Trojaner-Board - Trojaner Backdoor.Generic11.ZNE trotz Anleitung noch da

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojaner Backdoor.Generic11.ZNE trotz Anleitung noch da (https://www.trojaner-board.de/75299-trojaner-backdoor-generic11-zne-trotz-anleitung-noch.html)

hi

1.
- Malwarebytes' Anti-Malware - kannst entfernen
- CombiFix entfernen:
Start --> Ausführen -->Kopiere rein Combofix /u --> OK
Entferne auf C:\ Qoobox (falls noch vorhanden) -->Papierkorb leeren
oder einfach nur entfernen, C:\ Qoobox (falls noch vorhanden) auch löschen-->Papierkorb leeren

2.
Lade und installiere das Tool RootRepeal herunter

- setze einen Hacken bei: "Drivers", "Stealth Objects" und "Hidden Services" dann klick auf "OK"
- nach der Scan, klick auf "Save Report"
- speichere das Logfile als RootRepeal.txt auf dem Desktop und Kopiere den Inhalt hier in den Thread

3.
Lade den Avenger herunter und entzippe ihn auf den Desktop. - (Nicht gezippt direkt als EXE ist der Avenger von hier)

per Doppelklick starten
"Input script here" - Feld leer lassen!
"Scan for rootkits" - belassen sowie ist, also soll angehackt sein!
"Automatically disable any rootkits found"<- NICHT anhacken!
click auf "Execute"
dies löst einen Neustart des Systems aus

- nachdem Windows neu gestartet wurde, öffnet sich automatisch das Protokoll von der Avenger
Falls nicht, dann findest Du das Protokoll unter %systemdrive%\avenger.txt (in der Regel C:\avenger.txt).
Achtung!:
- Wenn Avenger nicht ausgeführt werden kann (ein Rootkit kann es verhindern), benenne avenger.exe um in avege.com und versuche es erneut.

Hi Coverflow,

schön dass Du wieder da bist!
Wie gesagt lässt sich Qoobox nicht löschen - auch nicht im Abgesicherten / siehe Screenshot weiter oben.
Ich mache gerade ein Backup meiner Daten, das wird jetzt noch eine gute Stunde dauern (hab leider kein S-ATA). ... dann mache ich wie beschrieben weiter.

LG, burnie

Hi nochmal,

RootRepeal gibt bei Start 6 x folgende Fehlermeldung aus:

http://users.fh-salzburg.ac.at/~bgrosseg/rr_err.jpg

und dann folgende Warnung:

http://users.fh-salzburg.ac.at/~bgrosseg/rr_err2.jpg

danach ist der RR-Screen da, aber leer; i.e keine Möglichkeit Punkt 2. abzuarbeiten... ich mache weiter mit 3. Avenger

LG, b

Avenger scheint nix zu finden ...

Code:

Logfile of The Avenger Version 2.0, (c) by Swandog46

http://swandog46.geekstogo.com
 

Platform:  Windows XP
 

*******************
 

Script file opened successfully.

Script file read successfully.
 

Backups directory opened successfully at C:\Avenger
 

*******************
 

Beginning to process script file:
 

Rootkit scan active.

No rootkits found!
 
 

Completed script processing.
 

*******************
 

Finished!  Terminate.

PS: Ich habe bei RootRepeal alle 4 settings jeweils mit und ohne "advanced" durchprobiert.

hi

1.
- versuche bitte die RootRepeal Datei in einen andere Namen und Endung umzubenennen wie z.B romy07.com
Vorher trenne deinen Rechner vom Internet
- oder entfernen, erneut herunterladen und gleich umbenennen

2.
- Kopiere den Text aus der Code-Box in ein Notepad-Dokument und speichere ihn als remove.txt auf deiner Festplatte C:\

Code:

Files to delete:

C:\WINDOWS\system32\geyekrvfmegxyi.dll

→ die avenger.exe per Doppelklick starten
→ füge den Inhalt aus der Codebox vollständig und unverändert in das leere Textfeld bei "Input script here" ein
→ dann klicke auf "Execute"
→ wirst Du gefragt, ob Du das Script ausführen willst. Beantworte die Frage "Ja".
→ auf die Fragae ob dein Rechner jetzt neu starten soll "Rebot now" bejahe bitte auch
→ nach Neustart wird ein Dos Fenster aufgehen.
→ wenn wieder geschlossen ist, es öffnet sich der Editor mit die Scanergebnisse : C:\avenger.txt
→ kopiere und füge den Inhalt direkt aus der Textdatei hier rein