|
Hi, @schaf: Hast Du das Combofix-script ausgeführt? Und kannst Du mir eine der generierten TMP-Dateien mal zukommen lassen..? chris |
combofix hab ich laufenlassen und danach gingen die partitionen wieder! mein rechner rennt wieder wie eh und jeh - teilweise sogar schneller als vorher! :D welche der tmp dateien meinst du @ chris? gruß schaf PS: smithy würde glaube ich schon reichen zum entfernen! |
Hallo miteinander ! Dies ist das erste mal das ich mich mit dem thema trojaner und co auseinander setzen muss :heulen: Also bitte ich um nachsicht für den fall das ich den einen oder anderen fehler mache. Zur Sache, so wie das aussieht habe ich mir wohl auch dieses dnschanger Problem gefangen, zudem hatte ich auch die hier beschriebenen Probleme mit den resycled ordern und boot.com. Diese habe ich soweit ich das beurteilen kann vom Rechner bekommen , mit viel lesen und Handarbeit. Jedoch bekomme ich dieses DNS Changer Problem laut Spybot Search & destroy und auch Spyware Doctor nicht in den Griff. Da brauche ich Hilfe ! Zudem habe ich heute eine "interessante" Feststellung machen müssen. Ich wollte eine CD Brennen, eine Leere CD war ja noch im Brenner. Bei Zugriff auf die CD meldet sich gleich mein anti Viren Programm ( Trend Micro Internet Security Pro ) Meldung : Infizierte Datei --> autorun.inf Name der Bedrohung : Mal Otorun2 !! Auf der eigentlich leeren CD befinden sich merkwürdiger weise die Dateien : resycled , autorun.inf . und im Ordner noch boot.com Also eines steht fest ! Ich habe diese CD nicht gebrannt ! :eek: Wie kann das sein ??? So nun zu den logs Code: Logfile of Trend Micro HijackThis v2.0.2Code: 27.10.2008 00:37:08:541 Der Rechner läuft soweit normal. Internet normal, nur zu dem zeitpunkt als sich noch oben genannte Dateien auf dem Rechner befanden war das i-net deutlich lahmer. Schon mal im voraus danke für Hilfe und mühe. |
Hi @judaskind, eigentlich musst Du einen neuen Thread eröffnen! : resycled , autorun.inf . und im Ordner noch boot.com Der pflanzt sich darüber weiter, d.h. er dürfte mittlerweile auf allen angeschlossenen Platten, USB-Sticks, USB-Festplatten, gebrannte CD etc. sein. Die müssen alle behandelt/vernichtet (CD) werden, da er automatisch von Windows über die autorun.inf ausgeführt wird... MAM&combofix, danach RSIT: Malwarebytes Antimalware (MAM). Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html Fullscan und alles bereinigen lassen! Log posten. Combofix Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird RSIT Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/ speichere es auf Deinem Desktop. Starte mit Doppelklick die RSIT.exe. Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. chris |
@ schaf: Tausend Dank für Deine Anleitung. Bei mir warnte mich Antivir vor folgenden Funden: TR/Patched.CK.56 sowie Dldr.Agent.ahcq.8. Auch bei mir wurden die TMP-Dateien angelegt, die sich nicht löschen ließen. Zwischendurch versuchte die spoolsv.exe Kontakt nach Riga aufzubauen. Das ließ sich nur durch Beenden dieses Prozesses unterbinden. Jedesmal, wenn ich ein Laufwerk im Explorer anklickte, startete die spoolsv.exe, begleitet von mehreren Warnungen des Antivir mit obigen Funden. Auch die alg.exe befand sich dann irgendwann in meinen aktiven Prozessen. Meine Lösung: Nach der einfachen Behandlung im abgesicherten Modus mit Smitfraudfix ("Scan" mit gleichem Ergebnis wie bei Dir, anschließend "Clean" im abgesicherten Modus), hatte sich mein Rechner zwar beim Neustart aufgehängt. Dennoch bin ich nach dem Reset noch einmal in den abgesicherten Modus und ließ dort die ComboFix laufen. Danach hängte sich mein Rechner zwar wieder auf, aber zurück im Normal-Modus sind die TMP-Dateien endlich weg und offensichtlich auch der/die unangenehme(n) Trojaner (oder was auch immer). MAM habe ich nicht erst laufen lassen, weil mir das zu lange dauerte... Allerdings werde ich morgen früh das Ganze nochmals durchchecken. THX again, Gute Nacht. |
[edit] bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann danke GUA http://www.smilies.4-user.de/include...lie_be_027.gif [/edit] |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:34 Uhr. |
Copyright ©2000-2024, Trojaner-Board