|
Zitat:
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
hi arne, Combofix Logfile: Code: ComboFix 10-08-10.06 - 11.08.2010 13:13:48.1.1 - x86danke, gruss diego |
Ach Du shice, wieviele Dateien waren denn da infiziert? :eek: Hattest Du zufällig mal eine Infektion wie Virut oder Sality? :balla: Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code: File::4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. http://users.pandora.be/bluepatchy/m...s/CFScript.gif 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann! |
moin, keine ahnung ob ich mal einen Virut oder Sality hatte. weiß nicht mal, was das ist. :crazy: ich hatte aber schon 1-2 einen virus, dachte immer das es ein trojaner wäre. einmal hat ein freund meinen laptop auch schon komplett platt gemacht und windows neu raufgespielt... ............ ich habe leider probleme mit der ausführung: wenn ich deine anweisung befolge, bloppt nach "Ausführen" dieses kleine fester auf: "geben sie den namen eines programmes, ordners..." darin kann ich aber nix kopieren? oder meinst du unter zubehör "Eingabeaufforderung". aber auch da, kann ich nix reinkopieren. hilfe bitte:) gruss diego |
ich muss mich korrigieren! File:: wird schon reinkopiert, also der anfang. ich sehe aber den rest nicht. ist das normal? |
Dann lass das mit CF, wir machen das mit dem Avenger: 1.) Lade Dir von hier Avenger: Swandog46's Public Anti-Malware Tools (Download, linksseitig) 2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen: http://mitglied.lycos.de/efunction/tb123/avenger.png 3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code: Files to delete:5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. 8.) Die Datei c:\avenger\backup.zip bei File-Upload.net hochladen und hier verlinken |
moin, Logfile of The Avenger Version 2.0, (c) by Swandog46 hxxp://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: file "c:\windows\system32\drivers\okgrglnb.sys" not found! Deletion of file "c:\windows\system32\drivers\okgrglnb.sys" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\okgrglnb" not found! Deletion of driver "okgrglnb" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Completed script processing. ******************* Finished! Terminate. |
nr.8) hab ich nicht verstanden: was soll ich hochladen und verlinken? |
Nr. 8 kannst Du ignorieren, da Avenger nichts löschen konnte. Die Objekte gab es nicht mehr. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
hi, Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4420 Windows 5.1.2600 Service Pack 2 Internet Explorer 6.0.2900.2180 12.08.2010 12:24:04 mbam-log-2010-08-12 (12-24-04).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 128234 Laufzeit: 7 Minute(n), 15 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) SUPERAntiSpyware Scan Log hxxp://www.superantispyware.com Generated 08/12/2010 at 01:45 PM Application Version : 4.41.1000 Core Rules Database Version : 5348 Trace Rules Database Version: 3160 Scan type : Complete Scan Total Scan Time : 01:08:51 Memory items scanned : 479 Memory threats detected : 0 Registry items scanned : 5967 Registry threats detected : 0 File items scanned : 50160 File threats detected : 4 Adware.Tracking Cookie C:\Dokumente und Einstellungen\\Cookies\@atdmt[1].txt C:\Dokumente und Einstellungen\\Cookies\@adtech[1].txt C:\Dokumente und Einstellungen\\Cookies\@tradedoubler[2].txt imagesrv.adition.com [ C:\Dokumente und Einstellungen\\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\UXXV5SW7 ] gruss, diego |
Zitat:
|
sorry, hier der vollscann: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4420 Windows 5.1.2600 Service Pack 2 Internet Explorer 6.0.2900.2180 12.08.2010 17:13:22 mbam-log-2010-08-12 (17-13-22).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 174953 Laufzeit: 41 Minute(n), 40 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\System Volume Information\_restore{886500D7-387A-46E6-8F4F-FB89B3937388}\RP2\A0000347.exe (Trojan.Zapchast) -> Quarantined and deleted successfully. eine frage: in der quarantäne sind doch sachen...sollen die dort bleiben? |
Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde. |
hi, hab ich gemacht. aber hatte ich das nicht schon mal gemacht? kann das sein, dass das wieder rückgangig gemacht wurde, ohne mein dazutun? oder ich spinne ein wenig. so lieber arne, und nu? |
Äh, Du hast das nicht wieder selbst aktiviert? Kann sein das CF das war ;) Da der Rechner noch nicht so richtig sauber war, kamen wieder Schaddateien da rein. Sofern es kein Fehlalarm von AntiVir war :D |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 23:17 Uhr. |
Copyright ©2000-2025, Trojaner-Board