|
Antimalware Doctor Problem bei Entfernung und Log Auswertung Hallo, Habe mir heute leider den Antimalware Doctor eingefangen und auch versucht ihn nach der Anleitung hier aus dem Forum zu entfernen. rkill schafft es das Programm zu schließen und Malwarebytes startet auch, findet bei mir aber immer nur 2 REG-Einträge des Programms. Die in der Anleitung aufgelisteten Dateien werden nicht erkannt und deshalb kann ich es auch nicht entfernen. Ich bin aber zuversichtlich, dass man mir hier helfen kann. Sieht alles erstmal sehr kompetent aus. Wirklich klasse! Nur Formatieren ist das letzte was ich jetzt will, vor allem weil ich das dieses Jahr schonmal machen musste. Habe den letzten Malewarebytes Log und OTL Logs angehängt. Vielen Dank schonmal. |
Hallo und :hallo: Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Außerdem musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!! Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. |
:alc: Das fängt ja schonmal gut an! Das Programm hat sich nach dem Neustart schon nicht mehr geöffnet. Die erste Antwort und schon ein Quantensprung. :dankeschoen: Zumindest unter "Programme und Funktionen" ist der Antimalware Doctor aber noch gelistet. Hier das Log: All processes killed ========== OTL ========== Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\gotnewupdate000.exe deleted successfully. C:\Users\***\AppData\Roaming\3C04A5895263BEC83BFBAE8F4244D9D6\gotnewupdate000.exe moved successfully. C:\Users\***\AppData\Roaming\3C04A5895263BEC83BFBAE8F4244D9D6 folder moved successfully. C:\Users\***\AppData\Roaming\lowsec folder moved successfully. File C:\Windows\System32\drivers\awrhpc.sys not found. C:\Users\***\AppData\Roaming\kcmdte.dat moved successfully. ========== COMMANDS ========== C:\Windows\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: *** ->Temp folder emptied: 1700322 bytes ->Temporary Internet Files folder emptied: 36693804 bytes ->Java cache emptied: 14342852 bytes ->FireFox cache emptied: 34357778 bytes ->Flash cache emptied: 1795 bytes User: Public %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 5268452 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 88,00 mb OTL by OldTimer - Version 3.2.3.0 log created on 05012010_124051 Files\Folders moved on Reboot... Registry entries deleted on Reboot... |
Gut. Dann jetzt CF: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Sieht jetzt schonmal alles sauber aus. Ich bin dir echt dankbar für deine schnelle und kompetente Hilfe! Wollte ich nur nochmal sagen :daumenhoc |
Hm, im cofilog steht was von einer versteckten Datei. Mach bitte mal Logfiles mit GMER und OSAM und poste sie. |
Hier die beiden Logs. |
Ja, das ist noch ein Rootkit aktiv :mad: Bitte mal den Avenger anwenden: 1.) Lade Dir von hier Avenger: Swandog46's Public Anti-Malware Tools (Download, linksseitig) 2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen: http://mitglied.lycos.de/efunction/tb123/avenger.png 3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code: files to delete:5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. 8.) Die Datei c:\avenger\backup.zip bei file-upload.net hochladen und hier verlinken |
h**p://www.file-upload.net/download-2480995/backup.zip.html Logfile of The Avenger Version 2.0, (c) by Swandog46 hxxp://swandog46.geekstogo.com Platform: Windows Vista ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! File "C:\Windows\system32\drivers\awrhpc.sys" deleted successfully. Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\awrhpc.sys" not found! Deletion of driver "awrhpc.sys" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Driver "awrhpc" deleted successfully. Completed script processing. ******************* Finished! Terminate. |
Schön. Zur Kontrolle bitte neue Logs mit GMER und OSAM bitte posten. |
Wenn ich einen Scan mit GMER starte bekomme ich jetzt komischerweise während dem Scan die Meldung, dass die .exe nicht mehr funktioniert. Habe es schon mehrfach versucht. Bekomme am Anfang aber auch keine Warnung, wo ich gefragt werde, ob ich einen full scan ausführen möchte... Ich werde es gleich nochmal runterladen. Hier schonmal das OSAM-Logfile. EDIT: Absturz ist jedesmal bei "\Device\Harddisk\VolumeShadowCopy*" |
Der Eintrag ist auf jeden Fall weg. Sieht ok aus. Mach bitte zur weiteren Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
Ein paar übliche trackende Cookies (hoffe ich mal) aber sonst siehts sauber aus: SUPERAntiSpyware Scan Log hxxp://www.superantispyware.com Generated 05/03/2010 at 03:34 PM Application Version : 4.36.1006 Core Rules Database Version : 4881 Trace Rules Database Version: 2693 Scan type : Complete Scan Total Scan Time : 01:16:29 Memory items scanned : 728 Memory threats detected : 0 Registry items scanned : 8177 Registry threats detected : 0 File items scanned : 116581 File threats detected : 50 Adware.Tracking Cookie C:\Users\Gerrit\AppData\Roaming\Microsoft\Windows\Cookies\gerrit@unitymedia[2].txt C:\Users\Gerrit\AppData\Roaming\Microsoft\Windows\Cookies\gerrit@revsci[1].txt C:\Users\Gerrit\AppData\Roaming\Microsoft\Windows\Cookies\gerrit@mediaplex[2].txt C:\Users\Gerrit\AppData\Roaming\Microsoft\Windows\Cookies\gerrit@atwola[1].txt C:\Users\Gerrit\AppData\Roaming\Microsoft\Windows\Cookies\gerrit@ads.creative-serving[1].txt C:\Users\Gerrit\AppData\Roaming\Microsoft\Windows\Cookies\gerrit@xiti[1].txt C:\Users\Gerrit\AppData\Roaming\Microsoft\Windows\Cookies\gerrit@im.banner.t-online[2].txt C:\Users\Gerrit\AppData\Roaming\Microsoft\Windows\Cookies\gerrit@specificclick[1].txt C:\Users\Gerrit\AppData\Roaming\Microsoft\Windows\Cookies\gerrit@tns-counter[1].txt C:\Users\Gerrit\AppData\Roaming\Microsoft\Windows\Cookies\gerrit@statse.webtrendslive[1].txt C:\Users\Gerrit\AppData\Roaming\Microsoft\Windows\Cookies\gerrit@doubleclick[3].txt C:\Users\Gerrit\AppData\Roaming\Microsoft\Windows\Cookies\gerrit@gostats[2].txt C:\Users\Gerrit\AppData\Roaming\Microsoft\Windows\Cookies\gerrit@zanox[2].txt C:\Users\Gerrit\AppData\Roaming\Microsoft\Windows\Cookies\gerrit@adviva[2].txt C:\Users\Gerrit\AppData\Roaming\Microsoft\Windows\Cookies\gerrit@cdn5.specificclick[2].txt C:\Users\Gerrit\AppData\Roaming\Microsoft\Windows\Cookies\gerrit@2o7[1].txt C:\Users\Gerrit\AppData\Roaming\Microsoft\Windows\Cookies\gerrit@webmasterplan[1].txt C:\Users\Gerrit\AppData\Roaming\Microsoft\Windows\Cookies\gerrit@tracking.mlsat02[1].txt C:\Users\Gerrit\AppData\Roaming\Microsoft\Windows\Cookies\gerrit@collective-media[2].txt C:\Users\Gerrit\AppData\Roaming\Microsoft\Windows\Cookies\gerrit@ad.adition[2].txt C:\Users\Gerrit\AppData\Roaming\Microsoft\Windows\Cookies\gerrit@adfarm1.adition[2].txt C:\Users\Gerrit\AppData\Roaming\Microsoft\Windows\Cookies\gerrit@smartadserver[2].txt C:\Users\Gerrit\AppData\Roaming\Microsoft\Windows\Cookies\gerrit@medialand.relax[2].txt C:\Users\Gerrit\AppData\Roaming\Microsoft\Windows\Cookies\gerrit@imrworldwide[2].txt C:\Users\Gerrit\AppData\Roaming\Microsoft\Windows\Cookies\gerrit@bs.serving-sys[2].txt C:\Users\Gerrit\AppData\Roaming\Microsoft\Windows\Cookies\gerrit@ad.porta.eol[2].txt C:\Users\Gerrit\AppData\Roaming\Microsoft\Windows\Cookies\gerrit@yadro[1].txt C:\Users\Gerrit\AppData\Roaming\Microsoft\Windows\Cookies\gerrit@adtech[2].txt C:\Users\Gerrit\AppData\Roaming\Microsoft\Windows\Cookies\gerrit@adxpose[1].txt C:\Users\Gerrit\AppData\Roaming\Microsoft\Windows\Cookies\gerrit@atdmt[1].txt C:\Users\Gerrit\AppData\Roaming\Microsoft\Windows\Cookies\gerrit@tradedoubler[2].txt C:\Users\Gerrit\AppData\Roaming\Microsoft\Windows\Cookies\gerrit@serving-sys[1].txt C:\Users\Gerrit\AppData\Roaming\Microsoft\Windows\Cookies\gerrit@adbrite[2].txt C:\Users\Gerrit\AppData\Roaming\Microsoft\Windows\Cookies\gerrit@ww251.smartadserver[1].txt C:\Users\Gerrit\AppData\Roaming\Microsoft\Windows\Cookies\gerrit@statcounter[2].txt C:\Users\Gerrit\AppData\Roaming\Microsoft\Windows\Cookies\gerrit@content.yieldmanager[3].txt C:\Users\Gerrit\AppData\Roaming\Microsoft\Windows\Cookies\gerrit@advertiser.contextmatters[2].txt C:\Users\Gerrit\AppData\Roaming\Microsoft\Windows\Cookies\gerrit@ads.undertone[1].txt C:\Users\Gerrit\AppData\Roaming\Microsoft\Windows\Cookies\gerrit@traffictrack[2].txt C:\Users\Gerrit\AppData\Roaming\Microsoft\Windows\Cookies\gerrit@viacom.adbureau[2].txt C:\Users\Gerrit\AppData\Roaming\Microsoft\Windows\Cookies\gerrit@apmebf[1].txt C:\Users\Gerrit\AppData\Roaming\Microsoft\Windows\Cookies\gerrit@www.active-tracking[1].txt C:\Users\Gerrit\AppData\Roaming\Microsoft\Windows\Cookies\gerrit@himedia.individuad[2].txt C:\Users\Gerrit\AppData\Roaming\Microsoft\Windows\Cookies\gerrit@eas.apm.emediate[2].txt C:\Users\Gerrit\AppData\Roaming\Microsoft\Windows\Cookies\gerrit@tracking.quisma[2].txt C:\Users\Gerrit\AppData\Roaming\Microsoft\Windows\Cookies\gerrit@content.yieldmanager[1].txt C:\Users\Gerrit\AppData\Roaming\Microsoft\Windows\Cookies\gerrit@ad.yieldmanager[2].txt C:\Users\Gerrit\AppData\Roaming\Microsoft\Windows\Cookies\gerrit@invitemedia[3].txt C:\Users\Gerrit\AppData\Roaming\Microsoft\Windows\Cookies\gerrit@ads.quartermedia[2].txt C:\Users\Gerrit\AppData\Roaming\Microsoft\Windows\Cookies\gerrit@ad.zanox[2].txt Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4061 Windows 6.0.6002 Service Pack 2 Internet Explorer 7.0.6002.18005 03.05.2010 17:27:34 mbam-log-2010-05-03 (17-27-34).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|) Durchsuchte Objekte: 228616 Laufzeit: 40 Minute(n), 40 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
Das sieht gut aus, da wurden nur Cookies gefunden. Rechner wieder ok? ;) |
Freut mich zu hören. Rechner läuft wie vorher und ich kann sonst auch keine Reste mehr feststellen. Super Arbeit deinerseits. Vielen Dank. Ich weiß deine Bemühungen echt zu schätzen. :bussi: |
Dann wären wir eigentlich auch durch. Prüf Du nur nochmal die Updates: Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
Soo, Foxit Reader installiert und Java & Flashplayer aktualisiert. Rest war soweit iO. Hat mich übrigens schon immer gestört, dass der Adobe Reader so langsam ist. |
Schön. Denk auch an die anderen installierten Programme, das waren jetzt nur die drei wichtigsten Komponenten. Auch ein Firefox oder Thunderbird muss regelmäßig aktualisiert werden ;) |
Ich nehme mir mal vor das alles immer möglichst aktuell zu halten. Mal sehen, ob das klappt^^ Ich hoffe jedenfalls man sieht sich hier im Forum nicht allzu schnell wieder ;) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:36 Uhr. |
Copyright ©2000-2025, Trojaner-Board