|
AntiVir findet täglich neue Viren/Trojaner Hallo, hab mit meinem Problem n bisschen bei Google geschnüffelt und bin auf das Board hier gestoßen. Ich bin sicher, ihr könnt mir helfen :rolleyes: Ich arbeite mit XP und hab nen DSL-Anschluss der Telekom. Vor einien Wochen bemerkte ich, dass ich beim Googlen nicht mehr auf die gewünschten Seiten gelang sondern auf irgendwelche anderen Seiten (ebay usw.) umgeleitet wurde. Auch hatte mein Rechner deutlich an Geschwindigkeit verloren. Beim Starten des Rechners erhielt ich irgendwann auch eine Fehlermeldung "...exe hat ein Problem festgestellt". Der Aufruf des Task-Managers scheiterte da angeblich "vom Administrator deaktiviert"... Ich konnte ihn jedoch wieder aktivieren.Später kam dann auch noch eine Warnmeldung dass mein Antivirusprogramm (Avast) nicht mehr auf dem neusten Stand ist. Der Versuch der Aktualisierung scheiterte, auch war es mir nicht möglich, die Avast-Seite im Internet aufzurufen. Ich installierte darufhin AntiVir und schmiss das Avast runter. Beim ersten Scan fand AntiVir 17 verschieden Viren und Trojaner, überwiegend im Ordner System32. Die Fehlermeldung ist seit dem nicht wieder aufgetaucht, die o.g. Probleme beim Googlen und die Geschwindigkeit blieben jedoch. Jetzt findet Antivir fast täglich 1-3 Viren oder Trojaner im Ordner System32. Ich denke ich hab mich infiziert, oder ? Wahrscheinlich durch Limewire... :pfui: Ist da noch was zu retten ? Was kann ich tun ? Viele Grüße |
Hallo und :hallo: Acker diese Punkte für weitere Analysen ab: 1.) Poste ein (neues) Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!! 2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde. 3.) Führe dieses MBR-Tool aus und poste die Ausgabe 4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten. Vor dem Ausführen von Malwarebytes den Wächter Deines Virenscanners abschalten!! 5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken. 6.) ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code]
Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist. |
Danke für die schnelle Antwort. Leider lässt mich mein Rechner nicht auf alle deiner Links zugreifen. Es fängt schon bei der umbenannten hijackthis.exe an. Auch auf das MBR-Tool, Blacklight und ComboFix kann ich nicht zugreifen. Mein Firefox meldet mir immer den Fehler:Verbindung fehlgeschlagen. So wars auch wenn ich auf die Avast-Seite wollte. Wat nu? |
So, das mit dem hijackthis hab ich hinbekommen. Habs mir bei pc-welt runtergeladen. Auf die Seite komme ich rauf. Jetzt versuch ich mal das Logfile zu Posten. Code: Logfile of Trend Micro HijackThis v2.0.2 |
Hallo, starte den Editor und kopiere folgenden Inhalt. Danach abspeichern und die Endung der erstellten Datei von xyz.txt in xyz. bat um! Nun ein Doppelklick darauf und es werden Ergebnisse geliefert, diese Inhalte poste... (Quelle > filelist.bat) Code: @echo off |
Hallo, meinst du, den Editor mit dem Logfile das ich oben gepostet habe öffnen, mit deinem Text überscheiben und dann speichern ? Wo kann ich denn dann die Endung txt in bat ändern ? Bin leider nur (wie heißt es so schön) DAU :) |
oh, ich glaube ich habs geschafft :-) Logfile war zu groß. Hier der Link: File-Upload.net - filelist.txt |
Ja, da sieht man schon einige böse Dateien :rolleyes: Bevor wir die jetzt alle manuell löschen: Klappt der Download von Combofix? Wenn nicht, lad Combofix bitte von hier. Ansonsten Anleitung oben. |
>Ja, da sieht man schon einige böse Dateien :eek: ...am 05.10.08 fand die Infektion laut Zeitstempel statt! folgend die Übersicht, beispiel /System32... Code: 05.10.2008 22:14 4.096 winlogonpc.exe |
Zitat:
|
puh, ich glaub ich habs geschafft. ComboFix ist durchgelaufen. Das Programm hat meinen Rechner 2 mal neu gestartet, da haute natürlich AntiVir wieder dazwischen, aber ich glaub es hat trotzdem funktioniert. Hier nun das Logfile: Code: ComboFix 08-11-19.08 - Michael 2008-11-20 23:28:40.1 - NTFSx86 |
so, und hier jetzt noch der Link für das Protokoll des Filelistings nach Nr. 7.) (musste doch sicher auch noch gemacht werden, oder ?) File-Upload.net - listing.txt Jetzt bin ich aber mal gespannt :) Also der Rechner läuft schon mal wieder schneller und die Fehlleitungen beim Googlen sind im Moment auch nicht mehr da. Bin ich etwa geheilt ? |
Anleitung Avenger (by swandog46) Lade dir das Tool Avenger und speichere es auf dem Desktop:
Code: folders to delete:
|
Hallo, vielen Dank für die schnelle Hilfe. Ich weiß zwar nicht so genau, was ich da mache, aber es funktioniert wirklich gut. Hier der Avenger-Report: Code: Logfile of The Avenger Version 2.0, (c) by Swandog46 |
so, und hier noch mal das aktuelle HiJackThis Logfile. Bin ja mal gespannt... Code: Logfile of Trend Micro HijackThis v2.0.2 |
Das sieht okay aus. Gibts noch Probleme? Wenn nicht: Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Unbedingt Updates einspielen!! Am besten einfach mal die Windows-Updateseite mit dem IE besuchen. |
...und Java unbedingt aktualisieren! Zitat:
|
Guten Morgen, Probleme eigentlich nicht. Der Rechner läuft wieder wie in alten Zeiten. Ich hab heut Morgen allerdings das ganze System noch mal von AntiVir scannen lassen und da sind noch oder wieder 10 Viren oder Trojaner aufgeflogen... ist das bedenklich ? Hier das AntiVir Protokoll: Code: Avira AntiVir Personal |
Bedenklich ist das schon. - Auf deinem System war eine Unmenge von malwaredateien. - Das TDSS-Rootkit wurde gefunden. - Unter den Funden war auch ein Schädling, der als Backdoor eingestuft wurde!!! Code: C:\System Volume Information\_restore{8C664EFB-0A03-4C73-9783-2EBD2040357A}\RP0\A0000078.dllWegen des Rootkits und des backdoors solltest Du unbedingt überlegen, das System doch besser neu aufzusetzen. |
Och nee :( dachte schon es wäre alles wieder in Butter. Laufen tut der Rechner nämlich wieder gut. Was ist mit den Daten (Ausschließlich Bilder, Videos und Musik) die ich auf der anderen Hälfte meiner Festplatte (Laufwerk D) habe? Da war bisher alles sauber... |
Naja, ich will Dich nicht zwingen das System neu aufzusetzen. Allerdings müsstest Du mit entsprechenden Konsequenzen rechnen...da kann nämlich jmd ne menge Unsinn anstellen falls der Backdoor auf dem System noch aktiv sein sollte :rolleyes: Wie auch immer, eine Formatierung der Systempartition reicht idR aus, wenn Du auf dem D-Laufwerk wirklich nur reine Daten hast, kannst Du die selbstverständlich behalten. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 15:44 Uhr. |
Copyright ©2000-2025, Trojaner-Board