|
Virus vom Typ "Antivirus", hänge fest. hosts Zugriff geblockt. Hallo! Ich schreibe hier, da ich beim aktuellen Fall nicht weiter weiß. Hier steht ein Notebook eines Bekannten, welches mit dem "Antivirus" Virus verseucht ist. Vorgegangen bin ich nach der Anleitung im Board http://www.trojaner-board.de/82597-s...entfernen.html 1. rkill beendete die Prozesse 2. Komplettscan Malwarebytes. Hier brauchte es einen Neustart zum Endgültigen Entfernen. Ergebnis war, dass einige Symbole weg waren, aber grundsätzlich wie vorher. 3. Hosts Expert kein Zugriff, da Hosts gesperrt. 4. Hab das gute bewährte (bei mir) Spybot Search and Destroy installiert. Hier wurde gefunden und gelöscht - Fraud.Antivirus - Win32.FraudLoad.pc - Win32.FraudLoad.ss Gefunden aber nicht gelöscht konnte - Fraud.WindowsProtectionSuite - Microsoft.Windows.RedirectedHosts Eine Immunisierung funktionierte vorher wie nachher nicht. Avira Antivir war installiert aber tauchte nicht als Aktiv auf. Danach kam noch der CC Cleaner und danach RSIT. Auch im Anschluss weiter Hosts gesperrt. Achso ein Erneuter Komplettscan mit Malwarebytes brachte keine Vorkomnisse mehr. Wie soll ich nun in diesem Fall weiter vorgehen? Hab den Rechner jetzt immer noch in diesem Status laufen lassen. Bisher keine Meldung von dem Virus, allerdings sitzt er ja noch im System und würde nach einem Neustart wieder kommen. Ich bitte um schnelle Hilfe, denn ich möchte das Notebook baldigst wieder geheilt zurückbringem und mehrere Tage Dauer-An ist auch nicht soo pralle. Vielen Dank im Voraus an Alle! Anbei das rsit log. |
wo ist das malwarebytes log mit den funden? spybot wieder deinstalieren, das taugt meist sowieso nicht viel. ootl: Systemscan mit OTL download otl: http://filepony.de/download-otl/ Doppelklick auf die OTL.exe (user von Windows 7 und Vista: Rechtsklick als Administrator ausführen) 1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output 2. Hake an "scan all users" 3. Unter "Extra Registry wähle: "Use Safelist" "LOP Check" "Purity Check" 4. Kopiere in die Textbox: netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL explorer.exe iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT 5. Klicke "Scan" 6. 2 reporte werden erstellt: OTL.Txt Extras.Txt beide posten |
Hallo und danke für die erste Hilfe! Der Log von Malwarebytes sollte noch dem ersten Durchlauf entsprechen. Hab soeben OTL mit den geforderten Einstellungen und Benutzerdefinierten Begriffen laufen lassen. Es öffnete sich aber lediglich die OTL.txt. Eine Status.txt ist weder offen noch minimiert da. Hab ich etwas falsch eingestellt? Anbei die Logs. Das Malwarebytes-log ist geteilt aufgrund der Dateigröße Grüße |
hi, otl reicht erst mal. deinstaliere spybot, es stört die reinigung, ich persönlich würds auch nicht mehr instalieren. ist nicht sonderlich nützlich. • Starte bitte die OTL.exe. • Kopiere nun das Folgende in die Textbox. :OTL SRV - (HidServ) -- C:\WINDOWS\System32\hidserv.dll File not found SRV - (AppMgmt) -- C:\WINDOWS\System32\appmgmts.dll File not found O4 - HKU\S-1-5-21-343818398-152049171-839522115-1004..\Run: [Kpowiliyojoqo] C:\WINDOWS\mdrchap.DLL () O4 - HKU\S-1-5-21-343818398-152049171-839522115-1004..\Run: [Smart Security] File not found [2010.10.04 17:17:50 | 000,000,000 | ---- | M] () -- C:\WINDOWS\Truzagabobitu.bin [2010.09.29 00:36:38 | 000,000,120 | ---- | M] () -- C:\WINDOWS\Blayahasafo.dat :FILES :Commands [purity] [EMPTYFLASH] [resethosts] [emptytemp] [Reboot] • Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument dieses posten öffne den arbeitsplatz, c: dort rechtsklick auf _OTL und zu _OTL.rar oder zip hinzufügen. lade dieses archiv hoch: dateiupload: http://www.trojaner-board.de/54791-a...ner-board.html |
Log anbei. Neustart ohne den Antivirus Mist. Nur die Fehlermeldung "Fehler beim Laden von C:\WINDOWS\mdrchap.dll" Ob dies mit der Reinigung zu tun hat kann ich nicht sicher sagen. _OTL hochgeladen. MfG |
bitte keine eile :-) bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
Nach Installation und herunterladen der Wiederherstellungskonsole startete der Scan. Leider wurde dieser nach kurzem Suchen mit folgender Meldung unterbrochen: "Combofix hat die Anwesenheit von Rootkitaktivitäten festgestellt und muss nun den PC neustarten" Nach Auto-Reboot werkelte das Programm fröhlich los. Nochmal Auto-Reboot -Logdatei und die Fehlermeldung. Wie dem auch sei, fertiges Log im Anhang. Bin ja echt begeistert von der Hilfe und den vielen pfiffigen Tools hier. |
start programme zubehör editor, kopiere rein. Killall:: Rootkit:: c:\windows\usikekibehav.dll Folder:: c:\dokumente und einstellungen\All Users\Anwendungsdaten\SMJSSOS datei speichern unter, typ alle dateien, ort, dort wo sich combofix.exe befindet. name cfscript.txt ziehe cfscript auf combofix, programm startet, log posten. öffne nun den arbeitsplatz, dort c: dort rechtsklick auf qoobox, zu qoobox.rar oder zip hinzufügen und das archiv in unserem upload channel hochladen. dateiupload: http://www.trojaner-board.de/54791-a...ner-board.html download malwarebytes: Malwarebytes instalieren, öffnen, registerkarte aktualisierung, programm updaten. schalte alle laufenden programme ab, trenne die internetverbindung. registerkarte scanner, komplett scan, funde entfernen, log posten. |
Liste der Anhänge anzeigen (Anzahl: 1) Hallo! Anbei die Logs. Combofix wurde hochgeladen wie gehabt. Übrigens hab ich seit dem vorletztens Step beim Start immer für eine Sekunde ein Betriebssystemauswahlmenü. Irgendwas mit Debug oder so steht da noch dabei. Lädt aber sofort das normale System. MWB hatte nach dem entfernen nun wieder einen Neustart gefordert. Was gibt es als nächstes zu tun? Werde mich mal ausklinken, bis morgen und nochmals danke! |
bitte nutze den ccleaner, dateien + registry bereinigen. http://www.trojaner-board.de/51464-a...-ccleaner.html das menü am anfang entfernen wir zum schluss. 1. taucht die fehlermeldung noch auf? 2. wie läuft der pc |
CC Cleaner hat erfolgreich gesäubert und in der Registry 22 Fehler behoben. Es tauchten auch keine neuen auf. Nach einem Neustart erscheint keine Fehlermeldung und der PC macht einen richtig guten und flotten Eindruck. |
ok öffne jetzt den ccleaner. extras, liste der instalierten programme. diese speicherst du als txt diese txt öffnest du, hinter notwendige programme schreibe notwendig, hinter nicht benötigte unnötig und hinter unbekannte, unbekannt. diese liste posten. |
Anbei die Datei. Im Zweifelsfall eher mehr unnötige Pampe weg. |
ok los gehts. Adobe Reader 8.1.2 deinstalieren und ersetzen durch: Adobe - Adobe Reader herunterladen - Alle Versionen öffne dann den reader, bearbeiten, voreinstellungen, javascript, dort den haken raus, internet, ebenfalls alle haken raus. so werden keine pdfs mehr automatisch geladen und es kann dir kein schadcode mehr auf diese weise untergeschoben werden. bitte noch unnötige plugins verschieben: http://computer.t-online.de/adobe-re...15363164/index behalte aber: EScript.api Escript.deu Search.api Search.DEU deinstaliere: Ad-Aware SE Personal Lavasoft Adobe AIR Bonjour wird von den meisten nicht benötigt und wird von apple ungefragt mit instaliert. DivX zeug weg, vlc is gut :-) Google Toolbar Java(TM) 6 Update 17 updaten: Download der kostenlosen Java-Software weiter mit deinstalationen: Launch Manager Media Library Management Wizard Movie Maker kannst ja mal nachfragen und wenn ers weg haben will, dann runter damit PowerProducer wird zum dvd erstellen gebraucht, falls nicht benötigt, weg Vodafone Mobile Connect das ganze bonus zeug für den media player kann im prinzip weg. wir solltem dem mal nen antiviren programm spendieren. wie läuft der pc jetzt nach den instalationen? |
Liste der Anhänge anzeigen (Anzahl: 3) So, also nachdem ich einigen Mist deinstalliert habe, hab ich einen frischen avira antivir aufgesetzt und versucht adobe und java zu installieren. Leider hat dies aus irgendwelchen Gründen nicht geklappt. Nach ner guten halben Stunde immer noch kein Fortschritt. An nem andren PC im gleichen Netzwerk (nur eine Buchse nebendran ;-) ) klappts - kann also nicht am Router liegen. Ja danach hab ich erst mal händig ein windowsupdate angewiesen und ca 80 Updates installieren lassen. Da dies einige Zeit beansprucht hat, bin ich zwischendurch weg gewesen (Laptop war am Netz) Nach meiner Rückkehr waren die Updates installiert, aber avira heulte los wegen einem Rootkit.Gen.3 siehe Screenshots im Anhang. Meinem Anschein nach lief der Rechner wieder wunderbar und sauber. Hatte eben nur av installiert, da ich ins netz musste. Was machen wir nun? :-( |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:03 Uhr. |
Copyright ©2000-2025, Trojaner-Board