![]() |
Trojaner FakeMS Liste der Anhänge anzeigen (Anzahl: 1) Hallo liebe Helfer, habe mir scheinbar einen Trojaner (Fake MS) an Land gezogen. Aufgefallen ist es, als ich mich gestern bei der Comdirect-Bank einloggen wollte (siehe Screenshot Anhang). Logs von defogger, OTL, GMER und Malwarebytes im Zip. Vielen Dank, OSAS |
:hallo: Die Bereinigung besteht aus mehreren Schritten, die ausgefuehrt werden muessen. Diese Nacheinander abarbeiten und die 3 Logs, die dabei erstellt werden bitte in deine naechste Antwort einfuegen. Sollte der OTL-FIX nicht richig durchgelaufen sein. Fahre nicht fort, sondern melde dies bitte. 1. Schritt Fixen mit OTL Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).
Ersetze die *** Sternchen wieder in den Benutzernamen zurück! Code: :OTL
Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen! 2. Schritt Downloade dir bitte ![]()
Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers danach: 3. Schritt Downloade Dir bitte ![]()
|
Hallo, vielen Dank für deine Hilfe t'john. Zum Verstädnis für mich: Wo lag/liegt das Problem? Was hat OTL individualisiert gefixed? Nur die Wogyg\afhyo.exe? Punkt 2 hat nicht reiblunglos funktioniert. Neben der Wogyg\libnspr4.dll (Trojan.FakeMS) Datein wurde auch die nv4_mini.sys als Fund markiert. Beim Neustart dann Bluescreen mit manuellem Ausschalten. Wie beschrieben zweiter Durchlauf. Trohjaner weg, aber mit der nv4_mini.sys das gleiche Spiel. Habe sie jetzt also belassen. Punkt 3 wieder einwandfrei. Hier die Logs: OTL Fix Code: All processes killed Code: Malwarebytes Anti-Rootkit BETA 1.01.0.1020 Code: Malwarebytes Anti-Rootkit BETA 1.01.0.1020 Code: # AdwCleaner v2.113 - Datei am 24/02/2013 um 13:44:00 erstellt |
Zitat:
Zitat:
Datei-Überprüfung Folgende Datei/en (siehe Codebox) bei VirusTotal online überprüfen lassen. Dafür musst Du jede Datei einzeln über den Button "Durchsuchen" und "Send file" nach VirusTotal hochladen und prüfen lassen. Sollte die Datei bereits einmal geprüft sein, bitte auf Reanalyze klicken. Code: C:\WINDOWS\system32\drivers\nv4_mini.sys Beim Firefox mit installiertem NoScript bitte VirusTotal erlauben. Wenn VirusTotal die Datei empfangen hat, wird sie diese mit mehreren Anti-Virus-Scannern prüfen und die Ergebnisse anzeigen. Sollte VirusTotal melden, dass die Datei bereits überpüft wurde, lasse sie trotzdem über den Button "Reanalyse" erneut prüfen. Wenn das Ergebnis vorliegt, kopiere mir den Ergebnis-Link (aus der Adresszeile des Browsers) hier in den Thread. Auch wenn sich herausstellt, dass die Datei/en infiziert ist/sind, bitte nicht ohne Absprache löschen! |
Guten Abend, der gewünschte Link von Virustotal: https://www.virustotal.com/de/file/289ee63e39f9e54246403f5e20457a8e6b864445932ac8d6b601a81e68de099b/analysis/1361821792/ :heilig: |
War falscher Alarm. Sehr gut! :daumenhoc Downloade dir bitte ![]()
Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none). danach: ESET Online Scanner
danach: Downloade Dir bitte ![]()
|
Das war's, PC gecrashed. Was war passiert? Habe am Dienstag die ersten deiner beiden Programme laufen lassen. Mittwoch beim Hochfahren war die Bildschirmauflösung verstellt und die Grafik ruckelte. NVIDEA Programme ließen sich nicht mehr starten. Auflösung über Desktop -> Eigenschaften angepasst. NVIDEA Treiber neu installiert und alles funktionierte wie vorher. Am Ende noch das dritte Programm laufen lassen und ausgemacht. Heute den PC hochgefahren, alles okay. Nach 3 Stunden Betriebsdauer poppt zeitgleich zweimal die gleiche Meldung auf. Wortlaut in etwa (leider nicht richtig gemerkt): Verbindung zum Server deaktiviert. Fortfahren ja/nein? oder Neustart ja/nein? Oder so ähnlich. Welcher Server hab ich gedacht, alles geschlossen und auf Ja geklickt. Danach fuhr der PC sofort runter (nicht das übliche abmelden) und hing in der Dauerschleife zwischen Neustart -> Devices angezeigt -> Windowslogo -> Bluescreen -> Neustart Bluescreen kam so kurz, dass ich nichts lesen konnte. Ich denke da stand auch "Kernel" und "Server", kann es aber nicht genau sagen. Bei "Server" bin ich mir noch unsicherer als bei "Kernel". Im Endeffekt ging nix mehr. Hab dann nach langem Überlegen über die Windows CD gestartet und wollte unter Inkaufnahme des Datenverlustes der Desktopelemente XP unter C neuinstallieren, in der Hoffnung, die Daten auf D bis F zu behalten. Leider zeigte er mir keine Partitionen mehr an, sondern nur noch das Laufwerk C mit der gesamten Speicherkapazität als leer. Nächster Schritt: Formatieren. Klasse. Nach Umstellen des Boot-Device auf Festplatte kommt nicht mal mehr das Windows-Logo. Wollte den Bluescreen mal filmen um wenigstens sagen zu können, was los ist, aber jetzt hängt nach dem ersten Main-Board-Schirm der Startprozess auf nem schwarzen Bildschirm mit nem blinkenden Cursor oben links. Irgend eine Ahnung, was passiert sein könnte? Der Eset-Online-Scan war ohne Fund durchgelaufen. Der SecurityCheck dürfte ja wohl auch nichts verändert haben. Ich bin mir nicht sicher, ob nicht die aswMBR.exe irgendwas "bewirkt" hat? Ich hatte nur Scan gedrückt und der Rechner lief danach ja auch wie vorher, mit Ausnahme des "kaputten" Grafik-Treibers, was mich nochmal an die nv4_mini.sys erinnert hat. Irgendwie macht es den Anschein, als ob die Partitionstabelle kaputt ist. Die Festplatte an sich kann eigentlich nicht abgeraucht sein, sonst würde die Windows-Installation sie mir ja gar nicht angeben, oder? Im Prinzip müssten die Daten noch drauf sein. Aktuell scheint kostspielige Datenrettung der letzte Versuch. Denn, letzte Datensicherung stammt vom 21.11.12. Ärger mich schwarz, nicht im Zuge der Trojaner-Geschichte nochmal und sofort gesichert zu haben. Irgendwelche Ideen die helfen könnten? Gute Nacht erstmal. |
Hoert sich alles nach einem Festplattenfehler an. Die letzten Programme scannen nur und veraendern nichts. Du kannst versuchen eine Ubuntu-Live-CD zu brennen und den Rechner damit starten. Am besten mit UNetbootin - Download - Filepony (http://www.trojaner-board.de/98893-b...erstellen.html) Dort dann am besten Daten sichern, falls die Platte noch reagiert. |
Konnte die Daten mit Testdisk und einer Linux-Live-CD retten Jetzt ist die Partitionstabelle zwar wieder da, aber der Blue Screen stop: c0000221 (falsche prüfsumme für datei). die datei kernel32.dll ist wahrscheinlich berschädigt. die vorspannprüfsumme stimmt nicht. bleibt. Idee? |
Du koenntest versuchen eine Systemwiederherstllung auf einen Zeitpukt vor den Fehler auszufuehren. Geht der abgesicherte Modus mit Eingabeaufforderung? |
Funktionierte beides nicht mehr. Über ein Neuaufsetzen des Systems komme ich wohl nicht umhin. Im Moment aber nicht schlimm, da 1.) Trojaner so vollends weg und System wieder clean und 2.) neue Struktur eh überfällig war. Hoffe nur, es war bloß ein Softwarefehler und nicht, dass die Festplatte jetzt regelmäßig aussteigt. |
Wenn du alle Daten schon gesichert hast, bietet sich das auch geradezu an ;) Dann haettest du ein frisches System. Nach dem Neuaufsetzen, poste mal ein Screenshot von: CrystalDiskInfo - Download - Filepony Das gibt auskunft darueber, wie fit die Platte noch ist. |
Liste der Anhänge anzeigen (Anzahl: 1) hat etwas länger als gedacht gedauert (Skiurlaub ;)), aber jetzt sind die notdürftigsten Sachen wieder installiert. anbei der Screenshot |
Sieht gut aus! ;) Downloade Dir bitte ![]()
|
Hallo, Datein hängt an. Grüße |
Alle Zeitangaben in WEZ +1. Es ist jetzt 01:33 Uhr. |
Copyright ©2000-2025, Trojaner-Board