Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   google funktioniert nicht richtig (https://www.trojaner-board.de/82693-google-funktioniert-richtig.html)

Larusso 07.02.2010 12:20
Kannst Du schon in den abbgesicherten Modus booten? (nicht über msconfig versuchen !!! )
Umleitungen waren bzw sind nur bei Firefox?

mairu 07.02.2010 17:58
nein, wenn ich f8 drücke habe ich nur auswahl von cd/dvd/festplatte von denen ich booten kann..
und ich habe ehrlich gesagt IE nicht ausprobiert, aber bisher ist es nicht wieder aufgetretten. hoffe es bleibt so :confused:

Chris4You 08.02.2010 07:42
Hi,

prüft bitte noch auf Rootkit... -> GMER (http://www.trojaner-board.de/74908-a...t-scanner.html)...

chris & out

mairu 08.02.2010 12:37
Hallo! heute wurde ich mit dem problem überrascht, dass mein firefox überhaupt nicht mehr geht, startet zwar kann aber keine seiten laden. bin jetzt mit dem IE unterwegs

als ich das programm GMER durchlaufen liess, stürtze mein pc mitten im scan mit der folgenden meldung:
DRIVES-IRQL-NOT-LESS-OR-EQUEL
ab :confused:

EDIT:
Konnte jedoch zwar den bildschirm mit den windows modi öffnen, allerdings kann mein pc nicht in den abgesicherten modus rein - in keinen von angezeigten..

MalwareHero 08.02.2010 14:57
Zitat:
Zitat von mairu (Beitrag 502381)
EDIT:
Konnte jedoch zwar den bildschirm mit den windows modi öffnen, allerdings kann mein pc nicht in den abgesicherten modus rein - in keinen von angezeigten..
Hi,

mein Ratschlag: brenn/download dir dieses Avira AntiVir Rescue System auf eine neue CD, stelle die Bootreihenfolge so ein, dass dein PC vom CD Laufwerk bootet und boote mit der CD. Untersuche dein PC auf Viren und lösche gefundene Infektionen.
Bootreihenfolge ändern

lg

mairu 09.02.2010 11:08
Hallo!
Ich habe nun den PC nochmal von der CD gebootet, lies Avira und Malwarebytes durchlaufen und die gefundene Objekte löschen, allerdings kann ich immernoch nicht in den abgesicherten Modus, noch GMER ohne absturz durchlaufen lassen, noch geht mein Firefox wieder den ich neu installiert habe.
was könnte man denn da tun? :confused:

Chris4You 09.02.2010 13:51
Hi,

will mich nicht einmischen, aber es wäre hilfreich zu wissen, was erkannt und gelöscht wurde...

Abgesicherter Modus reparieren:
Downloade SafeMode Repair.zip
http://www.hijackthis-forum.de/attac...2&d=1187631899 entpacke es auf Deinen Desktop,
mach einen Doppelklick auf die neu entstandene RegDatei, um sie laufen zu lassen Klicke auf 'ok' > starte deinen Rechner in den normalen Modus auf.

chris

mairu 09.02.2010 14:02
okay danke ich versuch's!
was gelöscht wurde kann ich nochmal posten, denn es ist immer dasselbe was er findet und anscheinend gar nicht gelöscht werden kann..

EDIT ach ja, mit der reg. datei, soll ich den rechner quasi erst normal neustarten und dann nochmal in den abgesicherten modus oder hab ich das falsch verstanden?

mairu 09.02.2010 20:40
Also, nach dem Neustart mit der anderen reg-Datei konnte ich leider immernoch nicht in den abgesicherten Modus, Avira+Malwarebytes haben jetzt nichts mehr gefunden-
der alte Fund war:
Code:
Beginne mit der Desinfektion:
C:\System Volume Information\_restore{6E63FD69-89E7-4BA2-9899-65C5B818AA92}\RP1\A0002100.sys
    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ba12a42.qua' verschoben!
C:\System Volume Information\_restore{6E63FD69-89E7-4BA2-9899-65C5B818AA92}\RP1\A0002101.sys
    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a326be3.qua' verschoben!
C:\System Volume Information\_restore{6E63FD69-89E7-4BA2-9899-65C5B818AA92}\RP1\A0002102.sys
    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a35632b.qua' verschoben!
C:\System Volume Information\_restore{6E63FD69-89E7-4BA2-9899-65C5B818AA92}\RP1\A0002103.sys
    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a347b73.qua' verschoben!
und vom Malwarebytes war dieses hier:

Code:
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d032570a-5f63-4812-a094-87d007c23012} (Trojan.BHO.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{d032570a-5f63-4812-a094-87d007c23012} (Trojan.BHO.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{d032570a-5f63-4812-a094-87d007c23012} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\iebho.dll (Trojan.BHO.H) -> Delete on reboot.
wie kriege ich denn nur Firefox zum laufen? ich brauche es unbedingt :(
gibt es irgendwelche andere scans oder programme die ich noch durchlaufen lassen könnte?

mairu 09.02.2010 21:51
Es tut mir furchtbar leid für erneuten Posting, ich habe leider keine editier-taste mehr gefunden.
also GMER ergab schliesslich folgendes
Code:
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-02-09 21:34:38
Windows 5.1.2600 Service Pack 3
Running: npiptqjc.exe; Driver: C:\DOKUME~1\***\LOKALE~1\Temp\ugtdipow.sys


---- System - GMER 1.0.15 ----

SSDT  BA6911DE                                  ZwCreateKey
SSDT  BA6911D4                                  ZwCreateThread
SSDT  BA6911E3                                  ZwDeleteKey
SSDT  BA6911ED                                  ZwDeleteValueKey
SSDT  BA6911F2                                  ZwLoadKey
SSDT  BA6911C0                                  ZwOpenProcess
SSDT  BA6911C5                                  ZwOpenThread
SSDT  BA6911FC                                  ZwReplaceKey
SSDT  BA6911F7                                  ZwRestoreKey
SSDT  BA6911E8                                  ZwSetValueKey
SSDT  BA6911CF                                  ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text  ntkrnlpa.exe!ZwCallbackReturn + 2FA0      8050483C 4 Bytes  CALL 750AB152
.rsrc  C:\WINDOWS\system32\drivers\mv61xx.sys    entry point in ".rsrc" section [0xB9F03000]
.text  C:\WINDOWS\system32\DRIVERS\ati2mtag.sys  section is writeable [0xB93AB000, 0x198FE0, 0xE8000020]

---- Files - GMER 1.0.15 ----

File  C:\WINDOWS\system32\drivers\mv61xx.sys    suspicious modification

---- EOF - GMER 1.0.15 ----

MalwareHero 11.02.2010 16:01
Zitat:
Zitat von mairu (Beitrag 502722)
Es tut mir furchtbar leid für erneuten Posting, ich habe leider keine editier-taste mehr gefunden.
Sorry, dass ich/wir uns nicht mehr gemeldet hatten, ich glaubte "Chris4u" würde hier weiter machen. Bitte Gmer nach der Anleitung ausführen.

Wie läuft der Computer?

> Lade diese Datei bei Virus Total hoch und werte sie dort aus.
VirusTotal - Kostenloser online Viren- und Malwarescanner

C:\WINDOWS\system32\drivers\mv61xx.sys

> Bitte Combofix ausführen:

Download combofix.exe von einem dieser Seiten auf dein Desktop.
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
http:
//www.forospyware.com/sUBs/ComboFix.exe

Vor Anwendung von Combofix
sollte man die temporären Dateien löschen mit CCleaner oder CleanUp
schliesse alle Programme und Anwendungen mit Hintergrundwächtern inklusive der Firewall + Antivirusprogramme müssen deaktiviert sein!

* Bitte nicht die Maus während Combofix läuft bewegen oder etwas anklicken. Dies könnte Combofix zum Absturz bringen

* doppelklick: combofix.exe Combofix

* klicke "Ja" , nach Lesen vom Disclaimer und Warnmeldung

Combofix - warnmeldung

* schreibe "1" - klicke "Enter"


* nun abwarten, bis ein neuer Systemwiederherstellungspunkt erstellt wurde + der Scan erfolgt
* das Log wird automatisch erscheinen (combofix.txt)
* mit der rechten Maustaste den Text markieren -> komplett abkopieren -> im Forum, wo du einen Beitrag eröffnet hast -> einfügen

> Nach dem Scan kann Combofix den Computer restarten - bitte geduldig abwarten bis das Logfile erstellt wird! Nicht am Pc arbeiten, wärend des Scanprozesses!


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:31 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131