|
Und ich hab Super-Reflexe, bin in der Widerherstellungskonsole drin.:applaus: Wen du das ok gibst, starte ich die beiden Programme Gruss Bernd |
Ja, ich geb grünes Licht. BTW, die Anzeigedauer des menüs kannst du am einfachsten in der c:\boot.ini ändern. |
Ok, neuer MBR ist erzeugt und MBRCheck ist problemlos durchgelaufen. Hier das LOG-File: Code: MBRCheck, version 1.2.3Bernd |
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
So, die Scans sind durchgelaufen und haben noch reichlich Treffer gelandet, allerdings nur bei infizierten Dateien, die Registrys sind jetzt scheinbar ok. Hier Malwarebyte: Code: Malwarebytes' Anti-Malware 1.50.1.1100Code: SUPERAntiSpyware Scan LogGruss Bernd |
Der Zauber scheint noch nicht vorbei zu sein, hab gerade mal im AVIRA-Kontrollcenter nachgesehen, der hat noch mehr gefunden, nachdem er sich 03.02.2111, 14:17 upgedatet hat. Hier die Einzelereignisse: Code: In der Datei 'C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\tcpip.sys.vir'- C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\tcpip.sys.vir - C:\System Volume Information\_restore{B991F27A-883F-42A9-A172-EAAB1D37FFFA}\RP796\A0093998.sys Gruss Bernd |
Überreste und harmlose Cookies. AntiVir findet die Dateien, die Combofix unter Quarantäne gestellt hat, das ist harmlos. Du kannst auch den ganzen Qoobox-Ordner löschen. Deaktiviere auch die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde. Rechner ansonsten wieder soweit ok? |
Moin Arne, ja Rechner ist soweit ok, funktioniert alles bestens, Google-Suchergebnisse führen auch wieder auf die dazugehörigen Seiten, AVIRA hat sich eben auch freiwillig ubgedatet. Die Systemwiderherstellung hab ich eben deaktiviert. Was übrigbleibt sind dann noch die infizierten Dateien. Wie werd ich die los? Einfach selbst löschen? Gruss Bernd |
Zitat:
Dann wären wir durch! :abklatsch: Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
Moin Arne, vielleicht hab ich mich ja misverständlich ausgedrückt. Ich meine folgendes: Malwarebyte hat 9 Dateien entdeckt, die infiziert sind und hat nichts weiter gemacht, als mir zu sagen, daß diese infiziert sind. Das gleiche hat SuperAntispyware gemacht. Das Programm hat 116 infizierte Dateien entdeckt. Deine Antwort bezieht sich auf den Combix-Quarantäne-Ordner. Darin ist eine der Dateien, die AVIRA entdeckt hat. Den Ordner kann ich natürlich löschen, klar. Die zweite von Avira entdeckte Datei ist in einem Restore-Ordner, dient also der Systemwiderherstellung. Den hab ich ja dadurch entschärft, daß ich die Systemwiderherstellung deaktiviert habe. Was ist aber mit den 125 Dateien von Malwarebyte und SuperAntispyware. Soll ich die von Hand über den Explorer löschen oder gibt es in den beiden Programmen über die Scan-Funktion hinaus auch weitere Aktivitätsoptionen wie z.B. löschen oder eben verschieben in einen Quarantäne-Ordner. Ich will einfach nur den Rechner komplett entseuchen. Gruss Bernd |
Vllt schaust du auch selbst mal auf die Dateien, die MBAM und SASW da nazeigen. Vllt klingelts dann bei dir. => (Extension.Mismatch) => sind es tatsächlich Bilder von dir oder ist das unbrauchbarer Schrott der wegkann? Kann niemand außer dir beantworten. Sind deine Dateien. |
Moin Arne, die Dateiliste hab ich mir vor meiner Rückfrage angesehen. Das sind zu grossen Teil Dateien (Grafiken), aus der Datenrestaurierungsnummer von der externen Festplatte und die sollen natürlich alle weg. Ich nehme mal an, daß es sich hierbei möglicherweise um manipulierte Grafikdateien handelt. Da meines Wissens nach der Windows-Explorer die dumme Angewohnheit hat, von allen Grafiken in einem Verzeichnis, das man angeklickt hat Thumbnails zu erzeugen (also die Dateien öffnet und damit den darin enthaltenen Schadcode ausführt), hab ich mir vermutlich auf dem Weg den Rechner infiziert. Manuell hab ich jedenfalls keine einzige der Dateien geöffnet. Ich bin jetzt kein Experte, was manipulierte Bilddateien betrifft, aber das Anklicken einer manipulierten Grafikdatei im Explorer erschien mir persönlich zumindest einer Rückfrage bezüglich der Gefährlichkeit einer Neuinfektion für notwendig. Daher meine explizite Rückfrage. Es ging mir nicht um den Inhalt (welche Dateien sollen weg) sondern um das Verfahren. In der Anleitung zu SASW steht vor dem Punkt 4 : "Den nächsten Schritt nur dann ausführen, wenn du ausdrücklich vom Helfer dazu aufgefordert wirst." Ich hab jetzt in SASW noch einmal einen Komplettscan angeworfen. Am Ende werde ich dann entsprechend der Anleitung bei den dann gefundenen Dateien einfach auf Remove drücken. Ich bedanke mich auf jeden Fall für die freundliche und kompetente Unterstützung. Ich hab vor Kontaktaufnahme bei euch bei einem hiesigen IT-Fachbetrieb einen Kostenvoranschlag für die Entseuchung meines Rechners eingeholt. Ich werde den Betrag stattdessen als Spende an das Forumskonto überweisen. Die Updates werde ich dann entsprechend deinen Hinweisen vornehmen. Gruss Bernd |
Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 18:16 Uhr. |
Copyright ©2000-2025, Trojaner-Board