|
Unerwünschte Popups / DNS-Verbiegungen / Suchanfragenverfälschungen Hallo zusammen, ich habe Eure load.exe durchgeführt, und folgendes Problem besteht weiterhin: Mein Windows XP Rechner kann bestimmte Server wie Windows Update nicht erreichen, und es öffnen sich sogar innerhalb meines Browsers Opera neue Fenster, und es werden manchmal Suchergebnisse von Google etc. verfälscht. Ich würde mich freuen, wenn Ihr mir weiterhelfen könntet. Noch ein Hinweis zu Eurem Schritt 6: "Klicke nun in die benutzerdefinierte Scans Box. Nun wirst Du gefragt ob du eine Datei einfügen willst." Ich wurde leider weder gefragt, noch hat er per Drag and Drop die Scan.txt akzeptiert. Deshalb habe ich den Quick Scan so ausgeführt. So, in einer anderen Anleitung habe ich jetzt nochmal gelesen, dass man in das OTL-Fenster den Text an sich reinpasten muss. Deswegen sind die Dateien jetzt klein genug, um sie einzeln anzuhängen. |
Zitat:
Wenn die Datei schon ausgewertet sein sollte, bitte eine weitere Auswertung starten. |
Dankeschön, hier ist der Link: hxxp://www.virustotal.com/file-scan/report.html?id=eeb5d8733b225913ba90624f951214c73a603ebd991fc3988847c5c7e3926299-1284997947 falls der Link abläuft, hier das Ergebnis: File name: rmc_fixasf.exe Submission date: 2010-09-20 15:52:27 (UTC) Current status: finished Result: 2/ 43 (4.7%) CAT-QuickHeal 11.00 2010.09.20 (Suspicious) - DNAScan ClamAV 0.96.2.0-git 2010.09.20 PUA.Packed.ASPack |
Lad die Datei bitte bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html Danach bitte CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Hallo, Datei ist hochgeladen. CCleaner durchgeführt. Hier mein Log zu ComboFix. Noch ein Hinweis: Nach dem Reboot wegen Rootkit-Aktivitäten ist mein Virenscanner wieder angegangen. Die dann folgenden Virenmeldungen habe ich mit "Zugriff verweigern" bestätigt. Code: ComboFix 10-09-20.01 - Desktop 20.09.2010 19:32:44.1.2 - x86 |
Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code: Filelook::4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. http://users.pandora.be/bluepatchy/m...s/CFScript.gif 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann! |
done Code: ComboFix 10-09-20.01 - Desktop 20.09.2010 20:04:17.2.2 - x86 |
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus. Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen. Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt. |
Gmer hat meinen PC mehrmals zum Absturz gebracht. Hier das OSAM-Log: Code: Report of OSAM: Autorun Manager v5.0.11926.0Code: System volume is \\.\C: |
Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
(Noch als kurzer Zwischenstand: Windows Update ist wieder erreichbar, es gibt auch keine Popups mehr. Bekomme aber immer noch AntiVir-Meldungen aus dem Nichts). Code: MBRCheck, version 1.2.3 |
Zitat:
Poste bitte Details, schau notfalls ins Log von AntiVir. Code: Size Device Name MBR Status |
Immer die gleiche Meldung: In der Datei 'C:\System Volume Information\_restore{30C2B206-6383-48E0-B242-1B3BDCC5C514}\RP438\A0758776.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Agent.3925.A' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern |
Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:48 Uhr. |
Copyright ©2000-2025, Trojaner-Board