|
Code: 00:05:38.0437 2572 HTTPFilter - ok |
Hallo Jens, der TDSSkiller ist dreimal gelaufen. Hattest Du den Scan beim ersten Mal unterbrochen? Wie dem auch sei, der Scan erbrachte keine neuen Erkenntnisse. Lasse uns noch eins probieren: Malware mit Combofix beseitigen Lade Combofix von einem der folgenden Download-Spiegel herunter: BleepingComputer.com - ForoSpyware.com und speichere das Programm auf den Desktop, nicht woanders hin, das ist wichtig! Beachte die ausführliche Original-Anleitung. Zurzeit ist Combofix auf folgenden Windows-Versionen lauffähig:
Vorbereitung und wichtige Hinweise
Kurzanleitung zur Installation der Wiederherstellungskonsole unter XP
** Zur Information: Sollte die Wiederherstellungskonsole schon installiert sein, so wird ComboFix seine Malware-Entfernungsprozedur normal fortfahren. http://i94.photobucket.com/albums/l8...eWHKonsole.jpg Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen: http://i94.photobucket.com/albums/l8...nstalliert.jpg
Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen! |
hi habe den scan nicht unterbrochen, als er fertig war konnte man ihn nochmal starten, und beim drittenmal habe ich gemerkt das ich 3 mal das gleiche gescannt habe. hier nun die combofix Code: 9.20Code: ComboFix 12-05-23.05 - Jens Kaiser 23.05.2012 21:28:02.1.1 - x86 |
Hallo Jens, im folgenden Fix gehe ich davon aus, dass Trojan Killer und TuneUp nicht mehr installiert sind. Falls doch, sage mir vor der Ausführung des Skriptes Bescheid. Und auch diesen fraglichen Dienst j:\Fxdrv.sys haue ich jetzt raus. Da Dr.Web nicht funktionierte, lösche ich das auch. ===== Punkt 1 ===== Combofix mit Skript laufen lassen
Anwendung
Hinweis für Mitleser: Obiges Combofix-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden. ===== Punkt 2 ===== msconfig - Wie handhaben? Hier ein paar grundsätzliche Informationen zur Systemkonfiguration. Die Systemkonfiguration wird wie folgt aufgerufen: XP: Start => ausführen => msconfig (reinschreiben) => ok. Vista und Windows 7: Start => msconfig (ins Suchfeld schreiben) => [Enter] Grundsätzlich gilt: Dienste oder Prozesse nicht über msconfig langfristig deaktivieren oder vom Systemstart ausschließen. msconfig nur nutzen, wenn kurzfristig etwas getestet werden soll. Wenn ein Dienst oder ein Prozess langfristig deaktiviert oder vom Systemstart ausgeschlossen werden soll, wie folgt vorgehen: Dienste immer über services.msc deaktivieren. XP: Start => ausführen => services.msc (reinschreiben) => ok. Vista und Windows 7: Start => services.msc (ins Suchfeld schreiben) => [Enter] Suche im Fenster der Dienste den zu deaktivierenden Dienst und mache einen Doppelklick darauf, schaue Dir die Beschreibung an, damit klar wird, wozu dieser Dienst benötigt wird. Achte auf den Reiter Abhängigkeiten. Wenn Du sicher bist, dass dieser Dienst nicht benötigt wird, beende im aufpoppenden Eigenschafts-Fenster des Dienstes den Dienststatus und stelle bei Starttyp auf Deaktiviert um. Prozesse immer über die Einstellungen/Optionen des Programmes selbst vom Systemstart ausschließen. Dazu das entsprechende Programm starten, im Menü Einstellungen bzw. Optionen aufrufen und die Einstellung deaktivieren, dass das Programm beim Systemstart mitstarten soll. Meistens reicht es, den Haken zu entfernen und diese Einstellungen zu übernehmen. Solltest Du Dienste oder Prozesse über msconfig deaktiviert oder vom Systemstart ausgeschlossen haben, gehe wie folgt vor: Programme über msconfig aus dem Systemstart genommen? Du hast einige Prozesse über msconfig oder ein ähnliches Tool vom Systemstart ausgeschlossen. Wie oben erklärt, sollte das grundsätzlich nicht getan werden und ist zudem gefährlich, wenn es sich dabei um Schädlinge handelt. Daher werden wir diese Einträge komplett aus msconfig entfernen, gehe dazu wie folgt vor: Deaktivierte Dienste und vom Systemstart ausgeschlossene Prozesse wieder aktivieren:
Den Computer nicht neustarten, auch wenn Du dazu aufgefordert wirst. Erstelle ein neues HijackThis-Logfile und poste es im Forum. Erstmal stoppen, bis Du von dem Helfer neue Anweisungen erhälst. Wenn keine Malware-Einträge vorhanden sind, kannst Du nun den Computer neu starten und wie folgt fortfahren: Deinstalliere nun über Systemsteuerung => Software die nicht mehr benötigten Programme. Starte erneut msconfig und prüfe, welche Prozesse und Dienste Du deaktivieren bzw. vom Systemstart ausschließen möchtest und mache das wie oben beschrieben über services.msc und/oder in den Einstellungen/Optionen des Programms. Sollte sich ein Prozess nicht über die entsprechenden Programm-Optionen vom Systemstart ausschließen lassen, frage im Forum. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen! |
zu punkt 1 |
Punkt 2 kappier ich nicht so ganz seh ich das richtig alles was in services.msc im jeweiligen diesnst bei der abhängigkeit etwas drin steh darf nicht deaktiviert werden? soll ich dir mal die dateien von msconfig die bei dienste und die bei systemstart drin sind mal hier posten? |
Hallo Jens, zu Punkt 2: jo, vielleicht habe ich das etwas umständlich erklärt - da muss ich wohl mal meinen Textbaustein überarbeiten ^^ Ich versuche es mal anders: folgende Programme sind von Dir über msconfig vom Systemstart ausgeschlossen worden. Code: [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Osrik.exe]Prüfe also mal in den obigen Programmen, ob es dort in den Einstellungen/Optionen eine Möglichkeit gibt, die Programme vom Systemstart auszuschließen. Berichte mir außerdem, wie der Rechner nun nach unseren Aktionen läuft und welche Probleme er noch macht. |
pc läuft sehr stabil, und startet etwas schneller wie sonst die obigen programme habe ich nun vom systemstart rausgenommen |
Hallo Jens, nur damit wir uns nicht falsch verstehen. Vom Systemstart waren obige Programme schon über msconfig rausgenommen. Noch eine Frage: Ist der Computer nach dem Combofix-Durchlauf mit dem letzten Skript schneller geworden oder lief er auch vorher schon schneller? Interessiert mich, weil ich sehen möchte, ob das Rausnehmen des FXDRV-Dienstes eine Rolle spielt. ===== Punkt 1 ===== Welche Java-Version ist installiert? Kontrolliere über Systemsteuerung => Programme, welche Java-Version installiert ist. Falls es nicht Java Version 7 Update 4 ist: Systemsteuerung => Java => Aktualisierung => Jetzt aktualisieren. Unter Systemsteuerung => Java => Aktualisierung einstellen: Benachrichtigung ausgeben => Vor der Installation Haken bei Automatisch nach Aktualisierung suchen machen und unter Erweitert auf "Wöchentlich" einstellen. Eventuell vorhandene ältere Versionen von Java über Systemsteuerung => Programme deinstallieren und ggfs. auch im Firefox unter Addons => Erweiterungen die alten Java-Versionen entfernen. Die Offline-Version von Java Version 7 Update 4 von Oracle findest Du hier. Achte bei der Installation darauf, eventuell angebotene Toolbars nicht mitzuinstallieren, also während der Installation den Haken bei der Toolbar entfernen. User mit 64Bit-System sollten die 32Bit-Version installieren. Es hat sich mehrfach gezeigt, dass die 64Bit-Version Probleme bereitet. Java-Cache leeren Start => Systemsteuerung => Java => Allgemein => Temporäre Internet-Dateien "Einstellungen" => Dateien löschen => Haken bei "Anwendungen und Applets" sowie bei "Verfolgungs- und Protokolldateien" setzen => OK |
ja ich finde nach dem letzten combofix läuft er besser Punkt 1 auch erledigt |
Hallo Jens, ===== Punkt 1 ===== lasse bitte jetzt erneut den TDSSKiller laufen und posten mir das Logfile. ===== Punkt 2 ===== Combofix deinstallieren Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking (Norton) und Anti-Malware Programme deaktivieren. Start => Ausführen => dort reinschreiben ComboFix /Uninstall => Enter drücken Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch daraus die Schädlinge verschwinden. Es wird ein neuer Systemwiederherstellungspunkt erstellt. Gleichzeitig setzt Combofix die Zeiteinstellungen wieder auf die Ursprungseinstellungen, und setzt die Systemeinstellungen wieder so zurück, dass Dateierweiterungen und Systemdateien versteckt sind, was Du bei Bedarf im Explorer unter Extras => Ordneroptionen aber wieder ändern bzw. Deinen persönlichen Vorlieben entsprechend anpassen kannst. |
Liste der Anhänge anzeigen (Anzahl: 1) Zu Punkt 1 |
Punkt 2 auch erledigt |
Prima, wenn es keine Probleme mehr gibt, können wir dann auch zu den Schlussarbeiten kommen: ===== Punkt 1 ===== Tool-Bereinigung mit OTL Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.
Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell. ===== Punkt 2 ===== Nachsorge XP und Vista Im Anschluss gebe ich Dir einige Tipps und Hinweise, die Dir helfen werden, Dein System abzusichern und in Zukunft frei von Malware zu halten. Wenn Dein System infiziert war, rate ich Dir, alle Deine Passwörter zu ändern. Bitte betrachte die folgenden Tipps als Vorschläge und nicht als Nonplusultra. FileHippo Update Checker Lade den FileHippo Update Checker herunter und installiere ihn. Während der Installation den Haken bei "Run at Startup" entfernen. Lasse den Update Checker prüfen, welche Updates nötig sind und aktualisiere die gemeldeten Programme. Die meisten Programme können gleich von dort aus heruntergeladen werden. Mache das alle 14 Tage. Eine bebilderte und ausführliche Anleitung findest Du hier. Absicherung Falls noch nicht installiert, solltest Du die folgenden Programme installieren: Malwarebytes' Anti-Malware ist ein gutes Programm, welches schädliche Software sucht und unschädlich macht. Lasse Malwarebytes' Anti-Malware in regelmäßigen Abständen (z. B. einmal pro Woche) laufen und lasse vor der Überprüfung immer nach Updates suchen. Eine ausführliche Anleitung findest Du hier. Um Dein System frei von temporären Dateien zu halten, empfehlen wir CCleaner, (Toolbar nicht mitinstallieren) eine Freeware-Software zur Optimierung und zum Aufräumen von Windows, Einzelheiten siehe unsere Anleitung. Von Java immer nur die aktuellste Version auf dem Rechner haben, alle anderen deinstallieren. Verwende einen alternativen Browser, ich empfehle Firefox. Es gibt eine große Anzahl von Erweiterungen, wie z. B. Adblock Plus und NoScript. Mit der Erweiterung IE Tab 2 ist sogar das Windows- und Office-Upate über Firefox möglich. Die Erweiterung QuickJava sorgt dafür, dass Du Java und Java-Skript nur bei Bedarf einschalten kannst. Hier kannst Du checken, ob die Plugins im Firefox aktuell sind. Eine alternatives E-Mail-Programm ist Thunderbird. Auch dafür gibt es viele sehr gute Erweiterungen. Als Alternative für die ganzen Messenger kommen Pidgin, Miranda-IM oder Trillian infrage, da sie mit den wichtigsten Protokollen wie AIM, ICQ, IRC, MSN oder Yahoo zurechtkommen. Mit einem dieser Instant-Messenger kannst mit Deinen Chatfreunden über ein einziges Programm Chat-Kontakt halten, ohne x verschiedene Messenger installieren und starten zu müssen. "Wie konnte die Malware auf meinen Rechner kommen?", ist die wohl am häufigsten gestellte Frage. Malware gelangt in erster Linie über sogenannte Browser Exploits auf einen Rechner, also über Sicherheitslücken im Browser selbst. Weitere Schleusen sind E-Mail-Anhänge, Lecks im Betriebssystem und Programmen oder über Dateidownloads aus unsicheren Quellen. Durch Einsatz Deines Köpfchens und folgende simple Maßnahmen kannst Du den Schutz optimieren:
|
Punkt 1 und Punkt 2 erledigt vielen vielen dank für die nette unterstützung mfg jens |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 08:31 Uhr. |
Copyright ©2000-2025, Trojaner-Board