|
Trojaner TR/Dropper.Gen eingefangen und erfolgreich gelöscht? Antivir hat in letzter Zeit bei mir häufiger wegen oben genanntem Trojaner gemeckert. Außerdem gabs paar Bluescreens und weiteres Merkwürdiges Verhalten (konnte keine Links mehr ohne Fehlermeldung anklicken, Windowsupdate geht nciht mehr, irgendein dubioses Java-Programm sollte manchmal geöffnet werden (durch kappen der Internetverbindung gabs immer ne fehlermeldung beim Starten), Post im Trojaner-Board geht nicht...) Daraufhin hab ich mich hier mal verscht schlau zu machen, wobei in den Threads zu diesem Trojaner meist sehr spezielles stand. Daraufhin bin ich mal den Anweisungen der load.exe gefolgt. (Ausnahme: Malwarebytes' AM hab ich mehrfach davor ausgeführt und auch die jeweiligen Funde in Quarantäne gesetzt.) Die logs sind gezippt im Anhang. Es wäre schön, wenn ihr mir sagen könntet, ob ich den Trojaner los bin oder ich noch mehr zur Entfernung machen muss. Vielen Dank schonmal! |
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. |
Danke schonmal für die Hilfe! Ich habe die Aktion durchgeführt. Allerdings glaube ich nciht, dass es hilft: Dokan gehört zur Software von wuala (ähnlich wie dropbox), von dem ich bis jetzt ncoh nichts negatives gehört habe. Zitat:
Zitat:
|
Ich brauch den Quarantäneordner von OTL. Bitte folgendes machen: 1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf da nicht rummurksen! 2.) Ordner C:\_OTL in eine Datei zippen 3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html 4.) Wenns erfolgreich war Bescheid sagen 5.) Erst dann wieder den Virenscanner einschalten |
Habs da hochgeladen |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Mhh, er hat ein Bootkit gefunden und entfernt... Hoffe das das alles war. WindowsUpdate geht zumindest wieder... Hier der log von combofix: Combofix Logfile: Code: ComboFix 10-10-07.01 - ich 07.10.2010 21:43:35.1.2 - x86 |
Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code: Folder::4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. http://users.pandora.be/bluepatchy/m...s/CFScript.gif 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann! |
Vielen Dank auf jeden Fall schonmal für die Hilfe! so hier der nächste log (ich hoffe das wars dann endlich und mein PC ist wieder rein): Combofix Logfile: Code: ComboFix 10-10-08.01 - ich 09.10.2010 10:53:11.2.2 - x86 |
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
Da der Download von OSAM momentan nicht geht (ist offline), hab ich mla nur GMER und MBR-Check ausgeführt. Morgen probeir ich nochmal, ob ich OSAM runterladen kann. Hier der log von MBRCheck (der log von GMER brauche ich nicht zu posten?: Zitat:
|
Der MBR ist ok. OSAM hab ich mal vor einiger Zeit bei file-upload hochgeladen => File-Upload.net - osam.zip (für den Fall, dass der Herstellerlink tot ist) |
OSAM konnte sich nicht zur online-Datenbank verbinden. Den log hab ich hier hochgeladen: www.poolimate.de\osam.html Den GMER-log gibts hier: GMER Logfile: Code: GMER 1.0.15.15281 - hxxp://www.gmer.netIch hoffe das scheint dann alles OK so und ich kann ein DICKES :dankeschoen: sagen. |
An das Osam Log komm ich so nicht ran. Poste es bitte hier im Anhang oder im Beitragtext. Das Log solltest Du eigentlich auch als .txt und nicht .html abspeichern! |
Sorry. Ich hatte nicht gesehen, dass es da noch andere Optionen zum Speichern gab. Hier der log: OSAM Logfile: Code: Report of OSAM: Autorun Manager v5.0.11926.0If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru[/QUOTE] |
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
Außer Tracking-Cookies und einer ziemlcih sicheren Falschmeldung gabs keine Meldungen. Die vermutliche Falschmeldung ist ein geläufiges CMD-Freeware-Programm zur Auswertung von Röntgendiffraktogrammen, das man hier im Original runterladen kann: hxxp://www.ccp14.ac.uk/tutorial/xfit-95/getxfit.htm und das auch in der zip-Datei eines Neudownloads wird die Datei als Trojan.Agent erkannt. Hab das mal als Falschmeldung eingeschickt. Hier das log von Malware: Zitat:
Zitat:
|
Zitat:
|
ui. Ich sollte anscheinend spät abends genauer lesen... Hier der neue log, auch kein Fund: Zitat:
|
Sieht soweit ok. Die Cookies kann man ignorieren. Zitat:
|
Zitat:
Bei Defogger kann ich wieder auf re-enable klicken? (kA, was das genau macht) Vielen dank dann nochmal für die Hilfe! |
Zitat:
Zitat:
Sonst noch Probleme oder weitere Funde in der Zwischenzeit? |
Sonst keine Funde/Vorkommnisse*. Scheint also alles wieder rein zu sein. ein GROßES DANKESCHÖN dafür. *: Einzige Ausnahme: bei den Scans von Malwarebytes war Antivir nicht deaktiviert und hat gemeckert als Malwarbytes die in Quarantäne verschobene Datei des Rootkits gescannt hat. (Also die im Ordner c:\Qoobox\Quarantine\... |
Zitat:
Anonsten müssten wir durch sein! :abklatsch: Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 23:28 Uhr. |
Copyright ©2000-2025, Trojaner-Board