|
Plagegeister aller Art und deren Bekämpfung: Virenscanner F-Prot deinstalliert automatischWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
16.10.2009, 00:38 | #1 | |||
| Virenscanner F-Prot deinstalliert automatisch Hallo allerseits, Mein F-Prot hat, ohne dass ich mich an eine Handlung erinnern könnte die mich Malware ausgesetzt hätte oder irgendetwas an der Installation verändert hätte, nicht mehr updaten können. Auch wenn ich versucht habe zu scannen war F-Prot sofort fertig da es keine Datein zum scannen gefunden hat. Ich habe daraufhin F-Prot neu installiert. Nach dem Neustart der auf die Installation folgt lief alles gut, aber ca 1 - 2 Minuten nach dem Neustart hat sich Windows ohne mein Zutun beendet und der PC hat neu gestartet. Danach war die F-Prot installation weg (Der Ordner, der Eintrag unter "Software", alle Verknüpfungen). Ich habe das Problem dann ignoriert, da ich zu dem Zeitpunkt eher an einen Bug als an einen Virus dachte, und eine neue Festplatte bereits unterwegs war. Als ich aber F-Prot auf dem Brandneuen System installiert habe passierte genau das gleiche. Ich habe desshalb vermutet, dass sich mein neues System an meiner externen Festplatte neu infiziert hatte. Ich habe dann rausgefunden, dass im F-Prot Forum andere bereits ähnliche Probleme gehabt hatten, aber dort hatte sich niemand mit einem Konkreten Lösungsansatz geäussert. Es wurde lediglich erwähnt, dass es sich um ein Rootkit handeln könnte. Ich habe dann mit Sophos Anti-Rootkit tasächlich 2 Dateien auf der externen gefunden, die dieses Tool nach seiner aussage desinfiziert hat. Diese Datein befanden sich in einem Ordner, den ich nicht selbst angelegt hatte: "8fe9865a7c248b9e48f07d65b0b79ba3", dadrin befinden sich 2 Subfolders mit den Namen "amd64" und "i386", auf die ich keinen Zugriff habe (Fehlermeldung: Zugriff verweigert) Die Ordner lassen sich auch von der Windows Ebene logischerweise nicht löschen ohne Zugriff. Ich habe, da das Problem weiterhin bestand, erneut formatiert, ohne die externe anzuschließen. Das hat die Problematik nicht behoben. Jetzt kommen die Ergebnisse der Tools die ich daraufhin habe drüberlaufen lassen, da ich aber ein ziemlicher Laie bin in dem Gebiet sagen mir die logs wenig. hijackthis: Zitat:
Zitat:
Zitat:
Entschuldigt den Roman, bin dankbar um jeden Rat! |
16.10.2009, 07:49 | #2 | |
/// Helfer-Team | Virenscanner F-Prot deinstalliert automatisch Hallo und Herzlich Willkommen!
__________________Dein Log sieht in Ordnung aus... aber mal eine Frage: was hast Du für ein Programm von Sysinternals - www.sysinternals.com? War schon immer installiert in dieser Zeit wo Du Probleme hattest? - Gibt es Irgendein Programm Tools, die es beeinflussen könn(t)en? - Welche Version hast du? F-PROT für DOS? Zitat:
Cf Geändert von kira (16.10.2009 um 08:15 Uhr) |
16.10.2009, 13:35 | #3 |
| Virenscanner F-Prot deinstalliert automatisch Hallo und danke für den Willkommensgruß,
__________________Ich habe mir von Sysinternals den RootkitRevealer 1.71 gezogen, nachdem das Problem nach dem zweiten Formatieren der Festplatte immernoch nicht weg war. Ich hatte zuvor keine Sysinternal Tools auf dem PC. Du meinst Tools, die sich mit F-Prot beissen? Ich denke nicht, da ich nach der Formatierung F-Prot direkt als erstes nach den Treibern für Graka, Netzwerkadapter und Soundkarte installiert habe, und ich genauso den Reboot hatte, wonach F-Prot wieder verschwunden war. Ich nutze F-Prot für Windows, Version 6.0.8.0 ganz legal mit gekauftem key. |
17.10.2009, 15:30 | #4 | |
/// Helfer-Team | Virenscanner F-Prot deinstalliert automatisch hi - Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe: 1. Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren! 2. Master Boot Record überprüfen:
3. Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org
4. Führe dann einen Komplett-Systemcheck mit Nod32 - die Scanergebnis als *.txt Dateien speichern) - (ESET Online Scanner Vor dem Scan Einstellungen im Internet Explorer: - "Extras→ Internetoptionen→ Sicherheit": - alles auf Standardstufe stellen - Active X erlauben Speichere und Poste bitte das Logfile 4. ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen:: → Klicke unter Start auf Arbeitsplatz. → Klicke im Menü Extras auf Ordneroptionen. → Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen → Geschützte und Systemdateien ausblenden → Haken entfernen → Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen. → Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein. 5. Für XP und Win2000 (ansonsten auslassen) → lade Dir das filelist.zip auf deinen Desktop herunter → entpacke die Zip-Datei auf deinen Desktop → starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen → kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread ** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen! 6. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool CCleaner herunter installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein Zitat:
Geändert von kira (17.10.2009 um 15:37 Uhr) |
17.10.2009, 18:06 | #5 | ||
| Virenscanner F-Prot deinstalliert automatisch Hi und danke für die detailierten Anweisungen. Hier die Ergebnisse: gmer hat "keine Systemänderungen gefunden", folglich kein logfile. mbr Code:
ATTFilter Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK Malwarebytes Anti-Malware Code:
ATTFilter Durchsuchte Objekte: 93987 Laufzeit: 2 minute(s), 21 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> No action taken. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Nod32 Hier sind bei der Installation 2 Fehlermeldungen aufgetreten: Zitat:
direkt danach: Zitat:
nun der log: Code:
ATTFilter Log Version der Signaturdatenbank: 4518 (20091017) Datum: 17.10.2009 Uhrzeit: 18:37:13 Geprüfte Laufwerke, Ordner und Dateien: Arbeitsspeicher;A:\Bootsektor;A:\;C:\Bootsektor;C:\;D:\Bootsektor;D:\;E:\Bootsektor;E:\ Bootsektor von Laufwerk A: - Fehler beim Öffnen [4] A:\ - Fehler beim Öffnen [4] C:\pagefile.sys - Fehler beim Öffnen [4] C:\Dokumente und Einstellungen\Me!\Lokale Einstellungen\Temporary Internet Files\Content.IE5\RZBFC88X\mbam-setup[1].exe » INNO » files.info - Datei ist kein Archiv D:\back up\Desktop\mbam-setup.exe » INNO » files.info - Datei ist kein Archiv D:\f-prot\F-Prot_win (licensed)\Ver3\commandline.txt » MIME - - OK (eingebettete Archive NICHT geprüft) D:\f-prot\F-Prot_win (licensed)\Ver3\F-Prot Antivirus Purchase Information.eml » MIME - - OK (eingebettete Archive NICHT geprüft) D:\f-prot\F-Prot_win (licensed)\Ver3\FPCMD Commandline Options.eml » MIME - - OK (eingebettete Archive NICHT geprüft) D:\f-prot\F-Prot_win (licensed)\Ver3\Regarding your cusotmer number for F-Prot.eml » MIME - - OK (eingebettete Archive NICHT geprüft) D:\f-prot\F-Prot_win (licensed)\Ver3\Your F-Prot Antivirus Invoice.eml » MIME - - OK (eingebettete Archive NICHT geprüft) D:\f-prot\F-Prot_win (licensed)\Ver6\Your F-PROT Antivirus Invoice.eml » MIME - - OK (eingebettete Archive NICHT geprüft) Geprüfte Objekte: 43193 Erkannte Bedrohungen: 0 Abgeschlossen: 18:39:41 Benötigte Zeit: 148 Sek. (00:02:28) Hinweise: [4] Objekt kann nicht geöffnet werden. Möglicherweise in Benutzung durch eine andere Anwendung oder das Betriebssystem. filelist Code:
ATTFilter ----- Root ----------------------------- Datentr„ger in Laufwerk D: ist Data Volumeseriennummer: 58C1-CE93 Verzeichnis von D:\back up\Desktop 17.10.2009 18:43 278 install.txt 17.10.2009 18:42 1.430 CCleaner.lnk 17.10.2009 18:42 1.066.456 ccsetup224_slim.exe 17.10.2009 18:41 549 filelist.zip 17.10.2009 18:40 1.572 Nod 32 Log.txt 17.10.2009 18:35 505 Fehlermeldung.txt 17.10.2009 18:31 34.859.520 eav_nt32_deu.msi 17.10.2009 18:28 1.113 mbam-log-2009-10-17 (18-28-14).txt 17.10.2009 18:23 4.045.528 mbam-setup.exe 17.10.2009 18:22 195 mbr.log 17.10.2009 18:22 71.680 mbr.exe 17.10.2009 18:20 0 GMR LOG.txt 17.10.2009 18:15 291.328 9nx23nk7.exe ----- Windows -------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: B8B2-C721 Verzeichnis von C:\WINDOWS 17.10.2009 18:41 794.414 WindowsUpdate.log 17.10.2009 18:36 205.076 setupapi.log 17.10.2009 18:23 6.285 KB952954.log 17.10.2009 18:23 6.189 KB960859.log 17.10.2009 18:23 6.474 KB974455.log 17.10.2009 18:22 5.991 KB969059.log 17.10.2009 18:22 5.973 KB961371-v2.log 17.10.2009 18:22 5.793 KB950974.log 17.10.2009 18:22 5.695 KB971657.log 17.10.2009 18:22 5.592 KB971557.log 17.10.2009 18:22 5.494 KB960225.log 17.10.2009 18:22 5.398 KB974112.log 17.10.2009 18:22 5.299 KB959426.log 17.10.2009 18:22 5.211 KB951978.log 17.10.2009 18:22 3.625 KB968389.log 17.10.2009 18:22 5.103 KB961501.log 17.10.2009 18:22 5.009 KB971633.log 17.10.2009 18:22 4.903 KB975025.log 17.10.2009 18:22 4.814 KB952004.log 17.10.2009 18:22 4.702 KB974571.log 17.10.2009 18:22 4.602 KB973507.log 17.10.2009 18:22 4.516 KB967715.log 17.10.2009 18:22 4.412 KB954459.log 17.10.2009 18:22 4.314 KB951748.log 17.10.2009 18:22 4.210 KB970238.log 17.10.2009 18:22 4.107 KB960803.log 17.10.2009 18:22 4.012 KB973815.log 17.10.2009 18:22 3.919 KB968537.log 17.10.2009 18:22 3.813 KB956802.log 17.10.2009 18:22 3.713 KB975467.log 17.10.2009 18:11 0 0.log 17.10.2009 18:11 2.048 bootstat.dat 17.10.2009 18:10 1.100 SchedLgU.Txt 17.10.2009 18:10 1.563 tabletoc.log 17.10.2009 18:10 17.660 comsetup.log 17.10.2009 18:10 1.227 ocmsn.log 17.10.2009 18:10 13.631 tsoc.log 17.10.2009 18:10 9.095 ntdtcsetup.log 17.10.2009 18:10 1.393 imsins.log 17.10.2009 18:10 56.097 iis6.log 17.10.2009 18:10 7.002 KB898461.log 17.10.2009 18:10 17.728 ocgen.log 17.10.2009 18:10 1.180 msgsocm.log 17.10.2009 18:10 3.873 netfxocm.log 17.10.2009 18:10 1.912 MedCtrOC.log 17.10.2009 18:10 17.721 FaxSetup.log 17.10.2009 18:10 12.172 msmqinst.log 17.10.2009 17:55 50 wiaservc.log 17.10.2009 17:55 509 wiadebug.log 17.10.2009 17:55 0 Sti_Trace.log 17.10.2009 17:26 180 atcl01setup.log 17.10.2009 17:24 15.834 Ascd_tmp.ini 17.10.2009 17:16 829 OEWABLog.txt 17.10.2009 17:16 936 wmsetup.log 17.10.2009 17:15 823.853 setuplog.txt 17.10.2009 17:14 8.192 REGLOCS.OLD 17.10.2009 17:10 4.438 imsins.BAK 17.10.2009 17:10 192.547 setupact.log 17.10.2009 17:08 0 control.ini 17.10.2009 17:08 477 win.ini 17.10.2009 17:08 316.640 WMSysPr9.prx 17.10.2009 17:08 4.161 ODBCINST.INI 17.10.2009 17:07 749 WindowsShell.Manifest 17.10.2009 17:06 1.023 sessmgr.setup.log 17.10.2009 17:06 36 vb.ini 17.10.2009 17:06 37 vbaddin.ini 17.10.2009 17:05 130 DtcInstall.log 17.10.2009 17:03 200 cmsetacl.log 17.10.2009 15:39 1.348 regopt.log 17.10.2009 15:39 231 system.ini 17.10.2009 15:37 0 setuperr.log ----- System 32 (Achtung: Zeitfenster beachten!) --- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: B8B2-C721 Verzeichnis von C:\WINDOWS\system32 17.10.2009 18:02 0 h323log.txt 17.10.2009 17:16 40.128 perfc009.dat 17.10.2009 17:16 311.740 perfh009.dat 17.10.2009 17:16 316.924 perfh007.dat 17.10.2009 17:16 48.354 perfc007.dat 17.10.2009 17:16 723.744 PerfStringBackup.INI 17.10.2009 17:15 2.206 wpa.dbl 17.10.2009 17:14 90.296 FNTCACHE.DAT 17.10.2009 17:10 514 $winnt$.inf 17.10.2009 17:08 2.951 CONFIG.NT 17.10.2009 17:08 16.832 amcompat.tlb 17.10.2009 17:08 23.392 nscompat.tlb 17.10.2009 17:07 488 logonui.exe.manifest 17.10.2009 17:07 488 WindowsLogon.manifest 17.10.2009 17:07 749 sapi.cpl.manifest 17.10.2009 17:07 749 wuaucpl.cpl.manifest 17.10.2009 17:07 749 ncpa.cpl.manifest 17.10.2009 17:07 749 nwc.cpl.manifest 17.10.2009 17:07 749 cdplayer.exe.manifest 17.10.2009 17:06 21.740 emptyregdb.dat 17.10.2009 15:39 4.444 pid.PNF ----- Prefetch ------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: B8B2-C721 Verzeichnis von C:\WINDOWS\Prefetch 17.10.2009 18:12 801.322 NTOSBOOT-B00DFAAD.pf 1 Datei(en) 801.322 Bytes 0 Verzeichnis(se), 74.436.370.432 Bytes frei ----- Tasks ---------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: B8B2-C721 Verzeichnis von C:\WINDOWS\tasks 17.10.2009 18:11 6 SA.DAT ----- Temp ----------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: B8B2-C721 Verzeichnis von C:\DOKUME~1\Me!\LOKALE~1\Temp 17.10.2009 18:36 650 MSI2f26b.LOG 17.10.2009 17:26 331 _isdelet.ini Code:
ATTFilter Attansic Ethernet Utility Attansic L1 Gigabit Ethernet Driver CCleaner (remove only) ESET NOD32 Antivirus Malwarebytes' Anti-Malware Ich hatte das System erneut geplättet und F-Prot direkt nach dem ersten WIndows Startup installiert, dann neu gebootet. Es kam kein forced reboot, und nach erneutem Neustart war F-Prot nochimmer da. Als ich jedoch upgedated habe kam die Meldung hoch, dass F-Prot nicht aktuell sei (nach dem update wohlgemerkt). Als ich dann F-Prot beendet habe ist es vor meinen augen aus der Systemtray und vom Desktop verschwunden, ohne reboot diesmal. Seltsamer Mist... |
20.10.2009, 17:54 | #6 |
| Virenscanner F-Prot deinstalliert automatisch *Schieb* Ich erwarte ja nicht dass jemand dahinter kommt wie ich das Problem löse, aber wäre immerhin toll wenn mir jemand sagen könnte, ob die Logfiles irgendwas ungewöhnliches aussagen! |
20.10.2009, 19:06 | #7 |
/// Helfer-Team | Virenscanner F-Prot deinstalliert automatisch hi Punkt 4. -> http://www.trojaner-board.de/78498-v...tml#post474165 ich meinte nicht Nod32 Antivirus zu installieren, sondern der Online-Dienst von Eset nutzen und dein System damit NUR ONLINE scannen! - "ESET Online Scanner " wegen F-Prot glaube, Du bist besser aufgehoben auf die Support Seite von F-Prot:-> http://www.fprot.org/fr_impressum.php |
Themen zu Virenscanner F-Prot deinstalliert automatisch |
antivirus, avp, avp.exe, bho, explorer, fehlermeldung, festplatte, hkus\s-1-5-18, installation, internet, internet explorer, kaspersky, logfile, malware, neue festplatte, problem, rootkit, rundll, scan, secrets, security, software, sophos anti-rootkit, system, tastatur, temp, virtuelle tastatur, virus, windows, windows system, windows xp, windows\temp, zugriff verweigert |