|
Trojan.DNSChanger befall HAllo, ich habe das selbe problem wie "Icon21 Virus-->Firefox fehlerhaft" sobald ich eine seite öffnen will kommt ZB emule ,... irgendwas die richtung da aber immer ein neuer lösungsweg gefragt ist möchte ich euch bitten mir bei der lösung zu helfen. Ich habe also: hijack log: Code: Logfile of Trend Micro HijackThis v2.0.2CCleaner laufen lassen und zwar sehr oft! Konnte dabei die volgende fehlermeldung nicht reparieren lassen. Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} danach habe ich Avenger laufen lassen ohne ergebnis. Malewarebytes hat dann dieses ergebniss gebracht: Code: Malwarebytes' Anti-Malware 1.35war und ich aber nichts weiter machen konnte. Irgendwie muß ich diesen recycled/boot entfernen. Bitte gebt mir hilfestellung. Arbeite mit Win XP pro SP 2 |
So, du hast Recht, du hast einen DNS Changer. Lass gmer noch mal laufen, beantworte alle Fragen die auftauchen könnnten mit nein und poste dann das Ergebnis des Scans hier..... |
Du willst bestimmt einen komplett scan? Ansonsten gibts nur das hier: Code: GMER 1.0.15.14966 - http://www.gmer.net |
Sooo, der komplette scan : Code: GMER 1.0.15.14966 - http://www.gmer.net |
Gut so, wie ich sehe bist du grad online. Ich bastle mal eben ein Script, bitte rufe schon mal den Avenger auf, näheres kommt gleich.... |
Na bitte, da haben wir ja was wir brauchen. Offensichtlich hast du schon länger Ärger mit diesem Teil Öffne jetzt das Programm Avenger. Du siehst jetzt ein weißen Scriptfeld. http://www.Redwulf.de/AV.jpg Kopiere jetzt den Inhalt der Codebox mit Strg +C Code: Drivers to delete:Achte darauf, dass der Inhalt der Codebox mit dem Scriptfeld übereinstimmt. Es kommt beim Kopieren des Codebox Inhaltes manchmal zu einer Lücke zwischen den Buchstaben. Falls dies so ist, korrigiere das bevor du auf EXECUTE drückst. Der Avenger wird im Rahmen seiner Arbeit mehrmals booten, teilweise siehst du auch nur einen schwarzen Bildschirm. Das muss so sein, da das rootkit nur beseitigt werden kann bevor Windows komplett bootet. Also nicht erschrecken..es sieht wirkllich wild aus. Lass dem Avenger Zeit zu arbeiten, auch wenn du meinst er hätte sich aufgehängt. Unternehme keinen Neustartversuch aus eigenem Antrieb. Nach Abschluß dieser Sache bekommst du, nachdem Windows wieder gebootet hat, ein Logfile angezeigt. Poste es bitte hier. Zu diesem Zeitpunkt ist auch möglich, dass sich Avira mit Virenfunden meldet. Lasse diese Viren dann LÖSCHEN, anschließend löscht du die Quarantäne. Anschließend sorge dafür das Avira geupdated wird. Anschließend wirst du das Programm Blacklight ausführen. Reporte das Ergebnis hier. Weiter geht es dann wieder mit MalwareBytes. ( UPDATE nicht vergessen ) Auch hier lässt du eventuelle Funde komplett löschen. Quarantäne ebenfalls. Poste das Ergebnis hier. Jetzt setzt du nochmals CCleaner ein und zeigst mir ein dann ein frisches Hijack this Log. Dann gehts ans Aufräumen....insbesondere dem installieren des SP 3. Bis später:daumenhoc |
guten abend, vielen dank ich verlasse mich da auf dich!! |
Hier das Logfile: Code: Logfile of The Avenger Version 2.0, (c) by Swandog46 |
mit dem anderen bekomme ich : Null Null Summary 00 was nun? |
Gibts doch nicht... Mach bitte nochmal den Gmer Scan. hast du zwischen dem Scan gestern und dem heutigen Post irgendwas gemacht? |
logfile von : Code: Malwarebytes' Anti-Malware 1.35 |
Entschuldige bitte. NEin ich habe nichts gemacht. HAbe antivir laufen lassen sonst nur aus und heute wieder eingeschalten. |
hier der gmer log: Code: GMER 1.0.15.14966 - hxxp://www.gmer.net |
OK!!:daumenhoc Wir haben den rootkit erwischt.... der ist definitiv wech... Deinem PC müsste es jetzt besser gehen. Versuche jetzt nochmal einen Scan mit Blacklight....sicher ist sicher... Versuche die Updates von MalwareBytes und lass es komplett durchlaufen. Poste das Ergebnis bitte hier. Sieht aus als ob wir Nachtschicht machen :) |
vielen dank das mache ich noch. Kannst du mir auch helfen wenn es um den fehler C:\recycled/boot.com ist keine zulässige Win32-Anwendung das bekomme ich seit neuestem beim öffnen von meinen anderen festplatten. über explorer funktioniert es. Habe gelesen es reicht wenn ich unter reg edit die hotkeay mit resycle.... lösche |
neuer log also: Code: Malwarebytes' Anti-Malware 1.35Bis auf das andere prob:heulen: Vielen dank auf jeden fall für deine hilfe Echt sehr nett |
Heisst der recycled oder resycled ? |
Prost:aplaus: danke dir sehr!! |
:confused: Verstehe dich nicht ganz....hast du dieses Problem noch? Oder nicht mehr? Oder selbst gelöst? |
DAs erste Problem hast du mir sehr gut und anschaulich gelöst. HAbe eben scans laufen lassen alles scheint sauber zu sein. jetzt ist noch das Problem, welches mir beim zugriff aufmeine Laufwerke angezeigt wird. C:\resycled/boot.com ist keine zulässige Win 32-Anwendung meldet ein fenster und ich kann nur x ankliken. Mit dem explorer kann ich aber alles ganz normal öffnen. Eventuell kennst du auch hierfür eine lösung. Wie schon geschrieben, kann in der reg edit unter den HKEY....... in { klammer ein resycled/boot} gefunden werden und der soll entfernt werden. Es steht dann der jeweilige laufwerksbuchstabe mit dahinter. Das habe ich aber bislang nicht gemacht. Bin mir da zu unsicher. |
Hallo, falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Kamera, Handy, Memorysticks, Speicherkarten, externe Laufwerke, ... dann stecke alles an. ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. ciao, andreas |
....Hör auf den Mann.......:singsing: *...und weg |
Vielen dank für die Hilfe. Komme eben erst wieder online. Ich mache was beschrieben ist und melde mich dann zurück. ICh muß hier echt ein RIESEN lob aussprechen!! GAnz toll wie ihr mir helft! Vielen dank! |
HAllo, endlich bin ich dazu gekommen. Es scheint so als ob dieser HKEY....... wieder da ist!! Hier der compofix log: Code: ComboFix 09-04-03.01 - xxx 2009-04-05 18:17:00.2 - NTFSx86Code: Logfile of Trend Micro HijackThis v2.0.2würde mich über weitere hilfe sehr angenehm freuen. lg |
1.) Kommt die Fehlermeldung beim Öffnen eines Laufwerkes noch? 2.) Was sind deine Laufwerke D: und I:? 3.) Start => Ausführen => cmd => OK (Ein schwarzes Fenster erscheint, dort eingeben) sc stop gkmixern [Enter] exit [Enter] (Fenster verschwindet) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen (die xxx durch den Anmeldenamen ersetzen): Code: c:\dokume~1\xxx\LOKALE~1\Temp\gkmixern.sysciao, andreas |
entschuldige bitte, nein diese meldung ist weg. Kann alle datenträger wider ganz normal öffnen. Nur bei cccleaner unter fehlersuche meldet der mir einen hkey...... der sich nicht bereinigen lässt. ich meine das ist der vom ersten mal schon. Soll ich das nun noch machen ? was du schreibst oder hat sich das erledigt? Laufwerke gehen ohne fehlermeldung auf |
1.) Welchen HKLM meldet CCleaner denn genau? Zitat:
ciao, andreas |
hallo andreas, nach der eingabe die du beschreibst bekomme ich (SC) ControllService FAILED 1062 da geht also nichts. Den unten beschriebenen ort (c:\dokume~1\xxx\LOKALE~1\Temp\gkmixern.sys) kann ich nicht finden und öffnen denn ein scan geht ohne ziel nicht. Der Fehler bei cc reg cleaner ist Code: Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} |
Zitat:
Solange ich das Script zusammenbastel, kannst du schon mal SuperAntiSpyware die Punkte 1-3 nach Anleitung laufenlassen und das Log posten. Ich warte noch auf Antwort bei: Zitat:
Deinstalliere:
|
Scripten mit Combofix
Code: KILLALL::
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. ciao, andreas |
scan dauerte ewig sorry. Also ein fund!! Code: SUPERAntiSpyware Scan LogDas ich die ausgexxten ändern muß habe ich schon verstanden das problem ist eher das ich nichts einfügen kann sondern nur durchsuchen und dabei findet er diesen pfad nicht. Arbeite nun dein erstelltes script ab. Vielen dank bis später |
soo, habe combofix nach einer stunde abgebrochen. war nur der cursor am blinken sonst keine reaktion. runterfahren dauerte ewig. Neustart hat nach dem zehnten mal auch meine tastatur per usb angenommen und jett geht alles sehr sehr l a a a n g s a a m was tun? |
bin jetzt über laptop hier und lasse compofile nochmal laufen. Bislang ................. _ sonst nichts. Ist das script ok oder schrotte ich mir jetzt alles? Antwort währe super!! |
Ich warte auf das Log von ComboFix, vorher geht es nicht weiter. Du findest es unter: c:\combofix.txt ciao, andreas |
Versuche es mit dem, sollte das auch nicht funktionieren, spielen wir die Sicherheitskopie zurück. Scripten mit Combofix
Code: KILLALL::
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. ciao, andreas |
soooo, es scheint als ob ich mich falsch ausgedrückt habe . Ich war deswegen mit dem lap on da dieser combofix noch weitere 8 stunden gelaufen ist und ich habe es dann abgebrochen. Herunterfahren geht auch nicht mehr. Muß abschalten am pc. Beim boot ist mir aufgefallen das eine auswahl wie zB abgesicherter modus kurz eingeblendet wird ?? Dann lädt und lädt erst mal 10 min bis ich was tun kann. die suche nach der log ist ohne erfolg. Wollte einfach so compofix starten aber ohne jeglichen erfolg. Nun was ich befürchtet habe (schrotte mein system) schein eingetreten zu sein. Wenn du mir also schreibst was genau du brauchst. Mache ich das. die laufwerke lassen sich übrigens ohne fehlermeldung öffnen. Mailaware etc finden nichts aich superanti.... findet nichts. Gruß D |
Dann benutze die Systemwiederherstellung und wähle einen Punkt vor ComboFix. Sollte das nicht funktionieren, gibt es noch einen anderen Weg, auch wenn ich die Ursache eigentlich woanders vermute. ciao, andreas |
ups,.. systemwiederherstellung habe ich wie weiter vorher beschrieben deaktiviert. was mir aber unangenehm aufgefallen ist. i explorer und zuletz verwendete dokumente sowie die win virewall sind wieder auf meinem rechner. Habe ich mühsam entfernt aber jetzt scheint es wieder da zu sein. Wo vermutest du das eigentliche problem?? Gruß D weiter unten hast du bei navidok (selbst rumgedoktert) geschrieben. Das habe ich um neue radarpunkte in meinem navi anzulegen und soweiter |
Zitat:
Gibt es Systemwiederherstellungspunkte? Es gibt notfalls noch ERDNT.EXE, zu finden in: Code: c:\windows\erdnt\subs\Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
ciao, andreas |
hallo, danke das du mir hilfst. also . Habe alle links befolgt die dort angegeben waren und einer der scan ware tools beschrieb wie ich den wiederherstellungspunkt (häckchen) entfernen solle. Aber : Unter c:\windows\erdnt\subs\ gibts HIV-backup und dort ist diese exe datei drin. I ist ein wechseldatenträger , da ich wie beschrieben alle meine sachen anklemmen und immer mitüberprüfen solle. Total scan time " die erste" ich fragte dich was ich tun solle. Da hatte ich auch abgebrochen. Danach habe ich erneut die anwendung laufen lassen und mich vom lap aus gemeldetm Das ist bis heute morgen gelaufen ca 8 std dann abgebrochen von mir und ausgeschalten da herrunterfahren nicht ging. Ehrliche antworten kannst du mir geben solange du mich nicht beleidigen willst. Ich habe mit programieren nichts am hut ,deswegen suche ich ja hier hilfe. also gut. Soll ich also alle anwendungen beenden und die exe ausführen obwohl mir keine software irgend einen fehler anzeigt?? |
Du gibst widersprüchliche Informationen. Wenn ich richtig lese, ist nach dem Script von ComboFix dein Rechner unglaublich langsam geworden. Stimmt das? Wo ist das Log von ComboFix mit dem neuen Script? Zitat:
Gibt es Systemwiederherstellungspunkte? Unter XP: Start => Programme => Zubehör => Systemprogramme => Systemwiederherstellung oder alterantiv => Start => Ausführen => rstrui.exe => OK Zitat:
ciao, andreas |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:35 Uhr. |
Copyright ©2000-2025, Trojaner-Board