|
[code] Combofix Logfile: Code: ComboFix 10-09-14.05 - vvjj 15.09.2010 21:40:23.10.1 - x86 |
Lad mal saubere Versionen von winlogon.exe und explorer.exe bitte direkt auf C:\ herunter. Hier die Links: File-Upload.net - winlogon.exe File-Upload.net - explorer.exe Das ist wichtig das die direkt auf C: liegen! Wenn das gemacht ist so bitte weitermachen: 1.) Lade Dir von hier Avenger: Swandog46's Public Anti-Malware Tools (Download, linksseitig) 2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen: http://mitglied.lycos.de/efunction/tb123/avenger.png 3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code: files to move:5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. 8.) Die Datei c:\avenger\backup.zip bei File-Upload.net hochladen und hier verlinken |
Code: Logfile of The Avenger Version 2.0, (c) by Swandog46 |
Mist der Avenger überschriebt die Dateien nicht :mad: Hast Du ne WindowsXP-CD zur Hand? Du kannst auch die Wiederherstellungskonsole starten, wenn sie über Combofix installiert wurde. Hast du beim Rechnerstart ein Bootmenü mit Windows und der Wiederherstellungskonsole zur Auswahl? Wenn Du weder die CD zur Hand noch die Wiederherstellungskonsole installiert hast, müssen wir das über eine Live-Linux-CD machen. :schmoll: |
ich bin leider gerade auf einer Reise und habe keine CDs zur Hand. Ich habe allerdings beim Rechnerstart so ne Konsole zur Auswahl. Diese Konsole gabs schon als vor vielen Monaten Combofix benutzt habe. Was passiert jetzt wenn ich von dort aus Windows wiederherstelle? Welcher Stand wird genommen? Den vor vielen Monaten oder als ich vor paar Tagen Combofix laufen ließ? |
Das ist gut, wenn Du in die Wiederherstellungskonsole kommst. Tipp mal nacheinander diese Befehle ein. Mit Enter jeden Befahl ausführen. Du kannst auch den Text in eine Textdaei abspeichern und diese zB als c:\tb.bat abspeichern und in der Konsole einfach nur c:\tb.bat eintippen und die Stapeldatei (das Script) somit ausführen. Code: ren c:\windows\explorer.exe explorer.exe.vir |
scheint wieder alles zu funktionieren. Muss ich jetzt noch irgendetwas machen? |
Ja. Bitte die Dateien Zitat:
Ich hatte einen kleinen Fehler im vorherigen Beitrag: Zitat:
|
ja ich hatte das doppelte c:\ weggelassen. komischerweise ist die winlogon.exe.vir bei mir im c:\windows statt in c:\windows\system32. habe die 2 Dateien hochgeladen. |
Ok. Dann mach mal nen neuen Durchgang mit Combofix. Die Datei bitte wieder neu herunterladen und beim herunterladen als cofi.exe abspeichern. |
|
[code] Combofix Logfile: Code: ComboFix 10-09-24.05 - vvjj 25.09.2010 17:10:16.11.1 - x86 |
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus. Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen. Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt. |
Code: GMER 1.0.15.15281 - hxxp://www.gmer.netCode: Report of OSAM: Autorun Manager v5.0.11926.0If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru [/code] MBR war OK. |
Edit: Ok, und das Log vom Bootkit Remover? |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:14 Uhr. |
Copyright ©2000-2025, Trojaner-Board