TR/Dropper.Gen Hallo alle zusammen, Ich habe ein problem mit folgendem Virus TR/Dropper.Gen Dieser wurde in vielen Datein im Ordner C:/Windows/Temp gefunden. Meistens mit Dateinamen wie etwa diesem kbwikmejsikssanf.tmp. Zum einen habe ich in Cmd netstat -b eingegeben um alle derzeitigen verbindungen herauszubekommen. Hier das Ergebnis: http://s3.directupload.net/images/090905/7g6cx7aw.jpg Ist darauf irgendwas gefährliches zu erkennen? Hier noch der HjackThis log: Code: Logfile of Trend Micro HijackThis v2.0.2 Ich nutze Avira Antivir Personal und Zone Alarm free Im Moment befindet sich der Virus in der Quartäne. Außerdem wurde er öfters gefunden. wäre nett wenn ihr mir helfen könntet P.S.: das Programm McAffe Internet Security Suite war bis vor einer Woche drauf ist aber jetzt komplett deinstalliert... |
Noch hast Du ihn in den temporären Dateien. Diese solltest Du erst mal löschen. Ich bevorzuge hierzu clearprog 1.6.0 final. Downloaden, aufrufen, Häkchen bei "alles löschen" und die temporären Dateien sind weg. Danach den Quarantäne-Ordner leeren und neu scannen; der Fund sollte weg sein. Download bei Clearprog unter clearprog.de Diesbezügliche Auffälligkeiten im HJT-LOog fielen mir nicht auf. cacatoa |
@cacatoa Sorry für's Reinposten, aber das ist ein Rootkit. @Angelsboy Hallo und :hallo: Rootkitwarnung! Du hast eine schwere Infektion die nur mit sehr hohem Zeitaufwand zu bereinigen ist. Deshalb empfehle ich dir die schnelle und sichere Methode => http://www.trojaner-board.de/51262-a...sicherung.html Solltest du dich für Bereinigen entscheiden, auch wenn es länger dauern wird, dann beginne mit RSIT. Poste bitte beide Logs von RSIT => http://www.trojaner-board.de/74910-a...tion-tool.html Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an. ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!ciao, andreas |
@Angelsboy Sorry, wenn ich dich nicht ausführlich und richtig genug beraten habe. Es ist wohl doch zu lange her, dass ich hier so richtig aktiv war. Ich gelobe Besserung! cacatoa |
So war bis grad weg sry... Ich spiele lieber mit offenen karten. Also das problem habe nich ich sondern mein Kumpel und er weiß das er ziemlich sicher ziemlich Viren verseucht is. Er hat mich darum gebeten das für ihn zu posten. Mache ich demnächst jetzt auch weiter..^^ So @cacatoa nich so schlimm auf jedenfall vielen dank das du uns helfen wolltest :) @all Mein Kumpel is leider grade off. Ich werde morgen mit ihm über Tv entweder versuchen die schritte durchzuführen oder er setzt das System komplett neu auf, was ich ihm empfelen werde. Aber nun zum HiJackThis Log. ich habe mir den auch mal genauer angeschaut und ein paar Sachen rausgesucht. Code: O9 - Extra button: eBay - Der weltweite Online Marktplatz - {76577871-04EC-495E-A12B-91F7C3600AFA} - http://rover.ebay.com/rover/1/707-44556-9400-3/4 (file missing) Code: O9 - Extra button: Amazon.de - {8A918C1D-E123-4E36-B562-5C1519E434CE} - http://www.amazon.de/exec/obidos/redirect-home?tag=Toshibadebholink-21&site=home (file missing) Code: O4 - HKLM\..\Run: [Google EULA Launcher] c:\Program Files\Google\Google EULA\GoogleEULALauncher.exe IE PA Ich hoffe ihr könnt mir diese 3 einträge mal genauer erklären :/ Morgen kommen dann wie gesagt die ganzen Logs RSIT und ComboFix Mfg Till aka. Angelsboy |
Um es kurz zu machen, es gibt bestimmte Kategorien, die kannst du gefahrlos fixen, nämlich alle, die nur den MSIE betreffen (mit dem sowieso niemand surfen sollte). R0, R1, R3, O2, O3, O8, O9, O11, O14 und O16 kannst du jederzeit fixen. Gibt nur wenige Ausnahmen wie Proxyserver unter R1. Bei O4 sollte alles weg, dass nicht unbedingt notwendig ist. Denn das wird bei Windowsstart automatisch mitgestartet und braucht Zeit und Ressourcen. Das Google-Gelumpe kannst du unter O4 immer fixen. ciao, andreas |
So RSIT is durch. Allerdings kam ziemlich schnell ein bluescreen. Aber die logs sind da! Mein kumpel is bereits an den weiteren Schritten..^^ Mfg Till aka. Angelsboy |
Die Bluescreens werden vom Rootkit verursacht, damit sollte nach ComboFix Schluss sein, ähm, falls ComboFix läuft. ;) ciao, andreas |
Bis jetzt hatte er auch 2 Bluesccreens bei ComboFix und er konnte nichtmal richtig starten irgendwie: ich zitiere aus Msn: "2mal bluescreen bin noch nich mal zum starten gekommen" Hm, das sieht nich gut aus oder? Er versucht es jetzt nochmal... Mfg Till aka. Angelsboy |
Es könnte helfen vorher alle Antivirensoftware zu deinstallieren. Sollte es noch immer nicht gehen, dann ComboFix folgendermaßen starten: Start => Ausführen => combofix /killall => OK Unbedingt genau an die Anleitung halten! ciao, andreas |
so combofix ist auch durch ... log hier posten ?? ... naja nach dem ersten restart von combofix hat sich mein antivir gemeldet während combofix lief ich hab das einfach mal gelassen und damit hat mein antivir dem rootkit den zugriff verweigert... dann nach dem 2ten restart konnt ich keine programme mehr starten "irwas mit unzulässig auf regestry zugreifen ... " ich hab dann restartet und jezt bin ich hier ... |
poste mal :) |
so hier der log |
Also ... ich frag mich grade ... was ich jetzt noch machen soll ... hab den virus und diese trojans immernoch im quarantäne ordner von antivir ... einfach löschen oder wie soll ich fortfahren... ?? wär nett wen mir jmd mal sagen könnte wies weitergeht... ^^ mfg KeKsDoSe |
Das Rootkit bist du oder dein Freund los. Aber die Logs sehen böse aus. :( Mit Beschreibungen wie: Zitat:
Eigentlich sollte sich jetzt alles wieder starten lassen und keine Bluescreens mehr kommen. ciao, andreas |
Also .... direkt nach dem 2ten durch combofix ausgelösten restart ... konnt ich keine exe mehr starten ... gar keine ... immer der selbe fehler... irwas mit der registry ich hab dann direkt restartet und ab dann ging alles wieder bluescreens hat ich auch noch keine... so und wie gesagt... diese trojans und die anderen dateien befinden sich immernoch in der quarantäne von antivir ... was soll ich mit denen machen |
Zitat:
Zitat:
Zitat:
ciao, andreas |
http://s12b.directupload.net/images/090906/95netxps.jpg die meisten dateien sind im C:/Windows/Temp die unteren 5 in C:/Windows/system32/driver und ein screen von der registry-fehlermeldung geht schlecht den wie schon geschrieben hab ich den fehler nich mehr.. ^^ |
:confused: Zitat:
1.) http://www.trojaner-board.de/51187-a...i-malware.html 2.) http://www.trojaner-board.de/51871-a...tispyware.html 3.) Kaspersky - Onlinescanner Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware. ---> hier herunterladen => Kaspersky Online Scanner => Hinweise zu älteren Versionen beachten! => Voraussetzung: Internet Explorer 6.0 oder höher => die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter => Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken => Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als => Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten => Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen 4.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte oder poste Namen und Pfade. ciao, andreas |
hier der erste log .. ich bin jeztt erstmal weg ... bin vil heut nacht nochmal on um die weiteren schritte zu machen ^^ Code: Malwarebytes' Anti-Malware 1.40 |
:confused: Hast du in der Zwischenzeit soetwas wie Systemwiederherstellung oder ähnliches ausgeführt? ciao, andreas |
nichts der gleichen ... wieso ??? ... hier mal der anti spyware log Code: SUPERAntiSpyware Scan Log |
Zitat:
ciao, andreas |
Hier mal der Kaspersky Online Scanner Log ... ^^ die ganze nacht dem scanner zugeschaut :kaffee: |
Zitat:
Hat Prevx etwas gefunden? ciao, andreas |
|
Wo hast du die Datei girc526.exe denn geladen? Schicke mir den Downloadlink bitte als Private Nachricht. ciao, andreas Edit: So richtig schädlich sieht die nicht aus. Nur ClamAV schießt mal wieder den Vogel ab. :D Code: Datei girc526.htm empfangen 2009.09.08 15:52:44 (UTC) |
also bin ich meine infektion jetzt los ?? ^^.... naja wenn ja ... wie sollt ich weiter machen ich will ja nich gerade das das wieder vorkommt... wie kann ich mich schützten und ja ... grus Keks |
1.) Deinstalliere:
Code: KILLALL::
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. ciao, andreas |
so bitte schön hier der log |
Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde. Lasse im Anschluß ComboFix ohne Script laufen. ciao, andreas |
so hier der log vom skriptlosen cofi :kaffee: ich werd mal wieder länger vorm pc sitzten ... ^^ cya Keks |
Zitat:
1.) Start => Ausführen => combofix /u => OK 2.) Wie geht es dem Rechner? Gibt es noch irgendwelche Auffälligkeiten oder Meldungen? 3.) Poste noch ein aktuelles HJT-Log. ciao, andreas |
also pc zeigt keine auffälligkeiten ... Code: Logfile of Trend Micro HijackThis v2.0.2 cya Keks |
Zonealarm würde ich deinstallieren, das ist ein Trojaner => http://www.trojaner-board.de/73296-z...-trojaner.html 1.) How to uninstall or reinstall supported McAfee consumer products using the McAfee Consumer Products Removal tool (MCPR.exe) 2.) Mausklick rechts auf HJT => Ausführen als Administrator => Do a system scan only => Markiere: Code: Alle R0, R1, O2, O8 und O9-Einträge. ciao, andreas |
Was soll ich ansonsten für eine firewall benutzten ... oder sollt ichs einfach weglassen ... |
Die von Windows reicht völlig aus. ;) ciao, andreas |
Code: Logfile of Trend Micro HijackThis v2.0.2 |
Das ist das alte Logfile, du musst HijackThis und alle anderen Programme von uns immer mit Mausklick rechts => Ausführen als Administrator starten. ciao, andreas |
alles kla Code: Logfile of Trend Micro HijackThis v2.0.2 |
Nicht gut, aber viel besser. Du bist entlassen. :) ciao, andreas |
Alle Zeitangaben in WEZ +1. Es ist jetzt 09:39 Uhr. |
Copyright ©2000-2024, Trojaner-Board