![]() |
Think Point, wirklich entfernt? Hallo alle zusammen, ich habe folgendes Problem: hab mir vorgestern das virus ThinkPoint eingefangen und es nach der Beschreibung hier im Forum entfernt. Ich bin nach den folgenden Beschreibungen vorgegangen: 1.http://www.trojaner-board.de/92132-t...entfernen.html logfile dazu: Malwarebytes' Anti-Malware 1.50 www.malwarebytes.org Datenbank Version: 5280 Windows 6.1.7600 Internet Explorer 8.0.7600.16385 09.12.2010 18:42:15 mbam-log-2010-12-09 (18-42-04).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|G:\|) Durchsuchte Objekte: 356225 Laufzeit: 2 Stunde(n), 38 Minute(n), 39 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 3 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\OW1T3CYG7T (Trojan.FakeAlert) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> No action taken. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\Users\Emrah\AppData\Local\Temp\Nvv.exe (Trojan.FraudPack) -> No action taken. c:\Users\Emrah\Desktop\eXplorer.exe (Heuristics.Reserved.Word.Exploit) -> No action taken. 2.http://www.trojaner-board.de/83878-o...processes.html logfile dazu: Malwarebytes' Anti-Malware 1.50 www.malwarebytes.org Datenbank Version: 5280 Windows 6.1.7600 Internet Explorer 8.0.7600.16385 09.12.2010 19:06:14 mbam-log-2010-12-09 (19-06-14).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 135025 Laufzeit: 10 Minute(n), 45 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Ich kann mir jedoch nicht vorstellen, dass der Virus jetzt komplett weg ist. Deshalb hier im Anhang das logfile. Würde mich über jeden Rat freuen. Danke |
Hallo und :hallo: Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
|
Hi, danke für die schnelle Antwort. So hier jetzt die gewünschten logfiles. Gruß Emrah |
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTL Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. |
Hi, habe otl laufen lassen wie du es gesagt hast. Es kam eine Meldung, die hieß: Cannot create file C:\Windows\System32\drivers\etc\Hosts Danach gings nicht weiter. Habe Otl geschlossen und musste neu starten. Nach dem neustart wurde ich erst gefragt ob ich otl wirklich ausführen will. Habs bestätigt und im dann erscheinenden logfile stand folgendes: Files\Folders moved on Reboot... File move failed. C:\Windows\System32\drivers\etc\Hosts scheduled to be moved on reboot. Registry entries deleted on Reboot... Gruß |
Mach zur Kontrolle bitte neue Logs mit OTL |
Hi, wusste nicht genau welchen Schritt du jetzt meinst. Deshalb habe ich jetzt beides nochmal gemacht. Die 2 logfiles vo dem ersten Schritt den ich machen sollte sind im Anhang. Den 2. Schritt habe ich auch nochmal gemacht. Die Meldung kam wieder jedoch ist das logfile jetzt etwas länger: All processes killed Error: Unable to interpret <[resethosts]> in the current context! Error: Unable to interpret <[emptytemp]> in the current context! Error: Unable to interpret < > in the current context! OTL by OldTimer - Version 3.2.17.3 log created on 12112010_181450 Files\Folders moved on Reboot... Registry entries deleted on Reboot... Gruß |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Hi, Combofix Logfile: Code: ComboFix 10-12-11.06 - Emrah 12.12.2010 19:42:32.1.2 - x86 :dankeschoen: |
Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code: File:: 4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. http://users.pandora.be/bluepatchy/m...s/CFScript.gif 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann! |
Combofix Logfile: Code: ComboFix 10-12-11.06 - Emrah 13.12.2010 13:58:04.2.2 - x86 :dankeschoen: |
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
Hallo, habe alles im Anhang. Die online Abfrage durch isam habe ich ausversehen doch ausgeführt. Ich hoffe das ist nicht so schlimm: OSAM Logfile: Code: Report of OSAM: Autorun Manager v5.0.11926.0 If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru Gruß Emrah |
Das Log von mbrcheck ist leider unvollständig |
So, habs nochmal gemacht |
Alle Zeitangaben in WEZ +1. Es ist jetzt 07:08 Uhr. |
Copyright ©2000-2025, Trojaner-Board