|
Anti-Malware hängt sich beim Scanstart auf Hallo liebe community, nachdem ich bereits eine Menge gegoogelt habe, bin ich auf dieses Forum aufmerksam geworden. Kurz zur Vorgeschichte: Mir ist heute aufgefallen, dass der Antivir Guard in der Taskleiste deaktiviert war und sich auch nicht aktivieren ließ. Ich konnte dies aber mit Start > ausführen 'services.msc' entsprechend ändern. Ebenfalls heute ist mir aufgefallen, dass mein PC plötzlich extrem lange zum booten braucht (gute 2 Minuten). Auch einige Programme reagieren nicht mehr nach dem Start, dazu gleich mehr. Ich vermute mal, dass ich mir irgendwas eingefangen habe. Ich habe bereits einen Antivir Test durchlaufen lassen. Ergebnis ist, dass 3 Viren im Quarantäne bereich sind. Nachdem ich hier im Forum das Programm Anti-Malware gefunden habe, dachte ich mir ich lass dieses auch einmal drüber laufen, um zu sehen ob weitere Dinge gefunden werden. Genau hier liegt aber mein Problem: Das Programm hängt sich sofort nachdem ich den ausführlichen Scanvorgang starte auf und reagiert nicht mehr. Kann mir jemand weiterhelfen? |
Hi, wir versuchen mal ob wir was finden (bevor wir die Bazzuka auspacken): RSIT Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. * Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/ * speichere es auf Deinem Desktop. * Starte mit Doppelklick die RSIT.exe. * Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. * Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. * In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". * Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. * Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. * Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. * Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. Gmer: http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. chris |
Hi Chris, erstmal vielen Dank, dass du dich so schnell meinem Problem annimmst. Ich habe Anti-Malware nochmal gestartet und einfach (obwohl es wieder direkt nach dem Scanbefehl nicht mehr reagierte) weiterlaufen lassen. Nach ca. einer halben Stunde ist mir dann aufgefallen, dass ich nun die entsprechenden Laufwerke auswählen kann, also sich das Programm wieder 'gefangen' hat. Ich habe nun den Scanvorgang für alle Laufwerke gestartet, diesen lass ich jetzt zu ende laufen und poste dann das Ergebnis hier hinein. Soll ich danach die beiden Schritte die du mir vorgeschlagen hast direkt durchführen? |
Hi, ja, unbedingt für den Falls das MAM nicht alles erwischt... chris |
Hier mal der Log Bericht, den mir Anti-Malware erstellt hat: Malwarebytes' Anti-Malware 1.41 Datenbank Version: 2775 Windows 6.0.6001 Service Pack 1 07.11.2009 22:00:10 mbam-log-2009-11-07 (22-00-02).txt Scan-Methode: Vollständiger Scan (C:\|D:\|F:\|G:\|H:\|I:\|J:\|) Durchsuchte Objekte: 509018 Laufzeit: 1 hour(s), 0 minute(s), 46 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\xpreapp (Malware.Trace) -> No action taken. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Beide gefundenen Dateien habe ich aus dem Quarantäne Verzeichnis gelöscht. Ich werde jetzt direkt die weiteren Schritte die du vorgeschlagen hast durchführen. |
Hi, hast du einen zweiten durchlauf gemacht, das MAM "No action taken" gemeldet hat? chris |
Nein, aber der PC wurde direkt nachdem ich die Datei löschen wollte neu gestartet. Nach dem Neustart habe ich nochmals MAM ausgeführt und dann die beiden Dateien aus dem Quarantäne Bereich gelöscht. Die Logdatei von RSIT kann ich hier nicht posten, weil leider eine Fehlermeldung wegen Zeichenüberschreitung kommt. |
Hi, Fileuplod: http://www.file-upload.net/, hochladen und den Link (mit Löschlink) als "PrivateMail" an mich... chris |
Hi Chris, die PN an dich mit der Log-Datei von RSIT habe ich geschickt. Hier die Log-Datei von GMER: GMER 1.0.15.15163 - http://www.gmer.net Rootkit scan 2009-11-07 22:57:26 Windows 6.0.6001 Service Pack 1 Running: uhpctgh6.exe ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x61 0x20 0x27 0x03 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files (x86)\DAEMON Tools Lite\ Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x04 0xDB 0xE9 0xA3 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x8B 0x7D 0xBA 0x8D ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0x86 0xAB 0xD8 0x81 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x61 0x20 0x27 0x03 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files (x86)\DAEMON Tools Lite\ Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x04 0xDB 0xE9 0xA3 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x8B 0x7D 0xBA 0x8D ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0x86 0xAB 0xD8 0x81 ... ---- EOF - GMER 1.0.15 ---- |
Hi, Analyse hat etwas gedauert... Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code: C:\Windows\System32\spoolsv.exe
Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code: R3 - URLSearchHook: (no name) - - (no file)http://www.prevx.com/freescan.asp Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters... Die spoolsv.exe bereitet mit noch sorgen, sie gehört eigentlich zu windows, fehlt aber lt. HJ-Log... chris |
Hi, --- Edit: Noch eine kurze Frage vorher Chris, da ich momenan Hijackthis gestartet habe: Soll ich alle (in meinem Fall 99) Dateien die Hijackthis nach dem Scan gefunden hat fixen oder nur die Datei: R3 - URLSearchHook: (no name) - - (no file) fixen? Edit2: Ich habe jetzt nur R3 - URLSearchHook: (no name) - - (no file) gefixt. --- also die Datei spoolsv.exe finde ich leider nicht, die scheint bei mir nicht vorhanden zu sein. Hier die Analyse von Virustotal: Datei Updreg.EXE empfangen 2009.11.07 22:26:54 (UTC) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/40 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 1. Geschätzte Startzeit ist zwischen 43 und 62 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.41 2009.11.07 - AhnLab-V3 5.0.0.2 2009.11.06 - AntiVir 7.9.1.61 2009.11.06 - Antiy-AVL 2.0.3.7 2009.11.05 - Authentium 5.2.0.5 2009.11.07 - Avast 4.8.1351.0 2009.11.07 - AVG 8.5.0.423 2009.11.07 - BitDefender 7.2 2009.11.07 - CAT-QuickHeal 10.00 2009.11.07 - ClamAV 0.94.1 2009.11.07 - Comodo 2876 2009.11.07 - DrWeb 5.0.0.12182 2009.11.07 - eTrust-Vet 35.1.7108 2009.11.06 - F-Prot 4.5.1.85 2009.11.07 - F-Secure 9.0.15370.0 2009.11.04 - Fortinet 3.120.0.0 2009.11.07 - GData 19 2009.11.07 - Ikarus T3.1.1.74.0 2009.11.07 - Jiangmin 11.0.800 2009.11.07 - K7AntiVirus 7.10.891 2009.11.07 - Kaspersky 7.0.0.125 2009.11.07 - McAfee 5795 2009.11.07 - McAfee+Artemis 5795 2009.11.07 - McAfee-GW-Edition 6.8.5 2009.11.07 - Microsoft 1.5202 2009.11.07 - NOD32 4582 2009.11.07 - Norman 6.03.02 2009.11.06 - nProtect 2009.1.8.0 2009.11.07 - Panda 10.0.2.2 2009.11.07 - PCTools 7.0.3.5 2009.11.06 - Prevx 3.0 2009.11.07 - Rising 21.54.52.00 2009.11.07 - Sophos 4.47.0 2009.11.07 - Sunbelt 3.2.1858.2 2009.11.07 - Symantec 1.4.4.12 2009.11.07 - TheHacker 6.5.0.2.063 2009.11.06 - TrendMicro 9.0.0.1003 2009.11.07 - VBA32 3.12.10.11 2009.11.07 - ViRobot 2009.11.6.2025 2009.11.06 - VirusBuster 4.6.5.0 2009.11.07 - weitere Informationen File size: 90112 bytes MD5...: c419df63e0121d72411285780c2fc6cc SHA1..: 1b9682064bc79c310c7b253d0cef2f4fa440a80d SHA256: f47f854d327c589d174d3bb5b55d5c05f5aca73df52a6bef47596b9010190291 ssdeep: 1536:FCKO2KJuE9w/Trxouvji5ShsTTlsvl1N1IRkzURooa8KtC8nEVvykZa:595 sMau7wSxiRipoa8KRnEJyI PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x1c72 timedatestamp.....: 0x391a146b (Thu May 11 02:01:15 2000) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0xbe7a 0xc000 6.51 beae102f5b3ae5a7b1e0d19b4e9f5f93 .rdata 0xd000 0x3954 0x4000 4.45 59767bfb28d43db70a8fcd8c16ef8fc1 .data 0x11000 0x3720 0x1000 3.48 08d4840b7c81cebb9accd5b6c20d4f78 .rsrc 0x15000 0x3008 0x4000 3.21 61287a355bc0b84511603aba85899d84 ( 6 imports ) > KERNEL32.dll: GetStartupInfoA, GetCommandLineA, ExitProcess, RtlUnwind, TerminateProcess, HeapFree, GetOEMCP, HeapAlloc, RaiseException, HeapReAlloc, HeapSize, GetACP, UnhandledExceptionFilter, FreeEnvironmentStringsA, FreeEnvironmentStringsW, GetEnvironmentStrings, GetEnvironmentStringsW, GetCPInfo, GetStdHandle, VirtualAlloc, IsBadWritePtr, SetUnhandledExceptionFilter, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, IsBadReadPtr, IsBadCodePtr, CloseHandle, GetModuleFileNameA, GlobalLock, GlobalAlloc, GlobalDeleteAtom, WriteFile, SetErrorMode, GetCurrentProcess, FreeLibrary, GetProcessVersion, LoadLibraryA, GetFileType, HeapDestroy, HeapCreate, lstrcmpA, lstrcmpiA, GlobalAddAtomA, GetVersion, GetCurrentThreadId, GlobalGetAtomNameA, GetModuleHandleA, GlobalFindAtomA, GetLastError, MultiByteToWideChar, GetProcAddress, SetLastError, WideCharToMultiByte, WritePrivateProfileStringA, lstrcpyA, lstrcatA, InterlockedDecrement, GlobalFlags, lstrlenA, LocalReAlloc, lstrcpynA, TlsGetValue, GlobalReAlloc, TlsSetValue, EnterCriticalSection, GlobalHandle, LeaveCriticalSection, TlsFree, DeleteCriticalSection, GlobalUnlock, GlobalFree, LocalFree, TlsAlloc, InitializeCriticalSection, VirtualFree, LocalAlloc, SetHandleCount, GetCurrentThread > USER32.dll: RemovePropA, CallWindowProcA, GetPropA, SetPropA, GetClassLongA, GetMessageTime, CreateWindowExA, DestroyWindow, DefWindowProcA, GetMenuItemID, GetSubMenu, GetMenu, RegisterClassA, GetClassInfoA, WinHelpA, GetCapture, GetTopWindow, CopyRect, GetClientRect, AdjustWindowRectEx, GetSysColor, MapWindowPoints, LoadIconA, LoadCursorA, GetSysColorBrush, LoadStringA, DestroyMenu, RegisterWindowMessageA, SystemParametersInfoA, IsIconic, GetWindowPlacement, GetSystemMetrics, SetFocus, ShowWindow, SetWindowPos, GetForegroundWindow, GetMessagePos, SetForegroundWindow, GetDlgItem, GrayStringA, DrawTextA, TabbedTextOutA, ReleaseDC, GetDC, GetMenuItemCount, UnhookWindowsHookEx, ClientToScreen, GetWindow, GetDlgCtrlID, GetWindowRect, PtInRect, GetClassNameA, GetMenuCheckMarkDimensions, LoadBitmapA, GetMenuState, ModifyMenuA, SetMenuItemBitmaps, CheckMenuItem, EnableMenuItem, GetFocus, GetNextDlgTabItem, GetMessageA, TranslateMessage, DispatchMessageA, GetActiveWindow, GetKeyState, CallNextHookEx, ValidateRect, IsWindowVisible, PeekMessageA, GetCursorPos, SetWindowsHookExA, GetParent, GetLastActivePopup, SetWindowLongA, IsWindowEnabled, GetWindowLongA, MessageBoxA, EnableWindow, SetCursor, SendMessageA, PostMessageA, PostQuitMessage, GetWindowTextA, SetWindowTextA, wsprintfA, UnregisterClassA > GDI32.dll: CreateBitmap, SaveDC, DeleteDC, SelectObject, GetStockObject, RestoreDC, SetBkColor, SetMapMode, SetViewportOrgEx, SetTextColor, SetViewportExtEx, ScaleViewportExtEx, OffsetViewportOrgEx, SetWindowExtEx, GetClipBox, ScaleWindowExtEx, GetDeviceCaps, RectVisible, TextOutA, PtVisible, Escape, ExtTextOutA, GetObjectA, DeleteObject > WINSPOOL.DRV: DocumentPropertiesA, ClosePrinter, OpenPrinterA > ADVAPI32.dll: RegSetValueExA, RegCreateKeyExA, RegCloseKey, RegQueryInfoKeyA, RegEnumKeyExA, RegOpenKeyExA, RegQueryValueExA, RegEnumValueA > COMCTL32.dll: - ( 0 exports ) RDS...: NSRL Reference Data Set - pdfid.: - trid..: Win32 Executable MS Visual C++ (generic) (53.1%) Windows Screen Saver (18.4%) Win32 Executable Generic (12.0%) Win32 Dynamic Link Library (generic) (10.6%) Generic Win/DOS Executable (2.8%) sigcheck: publisher....: Creative Technology Ltd. copyright....: Copyright (c) Creative Technology Ltd. 2000 product......: Creative Updreg description..: Creative UpdReg original name: Updreg.exe internal name: Updreg file version.: 1.0.2 comments.....: Creative Registry Update signers......: - signing date.: - verified.....: Unsigned Die Datein: N:\setupSNK.exe M:\LaunchU3.exe -a E:\Launcher.exe L:\CD_Start.exe gibt es nicht bei mir auf dem PC. |
Hi, die Dateien werden in Mountpoints gestartet, d.h. sie liegen auf anderen Datenträgern (USB-Festplatte/Stick) etc. Bitte noch Prevx durchführen, wenn das nichts meldet wären wir durch... So, mache jetzt schluß für heute... chris |
Hi, hier das Bild von den Dateien, die Prevx gefunden hat: http://s2.directupload.net/images/09...p/hkgsv4gw.jpg Ich danke dir ganz herzlich für deinen tollen Support! |
Hi, lass bitte die Dateien (bis auf den Reg.-Eintrag) bei virustotal überprüfen, da PrevX gerne mal "Fehlalarme" verursacht (und wir wollen ja nicht z.B. den Tastaturtreiber löschen)... Poste dann die Logs mit Filename und Pfad (das ich dann ggf. ein Löschscript bauen kann)... chris |
Hi Chris, ich habe in der Zwischenzeit eine 1-Jahreslizenz von Prevx erworben und die als infiziert gemeldeten Dateien damit gelöscht. Ich habe gehofft, dass mein Problem dadurch behoben werden kann. Leider ist das aber nicht der Fall, der PC ist immer noch extrem langsam. Habe zwischenzeitlich schon versucht das System neuzuinstallieren, leider muss ich feststellen dass nun mein DVD Laufwerk keine DVDs mehr erkennt.. echt zum verrückt werden. |
Hi, wie bist Du bei der Neuinstallation vorgeganngen? Komplett formatiert und dann alles neu aufgespielt? Hört sich jetzt eher nach einem HW-defekt an, prüfe mal die Festplatte.... Festplatte prüfen (Vista): Explorer öffnen, auf die Ebene Computer wechseln, so dass die Laufwerke angezeigt werden. Rechtsklick auf das gewünschte Laufwerk, Reiter "Tools" auswählen, "Jetzt überprüfen" (Sicherheitsabfrage abnicken) im Popup beide Haken setzen und starten. Ev. erfolgt dann ein Neustart und die Festplatte wird überprüft (das kann sehr lange gehen). Hast Du die richtigen Treiber, eventuell mal ein Update machen... Bekommst Du noch Meldungen von den Virenscannern? chris |
Hi Chris, also den Festplattentest habe ich gemacht, da wurden aber keine Fehler gefunden. Virusmeldungen bekomme ich auch keine mehr, die Arbeitsgeschwindigkeit des PCs ist aber immer noch extrem langsam (vorallem der Bootvorgang). Ich fürchte fast, dass ich mir nun ein neues DVD Laufwerk einbauen muss und dann nochmal C: komplett platt machen sollte. |
Hi, wäre wahrscheinlich das beste. Prüfe mal den Bootsector: MBR-Rootkit Lade den MBR-Rootkitscanner von Gmer auf Deine Bootplatte: http://www2.gmer.net/mbr/mbr.exe Merke Dir das Verzeichnis wo Du ihn runtergeladen hast; Start->Ausführen->cmd Wechsle in das Verzeichnis des Downloads und starte durch Eingabe von mbr das Programm... Das Ergebnis sollte so aussehen: Zitat:
poste es im Thread; chris |
Hi Chris, danke dass du mir hier so viele Tips gibst. Hier das Ergebnis von MBR, das ich aus der Log-Datei kopiert habe: Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: error reading MBR |
Hi, das gefällt mir überhaupt nicht... Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. chris |
Hi Chris, also ich glaube das ComboFix mit meinem OS (Vista 64 Bit) nicht zurecht kommt. Denn so eine Fehlermeldung habe ich erhalten. |
Hi, dann gehen wir jetzt einfach mal von aussen vor... Antivir, Rescue-CD (wenn keine ATI-GraKa im Rechner!) http://www.avira.de/de/support/support_downloads.html Dort bitte das Rescue System sowie das Update dazu runterladen. Beim Start der Anwendung leere CD in den Brenner, CD brennen lassen. Zweite CD brennen mit dem ausgepackten Update. Von CD booten (Einstellung im BIOS vornehmen)... http://www.pcwelt.de/start/sicherheit/antivirus/news/149200/ -Alternativ- G Data-Rettungs-CD, Größe ca. 110 MB: http://www.gdata.de/typo3conf/ext/dam_frontend/pushfile.php?docID=826 Runterladen und dann auf CD brennen, von CD booten (im Bios die Bootreihenfolge umstellen, gilt auch für AVIRA).... Dann von CD booten (im Bios Bootreihenfolge umstellen!) und die Festplatten prüfen lassen! chris |
Hi Chris, ich weiß auch nicht warum wenn es mal nicht läuft immer alles andere noch dazu kommt, aber mein DVD/CD Laufwerk ließt keine CDs mehr und ich hab leider im Moment kein Alternativlaufwerk zur Verfügung. Sobald ich eins auftreiben kann werde ich das aber durchführen. Du kennst nicht noch irgend ein Programm, dass unter Vista64 laufen würde, oder? Danke und viele Grüße Nico |
Hi, hast Du für Dein 64-Bit System denn alle Treiber (und auch korrekt installiert bzw. upgedatet)? CF und MBR laufen unter 64Bit leider nicht... Treiber kontrollieren: http://www.pcwelt.de/index.cfm?pid=380&pk=2105604 Eventuell läuft die Festplatte/CD-Lfw. im PIO statt im DMA-Modus... ->http://windows.microsoft.com/de-DE/w...-DMA-on-or-off Cureit: http://www.trojaner-board.de/59299-a...eb-cureit.html chris |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:24 Uhr. |
Copyright ©2000-2025, Trojaner-Board