|
Hi, jetzt wird es interessant, hast Du ein gutes Backup? Versuche mal diese Dateien online (virustotal) prüfen zu lassen: Code: C:\WINDOWS.0\system32\drivers\ovfsthsoidpyvbqhosvdfomipoklnmbyftarlb.sysAnleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://saved.im/mzi3ndg3nta0/aven.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code: Drivers to delete:4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. chris |
bitte um erklärung des Logfile of Trend Micro HijackThis sorry tut mir leid |
@henning: Erster Beitrag und schon falsch? Wieso postest du hier in MEINEM Thread DEINE Probleme?? Zudem würde ich das HJT Log mal schleunigst überarbeiten, d.h. ALLE Namen etc. rauslöschen!!! @Chris: Diese Frage: "Hast du ein gutes Backup?" beunruhigt mich etwas... Wenn ich das beschrieben ausführe, könnte ich dann Pech haben und das System neu aufziehen müssen? MfG |
Hi, versuche erst die Dateien zu finden und bei Virustotal prüfen zu lassen (siehe meinen post oben)... Datensicherung sollte man immer haben... ;o) chris |
Hi, C:\WINDOWS.0\system32\drivers\ovfsthsoidpyvbqhosvdfomipoklnmbyftarlb.sys C:\WINDOWS.0\system32\ovfsthsiebwwnesrrgxyeymqkfulkriechkbum.dll C:\WINDOWS.0\system32\ovfsthvlwhgilspybhsiekecwtaewrimihweei.dll C:\WINDOWS.0\system32\ovfsthrojqudyrktrmhgktpeqiqnmqyawpjkwr.dll Alle Dateien nicht gefunden! Ich habe keine Datei in diesem Ordner mit solangem Namen ;) ICH habe IMMER eine Datensicherung, mein Vater allerdings... Nunja hoffen wir es wird nicht so schlimm :D MfG |
oh sorry ich blick hier nicht durch...wo muss ich es denn posten? und welche namen löschen? danke |
@Henning... Ja das ist möglich, und auf der Kiste läuft auch schon was: O4 - HKCU\..\Run: [uigsiqq] "c:\dokumente und einstellungen\rémy\lokale einstellungen\anwendungsdaten\uigsiqq.exe" uigsiqq Aktive Links und persönliche Informationen in HJT Log-Files (http://www.trojaner-board.de/22771-a...tml#post171958), sonst darf nicht geholfen werden! Bitte einen eigenen Thread eröffnen, das passt auch Thematisch nicht zu diesem Thread... Folgendes auch gleich abarbeiten: Navilog Folge folgender Anleitung: http://www.trojaner-board.de/69713-e...navipromo.html oder Starte navilog1.exe und installiere die Anwendung, eventuelle Fehlermeldungen Deines Virescanners sin zu ignorieren (Anwendung erlauben!) Alle anderen Anwendungen bitte beenden! Danach sollte navilog automatsich starten, sonst per Doppelklick dem Desktop starten. Im Sprachmenü bitte English auswählen, ausser Du kannst eine der angegebenen Sprachen ;o) Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter. Während der Suche nichts am Rechner machen, nur auf Programmaufforderung! Nach dem Durchlauf sollte sich der Editor mit dem Log (fixnavi.txt) öffnen, Inhalt kopieren und in Thread einfügen. Das Log findest Du auch im Hauptverzeichnis (z.B.: "C:\"). http://pagesperso-orange.fr/il.mafio...x/Navilog1.exe chris |
@Keks Das dachte ich mir schon, ist ja sinn und zweck von Rootkits... Script bitte abfahren... Logs posten... chris |
okay danke erstmal...dass heisst du bist dir sicher, dass da jemand auf meinen lap top zugriff hat? tut mir leid, ich bin neu hier....wie eröffne ich einen eigenen tread? |
Hi, Hier ist der Log von Avenger: Logfile of The Avenger Version 2.0, (c) by Swandog46 h**p://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. Hidden driver "ovfsthetaetkyxjolidmdbwqjqasbpxtoerfvm" found! ImagePath: \systemroot\system32\drivers\ovfsthsoidpyvbqhosvdfomipoklnmbyftarlb.sys Start Type: 1 (System) Rootkit scan completed. Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\ovfsthsoidpyvbqhosvdfomipoklnmbyftarlb.sys" not found! Deletion of driver "ovfsthsoidpyvbqhosvdfomipoklnmbyftarlb.sys" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist File "C:\WINDOWS.0\system32\drivers\ovfsthsoidpyvbqhosvdfomipoklnmbyftarlb.sys" deleted successfully. File "C:\WINDOWS.0\system32\ovfsthsiebwwnesrrgxyeymqkfulkriechkbum.dll" deleted successfully. File "C:\WINDOWS.0\system32\ovfsthosltmvfxtunrlervimopexnkpqjgfcfu.dat" deleted successfully. File "C:\WINDOWS.0\system32\ovfsthvlwhgilspybhsiekecwtaewrimihweei.dll" deleted successfully. File "C:\WINDOWS.0\system32\ovfsthrojqudyrktrmhgktpeqiqnmqyawpjkwr.dll" deleted successfully. File "C:\WINDOWS.0\system32\ovfsthwvphlawjwyfvvtvmbpbxnsabflwtpvok.dat" deleted successfully. Completed script processing. ******************* Finished! Terminate. |
@Henning http://www.trojaner-board.de/hijacker-hijackthis-logs-posten/ Dann links oben, "Neues Thema"... Was sonst noch alles drauf ist, wird man dann sehen... Für die "erste Hilfe" bitte folgendes abarbeiten: http://www.trojaner-board.de/69886-alle-hilfesuchenden-eroeffnung-themas-beachten.html (und dann das schon vorgeschlagene "Navilog")... chris |
@Keks Was macht der Rechner...? Nachmal bitte MAM drüber und dann noch mal ein HJ-Log... Mal sehen, ob wir ihn finden: ......RegisterySearch: Download Registry Search by Bobbi Flekman <http://virus-protect.org/artikel/tools/regsearch.html> und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) Code: ovfsthetaetkyxjolidmdbwqjqasbpxtoerfvmNotepad wird sich oeffnen - poste den text chris |
Hi, Ein kleines Problem besteht noch. Wenn ich diese Registry Search downloaden will, komme ich nicht auf den Link, siondern der Virus (???) leitet mich auf Google.com?? MfG |
So habe das Programm nun am andren PC runtergeladen. Wenn ich diesen Eintrag suche kommt bei mir folgendes Fenster: "Search completed in 34 Seconds. No instances of "ovfsthetaetkyxjolidmdbwqjqasbpxtoerfvm" found." Was heisst das? und was mich viel mehr interessiert ist, was macht der Virus eigentlich? Bis jetzt habe ich nur festgestellt, dass er die Links nicht akzeptirt und uns auf andere Suchmaschinen umleitet (z.B.: Google). MaM läuft gerade drüber. anschließend werde ich HJT drüber laufen lassen und beide Logs posten :) MfG |
Hi, dazu müssen wir zuerst rausbekommen was das war. Lasse das zeitlich letzte Backup von Avenger bei Virustotal prüfen (in dem Zip wo die Treiber/Dlls mit "ovfsthsoidpyvbqhosvdfomipoklnmbyftarlb.sys" sind). Normalerweise geht der Trojaner hin und leitet alle Suchanfragen auf eigene Seite um... Das wäre umgekehrt und sehr "seltsam"... Die Interneteinstellungen stimmen noch (DHCP-Server etc.)? Was steht in der hosts-Datei? Hosts-File anzeigen: Lade das Host-file (C:\WINDOWS\system32\drivers\etc\hosts) in einen Texteditor (im Explorer drauf klicken, rechte Maus, senden an -> editor). Kopiere den Inhalt und poste ihn hier... Nächste Frage: Wenn Du auf einen Link den Google dir anzeigst klickst, wirst Du dann weitergeleitet? chris |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 22:10 Uhr. |
Copyright ©2000-2025, Trojaner-Board