|
Sieht soweit gut aus. Mach mal bitte noch ein Logfile mit GMER - Anleitung (zwecks Kontrolle) |
Hallo Arne, sollte ich da ComboFix vorher deinstallieren? Wenn ja, wie? Gruß, Frank |
Combofix brauchst Du nicht zu löschen. Geht aber normalerweise über Start, Ausführen combofix /U |
Guten Morgen Arne, oh, oh... ... ich glaube, das sieht nach weiterem Aufräumen aus: Code: GMER 1.0.15.15252 - http://www.gmer.netGruß, Frank |
Das Log von GMER ist rel. kryptisch...typische TDSS-Rootkit Anzeichen seh ich da so aber nicht. Was ist denn nun bzgl. der geöffneten Seiten im Hintergrund? Meldet irgendein Virenscanner noch den TDSS? |
Hallo Arne, ich habe aktuell keine unschicklichen Aufrufe mehr. Der TDSSserv-Treiber ist nicht mehr sichtbar. Einen Scan mache ich heute abend nochmal. Ich deute diese Einträge im GMER als gesperrte Registry-Einträge, die vermutlich entfernt werden können/sollten/müssen. Gruß, Frank |
Guten Abend Arne, ich habe mich zu früh gefreut - und könnt :pukeface: Die Aufrufe sind wieder da (oder vielleicht immer noch) :heulen: Aber: Ich sehe den TDSSserv-Treiber nicht. Ich sehe die c:\windows\kb913800.exe, die Combofix entfernt hat, nicht. Ich sehe die Registry keys, die Avenger entfernt hat, nicht: "HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TDSSserv.sys" und "HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\network\TDSSserv.sys" Malwarebytes meldet mit aktuellen Signaturen: Nix. Keine Infektionen Interessanter Weise meldet RootkitRevealer unter anderem Code: HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32* 14.11.2005 20:41 0 bytes Key name contains embedded nulls (*)Aber welches Programm steuert die Aufrufe des Browsers :confused: Trotz allem noch einen schönen Abend. Frank |
Welche Aufrufe, die Webseiten öffnen sich wieder? Die gleichen oder die ähnlichen? Wird sonst irgendwas gefunden bzgl TDSS? Die Rootkit Revealer Funde deuten IMHO Nicht auf TDSS hin. Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
|
Hallo und guten Morgen, strukturell laufen die Aufrufe immer wie folgt ab (so zumindest das, was ich aus der Chronik von Firefox entnehmen kann): 1. Es wird Google aufgerufen mit einer Kombination aus vergangenen Suchbegriffen und dem Wort "sexviedeos" (das ist tatsächlich so falsch geschrieben) 2. Dann klappert das Programm (oder was auch immer) die Suchergebnisse ab. 3. Irgendwann endet das, das geschieht aber unterschiedlich lange. Ich teile deine Ansicht, TDSS scheint verschwunden zu sein. Dafür nochmal vielen vielen Dank - sehr gute Arbeit. Bleibt nur die Frage, was da sonst noch diese Aufrufe auslöst.... :( Log erstelle ich heute abend, bis dahin viele Grüße. Frank |
Guten Abend Arne, anbei hier OTL.Txt und hier Extras.Txt btw, ich glaube die merkwürdigen Einträge HKLM\SOFTWARE\Classes\CLSID\etc. kommen von einem Pinnacle-Produkt auf meinem Rechner . Ich werde das heute abend mal deinstallieren, dann werden wir weiter sehen. Einen schönen Abend noch. Gruß, Frank |
Die Deinstallationsroutinen entfernen nicht immer alle Registry Einträge, die beim Setup auch angelegt wurden. Klingt doof ist aber (auch) so :rolleyes: :mad: Nur mal so als Hinweis. |
Hallo Arne, du hattest leider Recht... ... aber ich denke (wie du auch), dass die Einträge in der Registry nichts mit den Browser-Aufrufen zu tun haben. Was sprechen die OTL-Logs? Gruß, Frank |
Ich seh dort nichts Böses. Du kannst ja noch einen letzten Kontrollscan machen: Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte oder poste Namen und Pfade. |
... mit anderen Worten: Wenn der PrevXCSI auch nichts findet, muss ich den Rechner neu aufsetzen, um die Webseitenaufrufe loszuwerden? Gruß, Frank |
Du könntest es nochmal mit einem neuen Firefox-Profil testen. Letzter Ausweg Formatieren und Neuaufsetzen ist immer drin ;) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 02:37 Uhr. |
Copyright ©2000-2025, Trojaner-Board