Trojaner Backdoor.Generic11.ZNE trotz Anleitung noch da Hallo liebe Helfer, Ich habe mir auf sehr dumme Weise trotz AVG Backdoor.Generic11.ZNE eingefangen - über einen alten Mozi - :-(; weil ein Adobe download im IE nicht ging und ich A... dann im Mozi weitergesurft bin... Ich bin nach der Anleitung im Forum unter dem Titel Schädling BackDoor.Generic11.ZNE nicht weg zu bekommen / gelöst von chris4you vorgegangen, aber leider sagt MAM und Prevx dass er noch da ist. Bitte helft mir. Wie kann ich ihn rückstandsfrei entfernen? Leider kann ich meinen Rechner zwecks Arbeit in den nächsten Wochen nicht neu aufsetzen. Höchstens auf Internet verzichten. (Einziges echtes Problem derzeit ist, dass meine CD und DVD Laufwerke nicht mehr gehen, weil's offenbar den ATAPI Treiber geschossen hat, aber das ist nicht so schlimm, ich habe noch nicht versucht es zu fixen) Ich habe ComboFix zweimal laufen gelassen (der wollte das so) danach jeweils MAM. Ich habe also je 2 ComboFix und 2 MAM logs. cclean log und RSIT log habe ich auch - bitte sagt mir welche ich posten soll Hier die Prevx-Meldung als Screenshot http://users.fh-salzburg.ac.at/~bgro...screenshot.jpg Vielen Dank in voraus LG, burnie |
Hallo burnie:) - Auf jeden Fall sieht nach Rootkit/wikipedia.org aus:o Grundsätzlich muss ein infiziertes System als kompromittiert gelten, und man kann nie ganz sicher sein, dass man alle Folgen der Infektion beseitigen konnte. - Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe: - Bitte unbedingt alle vorhandenen Ergebnisse/Logs posten! 1. ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen:: → Klicke unter Start auf Arbeitsplatz. → Klicke im Menü Extras auf Ordneroptionen. → Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen → Geschützte und Systemdateien ausblenden → Haken entfernen → Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen. → Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein. 2. Für XP und Win2000 (ansonsten auslassen) → lade Dir das filelist.zip auf deinen Desktop herunter → entpacke die Zip-Datei auf deinen Desktop → starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen → kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread ** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen! 3. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool ccleaner herunter installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein 4. Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren! 5.
Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post: → vor dein log schreibst du:[code] hier kommt dein logfile rein → dahinter:[/code] ** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw gruß Coverflow |
Hi Coverflow, Vielen Dank für Deine Hilfsbereitschaft! Leider komme ich erst jetzt dazu, Deine Anleitung abzuarbeiten (Stress - ausgerechnet jetz wo's schön wird) 1. Ist bei mir immer so eingestellt. 2. filelist Code: ----- Root ----------------------------- Code: 7-Zip 4.57 |
4. gmer Code: GMER 1.0.15.14972 - http://www.gmer.net Code: 07/16/09 20:48:31 [Info]: BlackLight Engine 2.2.1092 initialized Die Proggies im System-Tray habe ich laufen gelassen (ATI, Maxtor, TimeCalendar, Winamp-Agent) Ich hoffe das hat gepasst. PPS: Ich habe mir den Trojaner am Dienstag, 14.7. um ca 18:25 eingefangen. Hoffnungsvolle Grüsse, burnie |
hi 1. poste mir noch auch: ComboFix.txt Log v. Malwarebytes Anti-Malware 2. CombiFix entfernen: Start → Ausführen → Kopiere rein Combofix /u → OK Entferne auf C:\ Qoobox (falls noch vorhanden) → Papierkorb leeren oder einfach nur entfernen, C:\ Qoobox (falls noch vorhanden) auch löschen→ Papierkorb leeren 3. den Quarantäne Ordner überall leeren - Antivirus bzw Anti-Spy-Programm usw 4. Ausführung im normalen Modus:
5. starte dein system neu auf 6. den Quarantine-Inhalt löschen danach update Malwarebytes Anti-Malware, lass es nochmal laufen, lösche alles, was gefunden wird,Log posten 7. lade Dir HijackThis 2.0.2 von *von hier* herunter HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen" |
Hallo Coverflow, ... erst jetzt - Projektstress, musste mir nen tmp-compi herrichten. Hier das Combifix log (das 2., beim ersten Durchlauf sagte CF ich soll es nochmal laufen lassen) Code: ComboFix 09-07-14.07 - burnie 15.07.2009 11:48.2.2 - NTFSx86 Code: Malwarebytes' Anti-Malware 1.39 Liebe Grüsse, burnie |
reHi, Combifix liess sich deinstallieren, aber Qoobox nicht löschen. Hier die Fehlermeldung. http://users.fh-salzburg.ac.at/~bgrosseg/fehler_del.jpg Ich werde versuchen den Ordner im abgesicherten Modus zu löschen und dann weiterzumachen. LG, b |
... Qoobox lässt sich mit derselben Felhermeldung auch im abgesicherten Modus nicht löschen ;-( Was soll ich tun? Ich habe noch eine Frage: Über externe Festplatten und Sticks scheint sich da ja nix fortzupflanzen. Kann ich auf diese Weise eine Datensicherung machen. ... Und wie schaut das mit den anderen internen Platten aus? Die Scanner finden nur Probleme auf C: - könnte ich im Fall einer Neuaufsetzung (die ich vermeiden möchte - bzw. sowieso erst in ein paar Wochen machen kann) die andern internen Platten gefahrlos so lassen wie sie sind? LG, b |
- Wenn schon, dann Daten sichern und eine komplette Formatierung und Neuinstallation (sollte man alle 2 oder 3 Jahren sowieso machen). Innerhalb kurzer zeit sammelt sich nämlich schon ziemlich viel Mist - das ständige installieren und deinstallieren von Programmen, die tägliche Nutzung usw. Eine Auffrischung schadet bestimmt nicht;) Nun ich hätte gerne die erste Ergebnisse von ComboFix... - fahre mit SUPERAntiSpyware FREE Edition fort, dann noch die fehlenden Schritte abarbeiten - auch mit filelist.bat ein neues Log erstellen und posten |
reHi, Hier also das Combofix Log vom ersten Durchlauf. Code: ComboFix 09-07-14.07 - burnie 15.07.2009 11:18.1.2 - NTFSx86 |
rereHi, ... und hier das SAS Log Code: SUPERAntiSpyware Scan Log |
.. und das MAM Log nach dem 1. Durchlauf Code: Malwarebytes' Anti-Malware 1.39 |
.. und nach dem 2. Durchlauf (keine Veränderung) :-( Code: Malwarebytes' Anti-Malware 1.39 |
der HijackThis Log: Code: Logfile of Trend Micro HijackThis v2.0.2 |
und schliesslich filelist: Code: ----- Root ----------------------------- |
Alle Zeitangaben in WEZ +1. Es ist jetzt 16:47 Uhr. |
Copyright ©2000-2024, Trojaner-Board