TR/Dropper.Gen Hallo alle zusammen, Ich habe ein problem mit folgendem Virus TR/Dropper.Gen Dieser wurde in vielen Datein im Ordner C:/Windows/Temp gefunden. Meistens mit Dateinamen wie etwa diesem kbwikmejsikssanf.tmp. Zum einen habe ich in Cmd netstat -b eingegeben um alle derzeitigen verbindungen herauszubekommen. Hier das Ergebnis: http://s3.directupload.net/images/090905/7g6cx7aw.jpg Ist darauf irgendwas gefährliches zu erkennen? Hier noch der HjackThis log: Code: Logfile of Trend Micro HijackThis v2.0.2 Ich nutze Avira Antivir Personal und Zone Alarm free Im Moment befindet sich der Virus in der Quartäne. Außerdem wurde er öfters gefunden. wäre nett wenn ihr mir helfen könntet P.S.: das Programm McAffe Internet Security Suite war bis vor einer Woche drauf ist aber jetzt komplett deinstalliert... |
Noch hast Du ihn in den temporären Dateien. Diese solltest Du erst mal löschen. Ich bevorzuge hierzu clearprog 1.6.0 final. Downloaden, aufrufen, Häkchen bei "alles löschen" und die temporären Dateien sind weg. Danach den Quarantäne-Ordner leeren und neu scannen; der Fund sollte weg sein. Download bei Clearprog unter clearprog.de Diesbezügliche Auffälligkeiten im HJT-LOog fielen mir nicht auf. cacatoa |
@cacatoa Sorry für's Reinposten, aber das ist ein Rootkit. @Angelsboy Hallo und :hallo: Rootkitwarnung! Du hast eine schwere Infektion die nur mit sehr hohem Zeitaufwand zu bereinigen ist. Deshalb empfehle ich dir die schnelle und sichere Methode => http://www.trojaner-board.de/51262-a...sicherung.html Solltest du dich für Bereinigen entscheiden, auch wenn es länger dauern wird, dann beginne mit RSIT. Poste bitte beide Logs von RSIT => http://www.trojaner-board.de/74910-a...tion-tool.html Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an. ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!ciao, andreas |
@Angelsboy Sorry, wenn ich dich nicht ausführlich und richtig genug beraten habe. Es ist wohl doch zu lange her, dass ich hier so richtig aktiv war. Ich gelobe Besserung! cacatoa |
So war bis grad weg sry... Ich spiele lieber mit offenen karten. Also das problem habe nich ich sondern mein Kumpel und er weiß das er ziemlich sicher ziemlich Viren verseucht is. Er hat mich darum gebeten das für ihn zu posten. Mache ich demnächst jetzt auch weiter..^^ So @cacatoa nich so schlimm auf jedenfall vielen dank das du uns helfen wolltest :) @all Mein Kumpel is leider grade off. Ich werde morgen mit ihm über Tv entweder versuchen die schritte durchzuführen oder er setzt das System komplett neu auf, was ich ihm empfelen werde. Aber nun zum HiJackThis Log. ich habe mir den auch mal genauer angeschaut und ein paar Sachen rausgesucht. Code: O9 - Extra button: eBay - Der weltweite Online Marktplatz - {76577871-04EC-495E-A12B-91F7C3600AFA} - http://rover.ebay.com/rover/1/707-44556-9400-3/4 (file missing) Code: O9 - Extra button: Amazon.de - {8A918C1D-E123-4E36-B562-5C1519E434CE} - http://www.amazon.de/exec/obidos/redirect-home?tag=Toshibadebholink-21&site=home (file missing) Code: O4 - HKLM\..\Run: [Google EULA Launcher] c:\Program Files\Google\Google EULA\GoogleEULALauncher.exe IE PA Ich hoffe ihr könnt mir diese 3 einträge mal genauer erklären :/ Morgen kommen dann wie gesagt die ganzen Logs RSIT und ComboFix Mfg Till aka. Angelsboy |
Um es kurz zu machen, es gibt bestimmte Kategorien, die kannst du gefahrlos fixen, nämlich alle, die nur den MSIE betreffen (mit dem sowieso niemand surfen sollte). R0, R1, R3, O2, O3, O8, O9, O11, O14 und O16 kannst du jederzeit fixen. Gibt nur wenige Ausnahmen wie Proxyserver unter R1. Bei O4 sollte alles weg, dass nicht unbedingt notwendig ist. Denn das wird bei Windowsstart automatisch mitgestartet und braucht Zeit und Ressourcen. Das Google-Gelumpe kannst du unter O4 immer fixen. ciao, andreas |
So RSIT is durch. Allerdings kam ziemlich schnell ein bluescreen. Aber die logs sind da! Mein kumpel is bereits an den weiteren Schritten..^^ Mfg Till aka. Angelsboy |
Die Bluescreens werden vom Rootkit verursacht, damit sollte nach ComboFix Schluss sein, ähm, falls ComboFix läuft. ;) ciao, andreas |
Bis jetzt hatte er auch 2 Bluesccreens bei ComboFix und er konnte nichtmal richtig starten irgendwie: ich zitiere aus Msn: "2mal bluescreen bin noch nich mal zum starten gekommen" Hm, das sieht nich gut aus oder? Er versucht es jetzt nochmal... Mfg Till aka. Angelsboy |
Es könnte helfen vorher alle Antivirensoftware zu deinstallieren. Sollte es noch immer nicht gehen, dann ComboFix folgendermaßen starten: Start => Ausführen => combofix /killall => OK Unbedingt genau an die Anleitung halten! ciao, andreas |
so combofix ist auch durch ... log hier posten ?? ... naja nach dem ersten restart von combofix hat sich mein antivir gemeldet während combofix lief ich hab das einfach mal gelassen und damit hat mein antivir dem rootkit den zugriff verweigert... dann nach dem 2ten restart konnt ich keine programme mehr starten "irwas mit unzulässig auf regestry zugreifen ... " ich hab dann restartet und jezt bin ich hier ... |
poste mal :) |
so hier der log |
Also ... ich frag mich grade ... was ich jetzt noch machen soll ... hab den virus und diese trojans immernoch im quarantäne ordner von antivir ... einfach löschen oder wie soll ich fortfahren... ?? wär nett wen mir jmd mal sagen könnte wies weitergeht... ^^ mfg KeKsDoSe |
Das Rootkit bist du oder dein Freund los. Aber die Logs sehen böse aus. :( Mit Beschreibungen wie: Zitat:
Eigentlich sollte sich jetzt alles wieder starten lassen und keine Bluescreens mehr kommen. ciao, andreas |
Alle Zeitangaben in WEZ +1. Es ist jetzt 08:14 Uhr. |
Copyright ©2000-2024, Trojaner-Board