|
verdacht auf eine art von TDss trojaner hallo, bin durch googeln meines problems auf euer forum gestossen, da anseinend hier schon mehrere ein aehniliches problem hatten. ich denke dass ich eine art TDss trojaner auf meinem notebook habe, da symtome auftreten wie das geblockt werden von foren und pc sicherheitsseiten, erstellen einer autorun datei auf dem laufwerk C und D, und diverser .com dateiem im RECYCLER ordner, nach deren loeschen ich nicht mehr normal auf C/D zugreifen kann. hab mich dazu entschlossen lieber einen neuem thread zu eroeffnen, da in den anderen beitraegen cobofix verwendet wurde. habe bereits CCleaner angewendet, antimalware leasst sich allerdings auch nach mehrmaligem de/installieren nicht starten. hijackthis hat folgenden bericht ausgegeben: Code: Logfile of Trend Micro HijackThis v2.0.2 |
Hi, Achtung Deine komplette Internetverbindung wird über die Ukraine geroutet, daher nichts mehr mit Passwörter, Homebanking etc. Alle Passwörter von einem sauberen Rechner aus sofort ändern, Konten ev. sperren lassen. Folgende Einträge mit HJ fixen: Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code: O17 - HKLM\System\CCS\Services\Tcpip\..\{C483877E-CA5B-4DC9-AEBC-4B6DF11ECBEC}: NameServer = 85.255.112.169,85.255.112.111Achtung: Solltest du Probleme mit deiner Internet Verbindung bekommen: Systemsteuerung > wähle Netzwerk und Internet Verbindungen oder mach einen Doppelklick auf Netzwerk-Verbindungen > Klick mit der rechten Maustaste auf Default Connection (Normale Verindung), das ist normalerweise die örtliche Umgebung, Kabel oder DSL Verbindung > Klick mit der linken Maustaste auf Eigenschaften > Doppelklick auf Internet Protocol (TCP/IP) > wähle den Knopf der dafür steht, dass die DNS Verbindung automatisch aufrecht erhalten wird > zweimal auf "OK" klicken > den Rechner neu starten (Diese Einstellungen sind nicht auf allen Systemen gleich oder vorhanden) Danach bitte Combofix: Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/comb...x-benutzt-wird Hinweis: unter : C:\WINDOWS\erdnt wird ein Backup angelegt. Alternative downloads: http://subs.geekstogo.com/ComboFix.exe Jetzt sollte bereits Avira loslegen, bitte noch MAM hinterher... Malwarebytes Antimalware (MAM). Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Fullscan und alles bereinigen lassen! Log posten. Alternativer Download: http://filepony.de/download-malwarebytes_anti_malware/, http://www.gt500.org/malwarebytes/mbam.jsp chris |
ok danke fuer die hilfe. hier der bericht aus combofix: Code: ComboFix 09-04-04.01 - Admin 2009-04-06 15:27:21.1 - NTFSx86 |
Hallo, bitte auch diese Log posten... Dann sehen wir weiter... chris |
oh sorry uebersehen. hier der bericht: Code: Malwarebytes' Anti-Malware 1.36Antivir hat beim ersten durchlauf noch einen trojaner gefunden: Code: Avira AntiVir PersonalCode: |
Hi, nun ja, so richtig gefunden hat er Ihn nicht, der war in der Backupdatei von Combofix... und einmal in der Systemwiederherstellung (und die plätten wir jetzt)... Systemwiederherstellung löschen http://www.systemwiederherstellung-deaktivieren.de/windows-xp.html Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt: Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung -> anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten; Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder). Einen ersten Restorepunkt setzten: Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen Du hast Glück, es scheinen sonst keine kleinen Besucher angekommen zu sein (trotz laufenden Rootkit, das sonst zum "verstecken" von weitern "Besuch genutz wird), zur Sicherheit: Prevx: http://www.prevx.com/freescan.asp Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters... chris |
ok hab die wiederherstellungspunkte geloescht und einen neuen angelegt. Prevx CSI sagt Status:Clean vielen dank fuer die hilfe. kann ich passwoerter nun wieder ohne bedenken eingeben? gruesse |
Hi, bitte noch einen neuen HJ-Log und noch einen abschließenden Lauf mit Gmer: Gmer: http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser beendet, wähle Copy und füge den Bericht ein. Sollte aber nicht dabei rauskommen... chris |
hier der HJT log: Code: Logfile of Trend Micro HijackThis v2.0.2Code: GMER 1.0.15.14966 - http://www.gmer.netgruesse |
Hi, sieht OK aus... chris & schöne Ostern |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:30 Uhr. |
Copyright ©2000-2025, Trojaner-Board