|
Code: ComboFix 10-07-28.04 - xxx 29.07.2010 19:20:07.4.1 - x86 |
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus. Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen. Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt. |
Gmer: Code: GMER 1.0.15.15281 - http://www.gmer.netCode: Report of OSAM: Autorun Manager v5.0.11926.0Bootkit remover Code: .\debug.cpp(238) : Debug log started at 29.07.2010 - 20:30:56Meine Hochachtung vor jedem der die Konzentration aufbringt sich das genau durchzulesen...mir brummt schon der Schädel wenn ich´s nur nach meinen Benutzerkonten überfliege. Nebenher:Was mache ich hier eigentlich grad so alles? ;-) |
*inErinnerungbring* |
Sry, hab Deinen Strang übersehen. Asche auf mein Haupt! :D Zuerst mal bitte - falls noch nicht getan - die Datei remover.exe (vom BootkitRemover) vom Desktop nach c:\windows\system32 kopieren! Danach die Konsole starten über Start, Ausführen, cmd eintippen, ok. Den Text im folgenden Codefeld eintippen und mit Enter/Return ausführen: Code: remover.exe fix \\.\PhysicalDrive0 |
Zitat:
Klar...Dreck auf´m Kopf erteilt :-D Ähm--> c:\WINXP\system32? Mag dir doof erscheinen dass ich extra nachfrag, aber wenn ich schon mit hartem Gerät im System rumfrosch, dann will ich hundertprozentig wissen dass ich richtig lieg... |
Wenn Dein Windows-Ordner "WINXP" heißt, dann muss es natürlich da rein :rolleyes: Du kannst die remover.exe auch direkt nach C: kopieren, dann muss aber jedesmal in der Kommandozeile die remover.exe über "c:\remover.exe" aufgerufen werden. Wenn man einfach nur "remover.exe fix \\.\PhysicalDrive0" eintippen will, muss die remover.exe nach system32 |
ok...ausgeführt... brauchst du das was der mir hinschreibt oder geht´s direkt weiter? Code: Restoring boot code at \\.\PhysicalDrive0... |
Bitte zur Kontrolle die remover.exe per Doppelklick wieder ausführen und die Ausgabe posten. |
Logfile Bootkit: Code: .\debug.cpp(238) : Debug log started at 05.08.2010 - 17:24:39 |
Zitat:
Mach bitte zur weiteren Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
oh oh...ich befürchte dass der bootcode mittlerweile wieder in Unordnung ist... Zu meiner Schande:Ich hatte ein paar USB-Sticks nicht mit drin bei der ganzen Froscherei.Ich war so darauf fixiert dass der erste "Kontakt" beim surfen war (zu dem Zeitpunkt war keiner der Sticks drin), dass ich die gar nicht berücksichtigt hab. Jetzt zum Scan vonMbam sind die mir wieder eingefallen.Also Scan sofort wieder abgebrochen, alle Sticks rein, wieder geestartet. Nach ca 20 Sek Scanzeit mit Mbam hat mein Avira dazwischengefunkt und gemeldet dass er mir an einem Stick den Zugriff auf die "Autorun" aus Sicherheitsgründen verweigert hat.Mehr nicht.Aber kurz danach vom Avira wieder Meldungen vom TR/Crypt.XPACK.Gen im Temp. Hab den Avira geöffnet und mir die Berichte angeschaut- und da stehen jeden Tag Meldungen drin, immer genau 3 am Stück, jeden Tag.Ich hab die auf dem Bildschirm nie gesehen.Immer der TR/Crypt.XPACK.Gen in der Datei "'C:\Dokumente und Einstellungen\xxx2\Anwendungsdaten\Vozaz\yxew.exe". Jetzt grad läuft Mbam noch.Bin ja gespannt...fand anfangs ja auch nix...? Diese Meldungen können ja mit den Sticks nix zu tun haben, die sticks sind jetzt seit Anfang des Threads das erste mal drin.Irgendwas haben wir übersehen. Und für den Lerneffekt: Was ist der MBR (?) Bootcode?Welcher Schädling hat da WAS verändert und wozu? Edit teilt mir gerade die nächste Avira-MEldung mit...Der gehabte Trojaner wieder in der System volume informatio/restore... :-( IS ja der einste Liveticker hier... Edit: Nächste Avira-Meldung...'K:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx' wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern --> Suchlauf--> Quarantäne...Frage:Warum die Zeitabstände zwischen Meldungen vom selben Stick? Ich hab den infizierten Stcik mal raus, dass der mir nicht immer dazwischenfunkt.Mbam läuft weiter. |
Der MBR ist dafür zB zuständig, dass überhaupt ein OS von der Festplatte gestartet werden kann. Mach, wenn MBAM durch ist, einen Neustart. Führ die remover.exe wieder zur Kontrolle per Doppelklick aus. |
Gestartet ist mein Rechner problemlos...was waren dann die Auswirkungen der veränderten MBR? (und, peinlich-was heisst es, und wofür steht gleich OS nochmal?) Ähm...nebenbei bemerkt...das Lautstärkerad meiner Tastatur hat seit einigen Tagen keinen Effekt mehr... Ok...Mbam arbeitet erst die Festplatten, dann die ganzen Sticks durch, soweit normal, aber dann schreibt er hin "durchsuche zusätzliche Objekte auf dem System", das hatte ich noch nie, arbeitet schon viel zu lange.Ich brech das mal ab und poste: Code: Malwarebytes' Anti-Malware 1.46Code: .\debug.cpp(238) : Debug log started at 05.08.2010 - 19:30:30 |
Der MBR ist aber ok. Mach mal bitte ein neues OTL-Log mit der OTL.exe - stell bitte das Dateialter auf 90 Tage. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 19:04 Uhr. |
Copyright ©2000-2025, Trojaner-Board