Bekomme Malware nicht los... aktuell wars pdmn2.exe Hallo zusammen, ich hab mir wohl Ende letzen Jahres was Malware mäßiges eingefangen. Meine erste Aktion war mir Malwarebytes runterzuladen und diese doofen Teile zu bekämpfen... Hier mal der letzte Malwarebytes Log von vorgestern sowie den OTL Log... Die älteren Logs mit allen bis jetzt erkannten Trojanern kann ich bei Bedarf gern auch bereitstellen... Hätt nur gerne meine Kiste mal wieder clean.. AntiVir hat mir nie was angezeigt, erst beim Beheben mit Malwarebytes... :( Die Logs habe ich im Anhang dran... Vielen lieben Dank für Eure Hilfe... Claudia |
Zitat:
|
So anbei die Logfiles der letzten Malwarebytes-Prüfung... Bin halt nicht sicher ob wirklich alles weg ist. Hab AntiVir alles Virenscanner den ich jetzt zunächst mal auf Kaspersky ändere... |
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTL Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. |
So, anbei nun das OTL Fix Log... Bin ich das Zeugs jetzt los oder wie? LG Claudia |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Combofix Logfile: Code: ComboFix 11-01-31.02 - Claudia 05.02.2011 14:46:08.1.1 - x86 So hier jetzt mein Logfile von Combofix. |
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
So, heut bin ich jetzt dazugekommen alles auszuführen und hier sind die logs... GMER GMER Logfile: Code: GMER 1.0.15.15530 - hxxp://www.gmer.net OSAM: OSAM Logfile: Code: Report of OSAM: Autorun Manager v5.0.11926.0 If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru[/QUOTE] MBRCheck Zitat:
|
Das MBR-Log ist unvollständig. |
Kanns leider nicht komplett durchlaufen lassen. Wird abgebrochen und Windows gibt mir die Meldung: MBRCheck.exe hat ein Problem festgestellt und muss beendet werden. Un nu? |
Probiers bitte im abgesicherten Modus aus. |
Hallo und Guten Abend, so jetzt hats im abgesicherten Modus geklappt... Anbei mal das Log... LG Claudia |
Zitat:
Hast Du noch andere Betriebssystem außer WinXP drauf? Wenn nicht, also WinXP das einzige installierte System ist: Starte den Rechner neu und wähle im Bootmenü die Wiederherstellungskonsole aus. Tipp dort den Befehl fixmbr ein (dann Enter, mit j bestätigen) danach den Befehl fixboot (dann Enter, mit j bestätigen) Mit exit (dann enter drücken) wird der Rechner neu gestartet. Führe im normalen Windowsmodus MBRCheck nochmals aus und poste das neue Log. |
Also ich wüsste jetzt nicht das Windows 98 drauf sein soll... Komisch... |
So, anbei jetzt mein Log nach dem MBRFix Zitat:
Nun is alles weg und clean? Hatte mir ja zwischenzeitlich Kaspersky draufgespielt. Is das ok, und wie kann ich regelmäßig meine Daten sichern und alles besser schützen? Danke schonmal... LG Claudia |
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
So, anscheinend is doch nicht alles clean, zumindest laut SuperAntiSpy... MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows XP Home Edition Windows Information: Service Pack 3 (build 2600) Logical Drives Mask: 0x0000000c Kernel Drivers (total 71): 0x804D7000 \WINDOWS\system32\ntoskrnl.exe 0x806EF000 \WINDOWS\system32\hal.dll 0xF7CFD000 \WINDOWS\system32\KDCOM.DLL 0xF7C0D000 \WINDOWS\system32\BOOTVID.dll 0xF77AD000 ACPI.sys 0xF7CFF000 \WINDOWS\System32\DRIVERS\WMILIB.SYS 0xF779C000 pci.sys 0xF77FD000 isapnp.sys 0xF780D000 ohci1394.sys 0xF781D000 \WINDOWS\System32\DRIVERS\1394BUS.SYS 0xF7C11000 compbatt.sys 0xF7C15000 \WINDOWS\System32\DRIVERS\BATTC.SYS 0xF7DC5000 pciide.sys 0xF7A7D000 \WINDOWS\System32\DRIVERS\PCIIDEX.SYS 0xF7D01000 intelide.sys 0xF777E000 pcmcia.sys 0xF782D000 MountMgr.sys 0xF775F000 ftdisk.sys 0xF7A85000 PartMgr.sys 0xF783D000 VolSnap.sys 0xF7747000 atapi.sys 0xF784D000 disk.sys 0xF785D000 \WINDOWS\System32\DRIVERS\CLASSPNP.SYS 0xF7727000 fltmgr.sys 0xF7715000 sr.sys 0xF7700000 drvmcdb.sys 0xF786D000 PxHelp20.sys 0xF76E9000 KSecDD.sys 0xF765C000 Ntfs.sys 0xF762F000 NDIS.sys 0xF7C19000 TVALZ.SYS 0xF7615000 Mup.sys 0xF70F3000 kl1.sys 0xF7B65000 \SystemRoot\System32\DRIVERS\usbuhci.sys 0xF7087000 \SystemRoot\System32\DRIVERS\USBPORT.SYS 0xF7B95000 \SystemRoot\System32\DRIVERS\usbehci.sys 0xF789D000 \SystemRoot\System32\DRIVERS\i8042prt.sys 0xF7BB5000 \SystemRoot\System32\DRIVERS\kbdclass.sys 0xF706F000 \SystemRoot\System32\DRIVERS\Apfiltr.sys 0xF7BFD000 \SystemRoot\System32\DRIVERS\mouclass.sys 0xF78BD000 \SystemRoot\System32\DRIVERS\imapi.sys 0xF7D07000 \SystemRoot\system32\drivers\sscdbhk5.sys 0xF78CD000 \SystemRoot\System32\DRIVERS\cdrom.sys 0xF78DD000 \SystemRoot\System32\DRIVERS\redbook.sys 0xF704C000 \SystemRoot\System32\DRIVERS\ks.sys 0xF7AED000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys 0xF78ED000 \SystemRoot\System32\DRIVERS\termdd.sys 0xF7D0D000 \SystemRoot\System32\DRIVERS\swenum.sys 0xF6FEE000 \SystemRoot\System32\DRIVERS\update.sys 0xF7C9D000 \SystemRoot\System32\DRIVERS\mssmbios.sys 0xF78FD000 \SystemRoot\System32\DRIVERS\usbhub.sys 0xF7D11000 \SystemRoot\System32\DRIVERS\USBD.SYS 0xF7D15000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0xF7E1E000 \SystemRoot\System32\Drivers\Null.SYS 0xF7D19000 \SystemRoot\System32\Drivers\Beep.SYS 0xF7BC5000 \SystemRoot\system32\drivers\ssrtln.sys 0xF7BD5000 \SystemRoot\System32\drivers\vga.sys 0xF6FDA000 \SystemRoot\System32\drivers\VIDEOPRT.SYS 0xF7BF5000 \SystemRoot\System32\Drivers\Msfs.SYS 0xF7AA5000 \SystemRoot\System32\Drivers\Npfs.SYS 0xF791D000 \SystemRoot\System32\Drivers\Cdfs.SYS 0xF6F7A000 \SystemRoot\System32\Drivers\dump_atapi.sys 0xF7D25000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS 0xBF800000 \SystemRoot\System32\win32k.sys 0xF70B3000 \SystemRoot\System32\drivers\Dxapi.sys 0xF7B05000 \SystemRoot\System32\watchdog.sys 0xBF000000 \SystemRoot\System32\drivers\dxg.sys 0xF7DCA000 \SystemRoot\System32\drivers\dxgthk.sys 0xBFF70000 \SystemRoot\System32\framebuf.dll 0xBF012000 \SystemRoot\System32\ATMFD.DLL 0x7C910000 \WINDOWS\system32\ntdll.dll Processes (total 13): 0 System Idle Process 4 System 140 C:\WINDOWS\system32\smss.exe 188 csrss.exe 212 C:\WINDOWS\system32\winlogon.exe 264 C:\WINDOWS\system32\services.exe 276 C:\WINDOWS\system32\lsass.exe 440 C:\WINDOWS\system32\svchost.exe 516 svchost.exe 596 C:\WINDOWS\system32\svchost.exe 752 C:\WINDOWS\system32\ZCfgSvc.exe 840 C:\WINDOWS\explorer.exe 1492 C:\Dokumente und Einstellungen\Claudia\Eigene Dateien\Downloads\MBRCheck.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS) PhysicalDrive0 Model Number: WDCWD1200BEVE-00WZT0, Rev: 01.01A01 Size Device Name MBR Status -------------------------------------------- 111 GB \\.\PhysicalDrive0 Windows 98 MBR code detected SHA1: 48F01D7E76A0F3C038D08611E3FDC0EE4EF9FD3E Done! SUPERAntiSpyware Scan Log hxxp://www.superantispyware.com Generated 02/13/2011 at 07:05 PM Application Version : 4.48.1000 Core Rules Database Version : 6387 Trace Rules Database Version: 4199 Scan type : Complete Scan Total Scan Time : 02:34:54 Memory items scanned : 588 Memory threats detected : 0 Registry items scanned : 8455 Registry threats detected : 0 File items scanned : 99178 File threats detected : 5 Adware.Tracking Cookie C:\Dokumente und Einstellungen\Claudia\Cookies\claudia@atdmt[1].txt C:\Dokumente und Einstellungen\Claudia\Cookies\claudia@yadro[1].txt C:\Dokumente und Einstellungen\Claudia\Cookies\claudia@doubleclick[2].txt Trojan.Agent/Gen-FakeSecurity C:\SYSTEM VOLUME INFORMATION\_RESTORE{AD8444DB-4A57-4DB9-A78E-695BBC753172}\RP231\A0036568.EXE Trojan.Agent/Gen-Nullo[Short] C:\SYSTEM VOLUME INFORMATION\_RESTORE{AD8444DB-4A57-4DB9-A78E-695BBC753172}\RP234\A0036845.EXE So, bitte schön...:) |
Ich wollte das Log von Malwarebytes und nicht MBRCheck sehen. SASW hat nur Überreste gefunden. |
Sorry... da hatt ich wohl das falsche erwischt... Hier Malwarebytes.... Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 5749 Windows 5.1.2600 Service Pack 3 Internet Explorer 7.0.5730.13 12.02.2011 22:23:48 mbam-log-2011-02-12 (22-23-47).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 254932 Laufzeit: 1 Stunde(n), 59 Minute(n), 58 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Soll ich denn die Dateien bei SuperAntiSpy löschen oder? |
Ja kannste löschen. Da wurden auch nur Cookies und Überreste gefunden. Rechner wieder ok soweit? |
Ok, dann hoff ich das es das jetzt erstmal war... Rechner arbeitet einwandfrei für das Alter...:) Danke schön Arne für deine Hilfe... !!! Echt ne tolle Arbeit die ihr hier macht... Und ich werd mir wohl am nächsten Wochenende den Rechner von meinen Eltern vornehmen müssen. Da komm ich dann nochmal durch... Dort wurden bei nem Lauf von Malwarebytes 11 infizierte Dateien festgestellt und so en "Computer-Spezie" den sie kennen meinte es wär alles wieder clean wenn man die entfernt... da bin ich mir leider nicht so sicher.... Aber ich weiss ja wo mir geholfen wird... |
Dann wären wir durch! :abklatsch: Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
Alle Zeitangaben in WEZ +1. Es ist jetzt 18:14 Uhr. |
Copyright ©2000-2024, Trojaner-Board