| |
| |||||||
Log-Analyse und Auswertung: Wie werde ich den wieder los ?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
02.09.2008, 06:55
| #14 |
  |  Wie werde ich den wieder los ? Hi, das nervt, die Einträge sind immer noch da, bitte unbedingt darauf achten, dass der Teatimer von Sypbot deaktiviert ist... Also: Spybot ausschalten inkl. dem "Permantent Schutz" (Teatimer), erst dann weiter machen. Zugriffe auf die Registery erlauben, falls nachgefragt wird! Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:  2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code:
ATTFilter
registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\xxyyxWmj
Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs
Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|\VIED.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|\VIEE.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|\VIE5.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|\VIEF.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|\VIE6.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|\VIE7.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|\VIE8.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|\VIE63C.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|\VIE63D.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|\VIE63E.exe
Files to delete:
C:\Windows\System32\VIED.exe
C:\Windows\System32\VIEE.exe
C:\Windows\System32\VIE5.exe
C:\Windows\System32\VIEF.exe
C:\Windows\System32\VIE6.exe
C:\Windows\System32\VIE7.exe
C:\Windows\System32\VIE8.exe
C:\Windows\System32\VIE63C.exe
C:\Windows\System32\VIE63D.exe
C:\Windows\System32\VIE63E.exe
C:\Windows\System32\VIEE.exe
C:\Windows\System32\VIE63C.exe
C:\Windows\System32\VIE63D.exe
C:\Windows\System32\VIE63E.exe
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet. 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Spybot-Teatimer muss ausgeschaltet sein, sonst funktionieren die Registryänderungen nicht! Code:
ATTFilter O4 - HKLM\..\Run: [\VIED.exe] C:\Windows\System32\VIED.exe
O4 - HKLM\..\Run: [\VIEE.exe] C:\Windows\System32\VIEE.exe
O4 - HKLM\..\Run: [\VIE5.exe] C:\Windows\System32\VIE5.exe
O4 - HKLM\..\Run: [\VIEF.exe] C:\Windows\System32\VIEF.exe
O4 - HKLM\..\Run: [\VIE6.exe] C:\Windows\System32\VIE6.exe
O4 - HKLM\..\Run: [\VIE7.exe] C:\Windows\System32\VIE7.exe
O4 - HKLM\..\Run: [\VIE8.exe] C:\Windows\System32\VIE8.exe
O4 - HKLM\..\Run: [\VIE63C.exe] C:\Windows\System32\VIE63C.exe
O4 - HKLM\..\Run: [\VIE63D.exe] C:\Windows\System32\VIE63D.exe
O4 - HKLM\..\Run: [\VIE63E.exe] C:\Windows\System32\VIE63E.exe
O4 - HKCU\..\Run: [\VIEE.exe] C:\Windows\System32\VIEE.exe
O4 - HKCU\..\Run: [\VIE63C.exe] C:\Windows\System32\VIE63C.exe
O4 - HKCU\..\Run: [\VIE63D.exe] C:\Windows\System32\VIE63D.exe
O4 - HKCU\..\Run: [\VIE63E.exe] C:\Windows\System32\VIE63E.exe
So, und da mich das nervt, dass die netten Einträge immer wieder auftauchen hauen wir jetzt noch mit ComboFix drauf: Folgende Text in den Editor kopiern und auf dem Desktop unter cfscript.txt abspeichern: Code:
ATTFilter Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
"\\VIED.exe"=-
"\\VIEE.exe"=-
"\\VIE5.exe"=-
"\\VIEF.exe"=-
"\\VIE6.exe"=-
"\\VIE7.exe"=-
"\\VIE8.exe"=-
"\\VIE63C.exe"=-
"\\VIE63D.exe"=-
"\\VIE63E.exe"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"\\VIEE.exe"=-
"\\VIE63C.exe"=-
"\\VIE63D.exe"=-
"\\VIE63E.exe"=-
File::
C:\Windows\System32\VIED.exe
C:\Windows\System32\VIEE.exe
C:\Windows\System32\VIE5.exe
C:\Windows\System32\VIEF.exe
C:\Windows\System32\VIE6.exe
C:\Windows\System32\VIE7.exe
C:\Windows\System32\VIE8.exe
C:\Windows\System32\VIE63C.exe
C:\Windows\System32\VIE63D.exe
C:\Windows\System32\VIE63E.exe
C:\Windows\System32\VIEE.exe
C:\Windows\System32\VIE63C.exe
C:\Windows\System32\VIE63D.exe
C:\Windows\System32\VIE63E.exe
sie dort fallen. Combofix wird nun starten und das script abarbeiten. Poste alle Logs, das von Avenger, HJ beim fixen und das Combofixlog und nochmal ein neues HJ-Log. Danach wieder Teatimer/Spybot aktivieren... Chris
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
| Themen zu Wie werde ich den wieder los ? |
| ad-aware, adobe, bho, bonjour, computer, dateien, dll, einstellungen, explorer, hijackthis, home, icq, internet, internet explorer, mehrere, microsoft, mssql, object, popups, programme, rundll, shortcut, software, system, usb, virus/trojaner, von selber, warnung, windows, windows xp |
Baum-Darstellung