|
Problem mit boot.mebroot Entfernung Hallo, mein Virenscannen (Norton Internet Security) bringt immer wieder die Meldung, dass die Entfernung von boot.mebroot fehlgeschlagen ist. Ich habe schon diverse Tools ausprobiert, bin mir aber nicht sicher ob er entfernt wurde und nur noch Reste vorhanden sind. Wie kann dies überprüft werden? Vielen Dank im Voraus. |
Poste bitte alle Logs von Norton. |
Hallo und Herzlich Willkommen! :) Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]: Zitat:
Zitat:
Für Vista und Win7: Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen 1. läuft unter XP, Vista mit (32Bit) und Windows 7 (32Bit) Achtung!: WENN GMER NICHT AUSGEFÜHRT WERDEN KANN ODER PROBMLEME VERURSACHT, fahre mit dem nächsten Punkt fort!- Es ist NICHT sinnvoll einen zweiten Versuch zu starten! Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren! Anleitung:-> GMER - Rootkit Scanner 2. Kontrolle mit MBR -t, ob Master Boot Record in Ordnung ist (MBR-Rootkit) Mit dem folgenden Tool prüfen wir, ob sich etwas Schädliches im Master Boot Record eingenistet hat.
Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org
4. lade Dir HijackThis 2.0.4 von *von hier* herunter HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen" 5. Bitte Versteckte - und Systemdateien sichtbar machen den Link hier anklicken: System-Dateien und -Ordner unter XP und Vista sichtbar machen Am Ende unserer Arbeit, kannst wieder rückgängig machen! 6. → Lade Dir HJTscanlist.zip herunter → entpacke die Datei auf deinem Desktop → Bei WindowsXP Home musst vor dem Scan zusätzlich tasklist.zip installieren → per Doppelklick starten → Wähle dein Betriebsystem aus - bei Win7 wähle Vista → Wenn Du gefragt wirst, die Option "Einstellung" (1) - scanlist" wählen → Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei hjtscanlist.txt präsentieren → Bitte kopiere den Inhalt hier in Deinen Thread. ** Falls es klappt auf einmal nicht, kannst den Text in mehrere Teile teilen und so posten 7. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool Ccleaner herunter → "Download"→ " Download from FileHippo.com" installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein Zitat:
** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw grußCoverflow |
Danke erstmal für die Antworten! Ich werde die 7 Pkt. ab arbeiten und jeweils Posten, zu. 1. [code] GMER Logfile: Code: GMER 1.0.15.15530 - hxxp://www.gmer.netgruß garfield1984 |
Code: mbr |
Malwarebytes hatte ich schon durchlaufen lassen, deswegen poste ich die Log von gestern und heute Code: log von gestenCode: Log von heute[code] HiJackthis Logfile: Code: Logfile of Trend Micro HijackThis v2.0.4 |
Code: TEIL 1 |
Code: TEIL 2 |
Code: ccleanergruß garfield1984 |
also machen wir weiter, allerdings muss dir bewusst sein, die Aussichten nicht gerade rosig sind, da auch noch MBR-Rootkitaktivitäten entdeckt worden... 1. Anwendungen, die im Hintergrund laufen während der Reinigung, können die Leistung deines Computers und auch unsere Arbeit negativ beeinflussen, deswegen bitte die hier aufgelisteten Programme zuerst mal abschalten/deaktivieren: Zitat:
2. Nicht deinstallieren, nur aus dem Autostart herausnehmen!: Code: O4 - HKLM\..\Run: [UIUCU] C:\DOKUME~1\Wille\LOKALE~1\Temp\UIUCU.EXE -CLEAN_UP -Saus dem Autostart (Häckhen rausnehmen): "Start-> ausführen-> "msconfig" (reinschreiben ohne ""-> OK" Häckhen raus Dienste beenden: Start -> Ausführen -> "Services.msc" -> (reinschreiben ohne ""-> OK" - "Eigenschaften"-> "Stop" -> Starttyp "Deaktiviert" auswählen 3. Deinstalliere unter `Start→ Systemsteuereung→ Ändern/Entfernen...` Bestandteile der Standardinstallation vieler Freeware-Programme und teilweise sogar von kostenpflichtigen Programmen. Daher: Immer die benutzerdefinierte Installation wählen, nicht die Standardinstallation, weil dann oft Sachen mitinstalliert werden, die man nicht braucht oder nicht möchte. Bei Installation die Lizenzbestimmungen immer lesen, und nicht sofort überall den Haken setzen, weil damit stimmt man nämlich zu, dass Adware (Werbe-Pop-ups) durch Partnerprogrammen, Sponsoren etc - mitinstalliert wird, weil sich Freeware damit finanziert. in diese Kategorie gehören noch einige, wie z.B: -> Unerwünschte Toolbars deinstallieren 4. Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked" klicken→ PC neu aufstarten): HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen Code: R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://renewalcenter.symantec.com/storefront/user/home.jsp?NOS=VUrBUORF%2FrqNIsY FvAzgBDyQ4NtDA35DqHPCHAweCgFCQbUbt2Hf%2FWW%2F%2By7HKJW48CRRXCJ&SASSERVER=lcsitem ain.symantec.com&TRANSID=%2F1009771%2FCGRI%2F93D711D6FFF69C9C&GUID=83DD44A6F9AB4 742559C0B1AF58735EB&GER&DEU&GE&oslang=iso:GER&oslocale=iso:DEU&vendid=003&vendta g=0TDSSKiller von Kaspersky
6. poste erneut - nach der vorgenommenen Reinigungsaktion: TrendMicro™ HijackThis™ -Logfile - Keine offenen Fenster, solang bis HijackThis läuft!! |
Hallo und danke erstmal für die Antworten! Zu Punkt 2 habe ich noch eine Frage, bei "Dienste beenden" finden ich kein "Eigenschaften". Welche der aufgeführten Dienste in der Services.msc soll deaktiviert werden? gruß Garfield 1984 |
Zitat:
Code: Java Quick Starter (JavaQuickStarterService) |
Code: 2011/02/07 13:19:10.0140 3028 TDSS rootkit removing tool 2.4.16.0 Feb 1 2011 10:34:03Code: Logfile of Trend Micro HijackThis v2.0.4 |
1. Windows und die installierten Programme auf den neuesten Stand zu halten,sind Garanten für eine erhöhte Sicherheit! Java aktualisieren `Start→ Systemsteuereung→ Java→ Aktualisierung...(Update 23 schon fällig!) 2. den Java-Cache leeren - wie unter Punkt 7. u. 8. beschrieben *klick über Systemsteuerung -> Java... 3. Adobe Reader aktualisieren : Adobe Reader Oder: Adobe starten-> gehe auf "Hilfe"-> "Nach Update suchen..." 4. alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren **Der Temp Ordner,ist für temporäre Dateien,also der Inhalt kann man ohne weiteres löschen.- Dateien, die noch in Benutzung sind, nicht löschbar. **Lösche nur den Inhalt der Ordner, nicht die Ordner selbst!
5. reinige dein System mit Ccleaner:
6.
7. - "Link:-> ESET Online Scanner >>Du sollst nicht die Antivirus-Sicherheitssoftware installieren, sondern dein System nur online scannen<< Auch auf USB-Sticks, selbstgebrannten Datenträgern, externen Festplatten und anderen Datenträgern können Viren transportiert werden. Man muss daher durch regelmäßige Prüfungen auf Schäden, die durch Malware ("Worm.Win32.Autorun") verursacht worden sein können, überwacht werden. Hierfür sind ser gut geegnet und empfohlen, die auf dem Speichermedium gesicherten Daten, mit Hilfe des kostenlosen Online Scanners zu prüfen. Schließe jetzt alle externe Datenträgeran (USB Sticks etc) Deinen Rechner an, dabei die Hochstell-Taste [Shift-Taste] gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. (So verhindest Du die Ausführung der AUTORUN-Funktion) - Man kann die AUTORUN-Funktion aber auch generell abschalten.► [Sicherheit] Autorun Funktion für mehr Sicherheit auf allen Laufwerken deaktivieren /Avira Support Forum -> Führe dann einen Komplett-Systemcheck mit Nod32 durch - folgendes bitte anhaken > "Remove found threads" und "Scan archives" - die Scanergebnis als *.txt Dateien speichern) - meistens "C:\Programme\Eset\EsetOnlineScanner\log.txt" Vor dem Scan Einstellungen im Internet Explorer: - "Extras→ Internetoptionen→ Sicherheit": - alles auf Standardstufe stellen - Active X erlauben - um den Scan zu starten: wenn du danach gefragt wirst (den Text in der Informationsleiste ) - ActiveX-Steuerelement installieren lassen ** Gibt es weitere Auffälligkeiten/Probleme mit dem Rechner? |
Hallo und danke nochmals! Weitere Probleme gibt es nicht, mein Virenscanner meldet auch nichts mehr. Hier nun die gewünschten Logs Code: SUPERAntiSpyware Scan LogCode: ESETSmartInstaller@High as CAB hook log: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 07:25 Uhr. |
Copyright ©2000-2025, Trojaner-Board