|
Die beiden hier könnten der Ursprung sein: Zitat:
Das wäre ungemein hilfreich weil du dir da was ganz neues eingefangen hast... Kannst mir die Info auch gerne per PN schreiben. |
nicht wirklich -.- ich bin halt dau aber dachte eigentlich schon drauf zu achten, nicht auf alles und jedes draufzuklicken. ich besuch keine zwielichtigen seiten, gibt halt einige foren die ich oft besuche aber das sind foren zu einem online-spiel. ansonsten meinvz, facebook, flickr...ich gehe stark davon aus, dass die links die du mir heute gegeben hast, sicher sind... mit "neu" meinst du noch nicht registrierte viren/trojaner/mistbiester/whatever? |
Zitat:
GMER - Rootkit Detection
Master Boot Record überprüfen: Lade dir die mbr.exe von gmer auf den Desktop und führe die Datei mit Administrator-Rechten aus. Poste das log! Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck Zitat:
Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop. Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig. Dann führe die mbr.bat. durch einen Doppelklick aus. Dabei muss sich die mbr.exe von gmer ebenfalls auf dem Desktop befinden! Der MBR wird bereinigt und es erscheint ein log. Poste auch diese log! |
Zitat:
Es ist einfacher wenn ich dies als Ablauf schreibe. PC angemacht. Bei mir läuft keine automatische proggies. z.B. e-mail oder sonst was. e-mails rufe ich per hand ab. das einzige proggi das am Laufen ist, ist Avira, was kein virus gefunden hat beim scan oder beim Browserfenster aufmachen FF browser aufgemacht und ab ins YouTube. Ich surfe dort für ca. 1-1/2 Stunde. alles von den gleichn fenster aus, als Tabs. Es wurde auf GAR KEINE andere Seite geschaut....NUR YouTube. Während dieser Sitzung habe ich entschieden eine neue (Leere) FF Seite aufzumachen um woanders was zu surfen. (Mein YouTube Sitzung ist noch am laufen)..... PLING!!!! Avira entdeckt eine TR/Agent.ruo mit der aufmachung diesen neuen Fenster. so....mein Fazit: entwieder habe ich das Ding bei YouTube eingefangen (was eigentlich nicht möglich wäre) oder....... Avira hat während meine Sitzung ein Update gemacht und gibt Falschmeldungen. Was ich hoffe der Fall ist. Die einzige andere Möglichkeit ist das dieses Ding länger in Hintergrund gelauert hat und erst jetzt gestartet hat.... (kommt auch vor oder?) Hoffentlich kann diesen Beitrag dazu helfen. |
GMER 1.0.15.15281 - hxxp://www.gmer.net Rootkit scan 2010-03-28 22:16:49 Windows 5.1.2600 Service Pack 3 Running: 9l6imp9o.exe; Driver: E:\TEMP\kxtdqpow.sys ---- System - GMER 1.0.15 ---- SSDT B876BE96 ZwCreateKey SSDT B876BE8C ZwCreateThread SSDT B876BE9B ZwDeleteKey SSDT B876BEA5 ZwDeleteValueKey SSDT B876BEAA ZwLoadKey SSDT B876BE78 ZwOpenProcess SSDT B876BE7D ZwOpenThread SSDT B876BEB4 ZwReplaceKey SSDT B876BEAF ZwRestoreKey SSDT B876BEA0 ZwSetValueKey SSDT \??\E:\SASKUTIL.SYS ZwTerminateProcess [0xAF96D320] ---- Kernel code sections - GMER 1.0.15 ---- .text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB3407380, 0x5414D5, 0xE8000020] init C:\WINDOWS\system32\drivers\monfilt.sys entry point in "init" section [0xB0F27280] ? E:\SASKUTIL.SYS Das System kann die angegebene Datei nicht finden. ! ---- User code sections - GMER 1.0.15 ---- .text E:\Firefox\firefox.exe[1624] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 004013F0 E:\Firefox\firefox.exe (Firefox/Mozilla Corporation) .text E:\Winamp\winamp.exe[3016] USER32.dll!SetScrollInfo 7E369056 7 Bytes JMP 0268B6F6 E:\Winamp\Plugins\gen_jumpex.dll .text E:\Winamp\winamp.exe[3016] USER32.dll!GetScrollInfo 7E37DFE2 7 Bytes JMP 0268B67E E:\Winamp\Plugins\gen_jumpex.dll .text E:\Winamp\winamp.exe[3016] USER32.dll!ShowScrollBar 7E37F2F2 5 Bytes JMP 0268B77A E:\Winamp\Plugins\gen_jumpex.dll .text E:\Winamp\winamp.exe[3016] USER32.dll!GetScrollPos 7E37F704 5 Bytes JMP 0268B6A6 E:\Winamp\Plugins\gen_jumpex.dll .text E:\Winamp\winamp.exe[3016] USER32.dll!SetScrollPos 7E37F750 5 Bytes JMP 0268B721 E:\Winamp\Plugins\gen_jumpex.dll .text E:\Winamp\winamp.exe[3016] USER32.dll!GetScrollRange 7E37F787 5 Bytes JMP 0268B6CB E:\Winamp\Plugins\gen_jumpex.dll .text E:\Winamp\winamp.exe[3016] USER32.dll!SetScrollRange 7E37F99B 5 Bytes JMP 0268B74C E:\Winamp\Plugins\gen_jumpex.dll .text E:\Winamp\winamp.exe[3016] USER32.dll!EnableScrollBar 7E3B8005 7 Bytes JMP 0268B656 E:\Winamp\Plugins\gen_jumpex.dll .text E:\a-squared Free\a2service.exe[3608] kernel32.dll!CreateThread + 1A 7C8106F1 4 Bytes CALL 0045495D E:\a-squared Free\a2service.exe (a-squared Service/Emsi Software GmbH) ---- Processes - GMER 1.0.15 ---- Library E:\SASSEH.DLL (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [1980] 0x00970000 ---- EOF - GMER 1.0.15 ---- |
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK |
so, nun kann mkich der kleine scheisser mal am allerwertesten...ich geh pennen. morgen hau ich ihm dann auf die mütze.:uglyhammer: gute nacht und vielen dank für die hilfe bis hierher.:) |
Das sieht soweit alles sauber aus. |
ok, das klingt schonmal super :) ich habe dennoch ein paar noob-fragen...ich hoffe ich nerv dich nicht zu sehr... hab mich gestern noch mit kumpels unterhalten und die meinten, zur besseren absicherung wäre es gut 2 schutzprogramme paralell laufen zu lassen. ..stimmt das? und wenn ja..kannst du mir da evtl freeware empfehlen? (ich dachte immer die mögen sich meistens gegenseitig nich so und verursachen damit nette kleine problemchen). ich hab halt bisher immer avira genutzt...aber diese ganzen funde mit den anderen programmen, haben mich nun schon etwas unsicher gemacht. und noch ne frage: wenn ich mir nun so ein programm (wie zb die ganzen scanprogramme die ich gestern genutzt habe), auf den rechner packe...und sie nach ner zeit wieder lösche, damit der rechner nich so zumüllt...was passiert mit den mistbiestern die ich in quarantäne geschickt habe? kommen die da wieder raus? (sry..ich hab echt null plan von diesen sachen...hoffe jedoch mich verständlich auszudrücken). oder muss ich sie expliziet erst aus der quarantäne heraus löschen? Nochmal ein riesengrosses DANKE für deine schnelle und sehr verständliche hilfe! :bussi: |
Zwei Schutzprogramme sind keine gute Idee! Nutze AntiVir, das ist O.k. Wenn du die Scanner löscht bleibt die Quarantäne meistens verschlüsselt auf der Platte. Kann also nichts passieren. |
Und hier noch ein paar Sachen damit der Rechner auch sauber bleibt.. ;)
Häufig gestellte Fragen: XP | Vista http://www.trojaner-board.de/71631-p...samer-tun.html Zusätzlich kannst du natürlich immer gerne hier posten wenn du absolut nicht weiterkommst.. ;) |
weiss garnich wie ich dir danken soll! DANKE!!! ist nich viel aber 100% von herzen^^ |
:) immer gerne aber hoffentlich nie wieder... ;) |
Du solltest die nächsten Wochen über ab und an Vollscans mit Avira und Malwarebytes machen! Das ist sehr wichtig! Melde dich wenn dabei Funde auftreten wieder bei uns in diesem Thread! |
Holla zusammen, bei mir hieß die infizierte Datei 'd3dsjtxz.dll' und war 448KB groß. Ich habe sie an Avira geschickt (://analysis.avira.com) und erhielt als Antwort: Die Datei 'd3dsjtxz.dll' wurde als 'FALSE POSITIVE' eingestuft. Dies bedeutet, dass diese Datei nicht gefährlich und eine Fehlmeldung unsererseits ist. Das Erkennungsmuster wird mit einem der nächsten Updates der Virendefinitionsdatei (VDF) entfernt werden. Das Tool Malwarebytes Antimalware, auf das von euch (trojanerboard) verwiesen wird, hat erfolgreich gearbeitet (DANKE!). Ich halte FALSE POSITIVE von Avira für kritisch, da eine sauberer Datei sich kaum wie beschrieben verhält und ohne weiteres entfernbar sein sollte. Danke, das es euch gibt! Freundliche Grüße, fogshot |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 18:22 Uhr. |
Copyright ©2000-2025, Trojaner-Board