Trojaner-Board
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Rechner versäucht - Animalware Doctor, Antivirus software alert unterbinden alles (https://www.trojaner-board.de/88434-rechner-versaeucht-animalware-doctor-antivirus-software-alert-unterbinden-alles.html)

MalwareHero 21.07.2010 17:08
Zitat:
Zitat von Koti (Beitrag 544423)
Der Link ist tot. Hättest du evtl. eine Alternative?
http://download.bleepingcomputer.com...RootRepeal.exe

Koti 21.07.2010 17:25
ok, hier ist es.

Zitat:
ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time: 2010/07/21 18:13
Program Version: Version 1.3.5.0
Windows Version: Windows XP Media Center Edition SP3
==================================================

Drivers
-------------------
Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xB2462000 Size: 98304 File Visible: No Signed: -
Status: -

Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xF8B69000 Size: 8192 File Visible: No Signed: -
Status: -

Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xB0C60000 Size: 49152 File Visible: No Signed: -
Status: -

Hidden/Locked Files
-------------------
Path: C:\hiberfil.sys
Status: Locked to the Windows API!

SSDT
-------------------
#: 041 Function Name: NtCreateKey
Status: Hooked by "<unknown>" at address 0xf8d16fc6

#: 053 Function Name: NtCreateThread
Status: Hooked by "<unknown>" at address 0xf8d16fbc

#: 063 Function Name: NtDeleteKey
Status: Hooked by "<unknown>" at address 0xf8d16fcb

#: 065 Function Name: NtDeleteValueKey
Status: Hooked by "<unknown>" at address 0xf8d16fd5

#: 098 Function Name: NtLoadKey
Status: Hooked by "<unknown>" at address 0xf8d16fda

#: 122 Function Name: NtOpenProcess
Status: Hooked by "<unknown>" at address 0xf8d16fa8

#: 128 Function Name: NtOpenThread
Status: Hooked by "<unknown>" at address 0xf8d16fad

#: 193 Function Name: NtReplaceKey
Status: Hooked by "<unknown>" at address 0xf8d16fe4

#: 204 Function Name: NtRestoreKey
Status: Hooked by "<unknown>" at address 0xf8d16fdf

#: 247 Function Name: NtSetValueKey
Status: Hooked by "<unknown>" at address 0xf8d16fd0

==EOF==

MalwareHero 21.07.2010 17:42
Zitat:
Zitat von Koti (Beitrag 544434)
ok, hier ist es.
Bitte bis morgen noch durchführen und alle Logs posten:

> mbr.exe von hier runterladen:
http://www2.gmer.net/mbr/mbr.exe

• Download mbr.exe zum Desktop
• Doppelklick mbr.exe um das Tool zu starten (ganz kurz öffnet sich ein fenster)
• Es wird ein Log erstellt liegt auf deinem Desktop.
• poste dessen Inhalt

> sfc/scannow und chkdsk/f durchführen, anleitung hast du schon.

> Kontrollscans mit ESET und DR.Web

Führe DR.Web (schneller Scan) im abgesicherten Modus aus.
http://www.trojaner-board.de/59299-a...eb-cureit.html
Fünde löschen lassen/Log erstellen und hier posten

ESET Online Scan
ESET Online Scanner - ESET Antivirus Software
Fünde hier melden/entfernen

> Alles an veralterter Software deinstallieren> Adobe Reader/java...
Updates laden: Secunia Personal Software Inspector - Download - COMPUTER BILD

> Windows Update duchführen!

******************************************************

Koti 21.07.2010 17:55
hier ist schon mal das mbr-Log

Zitat:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
was ist mit sfc/scannow bzw. chkdsk/f gemeint? Könntest du mir noch einen Hinweis geben. Hab schon so viel getestet... - danke.

Zitat:
> sfc/scannow und chkdsk/f durchführen, anleitung hast du schon.
War das mit dem Befehl "Ausführen"? Nicht schlimm, dass ich keine Windows CD habe?

MalwareHero 21.07.2010 17:57
Zitat:
Zitat von Koti (Beitrag 544456)
hier ist schon mal das mbr-Log
dein mbr ist sauber, das ist zurzeit die Infektion des Tages :rolleyes:

Zitat:
was ist mit sfc/scannow bzw. chkdsk/f gemeint? Könntest du mir noch einen Hinweis geben. Hab schon so viel getestet... - danke.
Zitat:
DateiSystem Prüfung: Start/Ausführen schreibe rein: cmd in das schwarze Fenster schreibe rein sfc/scannow klicke enter. Wenn Systemdateien beschädigt sein sollten musst du evtl. deine XP Cd einlegen.
Wenn dieser Prozess durch ist schreibst du in das schwarze Fenster: chkdsk/f
kann sein du wirst aufgefordert zu bestätigen, dass das beim nächsten Systemstart durchgeführt wird.
so wie oben beschrieben durchführen

Koti 21.07.2010 18:05
Zitat:
Zitat von MalwareHero (Beitrag 544458)
dein mbr ist sauber, das ist zurzeit die Infektion des Tages :rolleyes:
Ist die größte Errungenschaft des Tages - ein Highlight :rolleyes: - DANKE

Die CD muss dran, wobei es steht drin, dass Windows XP Service Pack 3 benötigt wird. Ich denke, das Betriebssystem ist damit gemeint, nicht das Servicepack. Muss also gleich suchen, wie ich diese auf CD gebrannt bekomme.

MalwareHero 21.07.2010 18:05
Zitat:
Zitat von Koti (Beitrag 544456)

War das mit dem Befehl "Ausführen"? Nicht schlimm, dass ich keine Windows CD habe?
siehe oben

MalwareHero 21.07.2010 18:07
Zitat:
Zitat von Koti (Beitrag 544470)
Ist die größte Errungenschaft des Tages - ein Highlite :rolleyes: - DANKE

Die CD muss dran, wobei es steht drin, dass Windows XP Service Pack 3 benötigt wird. Ich denke, das Betriebssystem ist damit gemeint, nicht das Servicepack. Muss also gleich suchen, wie ich diese auf CD gebrannt bekomme.
wird gemeldet dass was mit den systemfiles nicht stimmt und du die CD einlegen sollst?

Koti 21.07.2010 18:16
hier ist die Original-Meldung:

"Es wurden Dateien, die zum Ausführen von Windows erforderlich sind, mit unbekannten Versionen ersetzt. Die Originalversionen dieser Dateien müssen wiederhergestellt werden, um die Systemstabilität beizubehalten.

Legen Sie Windows XP Professional Service-Pack 3 CD jetzt ein".

Bringt es jetzt überhaupt was eine CD zu erstellen? Laut Meldung sind ja bestimmte Original-Inhalte ersetzt worden. Wenn ich jetzt also eine CD erstelle, übernehme ich sie ja damit, oder?

MalwareHero 21.07.2010 18:18
Zitat:
Zitat von Koti (Beitrag 544482)
hier ist die Original-Meldung:

[COLOR="DarkRed"]"Es wurden Dateien, die zum Ausführen von Windows erforderlich sind, mit unbekannten Versionen ersetzt. Die Originalversionen dieser Dateien müssen wiederhergestellt werden, um die Systemstabilität beizubehalten.
das ist nicht gut. Breche den Prozess ab/beende sfc/scannow
Lasse dann combofix scannen:
Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Gehe genau nach der Anleitung vor! Alle Antivirenprogramme müssen deaktiviert sein! Alle Programme geschlossen! Nichts anklicken wenn combofix scannt!
log posten.

Koti 21.07.2010 19:18
so, hab jetzt noch auf die Schnelle paar wichtige Dateien gesichert.

Wenn ich ComboFix morgen durchführe, darf ich dann mit deiner Unterstützung rechnen? Ich sichere heute noch ein paar Sachen.

Vielen Dank für deine Zeit und Tipps heute !!!

MalwareHero 21.07.2010 19:21
Zitat:
Zitat von Koti (Beitrag 544531)
so, hab jetzt noch auf die Schnelle paar wichtige Dateien gesichert.

Wenn ich ComboFix morgen durchführe, darf ich dann mit deiner Unterstützung rechnen? Ich sichere heute noch ein paar Sachen.

Vielen Dank für deine Zeit und Tipps heute !!!
Das ist ok ;)

was du auch machen kannst anstatt combofix ist dir eine windows xp cd vom Kumpel auszuleihen und dann sfc/scannow ausführen. Das muss aber gemacht werden da infizierte systemdateien nicht sein dürfen.

grüsse

MH.

Koti 22.07.2010 10:01
Mit dem Windows Original CD habe ich bereits geregelt. Diese bekomme ich voraussichtlich nächstes Wochenende. Um sicher zu sein, komme wahrscheinlich um die Neuinstallation nicht herum. Aber dank deiner Hilfe kann ich zumindest meine Dateien retten. - vielen vielen Dank dafür.

Meinst du, es ist i.O. wenn ich ein Backup von meinem Firefox Browser bzw. Thunderbird erstelle und nach der Neuinstallation wieder aufspiele? Übertrage ich damit keine Viren auf das neue System? Die Inhalte sind sehr wichtig für mich.

Macht es Sinn jetzt alle relevanten Passwörter zu ändern?

MalwareHero 22.07.2010 11:48
Zitat:
Zitat von Koti (Beitrag 544672)
Übertrage ich damit keine Viren auf das neue System? Die Inhalte sind sehr wichtig für mich.
http://www.trojaner-board.de/75622-d...ittierung.html
http://www.trojaner-board.de/75619-a...x-live-cd.html
http://www.trojaner-board.de/51262-a...sicherung.html
http://www.trojaner-board.de/74052-s...-internet.html

Zitat:
Macht es Sinn jetzt alle relevanten Passwörter zu ändern?
nein, mach das nach der neuinstallation/oder von nem anderen comp.

Koti 22.07.2010 12:35
verstehe ich es richtig, dass ich FF und Thunderbird übernehmen kann, jedoch die Passwörter ändern muss?

Beim FF werde ich vorsichtshalber nur die Lesezeichen als Ordner kopieren. Add-ons kann ich aufs neue installieren. Thunderbird enthält jedoch zahlreiche e-mails, die ich benötige.


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:24 Uhr.
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19