|
System tool 2011 zunächst bekämpft - aber wie gehts weiter? Hallo, hoffentlich könnt ihr mir helfen.... ich habe am Donnerstag beim Surfen die Malware System tool 2011 auf den Rechner bekommen. Nach den üblichen Symptomen - vorgegebener Systemscan, lästige Popup-Fenster mit Sicherweitswarnungen, Programme liessen sich nicht mehr öffnen, blauer Desktop mit roter Sicherweitswarnung - wurde windows dann automatisch heruntergefahren. :eek: Habe bisher folgendes unternommen: - Neustart im abgesicherten Modus, dann Systemwiederherstellung vier Tage zurück - Neustart im normalen Modus. Desktop war wieder normal, Icon "System Tool 2011" war auf Desktop verschwunden, im Startmenü war unter Programme nichts mehr von System Tool gelistet, Rechner lief normal, Programme liessen sich öffnen:zunge: - da eine Systemwiederherstellung den Schädling an sich nicht entfernt, habe ich Malwarebytes Antimalware heruntergeladen, installiert, Datenbank manuell aktualisiert und laufen lassen - Log-Dateien siehe Anhang - dann OTL von Oldtimer heruntergeladen und ebenfalls laufen lassen, log-Dateien siehe Anhang. Kann ich davon ausgehen, dass das System wieder clean ist oder sind weitere Schritte notwendig bzw. empfehlenswert? Ich habe nicht sehr viel Ahnung von PCs und bin auch neu hier im Forum! Bitte daher zu entschuldigen, falls ich mal was unklar formuliere oder sonst was falsch mache... Herzlichen Dank schon mal im voraus für eure Mühe! Tom2 |
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. |
Hallo Arne, danke für die Antwort. Habe Log-file wie angegeben erstellen lassen - siehe unten. Konnte die Datei nicht als Anhang hochladen, es kam Fehlermeldung: Ungültige Datei. Ich hoffe, du kannst auch so was damit anfangen. Gruß Tom2 All processes killed ========== OTL ========== Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3442847a-5b93-11db-ad7b-00040ec9363d}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3442847a-5b93-11db-ad7b-00040ec9363d}\ not found. File travel&work.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3442847a-5b93-11db-ad7b-00040ec9363d}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3442847a-5b93-11db-ad7b-00040ec9363d}\ not found. File travel&work.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{69b12162-53c7-11db-ad69-003005550b25}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{69b12162-53c7-11db-ad69-003005550b25}\ not found. File F:\Autorun.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{99c362fe-db8f-11de-b068-003005550b25}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{99c362fe-db8f-11de-b068-003005550b25}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{99c362fe-db8f-11de-b068-003005550b25}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{99c362fe-db8f-11de-b068-003005550b25}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{99c362fe-db8f-11de-b068-003005550b25}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{99c362fe-db8f-11de-b068-003005550b25}\ not found. File F:\setup_vmc_lite.exe /checkApplicationPresence not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a6044360-774c-11dd-af44-003005550b25}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a6044360-774c-11dd-af44-003005550b25}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a6044360-774c-11dd-af44-003005550b25}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a6044360-774c-11dd-af44-003005550b25}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a6044360-774c-11dd-af44-003005550b25}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a6044360-774c-11dd-af44-003005550b25}\ not found. File F:\LaunchU3.exe -a not found. Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dMbDaLi07633\ not found. C:\fsqwr.bmp moved successfully. ========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: Administrator ->Temporary Internet Files folder emptied: 205592 bytes ->Flash cache emptied: 41 bytes User: Administrator.SIMONSPC ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Flash cache emptied: 41 bytes User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Flash cache emptied: 41 bytes User: LocalService ->Temp folder emptied: 66016 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 1865840 bytes User: Simon ->Temp folder emptied: 298737 bytes ->Temporary Internet Files folder emptied: 24099676 bytes ->Java cache emptied: 8783320 bytes ->FireFox cache emptied: 55431496 bytes ->Flash cache emptied: 112991 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 1139136 bytes %systemroot%\System32 .tmp files removed: 4008327 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 119818379 bytes RecycleBin emptied: 28027560 bytes Total Files Cleaned = 233,00 mb OTL by OldTimer - Version 3.2.20.6 log created on 01312011_165609 Files\Folders moved on Reboot... Registry entries deleted on Reboot... |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
ok, anbei die log-Datei von ComboFix: Combofix Logfile: Code: ComboFix 11-01-31.01 - Simon 31.01.2011 20:27:47.1.1 - x86Viele Grüße Tom2:crazy: |
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
so, anbei die log-files von OSAM (unten) und MBRCheck (Anhang). GMER wurde wie angegeben als erstes ausgeführt und lief zwar stabil, hat aber allem Anschein nach keine log-Datei erstellt. Nach dem Scan kam eine Meldung (sinngemäß), dass keine Rootkits/ Malware gefunden wurde. Das Fenster unter dem Menüpunkt Rootkit/ Malware war leer. Anschließend ging ich auf COPY, wobei sich in der Zwischenablage nichts befand. Ich hoffe, das ist so ok. Gruß Tom2 OSAM Logfile: Code: Report of OSAM: Autorun Manager v5.0.11926.0If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru |
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! Zitat:
|
sorry - das hat eine Weile gedauert, bis ich dazu kam, die Scans auszuführen. Im Anhang bzw. unten die beiden Logs. Superantispyware hat über 7 Stunden gescannt - ganz schön lange. Vielen Dank für deine hilfreichen Anleitungen - das hätte ich alleine so nicht hinbekommen. Zu SP 3 und IE 8: Da mein Rechner nicht der schnellste ist, hatte ich die automatische Update-Funktion vom Sicherheitscenter deaktiviert - was man wohl nicht tun sollte ;) Jetzt ist sie wieder an. Allerdings konnte nun SP3 nicht vollständig installiert werden - irgendwann kam die Nachricht, dass der Zugriff verweigert wurde - auf was, war nicht zu lesen. Der Installationsvorgang wurde zwar zu Ende geführt, aber es wurde angeblich nicht alles installiert. Ein weiteres Update - Sicherheitsupdate (ich glaube mit der Bezeichnung XML 6.0 service) für SP 2 ist ebenfalls fehlgeschlagen. Vielleicht gehört das in ein neues Thema, aber wenn ich schon dabei bin, noch eine abschließende Frage: Der Ordner Temporary Internet Files ist bei mir als "Versteckt" gekennzeichnet - allerdings in grauer Schrift, so dass ich den Haken nicht herausnehmen kann. Der Ordner enthält Dateien, was unter "Eigenschaften" mitgeteilt wird - die Dateien sind aber im Explorer nicht sichtbar. Ich weiß nicht, wie ich die Einstellung ändern kann. Ich bin mir sicher, dass die Dateien vor der Attacke von System tool sichtbar waren - könnte das mit dem Malware-Befall zusammenhängen und wenn ja, wie kann ich das wieder ändern? Wäre die sehr dankbar, wenn du dazu noch was schreiben könntest. Gruß und nochmals Danke Tom2 SUPERAntiSpyware Scann-Protokoll hxxp://www.superantispyware.com Generiert 02/12/2011 bei 07:04 AM Version der Applikation : 4.48.1000 Version der Kern-Datenbank : 6348 Version der Spur-Datenbank : 4160 Scan Art : kompletter Scann Totale Scann-Zeit : 07:30:26 Gescannte Speicherelemente : 469 Erfasste Speicher-Bedrohungen : 0 Gescannte Register-Elemente : 6542 Erfasste Register-Bedrohungen : 0 Gescannte Datei-Elemente : 81911 Erfasste Datei-Elemente : 0 |
Versuchs mal mit dem kompletten Paket des SP3 => http://www.microsoft.com/downloads/d...displaylang=de |
danke für den Tip - leider trat dieselbe Fehlermeldung ("kein Zugriff") auf, so dass SP 3 nicht installiert wurde. |
Erstell dir mal ein neues Benutzerkonto mit Adminrechten über die Systemsteuerung und log dich damit ein. Versuch das SP3 darüber zu installieren. |
hab ich gemacht - leider das selbe Problem mit dem neuen Benutzerkonto. Hättest du zu der anderen Sache (keine Anzeige der Temp Internet files) noch eine Idee? Danke vorab. Gruß Tom2 |
Vllt hilft das hier => >> Windows XP SP3 - Zugriff verweigert Meldung - Der FIX! - Joomla-Blog.net Insider |
Danke - evt. werde ich das noch ausprobieren, aber da die Installation wohl doch etwas aufwendiger wird, verschiebe ich das noch mal. Jedenfalls scheint das "Zugriff-verweigert"-Problem mit der Registry zusammenzuhängen, ebenso auch das Ausblenden der Dateien im Temp-Internet-Files-Ordner. Mein Rechner ist alt und nicht der schnellste - deshalb denke ich ohnehin seit einiger Zeit über eine Neuanschaffung nach. Für die Hilfe mit dem Trojaner und den anderen Problemchens nochmals vielen Dank.:dankeschoen: Gruß Tom2 |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 11:50 Uhr. |
Copyright ©2000-2025, Trojaner-Board