Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code: Folder:: 4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. http://users.pandora.be/bluepatchy/m...s/CFScript.gif 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann! |
ich Flash_Disinfector.exe verwendet. Am schluss kam nur "Done". dann hab ich ein reboot gemacht... |
1. Combofix log Combofix Logfile: Code: ComboFix 10-07-12.06 - xxx 14.07.2010 15:43:30.3.1 - x86 2. immer wenn combofix durchläuft, muss er jedes mal die wiederherstellungskonsole neu installieren. Ausserdem, wenn ich bei den Ordneroptionen mir die Dateiendungen anzeigen lasse, sind diese nach jedem Neustart wieder ausgeblendet, und ich hab eine Verknüpfung gelöscht, die jedoch auch wieder auf dem Desktop war...Vielleicht hilft das weiter? |
Bitte mal den Avenger anwenden: 1.) Lade Dir von hier Avenger: Swandog46's Public Anti-Malware Tools (Download, linksseitig) 2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen: http://mitglied.lycos.de/efunction/tb123/avenger.png 3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code: folders to delete: 5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. 8.) Die Datei c:\avenger\backup.zip bei File-Upload.net hochladen und hier verlinken |
ich glaub das war nix :S hier der downloadlink: h**p://www.file-upload.net/download-2671116/backup.zip.html logfile: Logfile of The Avenger Version 2.0, (c) by Swandog46 h**p://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: folder "c:\windows\system32†" not found! Deletion of folder "c:\windows\system32†" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Completed script processing. ******************* Finished! Terminate. |
Zitat:
Der Ordner ist definitiv da, ich vermute dieses Kreuz-Sonderzeichen dient dazu den Ordner möglichst nicht löschen zu können :balla: Findest Du den Ordner in Windows? Wenn ja, kannst Du den umbenennen in system32bad? Versuch nicht den wichtigen Ordner system32 umzubenennen!! Nur den mit diesem komischen Kreuz! Wenn dann nichts geht müssen wir mal über ein Live-System von CD ran. |
(ich konnte gestern nicht und bin jetzt erst wieder zuhause gewesen) ich hab nach dem Ordner gesucht, aber nix gefunden :( dann hab ich einfach mal Norton installiert und es rüberlaufen lassen, und er hat den wurm auch gefunden und Norton konnte ihn löschen :) Außerdem hat er auch einige Registrierungseinträge etc. gelöscht... ich hoffe jetzt ist alles weg. dann hab ich einen Neustart gemacht und nochmal einen Norton scan gemacht. Dann Norton deinstalliert und Kaspersky installiert und einen scan gemacht. Nix mehr gefunden. Ich glaube er ist weg.... Vielen Dank für deine Hilfe trotzdem :) no-one PS: Oder bin ich zu blauäugig, zu glauben, dass jetzt alles weg ist? Gibts noch eine andere Möglichkeit zu überprüfen, ob nun alles weg ist? |
Dann lass das mal überprüfen. Du musst nen neuen Durchgang mit CF machen. Lösch die alten und auch umbenannten Versionen vorher, dann lädst Du Dir combofix als cofi.exe neu herunter und führst es nach Anleitung aus. |
Sorry, dass ich erst jetzt Antworte, aber hier der CF log: Combofix Logfile: Code: ComboFix 10-07-16.02 - xxx 18.07.2010 15:54:45.4.1 - x86 ich hoffe nun ist alles weg? Gruß, no-one |
Code: 2010-07-12 15:13 . 2010-07-15 17:36 -------- d-sha-w- c:\windows\system32† PartedMagic 1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 90 MB sein 2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn oder Nero per Imagebrennfunktion unter Windows 3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist http://www.raiden.net/images/article...tedmagic40.jpg 4. Du müsstest ein Symbol "Mount Devices" finden, das doppelklicken 5. Mounte die Partition wo Windows installiert ist, meistens isses /dev/sda1 6. Benenne auf sda1 den Ordner /windows/system32† um in system32vir 7. Starte den Rechner neu und boote Windows 8. Den umbenannten Ordner mal zippen und hier hochladen > http://www.trojaner-board.de/54791-a...ner-board.html |
Datei ist Hochgeladen. Aber da ist nicht all zu viel drin. Wirst du ja sehen... Gruß, no-one |
Konntest Du den Ordner denn ohne Probleme unter Linux umbenennen? War da sonst nichts weiter drin? :confused: Wenn ja kannst ihn jetzt löschen. |
konnte ihn ohne weiteres umbenennen, und es war nix weiteres drin... ich lösch ihn jetzt |
Ok. Bitte dann Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus. Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen. Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt. |
Hallo, ich hab etwas gebraucht um die letzten schritte zu machen, jedoch hatte ich seitdem dem PC nicht mehr benutzt. Hier die Logs: 1. GMER stürzt immer ab - also kein log 2. OSAM: OSAM Logfile: Code: Report of OSAM: Autorun Manager v5.0.11926.0 If You have questions or want to get some help, You can visit h**p://forum.online-solutions.ru 3. Bootkit_remover: Bootkit Remover (c) 2009 eSage Lab esage lab - main Program version: 1.1.0.0 OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600) System volume is \\.\C: \\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 Boot sector MD5 is: 5ddc20efcc4d1dab37c348c7db7289cf Size Device Name MBR Status -------------------------------------------- 465 GB \\.\PhysicalDrive0 Unknown boot code Unknown boot code has been found on some of your physical disks. To inspect the boot code manually, dump the master boot sector: remover.exe dump <device_name> [output_file] To disinfect the master boot sector, use the following command: remover.exe fix <device_name> Done; Press any key to quit... ich hoffe nun ist alles weg?? gruß, no-one |
Alle Zeitangaben in WEZ +1. Es ist jetzt 08:30 Uhr. |
Copyright ©2000-2024, Trojaner-Board