| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: AVAST findet Bootkit?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
08.03.2011, 17:30
| #16 |
| /// Winkelfunktion /// TB-Süch-Tiger™   |  AVAST findet Bootkit? Werden die gefixten Einträge bei OSAM noch angezeigt? Wenn nicht => Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!!
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
08.03.2011, 17:40
| #17 |
 | AVAST findet Bootkit? Da wird nix mehr angezeigt...
__________________Soll ich trotzdem nochmal drüberscannen? |
|
08.03.2011, 18:05
| #18 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | AVAST findet Bootkit? Ja die Kontrollscans mit MBAM und SUPERAntiSpyware will ich sehen
__________________
__________________ |
|
08.03.2011, 19:02
| #19 |
| | AVAST findet Bootkit? MBAM: Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 5990 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 08.03.2011 19:01:23 mbam-log-2011-03-08 (19-01-18).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 201769 Laufzeit: 31 Minute(n), 8 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 3 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{10af03d2-2f08-f172-4e03-cc9ffd152314} (Adware.Adrotator) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{10af03d2-2f08-f172-4e03-cc9ffd152314} (Adware.Adrotator) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{10AF03D2-2F08-F172-4E03-CC9FFD152314} (Adware.Adrotator) -> No action taken. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders (Spyware.Passwords.XGen) -> Bad: (mltsihgy.dll) Good: () -> No action taken. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\WINDOWS\system32\mltsihgy.dll (Spyware.Passwords.XGen) -> No action taken. |
|
08.03.2011, 20:24
| #20 | |
| | AVAST findet Bootkit? superantispyware: Zitat:
|
|
08.03.2011, 21:32
| #21 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | AVAST findet Bootkit? Hast du alle Funde entfernt? Mich wundert es etwas, dass da (wieder?) so viel drauf ist, oder liegt die letzte Entseuchung mit markusg schon wieder so lange zurück 
__________________ --> AVAST findet Bootkit? |
|
08.03.2011, 21:36
| #22 |
| | AVAST findet Bootkit? Ja ich habe alle Funde entfernen lassen. Das mit den Funden wundert mich auch, vorallem weil beim letzten MBAM-Scan von gestern diese noh nicht drauf waren. Und ich hab erst mitte Februar formatiert. LG |
|
08.03.2011, 21:39
| #23 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | AVAST findet Bootkit?Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
|
09.03.2011, 14:15
| #24 |
| | AVAST findet Bootkit? icb weiss selbst nicht, wo die viren herkommen. ich lade keine illegale software runter, surfe nicht auf unseriösen seiten! wenn ich mir bei manchen downloads unsicher bin lade ich diese bei virustotal hoch. ich öffne keine email anhänge, lasse die dateierweiterungen anzeigen. windows update ist aktiviert, software ist auch alles die letzte version. und trotzdem kommt da was drauf :\ was ist als nächstes zu tun? LG |
|
09.03.2011, 15:18
| #25 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | AVAST findet Bootkit? mach nochmal frische Logs mit OTL. Wenn die sauber sind, sollten wir erstmal durch sein, oder hast du noch weitere Funde oder andere gravierende Probleme?
__________________ Logfiles bitte immer in CODE-Tags posten |
|
09.03.2011, 16:17
| #26 |
| | AVAST findet Bootkit? OTL im Anhang. ich werde immernoch weitergeleitet, vorallem auf die seite für das übersetzungsprpgramm babylon! werde weiter scans machen... Danke für deine hilfe! LG |
|
09.03.2011, 16:46
| #27 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | AVAST findet Bootkit? Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code:
ATTFilter :OTL
[2011.02.19 19:23:51 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{24036256-BFDB-4CD3-BE8A-A3D6160F2E16}
[2011.02.15 21:04:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2011.02.21 20:28:19 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ISBXJAUUBE
[2007.05.10 01:39:28 | 000,003,584 | ---- | C] () -- C:\WINDOWS\System32\CNCFLdNL.DLL
[2011.01.29 17:00:24 | 000,030,568 | ---- | C] () -- C:\WINDOWS\MusiccityDownload.exe
[2011.01.29 17:00:22 | 000,974,848 | ---- | C] () -- C:\WINDOWS\System32\cis-2.4.dll
[2011.02.15 20:36:37 | 000,001,237 | ---- | C] () -- C:\WINDOWS\System32\usrlogon.cmd
[2011.02.15 20:36:36 | 000,003,286 | ---- | C] () -- C:\WINDOWS\System32\tslabels.h
[2011.02.15 20:36:35 | 000,000,768 | ---- | C] () -- C:\WINDOWS\System32\msdtcprf.h
[2011.03.02 17:08:29 | 000,001,024 | ---- | C] () -- C:\.rnd
[2011.02.27 14:54:42 | 000,000,266 | -HS- | C] () -- C:\WINDOWS\setup_9.0.0.722_26.02.2011_12-18drv.spi
[2011.02.15 20:39:33 | 000,299,552 | ---- | M] () -- C:\WINDOWS\WMSysPrx.prx
[2011.02.15 21:46:41 | 000,316,640 | ---- | M] () -- C:\WINDOWS\WMSysPr9.prx
:Commands
[purity]
[resethosts]
[emptytemp]
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
09.03.2011, 17:07
| #28 |
| | AVAST findet Bootkit?Code:
ATTFilter All processes killed
========== OTL ==========
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{24036256-BFDB-4CD3-BE8A-A3D6160F2E16} folder moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}\x86\x86 folder moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}\x86 folder moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521} folder moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ISBXJAUUBE folder moved successfully.
C:\WINDOWS\system32\CNCFLdNL.DLL moved successfully.
C:\WINDOWS\MusiccityDownload.exe moved successfully.
C:\WINDOWS\system32\cis-2.4.dll moved successfully.
C:\WINDOWS\system32\usrlogon.cmd moved successfully.
C:\WINDOWS\system32\tslabels.h moved successfully.
C:\WINDOWS\system32\msdtcprf.h moved successfully.
C:\.rnd moved successfully.
C:\WINDOWS\setup_9.0.0.722_26.02.2011_12-18drv.spi moved successfully.
C:\WINDOWS\WMSysPrx.prx moved successfully.
C:\WINDOWS\WMSysPr9.prx moved successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
[EMPTYTEMP]
User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: All Users
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: Matthias
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 237552080 bytes
->Java cache emptied: 9428 bytes
->FireFox cache emptied: 76175876 bytes
->Flash cache emptied: 2399 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 69823990 bytes
->Java cache emptied: 4635 bytes
->Flash cache emptied: 26509 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 483 bytes
RecycleBin emptied: 2753792374 bytes
Total Files Cleaned = 2.992,00 mb
OTL by OldTimer - Version 3.2.22.3 log created on 03092011_170011
Files\Folders moved on Reboot...
Registry entries deleted on Reboot...
|
|
09.03.2011, 21:54
| #29 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | AVAST findet Bootkit? Ich brauch den Quarantäneordner von OTL. Bitte folgendes machen: 1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf da nicht rummurksen! 2.) Ordner C:\_OTL in eine Datei zippen 3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html 4.) Wenns erfolgreich war Bescheid sagen 5.) Erst dann wieder den Virenscanner einschalten
__________________ Logfiles bitte immer in CODE-Tags posten |
|
10.03.2011, 16:14
| #30 |
| | AVAST findet Bootkit? ich glaub die datei ist zu groß für den upload server. hab es jetzt hier hochgeladen, wenn du es gedownloadest hast werde ich es auch wieder löschen... hxxp://www.file-upload.net/download-3274110/_OTL.rar.html LG |
|
| Themen zu AVAST findet Bootkit? |
| anhang, avast, bootkit, erhalte, folge, folgende, meldung, stunde |
Linear-Darstellung
