|
brastk kann nicht entfernt werden. Habe gegen Punkt 2 und 5 verstossen, Begründung: 2: Ich habe es zuerst im Würmertopoic gepostet.. und mir erst später das HijackThis runtergeladen. Da es dafür aber ein eigenes Topic gibt (mit den Logfiles) hab ich da nochmals ein neues Topic aufmachen müssen. Zu Punkt 5: Hab doch alles angegeben (?) Betriebssystem Windows XP (stht auch im Logfile) Fehlermeldung hab ich jetzt keine mehr. Was für Pfadangaben? Da mein Topic gelöscht wurde, poste ich es nochmals, in der Hoffung damit gegen keinen Punkt zu verstossen, da mir die Lösung des Problems wichtig ist. Der Mc Afee Virenscanner sagt dazu: 30.10.2008 21:53:38 Löschen nicht möglich (Säuberung fehlgeschlagen) Manolo c:\WINDOWS\system32\brastk.exe Generic Downloader.x(Trojanisches Pferd)web405p6 Brastk kann ich auch nicht löschen, da er gerade am laufen sei. In den Prozessen finde ich aber kein brastk.exe zum beeanden. Logfile of Trend Micro HiJackThis v2.0.2 Scan saved at 00:19:16, on 31.10.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\ibmpmsvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\IPSSVC.EXE C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc .exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe C:\Programme\McAfee\Common Framework\FrameworkService.exe C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\WINDOWS\system32\svchost.exe c:\programme\lenovo\system update\suservice.exe C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe C:\WINDOWS\System32\TPHDEXLG.EXE C:\WINDOWS\system32\TpKmpSVC.exe C:\Programme\Lenovo\Rescue and Recovery\rrservice.exe C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe C:\Programme\Lenovo\Rescue and Recovery\ADM\IUService.exe C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe C:\Programme\Gemeinsame Dateien\Lenovo\Logger\logmon.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Programme\ThinkPad\ConnectUtilities\SvcGuiHlpr. exe C:\Programme\Lenovo\Client Security Solution\cssauth.exe C:\WINDOWS\Explorer.EXE C:\Programme\Diskeeper Corporation\Diskeeper\DkIcon.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe C:\WINDOWS\system32\TpShocks.exe C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe C:\Programme\Analog Devices\Core\smax4pnp.exe C:\Programme\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe C:\Programme\Lenovo\PkgMgr\HOTKEY_1\TpScrex.exe C:\WINDOWS\vsnp2std.exe C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE C:\PROGRA~1\THINKV~2\PrdCtr\LPMGR.exe C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\ThinkVantage\AMSG\Amsg.exe C:\WINDOWS\System32\DLA\DLACTRLW.EXE C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\Programme\Lenovo\AwayTask\AwaySch.EXE C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.ex e C:\Programme\Lenovo\SafeGuard PrivateDisk\pdservice.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe C:\Programme\QuickTime\QTTask.exe C:\Programme\Lenovo\Client Security Solution\tvtpwm_tray.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\McAfee\VirusScan Enterprise\SHSTAT.EXE C:\Programme\McAfee\Common Framework\UdaterUI.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe C:\Programme\McAfee\Common Framework\McTray.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\HPJETDSC.EXE C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe C:\WINDOWS\system32\drivers\svchost.exe C:\Programme\ThinkPad\Bluetooth Software\BTTray.exe C:\Program Files\Digital Line Detect\DLG.exe C:\Programme\OpenOffice.org 2.2\program\soffice.exe C:\Programme\OpenOffice.org 2.2\program\soffice.BIN C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.lenovo.com/welcome/thinkpad R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan Enterprise\scriptcl.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Programme\AskSBar\bar\1.bin\ASKSBAR.DLL O4 - HKLM\..\Run: [PWRMGRTR] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrB kGndMonitor O4 - HKLM\..\Run: [BLOG] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBa ttLog O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper O4 - HKLM\..\Run: [TpShocks] TpShocks.exe O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe O4 - HKLM\..\Run: [TP4EX] tp4ex.exe O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKLM\..\Run: [LPManager] C:\PROGRA~1\THINKV~2\PrdCtr\LPMGR.exe O4 - HKLM\..\Run: [TVT Scheduler Proxy] C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe " O4 - HKLM\..\Run: [AMSG] C:\Programme\ThinkVantage\AMSG\Amsg.exe O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [AwaySch] C:\Programme\Lenovo\AwayTask\AwaySch.EXE O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Programme\Diskeeper Corporation\Diskeeper\DkIcon.exe" O4 - HKLM\..\Run: [ACTray] C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe O4 - HKLM\..\Run: [ACWLIcon] C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.ex e O4 - HKLM\..\Run: [PDService.exe] "C:\Programme\Lenovo\SafeGuard PrivateDisk\pdservice.exe" O4 - HKLM\..\Run: [cssauth] "C:\Programme\Lenovo\Client Security Solution\cssauth.exe" silent O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [HP JetDiscovery] HPJETDSC.EXE O4 - HKCU\..\Run: [EA Core] "C:\Programme\Electronic Arts\EADM\Core.exe" -silent O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1 O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: OpenOffice.org 2.2.lnk = C:\Programme\OpenOffice.org 2.2\program\quickstart.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: Digital Line Detect.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: VPN Client.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {0045D4BC-5189-4b67-969C-83BB1906C421} - C:\Programme\Lenovo\Client Security Solution\tvtpwm_ie_com.dll O9 - Extra 'Tools' menuitem: ThinkVantage Password Manager... - {0045D4BC-5189-4b67-969C-83BB1906C421} - C:\Programme\Lenovo\Client Security Solution\tvtpwm_ie_com.dll O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: System Update - {DA320635-F48C-4613-8325-D75A933C549E} - C:\Programme\Lenovo\System Update\sulauncher.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.lenovo.com/welcome/thinkpad O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O20 - AppInit_DLLs: karna.dat O20 - Winlogon Notify: ACNotify - ACNotify.dll (file missing) O20 - Winlogon Notify: AwayNotify - C:\Programme\Lenovo\AwayTask\AwayNotify.dll O23 - Service: Ac Profile Manager Service (AcPrfMgrSvc) - Unknown owner - C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc .exe O23 - Service: Access Connections Main Service (AcSvc) - Lenovo - C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: Google Desktop Manager 5.7.806.10245 (GoogleDesktopManager-061008-081103) - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: ThinkPad PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: IPS-Basisservice (IPSSVC) - Lenovo Group Limited - C:\WINDOWS\system32\IPSSVC.EXE O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Programme\McAfee\Common Framework\FrameworkService.exe O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing) O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: System Update (SUService) - Lenovo Group Limited - c:\programme\lenovo\system update\suservice.exe O23 - Service: ThinkVantage Registry Monitor Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe O23 - Service: ThinkPad HDD APS Logging Service (TPHDEXLGSVC) - Lenovo. - C:\WINDOWS\System32\TPHDEXLG.EXE O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe O23 - Service: TSS Core Service (TSSCoreService) - IBM - C:\Programme\Lenovo\Client Security Solution\tvttcsd.exe O23 - Service: TVT Backup Service - Lenovo Group Limited - C:\Programme\Lenovo\Rescue and Recovery\rrservice.exe O23 - Service: TVT Scheduler - Lenovo Group Limited - C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe O23 - Service: tvtnetwk - Unknown owner - C:\Programme\Lenovo\Rescue and Recovery\ADM\IUService.exe -- End of file - 14116 bytes |
Hallo und :hallo: Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Bei Dir fehlen essentielle Updates (Service Pack 3 für Windows XP sowie die Folgeupdates davon, IE7) !! Du solltest sie nach der Bereinigung unbedingt einspielen. Den IE aber nicht zum Surfen, sondern nur fürs Windowsupdate benutzen. Acker diese Punkte für weitere Analysen ab: 1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen: Code: C:\WINDOWS\system32\drivers\svchost.exe3.) Führe dieses MBR-Tool aus und poste die Ausgabe 4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten 5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken. 6.) ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code]
Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist. 8.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!! |
Silent Runners LogFile: http://www.file-upload.net/download-1221377/Startup-Programs--STARUP--2008-10-31-20.17.47.txt.html |
Äh würde Dir es etwas ausmachen, das so in der Reihenfolge abzuarbeiten, wie es in meiner Todo-Liste auch steht? |
http://www.virustotal.com/de steht in Punkt 1. Diese Seite gibt es aber nicht. Firefox kann keine Verbindung aufbauen. |
Zitat:
Fahr einfach mit den nächsten Punkten fort. |
Punkt 2 hab ich gemacht. Bei Punkt 3 existiert die Seite http://www2.gmer.net/mbr/mbr.exe wieder nicht resp. Firefox kann keine Verbindung zu dem Server unter www2.gmer.net aufbauen. |
|
Da kommt: Sie versuchen, auf eine Datei zuzugreifen, die auf einer privaten Mitgliederseite auf Tripod kostenlos gehostet wird: http://mitglied.lycos.de/efunction/tb/mbr.exe Um auf diese Datei zuzugreifen, müssen Sie in den Account über die Startseite der Mitgliderseite einsteigen: efunction (Weiterleitung in 5 Sekunden) Nach dem weiterleiten kommt dann aber eine weisse Seite mit einem Link "blablah" oder so |
*hmpf* Meinen Link mi rechts anklicken, Ziel speichern unter... :rolleyes: |
ok, mbr.exe ist ausgeführt.. ist dann aber nichts mehr passiert (sollte da eigentlich ein Fenster kommen?) |
Kann gelöscht werden, hab vorher nicht gesehen das das Posten schon gegangen ist. |
Die mbr.exe erstellt ein mbr.log im gleichen Verzeichnis. Das mit dem Editor öffnen und Inhalt hier posten. |
habs auf den desktop geladen. Gab aber kein Log auf dem Desktop (??) |
Schau mal genau hin. Die mbr.exe erstellr immer ein Log. Ansonsten kopier es Dir in einen neuen erstellten Ordner (die mbr.exe) und führ es von dort aus. Da MUSS dann auch die Logdatei rein, sodass dann eben nur die mbr.exe selbst und eben das Logfile darin sind. :rolleyes: |
hab ich gemacht, gibt auch da kein .log file.... mbr.exe ist jetzt alleine in diesem neuen Ordner, auch wenn ich es ausführe. |
Ok :confused: Kopier bitte mal die mbr.exe der Einfachheit halber nach C:\WINDOWS\System32\ Klick danach auf Start > Ausführen und tipp dort ein cmd - bestätige mit ENTER bzw. Ok. Die Konsole öffnet sich. Tipp dort den Befehl mbr ein und bestätige ebenfalls mit ENTER. Danach sollte in etwa sowas erscheinen: Code: Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net |
nein, wenn ich im schwarzen Feld mbr eintippe und enter... passiert garnichts. Eine neue Zeile öffnet sich, sonst nichts. Kann es sein dass dieses mbr.exe unvollständig ist? |
Das kann auch sein :schmoll: Shic Lycos :snyper: werd meinen FTP da wohl kündigen Nimm mal diesen Link File-Upload.net - mbr.exe |
Endlich gegangen =) Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK Edit: Für den nächsten Punkt, die Virenprogramme, gehen die Links wieder nicht. Den übernächsten Punkt, silentrunner, hab ich ja schon gepostet. Soll ich s nochmals machen? |
Was ist mit Combofix? kannst Du wenigstens das herunterladen? |
Nein, da kommt auch der Seitenladefehler. Geht denn bei dir die Seite? |
Bei mir geht alles :) :party: Ich vermute bei Dir wurde die hosts umgebogen. mach mal Folgendes: 1. Klick auf Start > Ausführen 2. Tipp dort ein notepad c:\windows\system32\drivers\etc\hosts Es öffnet sich der Editor. Optimalerweise sollte nur das drin stehen: Code: # Copyright (c) 1993-1999 Microsoft Corp. |
Es staht da 1 zu 1 genau das gleiche drin. .. =) |
Ok :confused: selten so einen schwierigen Fall gehabt :eek: Probier mal das: Anleitung Avenger (by swandog46) Lade dir das Tool Avenger und speichere es auf dem Desktop:
Code: files to delete:
Schau nach dem Neustart dann auch mal, ob Du dann alle Seiten öffnen kannst. |
Kannst du mir bitte das Avenger auch hochladen? Kann auch den Link http://filepony.de/download-the_avenger/ nicht öffnen (Ladefehler) .. ist komisch, da sonst ja eigentlich die meisten Seiten im Internet gehen. |
Avenger: http://www.file-upload.net/download-1221635/avenger.exe.html |
Avenger.txt: Zitat:
Zitat:
|
Hast Du den Avenger so eingestellt wie es abgebildet war? Dann sollte er hoffentlich das gefundene Rootkit deaktiviert haben! Code: O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Programme\AskSBar\bar\1.bin\ASKSBAR.DLLDu solltest überlegen, ob Du nicht besser Dein System formatierst und neu aufsetzt, mit Rootkit-Infektionen ist nicht zu spaßen! |
Hilfe =(... Was könnte ich denn falsch eingestellt haben beim Avenger? Denke ich hab das schon so eingestellt wies abgebildet war. Wie kann ich das mit Hijack this fixen? System formatioeren.. ich hab doch soviele Sachen drauf die ich behalten will... und ein Totalbackup braucht extrem viel Zeit. Zudem hab ich keine Win XP CD.. da das WinXP vorinstalliert ist, auf den Lenovo-Computer... Edit: Ich glaub bei mir war das untere Häckchen im avenger nicht aktiviert... kann das na dem liegen? Soll ich s nochmals machen? |
Zitat:
|
also ich führ den jetzt nochmals aus... hmm ja.. Spass macht mir so Virengewürm eh nicht.. bin kein Computercrack =) |
Avenger / HijackThis Logfiles (danke viel Mal für deine Hilfe!) Zitat:
Gemacht: Zitat:
|
Ok, das Rootkit wurde vom Avenger deaktiviert. :kloppen: Kannst Du mittlerweile die Seiten zu Combofix, Virustotal etc. erreichen? Code: O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Programme\AskSBar\bar\1.bin\ASKSBAR.DLL |
Combofix ist heruntergeladen (geht jetzt, dieser Link). Soll ich das ausführen? Welche Reihenfolge soll ich jetzt befolgen, da wir gestern einige Schritte ausgelassen haben? Danke =) Edit: Sorry, hab ich übersehen: Ich kann die 4 Punkte die du angegeben hast fixen. Sollte nach Anleitung aber im abgespeicherten Modus das machen. Wie komme ich in den abgespeicherten Modus? Die Systemwiederherstellung hab ich ja bereits gestern deaktiviert, oder? |
Fixe zuerst die Einträge. Das muss nicht zwingend im abgesicherten Modus sein. Danach die Reihenfolge der Tools befolgen, die ich in meiner ersten Anleitung vorgegeben habe. Natürlich brauchst Du die Punkte, die schon ausgeführt wurden, nicht zu wiederholen. |
Sind gefixt. Punkt 1 kann ich nicht mehr ausführen: Zwar geht die Seite jetzt, aber svchost.exe existiert nicht mehr im C:/Windows/System32/drivers Gehe demfall zum nächsten noch nicht ausgeführten Punkt (?) |
Zitat:
Die Datei hatten wir ja schon mit dem Avenger gelöscht. :kloppen: |
F-Secure hat keine hidden files gefunden. Das Logfile ist noch erschienen: Zitat:
|
Ja mach mit MalwareBytes weiter :kloppen: :aplaus: |
Malwarebytes VirusScan-Warnung: system32\Brastk.exe erkennt als generic downloader.x .. status: gelöscht. Hat noch einige andere gefunden und gelöscht. Ich lasse malwarebites einfach weiterlaufen.... ist bei fast bei 100 000 Daten (Durchsuchte Objekte) .. wieviele hab ich? Zitat:
|
Geh bitte einfach nur nach Anleitung vor und poste später das Log von MBAM. Vergiss nicht die Funde automatisch entfernen zu lassen! |
Malwarebytes ist fertig.. Log steht oben, kann den auch nochmals später reinstellen. Nächster Punkt wäre demfall das Silent runners. Das (neue) Silent-Runners File ist auf File-Upload.net - Startup-Programs--STARUP--2008-11-01-15.30.03.txt Kann ich jetzt mit dem Combofix weitermachen? Edit: Sorry das ich schonwieder frage... möchte aber wenn möglich nichts falsch machen. Combofix kann ja ziemlich viel =) |
Combofix ist gut gegangen. das Logfile ist hier: File-Upload.net - log.txt Habs auch gleich hier unten reingeschrieben. Code: ComboFix 08-10-31.02 - Manolo 2008-11-01 16:51:05.1 - NTFSx86Und hier noch das neuste/letze Hijackthis-File: http://www.file-upload.net/download-...kthis.log.html Hoffe jetzt mein PC ist gerettet =) Danke und freue mich auf deine Antwort |
Wäre wirklich extrem dankbar wenn jemand bestätigen könnte (anhand meines letzten Posts und den Logfiles) das ich jetzt keine Viren mehr habe.. und falls doch, wie ich diese loswerde =) Vielen Dank =) |
Da sind noch viele Dateien die weg müssen: Anleitung Avenger (by swandog46) Lade dir das Tool Avenger und speichere es auf dem Desktop:
Code: drivers to delete:
|
Bin dabei...... hab den PC nicht mehr berührt... er war beim abmelden.. und ist dann einfach eingefrohren.... jetzt sehe ich noch ein schwarzes Feldchen in der Grösse des "Windows wird jetzt heruntergefahren"-Fenster. Soll ich warten ob er wirklich noch neustartet..... oder soll ich ihn ausschalten und neustarten? Warte jetzt schon sicher 60 Minuten und es ist kein alter PC |
Also nach 60 Minuten kann man nun wirklich von einem Absturz ausgehen.... :rolleyes: Resette einfach. |
Logfile vom Avenger: Zitat:
|
Ok, schön. Mach mal zur Überprüfung ein Logfile mit RSIT: Lade Random's System Information Tool (RSIT) herunter und speichere es auf Deinem Desktop. Starte mit Doppelklick die RSIT.exe. Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. Wenn Du HiJackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread, wieder mit Codetags umschlossen. |
Der erste: http://www.file-upload.net/download-.../info.txt.html Der zweite: http://www.file-upload.net/download-...9/log.txt.html Ist das gut so? |
Du solltest da mal etwas das System aufräumen. :rolleyes: Deinstallieren solltest Du - Ask- und Yahoo-Toolbar (die braucht man wirklich nicht) - alle Java-Versionen, spiel danach die aktuelle Version Java SE Runtime Environment (JRE) 6 Update 10 ein - Netscape 7.1 (uralt!! :eek:) Und andere Software die Du nicht wirklich brauchst. :rolleyes: Der Rechner ist doch keine Müllkippe wo alles einmal raufkommt und nie wieder runter wenn man es nicht mehr braucht. :balla: Oder brauchst Du wirklich soo viele Programme? Ansonsten scheint das System nun sauber zu sein. Restrisiko bleibt nach einer Bereinigung immer. |
Danke viel Mal, werde ich morgen gleich alles deinstallieren.. hauptsache mein PC hat überlebt =).. danke viel Mal nochmals =) |
Vergiss nicht die Updates (SP3, IE7 etc.) zu installieren!! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:12 Uhr. |
Copyright ©2000-2025, Trojaner-Board