|
AntiVir Guard inaktiv, lässt sich nicht deinstallieren, startet immer wieder Setup
(https://www.trojaner-board.de/86671-antivir-guard-inaktiv-laesst-deinstallieren-startet-immer-setup.html)
AntiVir Guard inaktiv, lässt sich nicht deinstallieren, startet immer wieder Setup Hallo, ich habe mir die aktuelle Version von AntiVir runtergeladen, der AntiVir Guard lässt sich aber nicht aktivieren. Deinstallieren kann ich das Programm auch nicht, da es wenn ich dies über die Systemsteuerung versuche immer wieder ein neues Setup startet. Habt ihr ne Idee, was ich noch versuchen könnte? Das Problem trat erst nach diversen Virenfunden (Antivirus soft und antimalware doctor) auf. Ich habe, wie hier im Forum empfohlen rkill, super antispyware, malwarebytes und OTL drüber laufen lassen und seit gestern auch keine Meldung mehr bekommen. Vermutlich hat mein AntiVir Problem aber etwas mit den Problemen davor zu tun. Falls logs benötigt werden, bitte ich um kurze Info welche, kenn mich nicht so aus mit dem Kram hier, habe ja jetzt genug davon. Ok. Er hat doch wieder was gefunden:( Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4161 Windows 5.1.2600 Service Pack 3 Internet Explorer 7.0.5730.11 01.06.2010 21:55:48 mbam-log-2010-06-01 (21-55-48).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 188083 Laufzeit: 38 Minute(n), 55 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 4 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\Software\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Besten Dank im Voraus!!! Multebeere |
Hallo und :hallo: Zitat:
|
Ok, das sind allerdings einige, weil ich das ständig hab durchlaufen lassen: MBAM: Code: Malwarebytes' Anti-Malware 1.46Code: Malwarebytes' Anti-Malware 1.46Code: Malwarebytes' Anti-Malware 1.46Code: Malwarebytes' Anti-Malware 1.46Code: SUPERAntiSpyware Scan LogCode: SUPERAntiSpyware Scan LogCode: SUPERAntiSpyware Scan LogCode: SUPERAntiSpyware Scan Log |
Hm, da wurde ein bisschen was entfernt :D Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
|
Bitte beide Logs zippen und hier anhängen... |
okay, ich versuchs. ich hab noch logs von heute, die auch? |
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. |
Hab ich gemacht, hier das Log file. Beim hochladen zeigt mir der Rechner übrigens immer folgende Meldung an, vielleicht ist das wichtig: Fehler beim LAden von rboziloq.dll Modul wurde nicht gefunden. All processes killed ========== OTL ========== Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\gsyrruak deleted successfully. C:\Dokumente und Einstellungen\Dilek I\Lokale Einstellungen\Anwendungsdaten\mtmytdjmn\lokjsrdtssd.exe moved successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\MChk deleted successfully. C:\WINDOWS\system32\mctfabga.exe moved successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\skb deleted successfully. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{04861ea8-d161-11de-9a19-0040d08a74b6}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{04861ea8-d161-11de-9a19-0040d08a74b6}\ not found. File F:\Photo_Porst\setup_Photo_Porst.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1673099c-f111-11db-949b-0040d08a74b6}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1673099c-f111-11db-949b-0040d08a74b6}\ not found. File F:\setupSNK.exe not found. ========== FILES ========== C:\WINDOWS\System32\rqpgdnaahqxzmglhv.exe moved successfully. C:\Dokumente und Einstellungen\abc I\Lokale Einstellungen\Anwendungsdaten\mtmytdjmn folder moved successfully. File\Folder C:\WINDOWS\system32\mctfabga.exe not found. ========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: All Users User: Besitzer User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 196742 bytes ->Flash cache emptied: 389 bytes User: abc I ->Temp folder emptied: 147754832 bytes ->Temporary Internet Files folder emptied: 19577393 bytes ->Java cache emptied: 49150864 bytes ->FireFox cache emptied: 51492546 bytes ->Flash cache emptied: 1367 bytes User: LocalService ->Temp folder emptied: 66016 bytes ->Temporary Internet Files folder emptied: 3734802 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 4368069 bytes ->Flash cache emptied: 1584 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 2134333 bytes %systemroot%\System32 .tmp files removed: 13495687 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 45958617 bytes RecycleBin emptied: 47401324 bytes Total Files Cleaned = 367,00 mb OTL by OldTimer - Version 3.2.5.2 log created on 06022010_185932 Files\Folders moved on Reboot... Registry entries deleted on Reboot... Besten Dank! |
Gut. Dann mach jetzt nen Durchgang mit CF: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Hi Arne, hier die combofix datei Combofix Logfile: Code: ComboFix 10-06-02.04 - abc I 03.06.2010 16:51:07.1.1 - x86 |
Von GMER gibt es ein spezielles Tool um den MBR (Master Boot Record) zu prüfen, der MBR wird zB auch vom Sinowal manipuliert. Die MBR.exe sollte aus der Konsole ausgeführt werden, also zB so: Die mbr.exe liegt direkt auf C:, dann öffnest Du über Start, Ausführen cmd.exe (schwarze Konsole öffnet sich) und dort tippst Du ein: c:\mbr.exe > c:\mbr.txt Und bestätigst mit Enter. Die Logdatei vom MBR-Tool findest Du im gleichen Pfad, von der die mbr.exe ausgeführt wurde, im obigen Beispiel c:\mbr.txt - das bitte öffnen und den Inhalt hier posten. |
Hi Arne, ich habe dieses Tool per Doppelklick geöffnet und folgende Meldung bekommen: Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully copy of MBR has been found in sector 0x0BA50E41 malicious code @ sector 0x0BA50E44 ! PE file found in sector at 0x0BA50E5A ! MBR rootkit infection detected ! Use: "mbr.exe -f" to fix. Wenn ich über Start-Ausführen gehe und das eintippe, was ich soll, dann kommt : Der Befehl ist entweder falsch geschrieben oder konnte nicht gefunden werden. Wo soll ich dieses Tool genau speichern, liegts vielleicht an nem falschen Speicherort? Besten Dank, wie immer. Gruß Dilek |
Gut, dann mach das gleich nochmal aber nimmt stattdessen diesen Befehl: Code: c:\mbr.exe -f >> c:\mbr.txt |
Hi Arne, leider genau das gleiche Ergebnis: das ist zu sehen: C:\Dokumente und Einstellungen\abc I>c:\mbr.exe -f >> c:\mbr.txt Der Befehl c:\mbr.exe ist entweder falsch geschrieben oder konnte nicht gefunden werden. Hast Du noch ne Idee? Gruß Dilek |
Du musst die MBR.exe direkt nach c: kopieren! Kopier sie am besten nach c:\windows\system32 - dann kannst Du sie problemlos aus der Konsole starten mit mbr.exe -f >> c:\mbr.txt |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 21:01 Uhr. |
Copyright ©2000-2025, Trojaner-Board