code: "%PROGRAMFILES(X86)%\Eset\Eset Online Scanner\log.txt" |
Hallo Arne, vielen Dank schon mal bis hier hin. Ich habe ESET scannen lassen, dass ist die log Datei dazu: ESETSmartInstaller@High as downloader log: all ok # version=7 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6583 # api_version=3.0.2 # EOSSerial=6dbc9c72af11d942858df7b3e0c65b5d # end=finished # remove_checked=false # archives_checked=true # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2012-07-17 04:54:13 # local_time=2012-07-17 06:54:13 (+0100, Westeuropäische Sommerzeit) # country="Germany" # lang=1033 # osver=5.1.2600 NT Service Pack 3 # compatibility_mode=1792 16777191 100 0 19354861 19354861 0 0 # compatibility_mode=8192 67108863 100 0 189 189 0 0 # scanned=39949 # found=0 # cleaned=0 # scan_time=2484 Gruß Nick Name .... habe gerade nach nem Update und Instalation der neuen Version von Malwarebytes noch einmal nen kompletten Durchlauf gemacht und es hat sich schon wieder etwas neues gefunden. Hat sich der vielleicht beim ESET scannen als alle Antiviren Programme u. Co ausgeschaltet waren reingeschmuggelt??? Hier ist die Log von Malwarebytes: Malwarebytes Anti-Malware 1.62.0.1300 Malwarebytes : Free anti-malware, anti-virus and spyware removal download Datenbank Version: v2012.07.17.11 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 **** :: ****-***** [Administrator] 17.07.2012 19:25:55 mbam-log-2012-07-17 (19-25-55).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 235560 Laufzeit: 1 Stunde(n), 56 Minute(n), 3 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 1 C:\WINDOWS\ServicePackFiles\i386\explorer.exe (Trojan.Bootkit.Dropper) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) ???? Und Antivir kommt überhaupt nicht mehr ausm Knick, nach 2:30 h hat es grad 17% geschafft, normal isses nach ner knappen dreiviertel Stunde durch.... |
adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren Downloade Dir bitte AdwCleaner auf deinen Desktop.
|
Ok erledigt! Log ist im Anhang. Falls es von Belang ist habe ich die Logdatei vom Antivir Durchlauf gestern Abend auch mal eingefügt, auch 2 Funde. Hab heute tagsüber nochmal nach nem Update von Malware und Antivir nen Durchlauf gemacht und beide haben nichts gefunden. Alles vorhandene befindet sich immer noch in Quarantäne. Avira Free Antivirus Erstellungsdatum der Reportdatei: Dienstag, 17. Juli 2012 22:03 Es wird nach 3895107 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - Free Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Microsoft Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : ***** Computername : *****-***** Versionsinformationen: BUILD.DAT : 12.0.0.1125 41829 Bytes 02.05.2012 16:34:00 AVSCAN.EXE : 12.3.0.15 466896 Bytes 13.05.2012 12:03:32 AVSCAN.DLL : 12.3.0.15 66256 Bytes 13.05.2012 12:03:32 LUKE.DLL : 12.3.0.15 68304 Bytes 13.05.2012 12:03:33 AVSCPLR.DLL : 12.3.0.14 97032 Bytes 13.05.2012 12:03:33 AVREG.DLL : 12.3.0.17 232200 Bytes 13.05.2012 12:03:33 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 19:18:34 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 10:07:39 VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 23:22:13 VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 16:08:34 VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 12:47:31 VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 15:01:13 VBASE006.VDF : 7.11.34.117 2048 Bytes 29.06.2012 15:01:14 VBASE007.VDF : 7.11.34.118 2048 Bytes 29.06.2012 15:01:14 VBASE008.VDF : 7.11.34.119 2048 Bytes 29.06.2012 15:01:14 VBASE009.VDF : 7.11.34.120 2048 Bytes 29.06.2012 15:01:14 VBASE010.VDF : 7.11.34.121 2048 Bytes 29.06.2012 15:01:14 VBASE011.VDF : 7.11.34.122 2048 Bytes 29.06.2012 15:01:14 VBASE012.VDF : 7.11.34.123 2048 Bytes 29.06.2012 15:01:14 VBASE013.VDF : 7.11.34.124 2048 Bytes 29.06.2012 15:01:14 VBASE014.VDF : 7.11.34.201 169472 Bytes 02.07.2012 08:29:30 VBASE015.VDF : 7.11.35.19 122368 Bytes 04.07.2012 08:29:31 VBASE016.VDF : 7.11.35.87 146944 Bytes 06.07.2012 08:00:37 VBASE017.VDF : 7.11.35.143 126464 Bytes 09.07.2012 17:03:09 VBASE018.VDF : 7.11.35.235 151552 Bytes 12.07.2012 15:59:14 VBASE019.VDF : 7.11.36.45 118784 Bytes 13.07.2012 15:59:14 VBASE020.VDF : 7.11.36.107 123904 Bytes 16.07.2012 15:59:14 VBASE021.VDF : 7.11.36.147 238592 Bytes 17.07.2012 17:14:05 VBASE022.VDF : 7.11.36.148 2048 Bytes 17.07.2012 17:14:05 VBASE023.VDF : 7.11.36.149 2048 Bytes 17.07.2012 17:14:05 VBASE024.VDF : 7.11.36.150 2048 Bytes 17.07.2012 17:14:05 VBASE025.VDF : 7.11.36.151 2048 Bytes 17.07.2012 17:14:05 VBASE026.VDF : 7.11.36.152 2048 Bytes 17.07.2012 17:14:05 VBASE027.VDF : 7.11.36.153 2048 Bytes 17.07.2012 17:14:05 VBASE028.VDF : 7.11.36.154 2048 Bytes 17.07.2012 17:14:05 VBASE029.VDF : 7.11.36.155 2048 Bytes 17.07.2012 17:14:06 VBASE030.VDF : 7.11.36.156 2048 Bytes 17.07.2012 17:14:06 VBASE031.VDF : 7.11.36.158 2048 Bytes 17.07.2012 17:14:06 Engineversion : 8.2.10.114 AEVDF.DLL : 8.1.2.10 102772 Bytes 17.07.2012 15:59:00 AESCRIPT.DLL : 8.1.4.32 455034 Bytes 06.07.2012 08:29:50 AESCN.DLL : 8.1.8.2 131444 Bytes 31.01.2012 23:22:29 AESBX.DLL : 8.2.5.12 606578 Bytes 21.06.2012 16:17:57 AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 22:16:06 AEPACK.DLL : 8.3.0.14 807287 Bytes 17.07.2012 15:58:59 AEOFFICE.DLL : 8.1.2.40 201082 Bytes 01.07.2012 15:01:21 AEHEUR.DLL : 8.1.4.72 5038455 Bytes 17.07.2012 15:58:59 AEHELP.DLL : 8.1.23.2 258422 Bytes 01.07.2012 15:01:17 AEGEN.DLL : 8.1.5.32 434548 Bytes 09.07.2012 08:00:40 AEEXP.DLL : 8.1.0.62 86389 Bytes 17.07.2012 15:59:00 AEEMU.DLL : 8.1.3.2 393587 Bytes 17.07.2012 15:58:55 AECORE.DLL : 8.1.27.2 201078 Bytes 17.07.2012 15:58:55 AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 22:46:01 AVWINLL.DLL : 12.3.0.15 27344 Bytes 13.05.2012 12:03:32 AVPREF.DLL : 12.3.0.15 51920 Bytes 13.05.2012 12:03:32 AVREP.DLL : 12.3.0.15 179208 Bytes 13.05.2012 12:03:33 AVARKT.DLL : 12.3.0.15 211408 Bytes 13.05.2012 12:03:32 AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 13.05.2012 12:03:32 SQLITE3.DLL : 3.7.0.1 398288 Bytes 13.05.2012 12:03:33 AVSMTP.DLL : 12.3.0.15 63440 Bytes 13.05.2012 12:03:33 NETNT.DLL : 12.3.0.15 17104 Bytes 13.05.2012 12:03:33 RCIMAGE.DLL : 12.3.0.15 4447952 Bytes 13.05.2012 12:03:32 RCTEXT.DLL : 12.3.0.15 98512 Bytes 13.05.2012 12:03:32 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp Protokollierung.......................: standard Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: erweitert Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR, Beginn des Suchlaufs: Dienstag, 17. Juli 2012 22:03 Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf nach versteckten Objekten wird begonnen. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'rsmsink.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '46' Modul(e) wurden durchsucht Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '60' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '72' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '66' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'ExtensionUpdaterService.exe' - '19' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'tcpsvcs.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '25' Modul(e) wurden durchsucht Durchsuche Prozess 'fpassist.exe' - '20' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '61' Modul(e) wurden durchsucht Durchsuche Prozess 'AGRSMMSG.exe' - '19' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPEnh.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'RTHDCPL.EXE' - '52' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '63' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '61' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '120' Modul(e) wurden durchsucht Durchsuche Prozess 'Ati2evxx.exe' - '20' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '166' Modul(e) wurden durchsucht Durchsuche Prozess 'Ati2evxx.exe' - '15' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '51' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '51' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '67' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '13' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: C:\Programme\gs\gs9.04\uninstgs.exe [WARNUNG] Unerwartetes Dateiende erreicht Die Registry wurde durchsucht ( '2708' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <Windows XP> C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\IM_B5.tmp\terms.7z [WARNUNG] Der Archivheader ist defekt C:\System Volume Information\_restore{65A084B8-94EF-4608-A559-4BD223C957B2}\RP63\A0024339.exe [FUND] Ist das Trojanische Pferd TR/Trash.Gen C:\Programme\gs\gs9.04\uninstgs.exe [WARNUNG] Unerwartetes Dateiende erreicht C:\Programme\WinRAR\rarnew.dat [WARNUNG] Das Archiv ist unbekannt oder defekt C:\System Volume Information\_restore{65A084B8-94EF-4608-A559-4BD223C957B2}\RP59\A0022833.exe [WARNUNG] Unerwartetes Dateiende erreicht C:\System Volume Information\_restore{65A084B8-94EF-4608-A559-4BD223C957B2}\RP63\A0024339.exe [FUND] Ist das Trojanische Pferd TR/Trash.Gen Beginne mit der Suche in 'D:\' <Daten> Beginne mit der Desinfektion: C:\System Volume Information\_restore{65A084B8-94EF-4608-A559-4BD223C957B2}\RP63\A0024339.exe [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '545046a2.qua' verschoben! Ende des Suchlaufs: Mittwoch, 18. Juli 2012 00:06 Benötigte Zeit: 1:56:56 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 10292 Verzeichnisse wurden überprüft 352191 Dateien wurden geprüft 2 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 352189 Dateien ohne Befall 2130 Archive wurden durchsucht 17 Warnungen 1 Hinweise 264398 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden |
Warum im Anhang? Was soll dieses Mischmasch-Geposte?! Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code: hier steht das Log |
Code: # AdwCleaner v1.702 - Logfile created 07/18/2012 at 20:32:24 |
adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen
|
Code: # AdwCleaner v1.702 - Logfile created 07/25/2012 at 19:37:22 |
Hätte da mal drei Fragen bevor es weiter geht 1.) Geht der normale Modus von Windows (wieder) uneingeschränkt? 2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden? 3.) Die Toolbar bzw. Weiterleitung nun weg? |
1. Der normale Modus geht (offline), da gab es meines Erachtens keine spürbaren Änderungen mit dem Incredibar. Außer das das Internet bissl langsamer wurde und das Klickgeräusch 3,4,5 x kam wenn man auf irgendeiner Seite etwas angeklickt hat und dann hat sich alles aufgehängt. 2.Im Startmenü fehlt mir nix. Der InCredibar Ordner in Programme ist weg, aber ein "ComPlus Aplications" Ordner ist leer (keine Ahnung ob das vorher schon so war...). 3. Die Toolbar ansich konnte man über Firefox unsichtbar machen, aber Incredibar ist definitiv nicht weg!!! Spätestens wenn man in der großen Suchzeile etwas einträgt und Enter drückt ist man wieder bei My Start Incredibar gelandet. Die Firefox Schriftart ist glaub ich auch noch nicht die Originale. (Lässt sich aber schlecht nachvollziehen da die ja in letzter Zeit ständig ihr Design wechseln.) |
Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code: hier steht das LogLade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.
Code: netsvcs
|
OTL Logfile: Code: OTL logfile created on: 02.08.2012 19:50:41 - Run 2 |
Jop, die mystart/incredi kacke ist da noch Lade den adwCleaner bitte neu runter!! adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren Downloade Dir bitte AdwCleaner auf deinen Desktop.
|
Code: # AdwCleaner v1.800 - Logfile created 08/13/2012 at 21:30:25 |
Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code: hier steht das LogLade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.
Code: netsvcs
|
OTL Logfile: Code: OTL logfile created on: 14.08.2012 18:22:21 - Run 3 |
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann! |
Code: All processes killed |
Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten Anleitung und Downloadlink hier => http://www.trojaner-board.de/82358-t...entfernen.html Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm! Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet, Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten. Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C:) nach, da speichert der TDSS-Killer seine Logs. Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten! http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg |
Code: 19:27:41.0046 3916 TDSS rootkit removing tool 2.8.8.0 Aug 24 2012 13:27:48 |
Log ist unvollständig Da mein Screenshot veraltet war bitte wiederholen Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten Anleitung und Downloadlink hier => http://www.trojaner-board.de/82358-t...entfernen.html Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm! Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet, Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten. Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition ( meistens Laufwerk C: ) nach, da speichert der TDSS-Killer seine Logs. Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten! http://saved.im/mtg4nzy0ywy5/settings_2012-09-04.png |
Code: 11:09:47.0234 4072 TDSS rootkit removing tool 2.8.8.0 Aug 24 2012 13:27:48 |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie Zitat:
|
Combofix Logfile: Code: ComboFix 12-09-12.02 - ***** 12.09.2012 13:15:57.1.1 - x86--- --- --- |
Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!! Code: Firefox::4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. http://users.pandora.be/bluepatchy/m...s/CFScript.gif 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann! |
Combofix Logfile: Code: ComboFix 12-10-04.02 - ***** 05.10.2012 10:50:05.3.1 - x86 |
Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM! Downloade dir bitte  aswMBR.exe und speichere die Datei auf deinem Desktop.
Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none). Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes: Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 19:39 Uhr. |
Copyright ©2000-2025, Trojaner-Board