|
IE öffnet irgendwelche seiten Hallo zusammen, ich habe seit kurzem das Problem, dass der IE, wie auch Firefox, nach einer bestimmten Zeit, plötzlich eine andere Seite öffnet. Hier ist mal das Log-File: |
Hallo und :hallo: bitte nen Vollscan mit malwarebytes machen und Log posten. Danach OTL: Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
|
download malwarebytes: Malwarebytes instalieren, öffnen, registerkarte aktualisierung, programm updaten.schalte nun alles an laufenden programmen ab, trenne die internetverbindung, wähle scanner, komplett scan, funde löschen, log posten. ootl: Systemscan mit OTL download otl: http://filepony.de/download-otl/ Doppelklick auf die OTL.exe (user von Windows 7 und Vista: Rechtsklick als Administrator ausführen) 1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output 2. Hake an "scan all users" 3. Unter "Extra Registry wähle: "Use Safelist" "LOP Check" "Purity Check" 4. Kopiere in die Textbox: netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll logevent.dll iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT 5. Klicke "Scan" 6. 2 reporte werden erstellt: OTL.Txt Extras.Txt poste beide. |
Hallo zusammen und vielen Dank, hier zunächst aml das erste Log: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4316 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 16.07.2010 07:45:20 mbam-log-2010-07-16 (07-45-20).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 236783 Laufzeit: 1 Stunde(n), 3 Minute(n), 45 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\System Volume Information\_restore{02F74226-ADAD-4233-BA14-8748A46718E6}\RP25\A0012832.exe (Spyware.Zbot) -> No action taken. |
Und hier die beiden anderen Log's. Ich hab das Ganze jetzt mal nach der Anleitung von Arne gemacht ! |
Habe gerade noch festgestellt, dass ich keine Windows-Updates mehr machen kann. Ein manuelle Suche zeigt im IE, dass er keine Verbindung herstellen kann. |
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. |
Hi Arne, hier das Log Code: All processes killed |
Ok, weiter mit CF: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
hier das LOG Code: ComboFix 10-07-15.03 - Henning 16.07.2010 11:11:34.1.2 - x86 |
Sagmal, ist das ein Bürorechner? |
Ja, ist das ein Problem ? |
Für Bürorechner ist Euer Admin bzw. Eure EDV-Abteilung zuständig! |
das versuche ich selbst zu machen (1-Mann) |
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus |
Hi Arne, vielen Dank, dass es weiter geht und du dir die Mühe machst !!!! Anbei das LOG von OSAM. GMER hatte ich mir in Vorraussicht schon mal geladen, hat aber nicht funktioniert ! Code: Report of OSAM: Autorun Manager v5.0.11926.0 |
Zitat:
|
Hier nun das neue Log-File: Code: Report of OSAM: Autorun Manager v5.0.11926.0 |
Irgendwie bekomme ich jetzt immer einen neuen Eintrag angezeigt, der als Rootkit-Activity eingestuft wird. Und der Eintrag "Delete from Storage" ist nicht auswählbar. mike und irgendwie löscht er die markierten Werte nach dem Reboot nicht |
Dann erstmal nur deaktivieren. |
Liste der Anhänge anzeigen (Anzahl: 1) Ich bekomme aber nach jedem Haken entfernen und drücken von Apply folgende Meldung: siehe Bild |
So, ich hab' jetzt ca. 20 Mal eine Datei deaktiviert und den Reboot ausgelöst. Es kommt immer wieder eine neue verdächtige Datei in diesem Pfad, immer mit etwas anderer Bezeichung. Soll ich weitermachen ?? mike |
Ich merk gerade der kommt von den Daemon-Tools, also braucht der nicht deaktiviert zu werden :) Bitte den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus. Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen. Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt. |
Liste der Anhänge anzeigen (Anzahl: 1) Ich bekomme diese Meldung, wenn ich das Programm ausführe |
Hast Du eine Windows-CD parat? |
Nur so ne Recovery-CD |
Ne Recovery-CD ist blöd, man bräuchte ne "echt" Windows-Installations-CD, mit der man über die Reparaturkonsole über fixmbr den MBR neu schreiben kann. Frag doch mal in Deiner Bekanntschaft, ob Du Dir so eine CD leihen kannst. Wir können aber auch erstmal noch dieses Tool hier probieren => http://ad13.geekstogo.com/MBRCheck.exe |
Hi Arne, hab' jetzt mal MBRCheck ausgeführt und gab' folgendes Log Code: MBRCheck, version 1.1.1mike |
Wenn ich dem Programm Glauben schenken kann, ist der MBR ok. :rolleyes: Mach bitte mal zur Kontrolle neue Logfiles mit OTL: Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
|
Hi Arne, hier also die neuen Log's : Gruß mike |
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. |
Hi Arne, nach dem ich jetzt auch noch hin und wieder ein paar Bluescreens hatte, habe ich jetzt echt die Lust verloren. Ich habe den Rechner platt gemacht und alles neu installiert. Trotzdem vielen, vielen Dank für die super Unterstützung und die Geduld :D mike |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:09 Uhr. |
Copyright ©2000-2025, Trojaner-Board