![]() |
erst ms removal tool und nun sheur3 Am Freitag habe ich mir beim googlen plötzlich dieses ms removal tool eingefangen. AVG lief zwar und gab auch irgendeine Art Warnung, aber da war es schon zu spät, auch wenn ich nur auf den Link in Google und nirgendwo anders geklickt hab. Hab dann eine Systemwiederherstellung von vor ein paar Tagen gemacht und dann war scheinbar Ruhe, aber das erscheint mir etwas zu einfach. Denke da ist trotzdem noch was zurückgeblieben oder? Hab dann auch AVG sofort noch mal komplett Scannen lassen, und da kam dann am nächsten Tag die Warnung Trojaner sheur3 gefunden. Hab das dann in Quarantäne verlagert und joa... jetzt möchte ich gern wissen was nun hier noch zu machen ist. Bzw wie gefährdet/infiziert mein Laptop ist. "Symptome" habe ich im Moment keine. Firefox hat nun ein paar mal eine Werbungsfenster geöffnet, aber ich kann nicht unterscheiden ob das von der neuen Version von Firefox ist, die ich auch seit neuerem habe oder nun von irgendeiner Malware. Die geforderten Logs habe ich gemacht, weiß nur grad noch nicht wie ich dir hier einfüge. Mache ich schnellstmöglich. Aber ich finde grad diese Textbox nicht wo ich die Logs einfügen soll?? USB etc benutz ich zurZeit natürlich nicht. Füge das eine fehlende grad mal so ein... kann es auch noch besser machen, wenn ich weiß wie ;-) gmer.log: GMER 1.0.15.15640 - hxxp://www.gmer.net Rootkit scan 2011-06-20 14:42:57 Windows 5.1.2600 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0 WDC_WD16 rev.04.0 Running: gr6tsij6.exe; Driver: C:\DOKUME~1\ANKERI~1\LOKALE~1\Temp\pgtdrpow.sys ---- Devices - GMER 1.0.15 ---- AttachedDevice \Driver\Tcpip \Device\Ip avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) AttachedDevice \Driver\Tcpip \Device\Tcp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.) AttachedDevice \Driver\Tcpip \Device\Udp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.) AttachedDevice \Driver\Tcpip \Device\RawIp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.) ---- EOF - GMER 1.0.15 ---- |
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTL Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. |
Ok, hab ich gemacht. Hier also das Protokoll: ========== OTL ========== HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully! C:\AUTOEXEC.BAT moved successfully. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1e190378-a2d5-11df-9aec-00038a000015}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1e190378-a2d5-11df-9aec-00038a000015}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1e190378-a2d5-11df-9aec-00038a000015}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1e190378-a2d5-11df-9aec-00038a000015}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1e190378-a2d5-11df-9aec-00038a000015}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1e190378-a2d5-11df-9aec-00038a000015}\ not found. File E:\AutoRun.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1e19037b-a2d5-11df-9aec-00038a000015}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1e19037b-a2d5-11df-9aec-00038a000015}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1e19037b-a2d5-11df-9aec-00038a000015}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1e19037b-a2d5-11df-9aec-00038a000015}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1e19037b-a2d5-11df-9aec-00038a000015}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1e19037b-a2d5-11df-9aec-00038a000015}\ not found. File E:\AutoRun.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3c330cbb-8842-11e0-9bec-001b77275776}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3c330cbb-8842-11e0-9bec-001b77275776}\ not found. File sandisk.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3c330cbb-8842-11e0-9bec-001b77275776}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3c330cbb-8842-11e0-9bec-001b77275776}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3c330cbb-8842-11e0-9bec-001b77275776}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3c330cbb-8842-11e0-9bec-001b77275776}\ not found. File C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL sandisk.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3c330cbb-8842-11e0-9bec-001b77275776}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3c330cbb-8842-11e0-9bec-001b77275776}\ not found. File sandisk.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3c330cbb-8842-11e0-9bec-001b77275776}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3c330cbb-8842-11e0-9bec-001b77275776}\ not found. File sandisk.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4116137e-a77a-11df-9af0-00038a000015}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4116137e-a77a-11df-9af0-00038a000015}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4116137e-a77a-11df-9af0-00038a000015}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4116137e-a77a-11df-9af0-00038a000015}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4116137e-a77a-11df-9af0-00038a000015}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4116137e-a77a-11df-9af0-00038a000015}\ not found. File E:\AutoRun.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4116137f-a77a-11df-9af0-00038a000015}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4116137f-a77a-11df-9af0-00038a000015}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4116137f-a77a-11df-9af0-00038a000015}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4116137f-a77a-11df-9af0-00038a000015}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4116137f-a77a-11df-9af0-00038a000015}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4116137f-a77a-11df-9af0-00038a000015}\ not found. File E:\AutoRun.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{87a9bee4-ca9b-11dc-96cd-00038a000015}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{87a9bee4-ca9b-11dc-96cd-00038a000015}\ not found. File wscript.exe .\.vbs not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{87a9bee4-ca9b-11dc-96cd-00038a000015}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{87a9bee4-ca9b-11dc-96cd-00038a000015}\ not found. File wscript.exe .\.vbs not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ff772920-683f-11dc-9651-00038a000015}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ff772920-683f-11dc-9651-00038a000015}\ not found. File wscript.exe .\.vbs not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ff772920-683f-11dc-9651-00038a000015}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ff772920-683f-11dc-9651-00038a000015}\ not found. File wscript.exe .\.vbs not found. Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nD42900LjDaB42900\ not found. ========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully OTL by OldTimer - Version 3.2.24.1 log created on 06212011_161442 |
Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten. http://www.trojaner-board.de/attachm...rnen-start.png Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen: Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop. Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern ) http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif |
Dafür auch wieder alle Programm incl Virenscanner und Internet ausstellen?? Oder ist das nicht nötig? Und wie lange dauert das ca? Also wie ein normaler Virenscan 1,5 Std oder weniger? Auf meine eingenen Dateien etc kann ich zugreifen. Merke derzeit eigentlich gar nix auffälliges. |
Ja stell mal ab. tdsskiller braucht nicht so lange. |
So, hat in der Meldung angezeigt, dass nix gefunden wurde. Anbei der Report. |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Combofix lässt sich nicht ausführen. Es möchte AVG deinstalliert haben. Das habe ich versucht, aber wenn ich über die Systemsteuerung versuche spuckt es die Fehlermeldung raus, mit dem Detail: Arbeitsplatz: Installation fehlgeschlagen Installation: Fehler: Aktion Registryschlüssel HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows: Erstellen eines Registry-Schlüssels... fehlgeschlagen. Error 0x80070005 Was nun? Ich kann die Warnung von Combofix zwar "quittieren" aber dann ist das Programm halt zuende und macht nicht weiter. Soll ich AVG dann manuell irgendwie löschen? BZw wie erwische ich dann "alles" von AVG? |
Ja richtig, AVG musst du vorher deinstallieren. Wenn AVG sich sträubt, musst du mit einem speziellen Tool von AVG ran, dass diesen Scanner deinstalliert => AVG - Download tools and utilities |
So, hier nun das log von ComboFix. Kann ich AVG nun wieder installieren? |
Nein nichts voreilig installieren. Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code: Seccenter:: 4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. http://users.pandora.be/bluepatchy/m...s/CFScript.gif 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann! |
So hier nun wieder das log |
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
nun hier wieder die logs. osam: OSAM Logfile: Code: Report of OSAM: Autorun Manager v5.0.11926.0 If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru und gmer: GMER Logfile: Code: GMER 1.0.15.15640 - hxxp://www.gmer.net |
Alle Zeitangaben in WEZ +1. Es ist jetzt 20:16 Uhr. |
Copyright ©2000-2025, Trojaner-Board