|
Anti-Virenprogramme starten nicht. Was muss bei Avenger eingegeben werden? Hallo zusammen, Ich hatte vor ein paar Wochen das Problem mit dem Windows Security Alert und dachte eigentlich es erfolgreich behoben zu haben. Doch jetzt treten immer neue Schwierigkeiten auf: Anti-Virenprogramme lassen sich nicht mehr starten Anti-Virenprogramme lassen sich meist nur durch umbenennen der install.exe installieren google Links werden umgeleitet Ich habe erst einmal ein hijackthis logfile erstellt und ein zwei Sachen gefixed und mich dann an die Anleitung hier auf der Seite "Für alle Hilfesuchenden" gemacht. CCleaner lief durch doch bei Malwarebytes-Anti-Malware ist natürlich Schluss, da ich ja keine Virenprogramme starten kann. In anderen Threads auf dieser Seite habe ich gesehen, dass dann immer das Programm Avenger zum Einsatz kommt. Doch leider weiß ich nicht was ich in meinem Fall dort eingeben muss. Wenn Ihr mir da weiterhelfen könntet... Damit das auch geht hab ich mal die beiden hijackthis logfiles (vor und nach dem fixen) und das logfile von GMER beigefügt. Code: Logfile of Trend Micro HijackThis v2.0.2Code: Logfile of Trend Micro HijackThis v2.0.2Code: GMER 1.0.15.15281 - h**p://www.gmer.net |
Hi, TDSS-Rootkit: Bereinigung für Rootkit "H8SRTd" Zuerst versucht ihr MAM zu installieren, dazu benennt es bereits im Downloaddialog auf z.B. Test.exe um. Startet es nach der Installation nicht, wartet bis Avenger den Rootkit "ausgeknippst" hat und lasst es dann sofort laufen (nach dem Update der Signaturen!) Malwarebytes Antimalware (MAM) Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Falls MAM bereits installiert ist, weiter mit Avenger... Anleitung Avenger (by swandog46) 1.) Ladet das Tool Avenger und speichere es auf dem Desktop: http://saved.im/mzi3ndg3nta0/aven.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code: Drivers to delete:4.) Um Avenger zu starten klicke auf -> Execute Dann bestätigt mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest ihr hier einen Report von Avenger -> C:\avenger.txt Öffnet die Datei mit dem Editor und kopiert den gesamten Text in Euren Beitrag hier am Trojaner-Board. Nun bitte sofort MAM starten, Fullscann und alles bereinigen lassen, Log posten: Startet MAM immer noch nicht, in das Installationsverzeichnis von MAM wechseln und die EXE von MAM (mbam.exe) auf z. B. test.exe umbenennen und durch Doppelklick starten. Nach Beendigung des Scanns (und MAM) nennt ihr sie auf den ursprünglichen Namen (mbam.exe) zurück. chris O4 - HKCU\..\Run: [richtx64.exe] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\richtx64.exe |
Hallo Chris, Vielen herzlichen Dank für deine Hilfe! Ich habe Avenger so ausgeführt wie du es gesagt hast. Beim ersten Neustart bin ich allerdings etwas erschrocken, da noch vor dem Windows Anmeldefenster eine Meldung kam, dass irgendwas nicht gestertet werden kann. Der PC hat dann sofort einen weiteren Neustart ausgeführt und dann war alles in Ordnung. Hatte das was zu bedeuten? Ich habe dann MAM durchlaufen lassen (auf C:) und es wurden 11 Einträge gefunden, die alle Entfernt werden konnten. Sollte noch ein Scan auf den anderen Partitionen erfolgen? Kann es sein das MAM die avenger.txt auf C:\ gelöscht hat, ich kann sie nicht mehr finden. MAM logfile Code: Malwarebytes' Anti-Malware 1.43Falls es nicht zu viel Zeit in anspruch nimmt: Was wurde mit Avenger genau gemacht bzw. erreicht? Ich habe auf Wikipedia etwas über Rootkit im Allgemeinen gelesen, aber konnte nicht ganz nachvollziehen was durch das Löschen der H8SRTd.sys erreicht wurde. Vielen Dank noch einmal für deine Mühe. |
Hi, das Rootkit nutzt diesen "Treiber" um sich als Dienst registrieren und ausführen zu lassen und blendet dann alle Leseaktionen auf sich selbst oder auf die Malware unter seinen "Fittichen" aus. Durch das Killen des Treibers (durch Avenger beim Systemstart) wurde der Rest vom Rootkit und der Malware sichtbar. Unbedingt alle Laufwerke mit MAM im Fullscanmode durchsuchen und bereinigen lassen, das gleiche dann noch mit Deiner Standard-AntiViren-Lösung... chris |
Danke für die Erklärung zum Rootkit Chris. Habe MAM nun über alle Laufwerk laufen lassen und sieht alles wieder sehr friedlich aus. Ich lass jetzt noch AntiVir durchlaufen... Wünsch ein schönes Wochenende! |
Hi, okay, poste dann auch noch mal ein GMER-Log... chris |
So, hier jetzt noch mal ein neues GMER logfile, ich hoffe es ist nun alles in Ordnung. Code: GMER 1.0.15.15281 - http://www.gmer.net |
Hi, entweder der Treiber ist zerschossen, hält sich nicht an die Konventionen oder ist nicht koscher, daher: Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code: C:\WINDOWS.0\system32\drivers\ALCXSENS.SYS
Sonst sieht es gut aus... chris |
Ich hoffe ich habe den letzten Punkt richtig verstanden 382,55 KByte Die Datei wurde bereits analysiert: MD5: fbbcb95f677cbaa924140b6ea2d9a97b First received: 2009.02.12 20:57:57 UTC Datum 2010.01.08 16:59:27 UTC [>3D] Ergebnisse 0/41 Permalink: analisis/a599724e0074dba041ccabbdcaf97fda19bf76848b705165db0716d54760d9d6-1262969967 und das kam unter Analysiere die Datei: Code: a-squared 4.5.0.48 2010.01.11 - |
Hi, Sensaura stimmt, sollte ein Fehlalarm sein... Abschließend noch Prevx drüberjagen: http://www.prevx.com/freescan.asp Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters... chris chris |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:02 Uhr. |
Copyright ©2000-2025, Trojaner-Board