Rootkit.TDSS werde ich nicht los! Hallo, habe mir ein Virus eingefangen. Die meisten schädlichen Datein hat mir bereits Malewarebytes und NOD entfernt. Aber eine Meldung in der Registry kommt immer wieder. Malewarebyte log: Zitat:
Hijacklog: Zitat:
Und Malebytes findet, entfernt aber nach einem neustart ist "es" wieder da. Wer hilft mir? mfg Moni |
Hallo moni81 und :hallo: Rootkitwarnung! Du hast eine schwere Infektion die nur mit sehr hohem Zeitaufwand zu bereinigen ist. Deshalb empfehle ich dir die schnelle und sichere Methode => http://www.trojaner-board.de/51262-a...sicherung.html Solltest du dich für Bereinigen entscheiden, auch wenn es länger dauern wird, dann beginne mit RSIT. Poste bitte beide Logs von RSIT => http://www.trojaner-board.de/74910-a...tion-tool.html Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an. ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!ciao, andreas |
Würde gern eine Neuinstallation vermeiden! Was macht so ein rootkit eigentlich? ccleaner lief komplett durch aber die confi.exe hat sich mit einem bluescreen verabschiedet Hier mal die beiden logs: Zitat:
|
2 x hintereinnader weil die logs zu viele zeivchen haben. Zitat:
|
Zitat:
Zitat:
ciao, andreas |
Das fenster lief bis ca 50 Vorgänge und dann gabs ein Windows bluescreen und einen neustart. |
Start => Ausführen => c:\combofix.txt => OK Öffnet sich ein leeres Fenster oder siehst du einen Text? Falls du einen Text siehst, dann poste ihn hier. Ansonsten starte cofi noch einmal. ciao, andreas |
Beim 2tem Anlauf hats geklappt: Zitat:
|
Solange ich das Skript bastel, kannst du schonmal scannen. 1.) http://www.trojaner-board.de/51187-a...i-malware.html (Vorher updaten, Quickscan reicht) 2.) http://www.trojaner-board.de/51871-a...tispyware.html 3.) Kaspersky - Onlinescanner Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware. ---> hier herunterladen => Kaspersky Online Scanner => Hinweise zu älteren Versionen beachten! => Voraussetzung: Internet Explorer 6.0 oder höher => die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter => Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken => Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als => Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten => Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen 4.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte oder poste Namen und Pfade. ciao, andreas |
maleware findet mit quickscan nix mehr Zitat:
soll ich danach noch kos laufen lassen? |
Ja, immer weiter. ciao, andreas |
http://www.bild-upload.net/bild.php/23900,dataAPZFB.jpg Alles drei was mit data becker. Soll ich das mal deinstalliren? super läuft immer noch :-) |
superAS ist durch und hat nur 3 cookies gefunden. Zitat:
|
SASW ist schnell, KOS wird am Längsten brauchen. Zitat:
Lade die erste Datei, die Prevx anmault, bitte bei uns hoch. => http://www.trojaner-board.de/54791-a...ner-board.html (nur Schritt 2). Falls du das Programm sowieso nicht brauchst, dann deinstalliere es. ciao, andreas |
Datei kann nicht hochgeladen werden.... meckert das Board? Habs mal bei virustotal hochgeladen http://www.virustotal.com/de/analisis/490b8f2db7698c3eac228c367780aa7cdacb8be47dd873b1fc6211945fcf31c2-1252175888 |
Lade die Datei bitte bei einem Filehoster hoch (z.B. www.materialordner.de) und schicke mir den Link als Private Nachricht. ciao, andreas |
Durch die deinstallation des DataB. Programmes, ist die datei nun wech. Prevx bemängelt nun auch nix mehr. Und kos läd noch updates... |
Ich nehme an, dass Panda nichts gefunden hat. Oder hast du noch das letzte Log von Panda? Deinstalliere:
Installiere (Toolbars immer abwählen, Haken weg):
ciao, andreas |
panda : nix KOS läuft noch und bin am deinstallieren. |
Zitat:
Zitat:
ciao, andreas |
doch doch bin nur ein bischen durcheinander gekommen bei den ganzen Avs. Kann ich nochmal durchlaufen lassen. Kann eh nicht alles deinstallieren da ja noch kos läuft... Hat eigentlich cofi.exe was entfernt oder nur angezeigt? Wozu eigentlich vlc und flash und co de/installieren=? |
Das, was Malwarebytes nicht löschen konnte, hat Cofi entfernt. Dann hat sich auch noch etwas im Papierkorb versteckt. :) Das hier sieht aber noch übelst nach Schädling aus. Vermutlich ist die Datei schon weg und das nur noch ein Rest: Zitat:
Zitat:
ciao, andreas |
Datei wird nicht gefunden. Weder per Copy und Paste noch manuell. Verstecke/system Datein anzeigen ist an. Ich meine die Datei hat NOD gelöscht! |
Ja, hatte ich schon vermutet. Die Reste scripten wir mit CF weg. Zitat:
ciao, andreas |
soooo kos sagt : 0 funde Und alle Programme auf dem neusten stand. |
Dann jetzt Panda, einmal skripten, HJT-Log aufräumen, dann sind wir durch. Das ist das erste Mal, dass TDSS an einem Tag beseitigt wurde. Von 2 bis 5 Tagen habe ich schon alles erlebt. Du bist schnell. :daumenhoc ciao, andreas |
Schnell ist ansichtssache *g* Panda läuft! 25% Schonmal Danke für den Zeitaufwand.:Boogie: |
KOS kannst du deinstallieren. RSIT löschen. Direkt im Anschluss an Panda kontrollieren wir sicherheitshalber auf Rootkits. Rootkitsuche mit SysProt
ciao, andreas |
ach sche*** Gerade war panda auf 50% da hab ich sysprot gestartet und dann gabs wiedermal nen bluescreen und neustart. Ich starte jetzt mal nur sysprot. |
Zitat:
ciao, andreas |
Am liebsten würd ich jetzt zum scripten kommen, werd langsam müde *g* Zitat:
|
Ja. Panda kannst du ja morgen nochmal laufen lassen. Ich bin sicher, dass der nichts mehr finden wird. Falls doch, dann postest du das Log. Ansonsten kannst du ihn deinstallieren. Lösche Sysprot. Scripten mit Combofix
Code: KILLALL::
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. ciao, andreas |
Soooo da ist der Combolog: Zitat:
|
Die haben mal wieder an den Berechtigungen herumgeschraubt. Mit einem Tag wird das doch nichts. :( 1.) Start => Ausführen => combofix /u => OK 2.) Poste ein neues HJT-Log. ciao, andreas |
1. combo gelöscht 2. Wer hat an welchen berechtigungen geschraubt? 3.HJL: Zitat:
|
Zitat:
Da werden wir mit Regedit rangehen müssen. Wie geht es dem Rechner? Noch irgendwelche Meldungen oder Auffälligkeiten? Starte HJT => Do a system scan only => Markiere: Zitat:
Morgen geht es weiter mit Panda und Regedit. Es kann sein, dass du den Panda Online Scanner nochmal neu laden und installieren musst. ciao, andreas |
Rechner läufth im Prinzip normal. Itunes helper löschen?? mhh ok erledigt. Ich lasse übernacht nochmal Malwarebytes und panda durchlaufen und dann meld ich mich morgen wieder! THX |
Zitat:
Gute Nacht, Andreas |
Das ist dazu da das Itunes automatisch bei anschluss eines Ipods startet:-), nicht itunes mit windows. /klugscheissoff Ich nehms wieder rein nach erfolgsmeldung, morgen. |
OK, danke für die Info, habe kein iTunes und man darf nicht alles glauben, was unsere Analyseprogramme so erzählen. :o Starte HJT => View the list of backups => Markiere: Code: O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" http://3.bp.blogspot.com/_W7j6o_ntPF..._abinsbett.jpg Gute Nacht, Andreas |
Guten Morgen, Malewarebytes sagt auf Intensiv: Alles i.O. Zitat:
Aktueller HJL: Code: Logfile of Trend Micro HijackThis v2.0.2 Sieht doch eigentlich wieder ganz gut aus. Oder übersehe ich da was? Von welchen 2 Registry einträgen war gester die Rede? |
Da sind noch zwei Einträge, die von einem Schädling erzeugt wurden, aber nicht wirklich schädlich sind. Da ich schon einmal erfolglos versucht habe, das zu Richten, obwohl meine Anleitung richtig war, machen wir es kurz: Du bist entlassen. :) ciao, andreas |
Dann lassen wir den Befall doch als eintägiges Speed Ereigniss in der Geschichte stehn :-) Danke und weiter so :Boogie: Welche einträge sind das denn überhaupt? |
Zitat:
Zitat:
ciao, andreas |
Alle Zeitangaben in WEZ +1. Es ist jetzt 12:32 Uhr. |
Copyright ©2000-2024, Trojaner-Board