|
Log-Analyse und Auswertung: Hilfe bei Gmer-Logfile nach Avira-Fund Java-Scriptvirus JS/Decdec.pscWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
12.02.2012, 15:29 | #16 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Hilfe bei Gmer-Logfile nach Avira-Fund Java-Scriptvirus JS/Decdec.pscZitat:
1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 180 MB sein 2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn unter Windows 3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist 4. Du müsstest ein Symbol PartitionEditor auf dem Desktop finden, das doppelklicken 5. Wenn das Tool die Partitionen aufgelistet hat, bitte einen Screenshot mit Hilfe der Taste DRUCK auf der Tastatur erstellen, diesen Screenshot hier posten (idR hast du einen Internetzugang mit PartedMagic, wenn nicht einfach den Screenshot auf einem Stick abspeichern und unter Windows hier posten)
__________________ Logfiles bitte immer in CODE-Tags posten |
12.02.2012, 17:56 | #17 |
| Hilfe bei Gmer-Logfile nach Avira-Fund Java-Scriptvirus JS/Decdec.psc Ok. Ich hab nen Screenshot gemacht. Dabei ist mir aufgefallen, dass die Partitionen nicht gemounted waren. Kann sein, dass ich das letzte mal als ich mit Gparted gearbeitet habe, dies vergessen hab. Windows scheint die Partitionen ja anscheinend automatisch zu mounten. Deshalb noch der 2. Screenshot von den gemounteten Partitionen. Hier noch das Log, was der Partitionierung-Editor ausgegeben hat beim Befehl "repair" (oder so). Hängen die bad sectors mit meinen Problemen zusammen oder ist das einfach dem Alter der Platte zu schulden (ca. 5 Jahre). Code:
ATTFilter GParted 0.6.2-git libparted 2.3Dateisystem (ntfs) auf /dev/sda1 überprüfen und reparieren 00:00:01 ( FEHLER ) /dev/sda1 kalibrieren 00:00:01 ( ERFOLG ) Pfad: /dev/sda1 Anfang: 63 Ende: 20482874 Größe: 20482812 (9.77 GiB) Dateisystem auf /dev/sda1 auf Fehler überprüfen und (falls möglich) diese beheben 00:00:00 ( FEHLER ) ntfsresize -P -i -f -v /dev/sda1 ntfsresize v2.0.0 (libntfs 10:0:0) Device name : /dev/sda1 NTFS volume version: 3.1 Cluster size : 4096 bytes Current volume size: 10487198208 bytes (10488 MB) Current device size: 10487199744 bytes (10488 MB) Checking for bad sectors ... Bad cluster: 0xb21 - 0xb22 (2) Bad cluster: 0x113a - 0x113a (1) Bad cluster: 0x18be28 - 0x18be28 (1) ERROR: This software has detected that the disk has at least 4 bad sectors. **************************************************************************** * WARNING: The disk has bad sector. This means physical damage on the disk * * surface caused by deterioration, manufacturing faults or other reason. * * The reliability of the disk may stay stable or degrade fast. We suggest * * making a full backup urgently by running 'ntfsclone --rescue ...' then * * run 'chkdsk /f /r' on Windows and rebooot it TWICE! Then you can resize * * NTFS safely by additionally using the --bad-sectors option of ntfsresize.* **************************************************************************** ======================================== |
12.02.2012, 18:40 | #18 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Hilfe bei Gmer-Logfile nach Avira-Fund Java-Scriptvirus JS/Decdec.psc Wenn du mit GParted die Partitionen ändern willst dürfen diese NICHT gemountet sein!
__________________Darum gehts aber auch eigentlich jetzt garnicht, ich wollte nur den Screenshot von GParted sehen. Ich wollte auch kein repait sehen, wieso machst du sowas, stand das in meiner letzten Anweisung?
__________________ |
12.02.2012, 18:54 | #19 |
| Hilfe bei Gmer-Logfile nach Avira-Fund Java-Scriptvirus JS/Decdec.psc Sorry, ich merk schon: Immer bei der Sache bleiben. Mir war das nur schon vorher aufgefallen und ich wusste nicht, wie ich die Infos über die fehlerhaften Sectoren sonst hier rein bringen könnte. Deshalb hab ich die repair-Funktion benutzt, um an das Log zu kommen. Werd mich ab jetzt nur noch an die Anweisungen halten. Gibt es noch etwas zu tun? Der Screenshot ist hoffentlich richtig erstellt!? Gruß radler |
12.02.2012, 19:04 | #20 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Hilfe bei Gmer-Logfile nach Avira-Fund Java-Scriptvirus JS/Decdec.psc Ja der Screenshot ist richtig Klick mal mit rechts den unteren nicht zugeordneten 10,34 MiB Happen an und sag Info => davon einen neuen Screenshot machen und posten.
__________________ Logfiles bitte immer in CODE-Tags posten |
13.02.2012, 15:44 | #21 |
| Hilfe bei Gmer-Logfile nach Avira-Fund Java-Scriptvirus JS/Decdec.psc So. Anweisung ohne Nebentätigkeiten ausgeführt |
13.02.2012, 16:16 | #22 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Hilfe bei Gmer-Logfile nach Avira-Fund Java-Scriptvirus JS/Decdec.psc Ok, dann hätte ich alle Infos. Möchtest du den Sektor mit bösem Code überschreiben? Der liegt in diesem nicht zugeordneten Bereich.
__________________ Logfiles bitte immer in CODE-Tags posten |
13.02.2012, 16:37 | #23 |
| Hilfe bei Gmer-Logfile nach Avira-Fund Java-Scriptvirus JS/Decdec.psc Meinst du mit bösem Code den Trojaner / das Rootkit, den wir entfernt (?) haben oder die fehlerhaften Sektoren? Hört sich für mich jedenfalls vernünftig an, etwas "Böses" zu überschreiben Was schlägt der Experte vor? Falls der dacor ist, welche Prodezur muss ich durchführen? Grüße Radler |
13.02.2012, 22:11 | #24 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Hilfe bei Gmer-Logfile nach Avira-Fund Java-Scriptvirus JS/Decdec.psc Ich meine damit das hier überschreiben => Code:
ATTFilter 14:37:55.203 Disk 0 scanning sectors +156280320 14:37:55.234 Disk 0 malicious Win32:MBRoot code @ sector 156280323 ! Möchtest du den Bereich überschreiben lassen? Wenn ja dann bitte jetzt sorgfältig lesen und zuerst eine Sicherung aller Daten machen! Wenn die Sicherung erfolgte alle Sicherungsmedien vom Computer physikalisch trennen! Wie gesagt was jetzt folgt und du hast Datenverluste seist du jetzt nochmal ausdrücklich gewarnt, alles richtig umzusetzen und vorher alles wichtige auf externe Platten zu sichern. Wenn du sicher bist, dass alle wichtige Daten in Sicherheit sind und die externen Datenträger auch nicht mehr am Rechner angeschlossen sind, dann fahre fort wir folgt: Öffne das Terminal in PartedMagic. Ist unten in der Quicklaunch der schwarze Monitor. Eine schwarze Konsole öffnet sich. Tipp dort ein (du solltest root@partedmagic in der Zeile lesen können) WARNUNG: Folgender Befehl auf eigene Gefahr! Für Datenverluste nicht rumheulen und wer das mitliest soll den Befehl ebenfalls nicht so ausführen!! Bitte lieber eher 3x als 2x prüfen ob du alles so richtig eingetippt hast NACH der Datensicherung: Code:
ATTFilter dd if=/dev/zero of=/dev/sda seek=156280321 bs=512 21168+0 Datensätze ein 21168+0 Datensätze aus Wenn das so rauskaum (können auch 21167 statt 21168 sein) wurden die letzten 21168 Sekoren (und damit auch der bösartige Code in diesem unzugeordneten Bereich) auf der Platte mit Nullen überschrieben; starte den Rechner neu und boote Windows. Mach dort einen neuen scan mit aswMBR und poste wieder das Log.
__________________ Logfiles bitte immer in CODE-Tags posten |
29.02.2012, 12:38 | #25 |
| Hilfe bei Gmer-Logfile nach Avira-Fund Java-Scriptvirus JS/Decdec.psc Sorry, dass ich so lang nix hören lassen hab. War erst im Urlaub und hab jetzt die nächsten Wochen einige sehr wichtige berufliche Projekte, bei denen ich meinen Laptop brauche. Deshalb wag ich mich gerade nicht an die Überschreib-Aktion ran. Ich sag Bescheid, wenn ich es durchgeführt habe. Der Code ist ja nicht mehr aktiv ... oder kann man das so nicht sagen? Ein ganz großes Dankeschön jedenfalls an dich, cosinus, dass du mir so kompetent und geduldig geholfen hast. Eine Spende an das Trojaner-Board ist unterwegs. Grüße radler |
25.06.2012, 11:42 | #26 |
| Hilfe bei Gmer-Logfile nach Avira-Fund Java-Scriptvirus JS/Decdec.psc So, jetzt hab ich mich endlich ran getraut. Mir war die Sache die letzten Monate zu risikoreich, da ich nicht die Zeit gehabt hätte, den Laptop neu aufzusetzen. Es scheint aber alles glatt gelaufen zu sein ... dank deiner detailieren und nachvollziehbaren Anweisungen, cosinus. Vielen Dank dafür. Ich häng jetzt mal ungefragt den Screenshot von Parted Magic und das neue Log von aswMBR an. Code:
ATTFilter aswMBR version 0.9.9.1532 Copyright(c) 2011 AVAST Software Run date: 2012-06-25 12:19:51 ----------------------------- 12:19:51.906 OS Version: Windows 5.1.2600 Service Pack 2 12:19:51.906 Number of processors: 1 586 0x1601 12:19:51.906 ComputerName: LOCOBICI UserName: Kathrin 12:19:52.218 Initialize success 12:22:43.375 AVAST engine defs: 12062500 12:34:17.796 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-e 12:34:17.796 Disk 0 Vendor: WDC_WD800BEVS-22RST0 04.01G04 Size: 76319MB BusType: 3 12:34:17.812 Disk 0 MBR read successfully 12:34:17.812 Disk 0 MBR scan 12:34:17.859 Disk 0 Windows XP default MBR code 12:34:17.859 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 10001 MB offset 63 12:34:17.875 Disk 0 Partition - 00 05 Extended 66307 MB offset 20482875 12:34:17.890 Disk 0 Partition 2 00 07 HPFS/NTFS NTFS 66307 MB offset 20482938 12:34:17.890 Disk 0 scanning sectors +156280320 12:34:17.984 Disk 0 scanning C:\WINDOWS\system32\drivers 12:34:34.187 Service scanning 12:34:35.156 Modules scanning 12:34:40.984 Disk 0 trace - called modules: 12:34:41.000 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS 12:34:41.000 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x89d72ab8] 12:34:41.000 3 CLASSPNP.SYS[ba10905b] -> nt!IofCallDriver -> \Device\0000007f[0x89d7a8f0] 12:34:41.000 5 ACPI.sys[b9f7e620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP2T0L0-e[0x89d95d98] 12:34:41.281 AVAST engine scan C:\WINDOWS 12:34:52.062 AVAST engine scan C:\WINDOWS\system32 12:37:42.375 AVAST engine scan C:\WINDOWS\system32\drivers 12:37:55.031 AVAST engine scan C:\Dokumente und Einstellungen\Kathrin 12:45:54.359 AVAST engine scan C:\Dokumente und Einstellungen\All Users 12:46:37.828 Scan finished successfully 12:47:48.609 Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Kathrin\Desktop\MBR.dat" 12:47:48.609 The log file has been saved successfully to "C:\Dokumente und Einstellungen\Kathrin\Desktop\aswMBR.txt" |
25.06.2012, 13:56 | #27 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Hilfe bei Gmer-Logfile nach Avira-Fund Java-Scriptvirus JS/Decdec.psc Lieber spät als nie Die Sektoren enthalten nun auch keinen pöhsen Code mehr Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt: ESET Online Scanner
__________________ Logfiles bitte immer in CODE-Tags posten |
26.06.2012, 18:27 | #28 |
| Hilfe bei Gmer-Logfile nach Avira-Fund Java-Scriptvirus JS/Decdec.psc Sodala. Die gefundenen Einträge bei SUPERAntiSpyware hängen wohl nicht mit unserem Trojaner zusammen. Was soll dennoch gelöscht werden? Die Winrar-Datei ist ja komisch (-->Fehlalarm???) Danke. Gruß. radler Code:
ATTFilter Malwarebytes Anti-Malware 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.06.25.10 Windows XP Service Pack 2 x86 NTFS Internet Explorer 8.0.6001.18702 Kathrin :: LOCOBICI [Administrator] 26.06.2012 16:02:32 mbam-log-2012-06-26 (16-02-32).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 333925 Laufzeit: 50 Minute(n), 42 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Code:
ATTFilter SUPERAntiSpyware Scan Log hxxp://www.superantispyware.com Generated 06/26/2012 at 00:37 AM Application Version : 5.1.1002 Core Rules Database Version : 8790 Trace Rules Database Version: 6602 Scan type : Complete Scan Total Scan Time : 07:49:18 Operating System Information Windows XP Home Edition 32-bit, Service Pack 2 (Build 5.01.2600) Administrator Memory items scanned : 506 Memory threats detected : 0 Registry items scanned : 33595 Registry threats detected : 0 File items scanned : 259386 File threats detected : 21 Adware.Tracking Cookie C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\Cookies\administrator@doubleclick[1].txt [ Cookie:administrator@doubleclick.net/ ] C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\Cookies\administrator@advertising[1].txt [ Cookie:administrator@advertising.com/ ] imagesrv.adition.com [ D:\SANDBOX\KATHRIN\DEFAULTBOX\USER\CURRENT\ANWENDUNGSDATEN\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\7GKK85UB ] .adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\SURFEN\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\TVU0Y8MH.DEFAULT\COOKIES.SQLITE ] de.sitestat.com [ C:\DOKUMENTE UND EINSTELLUNGEN\SURFEN\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\TVU0Y8MH.DEFAULT\COOKIES.SQLITE ] .smartadserver.com [ C:\DOKUMENTE UND EINSTELLUNGEN\SURFEN\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\TVU0Y8MH.DEFAULT\COOKIES.SQLITE ] .webmasterplan.com [ C:\DOKUMENTE UND EINSTELLUNGEN\SURFEN\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\TVU0Y8MH.DEFAULT\COOKIES.SQLITE ] de.sitestat.com [ C:\DOKUMENTE UND EINSTELLUNGEN\SURFEN\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\TVU0Y8MH.DEFAULT\COOKIES.SQLITE ] de.sitestat.com [ C:\DOKUMENTE UND EINSTELLUNGEN\SURFEN\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\TVU0Y8MH.DEFAULT\COOKIES.SQLITE ] .ikea.122.2o7.net [ C:\DOKUMENTE UND EINSTELLUNGEN\SURFEN\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\TVU0Y8MH.DEFAULT\COOKIES.SQLITE ] .ad.adnet.de [ C:\DOKUMENTE UND EINSTELLUNGEN\SURFEN\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\TVU0Y8MH.DEFAULT\COOKIES.SQLITE ] .adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\SURFEN\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\TVU0Y8MH.DEFAULT\COOKIES.SQLITE ] eas.apm.emediate.eu [ C:\DOKUMENTE UND EINSTELLUNGEN\SURFEN\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\TVU0Y8MH.DEFAULT\COOKIES.SQLITE ] track.webtrekk.de [ C:\DOKUMENTE UND EINSTELLUNGEN\SURFEN\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\TVU0Y8MH.DEFAULT\COOKIES.SQLITE ] tracker.framr.de [ C:\DOKUMENTE UND EINSTELLUNGEN\SURFEN\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\TVU0Y8MH.DEFAULT\COOKIES.SQLITE ] Unclassified.Unknown Origin D:\KOLJA\STUDIUM\V V V\MINDJET.MINDMANAGER.PRO.7+VIEWER+KEYGEN\KEYGEN.NFO H:\DATEN & MP3S\KOLJA\STUDIUM\V V V\MINDJET.MINDMANAGER.PRO.7+VIEWER+KEYGEN\KEYGEN.NFO Trojan.Unclassified/Loader-Suspicious H:\DATEN & MP3S\DROPBOX JLS\DROPBOX1\UNTERRICHTSMATERIALIEN\KATHRIN\FöRDERUNG D_M\3-MAILG DEUTSCH 3\LOADER.EXE H:\DATEN & MP3S\DROPBOX JLS\DROPBOX1\UNTERRICHTSMATERIALIEN\KATHRIN\FöRDERUNG D_M\3-MALIG MATHEMATIK 3\LOADER.EXE H:\DATEN & MP3S\DROPBOX JLS\DROPBOX1\UNTERRICHTSMATERIALIEN\KATHRIN\FöRDERUNG D_M\3-MALIG SCHAUNTERRICHT 3\LOADER.EXE Trojan.Agent/Gen-Malintent C:\PROGRAMME\WINRAR\DEFAULT.SFX |
26.06.2012, 19:16 | #29 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Hilfe bei Gmer-Logfile nach Avira-Fund Java-Scriptvirus JS/Decdec.pscCode:
ATTFilter Unclassified.Unknown Origin D:\KOLJA\STUDIUM\V V V\MINDJET.MINDMANAGER.PRO.7+VIEWER+KEYGEN\KEYGEN.NFO H:\DATEN & MP3S\KOLJA\STUDIUM\V V V\MINDJET.MINDMANAGER.PRO.7+VIEWER+KEYGEN\KEYGEN.NFO
__________________ Logfiles bitte immer in CODE-Tags posten |
26.06.2012, 20:24 | #30 |
| Hilfe bei Gmer-Logfile nach Avira-Fund Java-Scriptvirus JS/Decdec.psc k ... den Rest nicht löschen? |
Themen zu Hilfe bei Gmer-Logfile nach Avira-Fund Java-Scriptvirus JS/Decdec.psc |
acronis, avira, cache, datei, driver, einstellungen, einträge, files, folge, fund, gefährlich, meldung, microsoft, opera, regeln, registry, scan, service, services, software, suche, version, virus, windows |