|
Plagegeister aller Art und deren Bekämpfung: Antimalware Doctor erfolgreich gelöscht aber noch weitere ProblemeWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
10.09.2010, 08:49 | #1 |
| Antimalware Doctor erfolgreich gelöscht aber noch weitere Probleme Hallo, ich hoffe mir kann jemand helfen. Ich hatte mir den Antimalware Doctor auf meinem Rechner eingefangen und ihn dank des Forums löschen können. Dennoch habe ich immernoch einige Tronjaner drauf die z.B. bei einem Klick auf ein Suchergebnis bei Google auf eine andere Seite umleiten. Ich habe nun das Problem, dass ich Malewarebytes Anti Maleware nicht updaten kann, da mein Rechner abstürzt und in einen Bluescreen wechselt. Der Avira blockt mir bei einem Neustart auch einige Dinge aber kann das wohl nicht löschen. Bitte sagt mir welche Scans und Logs ich posten soll, damit mir jemand helfen kann. Werde mal den Avira nochmal drüber laufen lassen, damit ich dieses Log schonmal zum posten habe. Vielen Dank im Voraus. Gruß Markus |
10.09.2010, 09:11 | #2 |
| Antimalware Doctor erfolgreich gelöscht aber noch weitere Probleme Hi,
__________________welche Sachen werden geblockt bzw. wo wird was gefunden? OTL Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop
Wenn kein 64-Bit-System: Gmer: http://www.trojaner-board.de/74908-a...t-scanner.html Den Downloadlink findest Du links oben (GMER - Rootkit Detector and Remover), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. chris
__________________ |
10.09.2010, 09:58 | #3 |
| Antimalware Doctor erfolgreich gelöscht aber noch weitere Probleme Hallo,
__________________ich werde die zwei Programme gleich ausführen. Anbei schonmal die Dateien die geblockt wurden: In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\00026680.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Unpacked.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\00026680.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Unpacked.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\00026680.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Unpacked.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\00026680.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Unpacked.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff erlauben In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\00013071.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Unpacked.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\00013071.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Unpacked.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\00013071.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Unpacked.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\00013071.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Unpacked.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\00013071.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Unpacked.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\00013071.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Unpacked.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\00013071.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Unpacked.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\00013071.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Unpacked.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff erlauben In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\00016524.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Unpacked.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff erlauben In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\00005732.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Unpacked.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\00005732.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Unpacked.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\00005732.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Unpacked.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff erlauben In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\00021730.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\00021730.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\00021730.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\00021730.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff erlauben In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\00021730.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\00014000.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Unpacked.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\00011569.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Unpacked.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\00023245.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Unpacked.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\00017444.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Patched.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\00030581.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Unpacked.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff erlauben In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\00028627.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Unpacked.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff erlauben In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\00026680.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Unpacked.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern Hoffe das ist nicht zu viel. Gruß Markus |
10.09.2010, 10:06 | #4 |
| Antimalware Doctor erfolgreich gelöscht aber noch weitere Probleme Hallo Chris, kann grad die Logs nicht Posten. Ich versuchs weiter. Gruß |
10.09.2010, 10:08 | #5 |
| Antimalware Doctor erfolgreich gelöscht aber noch weitere Probleme Habs als Datei hinterlegt Geändert von markus28 (10.09.2010 um 10:18 Uhr) Grund: als Datei hinterlegt |
10.09.2010, 10:09 | #6 |
| Antimalware Doctor erfolgreich gelöscht aber noch weitere Probleme Habs als Datei hinterlegt Geändert von markus28 (10.09.2010 um 10:18 Uhr) Grund: als Datei hinterlegt |
10.09.2010, 10:17 | #7 |
| Antimalware Doctor erfolgreich gelöscht aber noch weitere Probleme |
10.09.2010, 10:22 | #8 |
| Antimalware Doctor erfolgreich gelöscht aber noch weitere Probleme Hallo Chris, anbei das Log aus dem GMER: GMER 1.0.15.15281 - GMER - Rootkit Detector and Remover Rootkit quick scan 2010-09-10 11:21:50 Windows 5.1.2600 Service Pack 3 Running: rjcsk645.exe; Driver: C:\DOKUME~1\T4841~1.BUE\LOKALE~1\Temp\fxtdrpod.sys ---- Devices - GMER 1.0.15 ---- Device \FileSystem\Ntfs \Ntfs 8A6A7EE8 AttachedDevice \FileSystem\Ntfs \Ntfs SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) AttachedDevice \FileSystem\Fastfat \Fat SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) Device \Driver\Tcpip \Device\Ip 89732E18 AttachedDevice \Driver\Tcpip \Device\Ip SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation) AttachedDevice \Driver\Tcpip \Device\Ip Lbd.sys (Boot Driver/Lavasoft AB) Device \Driver\Tcpip \Device\Tcp 89732E18 AttachedDevice \Driver\Tcpip \Device\Tcp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation) AttachedDevice \Driver\Tcpip \Device\Tcp Lbd.sys (Boot Driver/Lavasoft AB) Device \Driver\Tcpip \Device\Udp 89732E18 AttachedDevice \Driver\Tcpip \Device\Udp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation) AttachedDevice \Driver\Tcpip \Device\Udp Lbd.sys (Boot Driver/Lavasoft AB) Device \Driver\Tcpip \Device\RawIp 89732E18 AttachedDevice \Driver\Tcpip \Device\RawIp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation) ---- Services - GMER 1.0.15 ---- Service (*** hidden *** ) [BOOT] nxfeptzx <-- ROOTKIT !!! ---- EOF - GMER 1.0.15 ---- Gruß Markus |
10.09.2010, 10:36 | #9 |
| Antimalware Doctor erfolgreich gelöscht aber noch weitere Probleme Hi, es kann sein, dass sich Symantec und Avira gegenseitig stören bzw. sich als Malware erkennen (Du hast eh sehr viele Scanner drauf, für einen entscheiden den Rest deinstallieren)... Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code:
ATTFilter C:\WINDOWS\System32\lsdelete.exe C:\WINDOWS\System32\drivers\nxfeptzx.sys
Fix für OTL:
Code:
ATTFilter :OTL O4 - HKCU..\Run: [] File not found O4 - HKCU..\Run: [mediafix70700en02.exe] C:\Dokumente und Einstellungen\****\Anwendungsdaten\0967E479FECA512745B26471C0656508\mediafix70700en02.exe File not found O4 - Startup: C:\Dokumente und Einstellungen\****\Startmenü\Programme\Autostart\Open Interfaces Platform.lnk = C:\Programme\Java\j2re1.4.2_08\javaws\javaws.exe () [2010.09.07 15:02:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\tvwuqsmdv [2010.09.07 15:02:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\vicuqbymi [2010.09.07 15:02:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\vicuqbymi [2010.09.07 15:02:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\biluqrydg [2010.09.07 15:02:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\dvquqamls [2010.09.07 15:02:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\thyvphxra [2010.09.10 11:03:05 | 000,778,752 | ---- | M] () -- C:\WINDOWS\System32\drivers\nxfeptzx.sys @Alternate Data Stream - 48 bytes -> C:\WINDOWS:51CCC8063513A2A9 @Alternate Data Stream - 123 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:24C8262A :reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "FirstRunDisabled" = dword:0x00 "AntiVirusOverride" = dword:0x00 "FirewallOverride" = dword:0x00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus] "DisableMonitoring" = dword:0x00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus] "DisableMonitoring" = dword:0x00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall] "DisableMonitoring" = dword:0x00 :Commands [emptytemp] [Reboot]
Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet! Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß! Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen. chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
10.09.2010, 10:57 | #10 |
| Antimalware Doctor erfolgreich gelöscht aber noch weitere Probleme File name: lsdelete.exe Submission date: 2010-09-10 09:50:00 (UTC) Current status: finished Result: 0/ 43 (0.0%) VT Community not reviewed Safety score: - Compact Print results Antivirus Version Last Update Result AhnLab-V3 2010.09.10.00 2010.09.10 - AntiVir 8.2.4.50 2010.09.10 - Antiy-AVL 2.0.3.7 2010.09.10 - Authentium 5.2.0.5 2010.09.10 - Avast 4.8.1351.0 2010.09.10 - Avast5 5.0.594.0 2010.09.10 - AVG 9.0.0.851 2010.09.09 - BitDefender 7.2 2010.09.10 - CAT-QuickHeal 11.00 2010.09.10 - ClamAV 0.96.2.0-git 2010.09.10 - Comodo 6029 2010.09.10 - DrWeb 5.0.2.03300 2010.09.10 - Emsisoft 5.0.0.37 2010.09.10 - eSafe 7.0.17.0 2010.09.07 - eTrust-Vet 36.1.7846 2010.09.10 - F-Prot 4.6.1.107 2010.09.01 - F-Secure 9.0.15370.0 2010.09.10 - Fortinet 4.1.143.0 2010.09.09 - GData 21 2010.09.10 - Ikarus T3.1.1.88.0 2010.09.10 - Jiangmin 13.0.900 2010.09.10 - K7AntiVirus 9.63.2488 2010.09.10 - Kaspersky 7.0.0.125 2010.09.10 - McAfee 5.400.0.1158 2010.09.10 - McAfee-GW-Edition 2010.1B 2010.09.10 - Microsoft 1.6103 2010.09.10 - NOD32 5439 2010.09.10 - Norman 6.06.06 2010.09.09 - nProtect 2010-09-10.01 2010.09.10 - Panda 10.0.2.7 2010.09.09 - PCTools 7.0.3.5 2010.09.10 - Prevx 3.0 2010.09.10 - Rising 22.64.04.01 2010.09.10 - Sophos 4.57.0 2010.09.10 - Sunbelt 6857 2010.09.10 - SUPERAntiSpyware 4.40.0.1006 2010.09.10 - Symantec 20101.1.1.7 2010.09.10 - TheHacker 6.7.0.0.012 2010.09.09 - TrendMicro 9.120.0.1004 2010.09.10 - TrendMicro-HouseCall 9.120.0.1004 2010.09.10 - VBA32 3.12.14.0 2010.09.08 - ViRobot 2010.9.8.4031 2010.09.10 - VirusBuster 12.64.26.0 2010.09.09 - Additional information Show all MD5 : ad6a4304803d8491437cec9fa1c5359f SHA1 : 8f982784bb48a564720149e2f9614c0720739640 SHA256: 853516a247858c64dacc09df7af16dc02a78130f99ab295e985f8b0daa6ec1ef Die Datei C:\WINDOWS\System32\drivers\nxfeptzx.sys lässt er mich nicht hochladen. Gruß Markus |
10.09.2010, 11:10 | #11 |
| Antimalware Doctor erfolgreich gelöscht aber noch weitere Probleme Hallo Chris, anbei das Log aus dem OTL: All processes killed ========== OTL ========== Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully. Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\mediafix70700en02.exe deleted successfully. C:\Dokumente und Einstellungen\****\Startmenü\Programme\Autostart\Open Interfaces Platform.lnk moved successfully. C:\Programme\Java\j2re1.4.2_08\javaws\javaws.exe moved successfully. C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\tvwuqsmdv folder moved successfully. C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\vicuqbymi folder moved successfully. C:\Dokumente und Einstellungen\****\Anwendungsdaten\vicuqbymi folder moved successfully. C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\biluqrydg folder moved successfully. C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\dvquqamls folder moved successfully. C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\thyvphxra folder moved successfully. File move failed. C:\WINDOWS\system32\drivers\nxfeptzx.sys scheduled to be moved on reboot. ADS C:\WINDOWS:51CCC8063513A2A9 deleted successfully. ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:24C8262A deleted successfully. ========== REGISTRY ========== HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\\"FirstRunDisabled" | dword:0x00 /E : value set successfully! HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\\"AntiVirusOverride" | dword:0x00 /E : value set successfully! HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\\"FirewallOverride" | dword:0x00 /E : value set successfully! HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus\\"DisableMonitoring" | dword:0x00 /E : value set successfully! HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus\\"DisableMonitoring" |dword:0x00 /E : value set successfully! HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall\\"DisableMonitoring" | dword:0x00 /E : value set successfully! ========== COMMANDS ========== [EMPTYTEMP] User: Administrator ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 12321977 bytes ->Java cache emptied: 12118833 bytes ->Flash cache emptied: 434 bytes User: administrator.AMEX ->Temp folder emptied: 11316 bytes ->Temporary Internet Files folder emptied: 32902 bytes ->Flash cache emptied: 83 bytes User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 32902 bytes ->Flash cache emptied: 41 bytes User: ***j ->Temp folder emptied: 26661 bytes ->Temporary Internet Files folder emptied: 889066 bytes ->Flash cache emptied: 83 bytes User: LocalService ->Temp folder emptied: 66016 bytes ->Temporary Internet Files folder emptied: 7309815 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 821674 bytes ->Flash cache emptied: 1299 bytes User: **** ->Temp folder emptied: 29677927 bytes ->Temporary Internet Files folder emptied: 4690437 bytes ->Java cache emptied: 7000 bytes ->FireFox cache emptied: 43782038 bytes ->Flash cache emptied: 3305 bytes User: T4841~1~BUE User: ***T ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 95533740 bytes ->Java cache emptied: 66354137 bytes ->FireFox cache emptied: 58183593 bytes ->Flash cache emptied: 47074 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 19569 bytes %systemroot%\System32 .tmp files removed: 5553031 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 96022986 bytes RecycleBin emptied: 39936 bytes Total Files Cleaned = 413,00 mb OTL by OldTimer - Version 3.2.11.0 log created on 09102010_115933 Files\Folders moved on Reboot... File move failed. C:\WINDOWS\system32\drivers\nxfeptzx.sys scheduled to be moved on reboot. File\Folder C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9PYYFC6W\verbraucher[1].txt not found! C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\Google Toolbar\GoogleToolbarWelcome.log moved successfully. File\Folder C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\~DF21F.tmp not found! File\Folder C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\~DFFE41.tmp not found! File\Folder C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\~DFFED1.tmp not found! File\Folder C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\~DFFFEF.tmp not found! C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\X70GWJ1B\ads[5].htm moved successfully. C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KEBFNSWB\ads[7].htm moved successfully. C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\INNAQPE7\ads[9].htm moved successfully. C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\INNAQPE7\index[2].html moved successfully. C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6176QYX1\90605-antimalware-doctor-erfolgreich-geloescht-aber-noch-weitere-probleme[1].html moved successfully. Registry entries deleted on Reboot... Gruß Markus |
10.09.2010, 12:07 | #12 |
| Antimalware Doctor erfolgreich gelöscht aber noch weitere Probleme |
11.09.2010, 19:25 | #13 |
| Antimalware Doctor erfolgreich gelöscht aber noch weitere Probleme Hi, Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code:
ATTFilter C:\rjcsk645.exe
Malwarebytes Antimalware (MAM) Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen: http://filepony.de/download-chameleon/ Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen") Fullscan und alles bereinigen lassen! Log posten. Noch mal ein GMER-Log, ich traue dem Frieden (dem Rootkit) nicht... Gmer: http://www.trojaner-board.de/74908-a...t-scanner.html Den Downloadlink findest Du links oben (GMER - Rootkit Detector and Remover), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. Customscan mit OTL:
Code:
ATTFilter netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %SYSTEMDRIVE%\*.exe /md5start eventlog.dll scecli.dll netlogon.dll cngaudit.dll sceclt.dll ntelogon.dll logevent.dll iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys mv61xx.sys /md5stop c:\windows\system32\drivers\*.sys /lockedfiles c:\windows\system32\*.dll /lockedfiles %systemroot%\*. /mp /s %PROGRAMFILES%\*. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs CREATERESTOREPOINT
chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
13.09.2010, 10:10 | #14 |
| Antimalware Doctor erfolgreich gelöscht aber noch weitere Probleme Hallo Chris, anbei die Protokolle: Anhang 8835 Anhang 8836 Anhang 8837 Anhang 8838 ein Extra Protokoll kam nicht. Bei GMER kam nach einiger Zeit ein Bluescreen mit der Info zur Datei fxtdrpod.sys. Scan war nicht Möglich. Symantec hat mir noch das ausgeworfen: Risiko,Action,Anzahl,Dateiname,Bedrohungstyp,Quelladresse,Computer,User,Status,Aktueller Ablageort,Primäre Aktion,Sekundäre Aktion,Protokolliert von,Aktionsbeschreibung,Date Backdoor.Tidserv.I!inf,Teilweise,3,WudfPf.sys.vir,Datei,C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\,AMEX09,AMEX\****,Infiziert,C:\Qoobox\Quaranti ne\C\WINDOWS\system32\Drivers\,Von Sicherheitsrisiko säubern,Quarantäne,Auto-Protect-Prüfung,Isolierung war teilweise erfolgreich.,13.09.2010 09:33:20 Backdoor.Tidserv.I!inf,Teilweise,3,WudfPf.sys.vir,Datei,C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\,AMEX09,AMEX\****,Infiziert,C:\Qoobox\Quaranti ne\C\WINDOWS\system32\Drivers\,Von Sicherheitsrisiko säubern,Quarantäne,Auto-Protect-Prüfung,Isolierung war teilweise erfolgreich.,13.09.2010 09:33:01 Backdoor.Tidserv.I!inf,Teilweise,3,WudfPf.sys.vir,Datei,C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\,AMEX09,AMEX\****,Infiziert,C:\Qoobox\Quaranti ne\C\WINDOWS\system32\Drivers\,Von Sicherheitsrisiko säubern,Quarantäne,Auto-Protect-Prüfung,Isolierung war teilweise erfolgreich.,13.09.2010 09:32:39 Backdoor.Tidserv.I!inf,Teilweise,3,WudfPf.sys.vir,Datei,C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\,AMEX09,AMEX\****,Infiziert,C:\Qoobox\Quaranti ne\C\WINDOWS\system32\Drivers\,Von Sicherheitsrisiko säubern,Quarantäne,Auto-Protect-Prüfung,Isolierung war teilweise erfolgreich.,13.09.2010 09:32:20 Backdoor.Tidserv.I!inf,Teilweise,3,WudfPf.sys.vir,Datei,C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\,AMEX09,AMEX\****,Infiziert,C:\Qoobox\Quaranti ne\C\WINDOWS\system32\Drivers\,Von Sicherheitsrisiko säubern,Quarantäne,Auto-Protect-Prüfung,Isolierung war teilweise erfolgreich.,13.09.2010 09:32:01 Backdoor.Tidserv.I!inf,Teilweise,3,WudfPf.sys.vir,Datei,C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\,AMEX09,AMEX\****,Infiziert,C:\Qoobox\Quaranti ne\C\WINDOWS\system32\Drivers\,Von Sicherheitsrisiko säubern,Quarantäne,Auto-Protect-Prüfung,Isolierung war teilweise erfolgreich.,13.09.2010 09:31:42 Backdoor.Tidserv.I!inf,Teilweise,3,WudfPf.sys.vir,Datei,C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\,AMEX09,AMEX\****,Infiziert,C:\Qoobox\Quaranti ne\C\WINDOWS\system32\Drivers\,Von Sicherheitsrisiko säubern,Quarantäne,Auto-Protect-Prüfung,Isolierung war teilweise erfolgreich.,13.09.2010 09:31:23 Backdoor.Tidserv.I!inf,Teilweise,3,WudfPf.sys.vir,Datei,C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\,AMEX09,AMEX\****,Infiziert,C:\Qoobox\Quaranti ne\C\WINDOWS\system32\Drivers\,Von Sicherheitsrisiko säubern,Quarantäne,Auto-Protect-Prüfung,Isolierung war teilweise erfolgreich.,13.09.2010 09:31:03 Backdoor.Tidserv.I!inf,Teilweise,3,WudfPf.sys.vir,Datei,C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\,AMEX09,AMEX\****,Infiziert,C:\Qoobox\Quaranti ne\C\WINDOWS\system32\Drivers\,Von Sicherheitsrisiko säubern,Quarantäne,Auto-Protect-Prüfung,Isolierung war teilweise erfolgreich.,13.09.2010 09:30:44 Backdoor.Tidserv.I!inf,Teilweise,3,WudfPf.sys.vir,Datei,C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\,AMEX09,AMEX\****,Infiziert,C:\Qoobox\Quaranti ne\C\WINDOWS\system32\Drivers\,Von Sicherheitsrisiko säubern,Quarantäne,Auto-Protect-Prüfung,Isolierung war teilweise erfolgreich.,13.09.2010 09:30:25 Vielen Dank für Deine Mühe. |
13.09.2010, 13:21 | #15 |
| Antimalware Doctor erfolgreich gelöscht aber noch weitere Probleme Hi, da ist er etwas spät dran, das ist die Quanrantäne von CF die er gefunden hat und damit den inifzierten Treiber den CF dort "gesichert" hat... Lösche die Datei "rjcsk645.exe" und leere den Papierkorb danach... So, da sind noch einige Sache die mir nicht gefallen: Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code:
ATTFilter C:\WINDOWS\tasks\{B5880A0F-6059-4958-93F9-70267CB412C5}_AMEX09_Thomas.job C:\Dokumente und Einstellungen\****\Desktop\12082010324.jpg C:\Dokumente und Einstellungen\****\Desktop\amexgt_14062010.zip
Vergiss die **** nicht durch den richtigen Pfad zu ersetzen! Falls die Sachen erkannt wurden, das unter OTL-Script abfahren... Auf jeden Falls solltest Du die JOBS löschen... Fix für OTL:
Code:
ATTFilter :OTL [2010.09.10 16:00:00 | 000,000,392 | -H-- | M] () -- C:\WINDOWS\tasks\{ABE642DC-A7BD-4A33-970C-71DD06761044}_AMEX09_Thomas.job [2010.09.10 16:00:00 | 000,000,392 | -H-- | M] () -- C:\WINDOWS\tasks\{6950BF71-6940-43D1-AF70-D2BF132245EF}_AMEX09_Thomas.job [2010.09.13 09:00:00 | 000,000,392 | -H-- | M] () -- C:\WINDOWS\tasks\{B5880A0F-6059-4958-93F9-70267CB412C5}_AMEX09_Thomas.job [2010.08.12 13:42:08 | 000,979,641 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Desktop\12082010324.jpg [2010.08.30 16:30:49 | 116,311,971 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Desktop\amexgt_14062010.zip :Commands [emptytemp] [Reboot]
chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
Themen zu Antimalware Doctor erfolgreich gelöscht aber noch weitere Probleme |
andere, anti maleware, antimalware, avira, bluescree, bluescreen, dinge, eingefangen, erfolgreich, gelöscht, gen, google, immernoch, klick, laufen, löschen, neustart, posten, problem, probleme, rechner, schonmal, seite, tronjaner, update, updaten, wechsel |