|
Antimalware selbst gelöscht und hier der bericht... hallo leute, ich habe vor kurzem wohl einen antimaleware virus gehabt. ich habe dann die anweisungen auf dieser seite befolgt. ich möchte euch nun 3 berichte schicken. könnt ihr mir bitte sagen, wie es um meinen rechner steht? vielen dank im voruas! diego Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4325 Windows 5.1.2600 Service Pack 2 Internet Explorer 6.0.2900.2180 19.07.2010 02:32:45 mbam-log-2010-07-19 (02-32-45).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 136861 Laufzeit: 12 Minute(n), 43 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) ------------------------ HiJackthis Logfile: Code: Logfile of Trend Micro HijackThis v2.0.4----------------------------- Avira AntiVir Personal Erstellungsdatum der Reportdatei: Montag, 19. Juli 2010 02:54 Es wird nach 2354648 Virenstämmen gesucht. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 2) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : YAZICI-CAD4BD90 Versionsinformationen: BUILD.DAT : 9.0.0.422 21701 Bytes 09.03.2010 10:23:00 AVSCAN.EXE : 9.0.3.10 466689 Bytes 22.11.2009 12:36:02 AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10 LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44 LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 12:36:02 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 12:36:02 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 19:51:46 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 09:06:03 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 14:21:59 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 21:26:01 VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 18:30:33 VBASE007.VDF : 7.10.7.219 2048 Bytes 02.06.2010 18:30:35 VBASE008.VDF : 7.10.7.220 2048 Bytes 02.06.2010 18:30:35 VBASE009.VDF : 7.10.7.221 2048 Bytes 02.06.2010 18:30:35 VBASE010.VDF : 7.10.7.222 2048 Bytes 02.06.2010 18:30:35 VBASE011.VDF : 7.10.7.223 2048 Bytes 02.06.2010 18:30:35 VBASE012.VDF : 7.10.7.224 2048 Bytes 02.06.2010 18:30:36 VBASE013.VDF : 7.10.8.37 270336 Bytes 10.06.2010 17:25:35 VBASE014.VDF : 7.10.8.69 138752 Bytes 14.06.2010 08:29:07 VBASE015.VDF : 7.10.8.102 130560 Bytes 16.06.2010 00:42:41 VBASE016.VDF : 7.10.8.135 152064 Bytes 21.06.2010 09:59:47 VBASE017.VDF : 7.10.8.163 432128 Bytes 23.06.2010 00:10:36 VBASE018.VDF : 7.10.8.194 133632 Bytes 27.06.2010 14:51:58 VBASE019.VDF : 7.10.8.220 134656 Bytes 29.06.2010 15:30:20 VBASE020.VDF : 7.10.8.252 171520 Bytes 04.07.2010 15:30:20 VBASE021.VDF : 7.10.9.19 131072 Bytes 06.07.2010 15:30:23 VBASE022.VDF : 7.10.9.36 297472 Bytes 07.07.2010 15:30:24 VBASE023.VDF : 7.10.9.60 150016 Bytes 11.07.2010 15:30:25 VBASE024.VDF : 7.10.9.79 113152 Bytes 13.07.2010 15:30:25 VBASE025.VDF : 7.10.9.99 158720 Bytes 16.07.2010 13:41:57 VBASE026.VDF : 7.10.9.100 2048 Bytes 16.07.2010 13:41:57 VBASE027.VDF : 7.10.9.101 2048 Bytes 16.07.2010 13:41:57 VBASE028.VDF : 7.10.9.102 2048 Bytes 16.07.2010 13:41:58 VBASE029.VDF : 7.10.9.103 2048 Bytes 16.07.2010 13:41:58 VBASE030.VDF : 7.10.9.104 2048 Bytes 16.07.2010 13:41:58 VBASE031.VDF : 7.10.9.108 67584 Bytes 16.07.2010 13:41:58 Engineversion : 8.2.4.12 AEVDF.DLL : 8.1.2.0 106868 Bytes 25.04.2010 13:08:22 AESCRIPT.DLL : 8.1.3.40 1360250 Bytes 15.07.2010 21:24:22 AESCN.DLL : 8.1.6.1 127347 Bytes 13.05.2010 14:16:49 AESBX.DLL : 8.1.3.1 254324 Bytes 25.04.2010 13:08:23 AERDL.DLL : 8.1.4.6 541043 Bytes 16.04.2010 21:26:35 AEPACK.DLL : 8.2.2.6 430452 Bytes 15.07.2010 21:24:20 AEOFFICE.DLL : 8.1.1.6 201081 Bytes 14.07.2010 15:30:26 AEHEUR.DLL : 8.1.1.38 2724214 Bytes 24.06.2010 00:10:49 AEHELP.DLL : 8.1.11.6 242038 Bytes 24.06.2010 00:10:42 AEGEN.DLL : 8.1.3.14 381299 Bytes 15.07.2010 21:24:18 AEEMU.DLL : 8.1.2.0 393588 Bytes 25.04.2010 13:08:20 AECORE.DLL : 8.1.15.4 192886 Bytes 15.07.2010 21:24:17 AEBB.DLL : 8.1.1.0 53618 Bytes 25.04.2010 13:08:20 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56 AVPREF.DLL : 9.0.3.0 44289 Bytes 08.09.2009 15:25:06 AVREP.DLL : 8.0.0.7 159784 Bytes 18.02.2010 15:18:54 AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04 AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28 NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17 RCTEXT.DLL : 9.0.73.0 87297 Bytes 22.11.2009 12:36:01 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Abweichende Gefahrenkategorien........: +PCK, Beginn des Suchlaufs: Montag, 19. Juli 2010 02:54 Der Suchlauf nach versteckten Objekten wird begonnen. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\utvkx\type [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\utvkx\start [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\utvkx\errorcontrol [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\utvkx\group [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\utvkx\ya8friy8b8 [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\utvkx\ib1exu1mi5 [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\utvkx\omr0j0o3 [INFO] Der Registrierungseintrag ist nicht sichtbar. Es wurden '61283' Objekte überprüft, '7' versteckte Objekte wurden gefunden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hpqgpc01.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hpqbam08.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hpqste08.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NclRSSrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NclUSBSrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ServiceLayer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hpqtra08.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PCSuite.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hpwuSchd2.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SMAgent.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '42' Prozesse mit '42' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '52' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UV2N0TQH\swflash[1].cab [0] Archivtyp: CAB (Microsoft) --> FP_AX_CAB_INSTALLER.exe [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\Dokumente und Einstellungen\oguzhan\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\24\4cca1b58-7af17f99 [0] Archivtyp: ZIP --> myf/y/AppletX.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/OpenStre.ibs.3 --> myf/y/DznegdF.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/OpenStre.ibs.2 --> myf/y/LoaderX.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/OpenStream.ibs C:\System Volume Information\_restore{886500D7-387A-46E6-8F4F-FB89B3937388}\RP336\A0049779.exe [FUND] Ist das Trojanische Pferd TR/Trash.Gen C:\System Volume Information\_restore{886500D7-387A-46E6-8F4F-FB89B3937388}\RP336\A0049780.exe [FUND] Ist das Trojanische Pferd TR/Trash.Gen C:\System Volume Information\_restore{886500D7-387A-46E6-8F4F-FB89B3937388}\RP336\A0049781.exe [FUND] Ist das Trojanische Pferd TR/Trash.Gen C:\System Volume Information\_restore{886500D7-387A-46E6-8F4F-FB89B3937388}\RP336\A0049782.dll [FUND] Ist das Trojanische Pferd TR/Trash.Gen C:\System Volume Information\_restore{886500D7-387A-46E6-8F4F-FB89B3937388}\RP336\A0049783.exe [FUND] Ist das Trojanische Pferd TR/Trash.Gen C:\System Volume Information\_restore{886500D7-387A-46E6-8F4F-FB89B3937388}\RP336\A0049784.dll [FUND] Ist das Trojanische Pferd TR/Trash.Gen C:\System Volume Information\_restore{886500D7-387A-46E6-8F4F-FB89B3937388}\RP336\A0049788.dll [FUND] Ist das Trojanische Pferd TR/Trash.Gen C:\WINDOWS\system32\drivers\utvkx.sys [FUND] Enthält Erkennungsmuster des Rootkits RKIT/Bubnix.EL [WARNUNG] Die Datei konnte nicht geöffnet werden! Beginne mit der Desinfektion: C:\Dokumente und Einstellungen\oguzhan\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\24\4cca1b58-7af17f99 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ca6b062.qua' verschoben! C:\System Volume Information\_restore{886500D7-387A-46E6-8F4F-FB89B3937388}\RP336\A0049779.exe [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c73b02f.qua' verschoben! C:\System Volume Information\_restore{886500D7-387A-46E6-8F4F-FB89B3937388}\RP336\A0049780.exe [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4de3dea8.qua' verschoben! C:\System Volume Information\_restore{886500D7-387A-46E6-8F4F-FB89B3937388}\RP336\A0049781.exe [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49758c38.qua' verschoben! C:\System Volume Information\_restore{886500D7-387A-46E6-8F4F-FB89B3937388}\RP336\A0049782.dll [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4de12648.qua' verschoben! C:\System Volume Information\_restore{886500D7-387A-46E6-8F4F-FB89B3937388}\RP336\A0049783.exe [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4deeede8.qua' verschoben! C:\System Volume Information\_restore{886500D7-387A-46E6-8F4F-FB89B3937388}\RP336\A0049784.dll [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49768470.qua' verschoben! C:\System Volume Information\_restore{886500D7-387A-46E6-8F4F-FB89B3937388}\RP336\A0049788.dll [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49779c48.qua' verschoben! C:\WINDOWS\system32\drivers\utvkx.sys [FUND] Enthält Erkennungsmuster des Rootkits RKIT/Bubnix.EL [WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004 [WARNUNG] Die Quelldatei konnte nicht gefunden werden. [HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen. [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cb9b074.qua' verschoben! Ende des Suchlaufs: Montag, 19. Juli 2010 03:53 Benötigte Zeit: 58:06 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 6881 Verzeichnisse wurden überprüft 503290 Dateien wurden geprüft 11 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 9 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 503277 Dateien ohne Befall 4952 Archive wurden durchsucht 4 Warnungen 10 Hinweise 61283 Objekte wurden beim Rootkitscan durchsucht 7 Versteckte Objekte wurden gefunden ENDE |
Zitat:
Poste alle Logs auch alle schon vorher erstellten. |
hi arne, vielen dank schonmal für deine erste antwort. ich habs nun aktualisiert: hijack hab ich auch nochmal durchlaufen lassen... gruss, diego Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4357 Windows 5.1.2600 Service Pack 2 Internet Explorer 6.0.2900.2180 27.07.2010 19:04:09 mbam-log-2010-07-27 (19-04-09).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 137863 Laufzeit: 14 Minute(n), 10 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\drivers\utvkx.sys (Rootkit.Bubnix) -> Delete on reboot. ------------- HiJackthis Logfile: Code: Logfile of Trend Micro HijackThis v2.0.4 |
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus. Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen. Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt. |
hallo arne, in der tat ist GMER immer abgestürtzt daher nur OSAM: ich habe aber probleme mit dem bootkit_remover...ich habe deine anweisung befolgt und es erschien das schwarze kästchen, aber ich konnte irgendwie die infos in dem schwarzen kästchen nicht kopiert;(( gruss, diego OSAM Logfile: Code: Report of OSAM: Autorun Manager v5.0.11926.0If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru |
Zitat:
|
hallo arne, ich hab deine anweisung befolgt. aber irgendwie komm ich nach dem neustart nicht mehr weiter. ich bekomme keinen Report angezeigt??? |
Dann mach doch einfach einen neuen Durchlauf mit OSAM... |
hallo. hier nochmal der bericht: OSAM Logfile: Code: Report of OSAM: Autorun Manager v5.0.11926.0If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru dann gibt mir antivir ständig diese meldung: In der Datei 'C:\System Volume Information\_restore{886500D7-387A-46E6-8F4F-FB89B3937388}\RP337\A0049847.sys' wurde ein Virus oder unerwünschtes Programm 'TR/Patched.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern anscheinend ist also noch was da!° |
Zitat:
Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde. Danach OTL: Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
|
........... |
hi arne: OTL Logfile: Code: OTL logfile created on: 10.08.2010 15:16:28 - Run 1OTL Logfile: Code: OTL Extras logfile created on: 10.08.2010 15:16:28 - Run 1danke! |
hi arne, OTL Logfile: Code: OTL logfile created on: 10.08.2010 15:16:28 - Run 1OTL Logfile: Code: OTL Extras logfile created on: 10.08.2010 15:16:28 - Run 1danke! |
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. |
hi hier das file: All processes killed ========== OTL ========== HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Search Page| /E : value set successfully! HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully! Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\{C94E154B-1459-4A47-966B-4B843BEFC7DB} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C94E154B-1459-4A47-966B-4B843BEFC7DB}\ deleted successfully. C:\Programme\AskSearch\bin\DefaultSearch.dll moved successfully. HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully! HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyOverride| /E : value set successfully! HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer| /E : value set successfully! C:\Dokumente und Einstellungen\ \Lokale Einstellungen\Anwendungsdaten\jmvfcrkfh folder moved successfully. C:\Dokumente und Einstellungen\ \Anwendungsdaten\FC5CBA364811CA44D54A891FD7F467D4 folder moved successfully. File C:\Dokumente und Einstellungen\\Ÿ;Ÿ; not found. C:\zrpt.xml moved successfully. ========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: LocalService ->Temp folder emptied: 65984 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 6190728 bytes User: oguzhan ->Temp folder emptied: 1535996583 bytes ->Temporary Internet Files folder emptied: 64643240 bytes ->Java cache emptied: 82015403 bytes ->FireFox cache emptied: 99793315 bytes ->Flash cache emptied: 104375 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 2114764 bytes %systemroot%\System32 .tmp files removed: 2951 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 14945665 bytes RecycleBin emptied: 7721122 bytes Total Files Cleaned = 1.730,00 mb OTL by OldTimer - Version 3.2.9.1 log created on 08112010_114537 Files\Folders moved on Reboot... Registry entries deleted on Reboot... ich hoffe, dass ich auf den richtigen button gedrückt hab;) bei mir stand nämlich kein "Run Fixes" sondern nur fix. noch eine andere sache, wie lange soll ich die systemwiederhestellung deaktiviert lassen? gruss diego |
Zitat:
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
hi arne, Combofix Logfile: Code: ComboFix 10-08-10.06 - 11.08.2010 13:13:48.1.1 - x86danke, gruss diego |
Ach Du shice, wieviele Dateien waren denn da infiziert? :eek: Hattest Du zufällig mal eine Infektion wie Virut oder Sality? :balla: Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code: File::4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. http://users.pandora.be/bluepatchy/m...s/CFScript.gif 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann! |
moin, keine ahnung ob ich mal einen Virut oder Sality hatte. weiß nicht mal, was das ist. :crazy: ich hatte aber schon 1-2 einen virus, dachte immer das es ein trojaner wäre. einmal hat ein freund meinen laptop auch schon komplett platt gemacht und windows neu raufgespielt... ............ ich habe leider probleme mit der ausführung: wenn ich deine anweisung befolge, bloppt nach "Ausführen" dieses kleine fester auf: "geben sie den namen eines programmes, ordners..." darin kann ich aber nix kopieren? oder meinst du unter zubehör "Eingabeaufforderung". aber auch da, kann ich nix reinkopieren. hilfe bitte:) gruss diego |
ich muss mich korrigieren! File:: wird schon reinkopiert, also der anfang. ich sehe aber den rest nicht. ist das normal? |
Dann lass das mit CF, wir machen das mit dem Avenger: 1.) Lade Dir von hier Avenger: Swandog46's Public Anti-Malware Tools (Download, linksseitig) 2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen: http://mitglied.lycos.de/efunction/tb123/avenger.png 3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code: Files to delete:5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. 8.) Die Datei c:\avenger\backup.zip bei File-Upload.net hochladen und hier verlinken |
moin, Logfile of The Avenger Version 2.0, (c) by Swandog46 hxxp://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: file "c:\windows\system32\drivers\okgrglnb.sys" not found! Deletion of file "c:\windows\system32\drivers\okgrglnb.sys" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\okgrglnb" not found! Deletion of driver "okgrglnb" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Completed script processing. ******************* Finished! Terminate. |
nr.8) hab ich nicht verstanden: was soll ich hochladen und verlinken? |
Nr. 8 kannst Du ignorieren, da Avenger nichts löschen konnte. Die Objekte gab es nicht mehr. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
hi, Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4420 Windows 5.1.2600 Service Pack 2 Internet Explorer 6.0.2900.2180 12.08.2010 12:24:04 mbam-log-2010-08-12 (12-24-04).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 128234 Laufzeit: 7 Minute(n), 15 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) SUPERAntiSpyware Scan Log hxxp://www.superantispyware.com Generated 08/12/2010 at 01:45 PM Application Version : 4.41.1000 Core Rules Database Version : 5348 Trace Rules Database Version: 3160 Scan type : Complete Scan Total Scan Time : 01:08:51 Memory items scanned : 479 Memory threats detected : 0 Registry items scanned : 5967 Registry threats detected : 0 File items scanned : 50160 File threats detected : 4 Adware.Tracking Cookie C:\Dokumente und Einstellungen\\Cookies\@atdmt[1].txt C:\Dokumente und Einstellungen\\Cookies\@adtech[1].txt C:\Dokumente und Einstellungen\\Cookies\@tradedoubler[2].txt imagesrv.adition.com [ C:\Dokumente und Einstellungen\\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\UXXV5SW7 ] gruss, diego |
Zitat:
|
sorry, hier der vollscann: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4420 Windows 5.1.2600 Service Pack 2 Internet Explorer 6.0.2900.2180 12.08.2010 17:13:22 mbam-log-2010-08-12 (17-13-22).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 174953 Laufzeit: 41 Minute(n), 40 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\System Volume Information\_restore{886500D7-387A-46E6-8F4F-FB89B3937388}\RP2\A0000347.exe (Trojan.Zapchast) -> Quarantined and deleted successfully. eine frage: in der quarantäne sind doch sachen...sollen die dort bleiben? |
Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde. |
hi, hab ich gemacht. aber hatte ich das nicht schon mal gemacht? kann das sein, dass das wieder rückgangig gemacht wurde, ohne mein dazutun? oder ich spinne ein wenig. so lieber arne, und nu? |
Äh, Du hast das nicht wieder selbst aktiviert? Kann sein das CF das war ;) Da der Rechner noch nicht so richtig sauber war, kamen wieder Schaddateien da rein. Sofern es kein Fehlalarm von AntiVir war :D |
was ist denn jetzt der letzte stand, bin ich jetzt clean oder nicht? muss ich noch was tun? |
Doch der Rechner ist sauber :) Nur als wir noch nicht ganz fertig waren kam durch CF einige schädliche Dateien in die SWH rein. Sind noch Probleme offen? Kamen in der Zwischenzeit noch andere Funde? |
das hört sich doch erstmal super an:daumenhoc wie kann ich denn jetzt abschließend schauen, ob dies tatsächlich auch der letzte stand ist. die swh ist deaktiviert. würdest du mir empfehlen, es auch so zu lassen? noch eine sache: in der quarantäne von superantispyware sind noch 3 sachen. cookies mit der endung...@adtech[1].txt / ...@atdmt[1].txt / und @tradedoubler.[2]txt hat das was zu sagen, soll ich clear all machen? gruss, diego |
Zitat:
Zitat:
Zitat:
Bitte noch die Updates prüfen, unten mein Leitfaden dazu. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
moin, hab soweit alles aktualisiert. aber irgendwie finde ich unter software adobe rader nicht:rolleyes: kann das sein? das einzige was so ähnlich klingt ist "adobe flash player 10 plug in" |
Zitat:
Edit: Ja hast Du :D Zitat:
|
:singsing: vielen vielen dank für deine hilfe!!! ich werde mich jetzt noch vorsichtiger im netz bewegen, hoffe ich:rolleyes: also nochmal vielen dank und ich hoffe, dass ich so schnell nicht nochmal auf diese seite muss. auch wenn ich weiß, dass hier profis am arbeiten sind... beste grüße diego |
Halte Dich am besten grob an diese fünf Regeln: 1) Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!! 2) Halte Windows und alle verwendeten Programme immer aktuell 3) Führe regelmäßig Backups auf externe Medien durch 4) Arbeite mit eingeschränkten Rechten 5) Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar? |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:10 Uhr. |
Copyright ©2000-2025, Trojaner-Board