|
Bitte deinstalliere gmer einmal mit C:\WINDOWS\gmer_uninstall.cmd. Dann lade Dir eine neue Version von hier. Es ist das gleiche gmer nur umbenannt. Führe es wie vorab beschrieben aus und poste das Logfile. |
Also... Ich habe zunächst mal CureIt ausgeführt. Beim Schnellscan, den es am Anfang gemacht hat, wurde ein "Backdoortrojaner" gefunden, und es kam eine Meldung, dass "BackDoor.MaosBoot" gefunden wurde. Es kam dann ein Fenster mit der Frage, ob ich den PC neustarten und die Datei desinfizieren lassen will. Das habe ich dann auch getan. Nach dem Neustart habe ich noch einen Komplettscan durchgeführt, bei dem nichts gefunden wurde. Hier der Log vom Schnellscan: RapidShare: Easy Filehosting Falls der Log von dem Komplettscan gebraucht wird, obwohl er keine Funde gemeldet hat, muss ich dann wirklich immer meinen Benutzernamen zensieren? Das würde in dem Fall nämlich ewig dauern. Anschließend habe ich noch einmal neugestartet und dann tbgmer scannen lassen. Allerdings scheint das Problem nach wie vor vorhanden zu sein. EDIT: Ich hab nochmal Antivir prüfen lassen, das findet auch nichts mehr. Jedenfalls nicht im Bootsektor, ich hab jetzt keine Zeit, das ganz durchlaufen zu lassen. Ich muss jetzt auch zur Uni, ich schau heute abend nochmal rein. |
Hast Du ein Multiboot System? fällt mir jetzt erst auf Zitat:
Der MBR Virus bei Dir ist auf jeden Fall inaktiv, allerdings liegt da noch dropper Code rum, wie ich der Datei entnehmen konnte. |
Nein, ich kann nur von einer Festplatte booten. Auf Festplatte C:\ ist Windows XP drauf, auf der anderen kein Betriebssystem. Allerdings hatte ich die 2. Festplatte von einem Freund, und der hatte da ein Betriebssystem drauf. Nach dem Formatieren blieb dann wohl auch wieder der Bootsektor übrig. Daher sind also wohl beide Festplatten "bootable", aber ich kann nur von einer booten. Ist der MaosBoot der BOO/Sinowal.A? |
Ja, der Maosboot ist derselbe wie unser Kollege Sinowal. CureIt gehört. (Eventuelle spätere Logs bitte nicht bei rapidshare hochladen, ich kann die Katzen einfach nicht erkennen. :balla:) Wie Bata schon andeutete war das Teil zu dem Zeitpunkt nicht mehr aktiv, allerdings sollte CureIt in der Lage sein, auch den inaktiven Code zu entfernen. Findet Avira denn weiterhin nichts? Die restlichen Scans waren alle clean, wenn Avira nichts mehr findet, solltest du IMHO sauber sein. :) lg myrtille |
Ich habe CureIt noch einmal komplett durchlaufen lassen, wieder ohne Fund. Anschließend habe ich Antivir geupdated (upgedatet?) und das auch noch einmal scannen lassen. Das hat dann bei der Datei, die ich nach dieser Anleitung (oben; für mbr.exe) erstellt habe, einen Fund gemeldet, TR/Dropper.gen. Ich habe dann auf löschen geklickt, neugestartet und mit Gmer gescannt. Das findet aber immer noch "Malicious Code". Wie krieg ich den weg? |
Die mbr.txt kannst Du löschen. Diese wird zurecht als Infektion erkannt, es ist eine Kopie des Droppers der im Sector 61 liegt. Das Problem mit diesem Sector ist das der gar nicht so einfach zu überschreiben ist. Das ganze gleicht einer Operation am offenen Herzen, wenn was schief geht, macht der PC gar nichts mehr. Zu Deiner Beruhingung, der Schädling ist nicht mehr aktiv, allerdings suche ich derzeit noch nach einer "zarten" Löscung dieses Problems. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 23:12 Uhr. |
Copyright ©2000-2025, Trojaner-Board