|
Umleitung auf diverse unseriöse Seiten sowie seltsame Suchmaschinen Hallo liebes Trojaner-Board! Vorerst sollte ich eventuell erwähnen, dass ich mich bereits durch google durchgekämpft habe und auch ähnliche Probleme wie meins gefunden habe, nur dass jedes Mal etwas anderes als Lösungsweg vorgeschlagen wird. Deshalb habe ich mich, in der Hoffnung, dass mir geholfen werden kann, dazu entschlossen einen eigenen Thread zu eröffnen. Es geht um folgende Problematik: Ich habe mir vor zwei Tagen HD Wallpaper von diversen Internetseiten runtergeladen (Mozilla Firefox, mit "Ziel speichern unter" .. sprich keine .rar Dateien sondern .jpg's). Kurze Zeit danach zeigte mir Avira AntiVir an, dass es Viren entdeckt hat. Ich weiss jetzt nicht, ob es an diesen Bilddateien gelegen hat. Ich habe darauf hin AntiVir manuell geupdated und dann einen Scann durchgeführt. Daraufhin noch einen Scann mit Malwarebytes und Spybot. Die gefundenen Viren/Trojaner/etc. verschob ich in Quarantäne/löschte sie und führte die Scannvorgänge mit allen drei Programmen ca. 5 mal durch, bis keine Virenmeldungen mehr auftauchten. Ich begab mich also wieder ins WWW und surfte rum, doch als ich dann nach einer google Suche die verschiedenen Ergebnisse in 4-5 Tabs öffnen wollte und ich auf seltsame Seiten weitergeleitet wurde, wurde ich wieder stutzig. Jedesmal handelte es ich um andere Internetseiten, mal Suchmaschinen mit Begriffen, nach dennen ich gar nicht gesucht hatte, etc.. Die Seiten wiederholen sich aber auch ab und zu. Habe nach den Seiten gegoogelt doch konnte in keinen Foren irgendwelche Beschwerden über diese finden Nach einiger Zeit hörte die Weiterleitung von alleine auf, doch 2-3 Stunden später fing das Spiel wieder von vorne an. Ich installierte daraufhin google Chrome, bei welchem genau das selbe Problem, wie bei Firefox auftauchte. Beim Internetexplorer war dies seltsamerweise nicht der Fall. Online-Banking oder ähnliches habe ich seit dem ersten Virenangriff nicht mehr betrieben, weil es mir einfach zu unsicher ist. Ich hoffe, dass jemand mir bei meinem Problem helfen kann und so nett ist, mich Schritt für Schritt zu führen (nach dem Motto: mach A => A ist gemacht, jetzt mach B => B ist gemacht, etc.), da ich zur Zeit privat ebenfalls im Stress bin und ich es einfach nicht schaffe mir erstmal 10 "How-To-Threads" durchzulesen .. Ich wäre euch wirklich sehr dankbar!! |
Zitat:
|
Sind die Logs irgendwo in den Programmordnern gespeichert (wenn ja, wie heißen diese? ... kenn mich leider kaum mit so etwas aus) oder muss ich erneute Scans durchführen und dann irgendwie die Logs speichern? |
Malwarebytes im Programm im Reiter Logdatein AntiVir im Hauptmenü unter Berichte/Ereignisse |
Malwarebytes: 25.03. - 03.04.11 Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
|
Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
|
Extras.txt OTL Logfile: Code: OTL Extras logfile created on: 05.04.2011 23:26:05 - Run 1OTL.txt OTL Logfile: Code: OTL logfile created on: 05.04.2011 23:26:05 - Run 1 |
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. |
Zitat:
Zitat:
|
Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html |
Habe jetzt nur das erste genommen, was ist mit "Norman TDSS Cleaner"? Kaspersky TDSS removing Tool Zitat:
|
Beitrag bitte entfernen (der Übersicht halber) |
TDL3 wurde erkannt und entfernt. Starte Windows neu und mach ein neues Log mit dem TDSS-Killer. |
Bitte sehr Zitat:
|
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
HILFE!!! Habe den CCleaner ganz normal ausgeführt und daraufhin Combofix (auch nach der Anleitung) Nun ist mein PC runtergefahren und wollte automatisch wieder hochfahren und es kommt der Bildschirm "Windows konnte leider nicht erfolgreich gestartet werden. Dies kann durch eine vor kurzem erfolgte Hardware- oder Softwareänderung verursacht worden sein." .. wenn ich "Windows normal starten" wähle dann fährt der Rechner beim Windows Ladescreen wieder runter und fährt automatisch wieder hoch .. wenn ich "letzte als bekannte Konfiguration" anwähle passiert genau das Selbe. Es gibt auch noch drei Möglichkeiten das System zu starten, bevor die o.g. genannt werden undzwar: "Wählen Sie das zu startende Betriebssystem: Microsoft Windows Recovery Console (komme da irgendwie nicht weiter ..) do not select this [Debugger aktiviert] Microsoft Windows XP Home Edition" der abgesicherte Modus funktioniert auch nicht .. ich glaub das grad alles nicht .. bitte, was soll ich tun? Ich bin am verzweifeln! Hat doch alles bis jetzt so gut geklappt .. |
Zitat:
fixmbr fixboot |
Kriege sehr viele "Warnmeldungen" .. soll ich die beiden jetzt bestätigen? Sprich, dass ich das durchführen möchte? Wollte nur noch mal sicher gehen .. http://img535.imageshack.us/img535/9751/08042011533.jpg Uploaded with ImageShack.us |
Ja, das muss mit mit j bestätigt werden. |
Habe ich beides gemacht und da stand dann, dass beides erfolgreich war .. nur wenn ich Windows jetzt wieder starten will, passiert das Gleiche wie beim ersten Mal |
Oje, ich hab den Eindruck das liegt an dem Bug den CF am 07.04. ab 21:00 hatte. Es hatte blöderweise Systemdateien gelöscht... Hast du einen zweiten Windows-Rechner zur Verfügung? |
Sag mir nicht, dass ich mein System jetzt gesprengt habe?! Habe nur einen Laptop mit Windows 7 ... |
Das ist das Notebook mit dem du hier jetzt auch postest? |
Ja, richtig |
Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.
|
Zitat:
Wenn ich OTLPE ankliche öffnet sich ein Fenster "Browse For Folder" (was soll ich da anklicken? klicke ich z.B. "Removable Disk (C:)" an und dann ok, sagt er "Target is not windows 2000 or later") "Automatically Load All Remaining Users" sehe ich auch nirgendswo .. |
Hmm... Öffne mal den Dateinamanager unter OTLPE - siehst du auf der Vista-Partition einen Ordner Qoobox? Wenn ja, was ist da drin? |
Dateinmanager? Vista-Partition (mein "kaputter" Rechner ist XP!) ?? |
Sry ich meinte XP. Ein Dateimanager ist ein allgemeiner Name für ein Programm, mit dem man Dateien auf den Partitionen verwaltet, eben sowas wie der Arbeitsplatz unter Windows. Und sowas hast du auch in der OTLPE-CD. |
Das kommt, wenn ich auf das OTLPE Icon auf dem Desktop klicke http://img263.imageshack.us/img263/5999/10042011534.jpg Wenn ich dann auf "RAMDisk" klicke und mit "Ok" bestätige kommt folgendes http://img819.imageshack.us/img819/8499/10042011535.jpg Wenn ich auf "My Computer" klicke und dann mit "Ok" bestätige kommt folgendes http://img810.imageshack.us/img810/3649/10042011536.jpg Der Dateimanager sieht wie folgt aus http://img853.imageshack.us/img853/829/10042011537.jpg Wenn ich dann auf "RAMDisk" gehe kommen folgende Ordner http://img705.imageshack.us/img705/7066/10042011541.jpg Wenn ich über "Start" auf "Suchen" gehe, ist auffällig, dass die auf dem Bild markierte Partition "Local Hard Drives" dort auftaucht, jedoch beispielsweise nicht bei "My Computer" oder wenn ich OTLPE starte http://img812.imageshack.us/img812/1236/10042011544.jpg Wie sollen wir jetzt weiterverfahren? |
Hast du einen Kartenleser im Rechner? Sieht so aus, als würde OTLPE deine Festplatte nicht mögen :balla: Folge mal dem 2. Link bzgl. Datensicherung über Ubuntu. Das kann immer problemlos Platten und Dateisysteme erkennen. |
Habe einen Kartenleser im Rechner, ja. Was soll ich mit diesem jetzt machen? Oder nur diese Datensicherung über Ubuntu (wo ist der Link?) oh man ich dachte das wär schon alles vorbei doch dann kam Combo-Fix ... |
Nein ich will wissen ob Ubuntu deine Windows-Platten noch sieht. Wenn ja, können wir damit dein Windows mit etwas Glück wieder bootbar machen. Wie gesagt hattest du leider das Pech, CF auszuführen, als dort ein Bug drin war, so dass wichtige Dateien gelöscht wurden. CF löscht aber nichts enfgültig, es von jedem gelöschten Objekt eine Sicherungskopie in C:\Qoobox abgelegt. |
Zitat:
Ich hoffe wir kriegen das hin .. |
Zitat:
2. Link in meiner Signatur! |
Zitat:
Ok, ich folge jetzt den Anweisungen, wie ich mit Ubuntu umzugehen habe und dann soll ich gucken, ob Ubuntu meine Festplatten noch erkennt? |
Ja mach das bitte. Vllt siehst du unter Ubuntu auch den Ordner Qoobox auf der Windows-Partition. |
Qoobox ist da, nur finde ich mich da nicht so zurecht, weil es viele Dateien mit "Backup" bzw. "Registry" und ähnlichen Bezeichungen gibt http://img263.imageshack.us/img263/7313/10042011545.jpg http://img16.imageshack.us/img16/4959/10042011546.jpg P.S.: gibt es einen Grund, wieso meine Webcam die ganze Zeit leuchtet, während Ubuntu läuft? |
Wie groß ist der Ordner Qoobox? versuch ihn mal per Rechtsklick => Komprimieren in ein Archiv zu packen. Wähle als Format bitte tar.gz aus. Versuch die Datei hier hochzuladen => File-Upload.net - Ihr kostenloser File Hoster! |
Zitat:
Komprimiert hat sie "110,6 MB (115961417 Bytes)" Downloalink: hxxp://www.file-upload.net/download-3350403/Qoobox.tar.gz.html |
Auweia, da hat CF ja ne Menge gelöscht :balla: Ich schau mir mal an, was da alles dirn ist. Dann schreib ich dir was du wohin kopieren musst über Ubuntu und dann sollte Windows hoffentlich wieder starten. |
So hab die Datei. Hab dir mal ne neue ZIP hochgeladen. => File-Upload.net - marko.zip Lad sie mit Ubuntu herunter und entpack sie. Die entpackten Ordner Zitat:
Beispiel: Alle Dateien aus dem entpackten Ordner "AppPatch" müssen auf die Windows-Partition in den Ordner /WINDOWS/AppPatch kopiert werden. Alle Dateien aus dem entpackten Ordner system32 nach /WINDOWS/system32 Alle Dateienn aus system32/drivers nach /WINDOWS/system32/drivers usw - mach das mit allen Ordnern/Unterordnern. Aber Du darfst die entpackten Unterordner nicht direkt in das Windows-Verzeichnis kopieren, weil sonst vohandene Ordner ersetzt werden. |
Wenn ich das alles gemacht habe, nehm ich die Ubuntu CD raus und gucke ob Windows normal bootet, richtig? Werde ich später probieren, bin grad nicht zu Hause. |
Ja genau so :) Aber pass auf, wie gesagt, du darfst keinen Ordner im Windowsverzeichnis überschreiben. Immer schon die einzelnen Dateien nur von A nach B (ins das entpsrechende Verzeichnis) kopieren. |
Das System war eben oben!! Combofix hat dann was fertig gestellt und einen Log erstellt und als ich dann einen Neustart gemacht habe ist er wieder nicht gebootet!! Ich guck mal ob die Dateien, welche ich eingefügt hatte nun wieder weg sind oder ob das System nun ganz schrott ist ... //Edit: PC ist erneut oben! Kann die Maus nicht bewegen, System ist ganz normal hochgefahren, diesmal ohne ComboFix ... Plötzlich ist der Internet Explorer auf dem Desktop (war er schon beim ersten booten)... kann z.B. über die Windows Taste oder Alt + TAB mit den Programmen arbeiten und z.B. den PC runterfahren .. Maus jedoch funktionslos .. Laser leuchtet aber (sprich: Maus ist aktiv, nur Treiber oder ähnliches funktionieren nicht) Was nun? //Edit 2: habe versucht Logitech Setpoint (für die Maus verantwortlich, Geschwindigkeit, etc.) per Tastatur zu aktivieren doch kriege dann eine Meldung, dass ich die Maus mit dem PC verbinden soll, was jedoch bereits der Fall ist ... habe es dann trotzdem gemacht, sprich ein und ausgesteckt doch hat nichts gebracht .. mir ist auch noch aufgefallen, wo ich ihn jetzt wieder runtergefahren habe, dass er einmal laut piept und dann runterfährt .. ich glaube, dass die von mir eingefügten Dateien im Windows-Ordner nun wieder gelöscht sind, bin mir jedoch nicht sicher, da ich nun schlafen gehe und ihn erst morgen Nachmittag versuche wieder hochzufahren .. hoffe bis dahin hast noch paar Möglichkeiten für mich meinen PC wieder hinzukriegen .. |
Der Rechner startet wieder? Was hat CF nach der Wiederbelebung von Windows gelöscht, was musstest du erneut in den Windows-Ordner kopieren? |
Es wurde genau das gleiche gelöscht, wie beim ersten Mal. Sprich ich musste nur die selben Dateien (alle) noch mal einfügen. Bin grad nicht zu Hause, weiss also nicht ob die bei jedem Herunterfahren gelöscht werden .. |
So .. PC fährt ganz normal hoch ... Maus funktioniert nicht, der Sound auch nicht, wie ich gemerkt habe. Konnte dementsprechend nichts weiteres ausprobieren, da ich nur mit der Tastatur fungieren kann. Die Funk-(!!!)Tastatur funktioniert seltsamerweise einweindfrei. Beim herunterfahren piept der PC einmal ganz laut und fährt dann herunter. Ich würd mal sagen, wir habens fast geschafft, ihn wieder richtig zum laufen zu bringen. Fehlen nur noch paar Schritte ... ich hoffe dafür hast auch ne Lösung, so wie bis jetzt |
Hast du auch die Dateien aus dem Ordner system32/drivers nach C:\Windows\System32\drivers kopiert? |
Ist alles so kopiert, wie du es mir gesagt hast Mir ist aufgefallen, dass im Ordner "drivers" (von deinem File und jetzt auch im C:\Windows\System32\drivers) zwei Dateien mit der Endung .zip vorhanden sind. Der Rest ist .sys. Das sind einmal: _avgntflt_.sys.zip und _avipbb_.sys.zip |
Kannst du den abgesicherten Modus starten? Geht da die Maus? Wenn du erst Windows startest und dann die USB-Maus ansteckst, wird sie dann erkannt? Wie verhalten sich PS/2-Mäuse oder hast du garkeinen PS/2-Anschluss mehr am Rechner? |
Zitat:
Zweiteres habe ich ebenfalls versucht, geht nicht (Maus leuchtet, nur irgendwie reagiert sie nicht). Einen PS/2 Anschluss hab ich noch, der PC ist 5 Jahre alt .. jedoch keine PS/2-Maus mehr .. Kann es nicht sein, dass du einfach vergessen hast irgendwelche Treiber, welche für Maus und Sound bestimmt sind in das Filefront-Dokument einzufügen? |
Nein, ich hab alle Dateien die du mir gegeben hast umbenannt (weil alle ein .vir am Ende hatten) und dann neu verpackt... :balla: Prüf mal bitte über start ausführen (Win-Taste +R) services.msc (Diensteliste) ob der Dienst HID Input (Sinngemäß) läuft Ich hatte letztens erst leider ein ähnliches Problem bei einem Firmennotebook, da ging auch nur noch die Tastatur und musste letztenendes formatieren und Windows neu aufspielen :( |
Zitat:
Habe mal bisschen mit der Tastatur rumgespielt und folgendes entdeckt: Wenn ich Firefox anklicke kommt folgende Meldung http://img820.imageshack.us/img820/7687/13042011547.jpg Wenn ich z.B. den Windows Live Messenger anklicke kommt folgende Meldung (mit der Endung vir) http://img822.imageshack.us/img822/6435/13042011548.jpg Beim Internetexplorer reagiert der PC gar nicht Bei Malwarebytes, Microsoft Word, etc. jedoch ganz normal ... Wenn ich mit dem Windows Media Player etwas wiedergeben will sagt er "Windows Media Player kann die Datei wegen eines Problems mit dem Audiogerät nicht wiedergeben. Möglicherweise ist im Computer kein Audiogerät installiert, das Audiogerät wird gerade von einem anderen Programm verwendet, oder es funktioniert nicht ordnungsgemäß." Gibt es keine Möglichkeit, den PC in den Zustand zu versetzen in dem er, bevor ComboFix gewütet hat, war (Recovery Console, Wiederherstellungspunkte!?!?) Finde das gerade nämlich sehr ärgerlich, da ich ja eigentlich auf ihn zugreifen kann etc. .. aufgrund meiner vielen Musik, Dokumente und Bilder die ich dann gerne retten würde Scheint grad irgendwie an jeder Ecke bisschen kaputt zu sein .. |
Zitat:
Im Firefox fehlt eine Datei, die wurde zwar auch von CF gelöscht, aber darum wollte ich mich später kümmern wenn Windows erstmal wieder startet. Zitat:
|
Zitat:
Das Problem ist halt, dass ich die Dateien nicht umbennen kann, weil ja die Maus nicht geht. Das Sound-Problem krieg ich ohne Mauseinsatz wohl auch nicht mehr hin. Ich hab keine Ahnung wie das abläuft aber wäre es nicht logisch, wenn ich den PC in den Zustand vor ComboFix bringe und dann ComboFix (ohne den Fehler, der an diesem einen Tag aufgetaucht ist) noch mal durchlaufen lasse .. die Treiber, etc. sollten ja dann alle wieder vorhanden sein, da sie es in diesem Zustand waren. Jetzt ist halt nur die Frage, wie man sowas macht. |
Zitat:
Wenn das nichts bringt, haben wir leider Pech gehabt. So ein CF-Fehler ist äußerst selten. |
Würdest du den 05.04.11 (1 Tag vor ComboFix) für die Wiederherstellung nehmen? Wenn ich das hinkriege, wie würde es dann weitergehen? Wieder mit ComboFix? |
Probier es aus... |
HAB ES FAST GESCHAFFT!!!! Habe den Unterpunkt Systemsteuerung - Leistung und Wartung erstmal nicht gefunden ... also bisschen rumgeklickt und dann im Gerätemanager gelandet. Eigentlich wollte ich das System Wiederherstellen .. doch dann hab ich gesehen, dass die zwei Treiber (Musik und Maus) mit einem gelben Ausrufezeichen versehen sind. Habe dann nach neuen Treibern gesucht, in der Hoffnung, dass er was findet. Dies war nicht der Fall. Also habe ich die alten Treiber erneut installiert (alles nur per Tastatur ...) und siehe da die gelben Ausrufezeichen sind verschwunden und Maus als auch Sound funktionieren wieder!!! http://img850.imageshack.us/img850/4183/14042011549.jpg Was ein Glück im Unglück, dass ich auf den Gerätemanager gestoßen bin ... leider kann ich weder Internetexplorer noch Firefox öffnen. Wie ist dein weiterer Schritt? Wolltest ja glaub ich was mit Firefox machen .. |
Glückwunsch ;) Mach erstmal einen Vollscan mit aktuellem Malwarebytes. nach der SWH kann wieder altes Zeug drin sein :D |
Ich kann den Log von Malwarebytes nicht direkt posten (FF + IE gehen nicht). Besteht das Risiko, wenn ich einen USB-Stick an den PC anschließe um den Malwarebytes-Log draufzukopieren, dass der Stick mit dem Virus infiziert wird und daraufhin mein Laptop? Darauf hätt ich jetzt nicht so Lust, vorallem weil der Laptop noch sehr neu ist (ca. 2 Monate alt). |
Nach 1 Stunde und 7 Minute hat Malwarebytes 0 infizierte Objekte gefunden. Während der Voll-Scan bei Malwarebytes lief hat AntiVir immer mal nebenbei Viren gemeldet und diese in Quarantäne verschoben. Viele .vir Dateien aber auch Dateien im Qoobox-Ordner. Was nun? Scan mit AntiVir/Spybot? |
Führ nochmal CF aus. Der Fehler ist jetzt beseitigt, musst unbedingt eine neue cofi.exe runterladen!! ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Kann ComboFix nicht neu herunterladen, weil weder FF noch IE geht. Soll ich das über nen USB-Stick machen (siehe meine Frage zum USB-Stick und Viren) aber dann kann ich die Datei ja nicht direkt aufm Desktop speichern .. sprich sie kommt über Umwege da hin |
Prüf erstmal => http://www.trojaner-board.de/94344-p...n-pruefen.html |
Wie gesagt, ich kann weder FF noch IE öffnen bin dann aber über Systemsteuerung -> Internetoptionen auf den Punkt gekommen, den du mir per Link geschickt hast. Dort war jedoch kein Proxyserver eingetragen. Du hattest gesagt: Zitat:
|
Stimmt hab ich gesagt! :D Die fehlende Datei vom FF erklärt aber nicht warum der IE nicht will ;) Besorg dir mal über einen Zweitrechner die Setups für Firefox und Opera. Übertrag diese per Stick auf diesen Rechner und instaliler beide Browser. Einer der beiden wird dann ja wohl gehen... |
Bleiben meine Lesezeichen bei Firefox unberührt? Wäre sehr wünschenswert .. |
Ja dein Bentuzerprofil überlebt das. Das ist ja auch in deinem Profilordner gespeichert und nicht im FF-Ordner. |
Firefox geht nun wieder (Internetexplorer noch immer nicht) CCleaner habe ich erneut durchgeführt und wenn ich die neue cofi.exe ausführen will kommt folgende Fehlermeldung http://img695.imageshack.us/img695/4238/cofi1.jpg So einige Sachen laufen nicht mehr (z.B. die neuinstallierte Version von Paint "Paint.NET", die alte Version unter Zubehör > Paint funktioniert jedoch einwandfrei ..) |
Erinnerst du dich noch an die hochgeladene Datei? CF hat durch den Fehler auch wild Dateien/Ordner aus C:\Programme gelöscht. Sieht mal nach im Ordner C:\Qoobox. Du müsstest alles zurückkopieren nach C:\Programme, analog wie bei den anderen Dateien in system32 usw. Allerdings musst du auch bei jeder Datei das ".vir" am Ende entfernen. |
Zitat:
|
Zitat:
... "Quarantine > C" gibt es viele solche .vir Dateien (die dann also alle zu ihrem Ursprung zurück?) ... "Quarantine > Registry_backups" sind nur .reg Dateien (was mit diesen machen?) ... "Quarantine" befindet sich noch eine Datei die sich "catchme" nennt, was soll mit dieser passieren? C:\Qoobox > "Add-Remove Programs" ? C:\Qoobox > "ComboFix-quarantined-files" C:\Qoobox > "SnapShot@2011-04-11_22.54.48" Würd gern einfach nur wissen, was jetzt kopiert werden muss. Bitte versteh das nicht falsch aber nach diesem erstmaligen Absturz will ich diesmal alles richtig machen um wieder ein gut laufendes System zu haben |
Probier mal das: Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code: DeQuarantine::4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. http://users.pandora.be/bluepatchy/m...s/CFScript.gif 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann! |
Guard war deaktiviert. Wenn ich das Skript dann auf die cofi.exe ziehe kommt folgende Meldung http://img809.imageshack.us/img809/2781/combofix.jpg |
Schau mal da => File-Upload.net - programme.zip Das sind die Ordner in C:\Programme, die CF gelöscht hat. Entpacke den Ordner kopiere die Dateien passend in die jew. Ordner in C:\Programme rein |
Zitat:
Was nun? |
Funktioniert CF jetzt? |
Zuerst noch einmal CCleaner ausführen oder nur die aktuelle CF runterladen und dann ausführen (mit Skript, ohne Skript)?! |
Ohne CCleaner, kein Script |
"Der Text, den Sie eingegeben haben, besteht aus 118122 Zeichen und ist damit zu lang. Bitte kürzen Sie den Text auf die maximale Länge von 100000 Zeichen." Daraufhin: "Die Datei, die Sie anhängen möchten, ist zu groß. Die maximale Dateigröße für diesen Dateityp beträgt 97,7 KB. Ihre Datei ist 116,5 KB groß." Habs hochgeladen, bitte sehr hxxp://www.file-upload.net/download-3376373/ComboFix.txt.html |
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
GMER GMER Logfile: Code: GMER 1.0.15.15570 - GMER - Rootkit Detector and RemoverOsam OSAM Logfile: Code: Report of OSAM: Autorun Manager v5.0.11926.0If You have questions or want to get some help, You can visit Online Solutions :: Index[/QUOTE] MBRCheck Zitat:
|
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
Malwarebytes: Zitat:
|
SUPERAntiSpyware: Zitat:
|
Fortsetzung des Logs: Zitat:
|
Sieht ok aus, da wurden nur Cookies gefunden. Noch Probleme oder weitere Funde in der Zwischenzeit? |
Nein. Google Suche (siehe ersten Post) funktioniert auch wieder einwandfrei. Ist das System wieder sauber? |
Dann wären wir durch! :abklatsch: Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink: Mozilla und andere Browser => http://filepony.de/?q=Flash+Player Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
Ich danke dir! Vorallem, dass du dir so viel Zeit genommen hast und wir es tatsächlich geschafft haben!! Finde ich echt klasse, dass es so welche Leute wie euch gibt, die ohne Gegenleistung anderen helfen ... Daumen hoch! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:51 Uhr. |
Copyright ©2000-2025, Trojaner-Board