|
Kein Virenscanner- und Windowsupdate möglich Tag Allerseits, Tut mir leid, das ganze noch einmal durchzukauen, aber bei mir tat sich ein ähnliches Problem auf... Vor ca. einem Monat steckte ich wie üblich meinen USB Stick an, den ich von einem Bekannten zurückbekommen habe Als ich alles kopierte und ihn entfernte merke ich, dass ich nicht mehr auf meine Laufwerke zugreifen konnte. "Boot.com is not a valid system32 application" - Das Problem lag an einer boot.com in einem versteckten Ordner Boot direkt auf C Hab ich manuell entfernt und jetzt ist es wieder normal Aber, einige Sachen stimmen immer noch nicht - Internet Explorer, Windows Update und Systemwiederherstellung funktionieren nicht Auch der Virenscanner konnte nicht updaten - das konnte ich aber beheben, indem ich manuel updatete - Scan lieferte "jamfamous.dll" - ein Win32 Cryptor in meinem Firefox Ordner - wurde entfernt Trotzdem funktionieren oben genannte Sachen nicht Darum wollte ich fragen, ob jemand schauen könnt, ob sich noch das Böse auf meinem PC tummelt - und wenn, wie ich es entfernen kann Vielen Dank schon im Voraus Hj Log: Code: Logfile of Trend Micro HijackThis v2.0.2 |
Halli hallo Wirtshaus :hallo: Deinstalliere bitte CA oder AVG. Mehr als ein Virenscanner auf einem System ist nicht zu empfehlen. Lasse danach bitte die Kasperksy Rescue disk: http://devbuilds.kaspersky-labs.com/devbuilds/RescueDisk/kav_rescue_2008.iso laufen. Einfach die iso Datei auf eine CD brennen und von dieser booten. Signaturen Daten aktuallisieren/updaten. Alle Einstellungen für den Scan auf maximale Stude drehen und den Rechner überprüfen lassen. Das gleiche mache bitte mit der Avira Rescue Disk: http://www.free-av.com/en/products/12/avira_antivir_rescue_system.html Danach melde dich hier wieder und beschreibe bzw. poste die logs was gefunden wurde. |
So, also bevor ich den post gestern gelesen hab, hab ich noch Spybot S&D laufen lassen - dieser fand folgendes: Win32.Agent.sd Win32.TDSS.rtk -~~- .reg -~~- .eit und , siehe da ZLob.DNSchanger Das erklärt einiges Jedenfalls, hab ich diese damit gleich beseitigt, dann hab ich nacheinander die Rescue Disks drüberlaufen lassen Kaspersky - Hat nichts entdeckt Code: Virensuche: abgeschlossen 04.07.09 16:25 (Ereignis: 2, Objekte: 160177, Zeit: 03:06:32) nur einen Haufen Warnings konnte aber leider die log Datei nicht speichern Update, Virenprogramm und Win Explorer scheinen wieder zu funktionieren Wiederherstellung hab ich noch nicht probiert, die alten Wdh Punkte hab ich entfernt Scheint wieder alles normal zu sein Wenn noch was is bitte sagen Ansonsten Danke für die schnelle Antwort + Hilfe Ps: Das mit den 2 Antivirenprogs - das Etrust Antivirus (das es inzwischen gar nicht mehr gibt) war schon drauf; kriegs aber ned runter, ansonsten macht es nichts Will aber AVG benutzen - deshalb die zwei Muss sich nicht ändern, es sei denn es ist wirklich gefährlich für den PC :) Hier der momentane Hijack this: Code: Logfile of Trend Micro HijackThis v2.0.2 |
Würde mich wundern wenn Spybot ein Tdss Rootkit sauber entfernen kann. Das Avira und Kaspersky nichts finden ist nach wie vor traurig. Ich dachte daran hätte sich langsam mal geändert. Aber gut, dann machen wir das mehr oder weniger manuell: GMER - Rootkit Detection
Master Boot Record überprüfen: Lade dir die mbr.exe von gmer auf den Desktop und führe die Datei mit Administrator-Rechten aus. Poste das log! Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck Zitat:
Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop. Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig. Dann führe die mbr.bat. durch einen Doppelklick aus. Dabei muss sich die mbr.exe von gmer ebenfalls auf dem Desktop befinden! Der MBR wird bereinigt und es erscheint ein log. Poste auch diese log! |
!!! Arrgg Während ich Gmer ausgeführt habe ist ein schwerwiegender Fehler aufgetaucht!!! Problemsignatur: Code: BCCode : 50 BCP1 : E2B1A560 BCP2 : 00000000 BCP3 : B5CE3255 Währenddessen ist nach kurzer Zeit auf einmal der Bildschirm blau geworden Da stand irgendwas von: Es wurde ein Problem festgestellt Windows wurde hertuntergefahren um nicht geschädigt zu werden Verursacher möglicherweise: cxvafakj.sys Technische Daten: STOP 0x00000050 (0xE2B1A560,0x00000000,0xB5CF3255,0x00000001) Mehr konnt ich nich wirklich verstehend ablesen Unten stand noch, dass ein Abild des physischen Speichers gemacht wird, oder so etwas Danach ist er neugestartet WAs soll ich tun? :( :( EDIT: Das sagt Gmer, wenn ich den vollen Scan verneine Code: GMER 1.0.15.14972 - http://www.gmer.net |
So... Also ich hab Gmer nochmal benutzt Nachdem anfänglichen Scan hab ich beim PopUp wieder auf "no" geklickt, dann aber rechts alles angeschaltet, sodass er alles scannt (also System, Files, etc. auf C: und D:) Das ging offensichtlich normal durch Hier der log: Code: GMER 1.0.15.14972 - http://www.gmer.net |
Tut mir Leid, da er zu lang ist muss ich ihn dritteln... Code: ---- Devices - GMER 1.0.15 ---- |
Hier der 3. : Code: ---- Registry - GMER 1.0.15 ---- |
Das Rootkit bringt den Rechner down wenn gmer ihm auf die Füße tritt. Prevx
Anleitung Avenger (by swandog46) Lade dir das Tool Avenger und speichere es auf dem Desktop
Code: Files to delete:
|
Danke für die Hilfe soweit Also hier nochmal kurz der mbr log Code: Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.netDann mal an die Arbeit EDIT: Leider kann ich mit Prevx die Threats nicht entfernen, da dazu eine kostenpflichtige Lizenz benötigt wird... Soll ich den restlichen Anweisungen dennoch folgen? |
Hmmmm... Sieht alles nicht sehr vielversprechend aus Also Hier der Link für die beiden Scans von Prevx (leider keine Bereinigung): http://rapidshare.com/files/252625082/Scans.rar.html Desweiteren der avenger log Code: Logfile of The Avenger Version 2.0, (c) by Swandog46Achja, kurz bevor der PC neu gebootet hat schrie prevx irgendwas von "active threat found" C:\cleanup.exe Weiß nicht was das sein sollte Und nach dem Neustart kam ein paar mal die selbe Fehlermeldung (hab auf weiter und wiederholen ein paar mal gekilckt) Code: Exception Processing Message c0000013 Parameters 75b0bf7c 4 75b0bf7c 75b0bf7cSchlechte Nachrichten?... :confused: :schmoll: |
Mist, ich hatte sowas schon befürchtet daher wollte ich über die Rescue Disks arbeiten. Schade, dass die nichts finden. Egal, wir haben noch mehr in petto um dem beizukommen.. ;) Versuche mal ob du die Dateien mit File-Assassin erwischt. fileASSASSIN Downloade dir fileASSASSIN von Malwarebytest.org: http://www.malwarebytes.org/fa-setup.exe Installiere das Programm. Sollte es dabei zu Fehlermeldungen kommen könnte das am Schädling liegen. In diesem Fall downloade dir die Portable Version direkt auf einen USB-Stick: http://www.malwarebytes.org/FA_Portable.zip Entpacke das Archiv dort. Ein Doppelklick auf die fileASSASSIN.exe starte die PortableVersion. Starte den Rechner im abesicherten Modus. So wird der abgesicherte Modus am einfachsten aufgerufen: KLICK mich Starte das Programm und setze den Haken bei "Delete File". Alle anderen Haken lässt du wie sie sind. http://www9.picfront.org/picture/FlC...ileASSASIN.jpg Dann kopierst du bitte folgende Dateipfade per Copy&Paste in das Textfeld. Starte den Löschvorgang für jede Datei einzelt durch Drücken des "Execute"-Buttons. Zitat:
|
:( :( :( Code: c:\programme\youtubevideo\tbyout.dll deleted |
=) Hier ist garnichts verloren. Bevor ich den Holzhammer raushole versuche alles andere. Aber da jetzt langsam alle Stricke reißen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Wichtiger Hinweis: Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. |
Nur eine kleine Frage: Wie schalte ich die Antivirensoftware vollständig ab Ich kann nur die Applikation unten auf der Leiste schließen, aber reicht das? Ein Blick auf EndItAll zeigt, dass noch Prozesse von AVG etc. laufen - soll ich die einfach killn Da sagt er, dass das die Stabilität beeinträchtigen könnte... und das prevx kann ich irgendwie nicht mal abschalten Wie genau soll ich denn das machen, oder ist das nicht wichtig? Was soll ich denn alles schließen - Nur Anwendungen, Sachen die ein Fenster aufmachen, oder wirklich alles was in der Taskleiste läuft (außer Hardware entfernen, Sound und Internet Wizard - wegen wireless internet) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 15:24 Uhr. |
Copyright ©2000-2025, Trojaner-Board