|
Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html |
Hallo! TDSSKiller angewendet (zur Sicherheit sogar 2 Mal), jedoch ohne Ergebnis. Den Norman TDSS Cleaner habe ich auch mal vorsichtig gestartet. Das sollte ich zwar nicht, aber zumindest scheint dabei nichts schiefgegangen zu sein. Ich bin mir zwar nicht sicher, aber seit der Infektion befindet sich in der Registry im Unterordner "Software" ein Eintrag namens "PnPBus". Ebenfalls nicht sicher bin ich mir, ob die Datei "GDIPFONTCACHEV1.DAT" im Ordner "C:\Dok. und Einst.\user\Lokale Einstell.\Anwendungsdaten schon immer da war! Seit der Benutzung von ComboFix befinden sich übrigens so einige komische Ordner und Dateien auf meinem Computer. Was kann denn hier alles gelöscht werden? MfG |
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
Hallo! Alle Programme wurden ausgeführt, und es liegen die Ergebnisse vor. Das Programm "OSAM" fand ich in diesem Fall besonders interessant. Sollte es wieder zur Anwendung kommen, würde ich gerne wissen, was nebenher noch gelöscht werden kann! Vielleicht alle Einträge, die blau hinterlegt sind? MfG OSAM Logfile: Code: Report of OSAM: Autorun Manager v5.0.11926.0If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru |
Zitat:
|
Bitte mal den Avenger anwenden: 1.) Lade Dir von hier Avenger: Swandog46's Public Anti-Malware Tools (Download, linksseitig) 2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen: http://mitglied.lycos.de/efunction/tb123/avenger.png 3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code: Registry keys to delete:5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. |
Logfile of The Avenger Version 2.0, (c) by Swandog46 hxxp://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Registry key "HKLM\SYSTEM\ControlSet002\Services\eblqhxgq" deleted successfully. Registry key "HKLM\SYSTEM\ControlSet002\Services\pvcyjdfw" deleted successfully. Completed script processing. ******************* Finished! Terminate. |
Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
Hallo! Eine Sache dazu: Seit der letzten "Bereinigung" mit Avenger läuft mein Computer recht langsam und will ständig Luft zur Kühlung haben. Auch starten gewisse Sachen (im Info-Bereich neben der Uhr) gar nicht oder nur sehr langsam. Im Ordner "System Volume Information" wurde etwas gefunden. Wie kommt das denn dahin? pKm |
Nur Überreste. Rechner wieder ok oder noch Probleme |
Hallo! Eine Sache vorweg: Alle Aktivitäten hier habe ich von einem anderen als dem infizierten Computer gemacht. Ob er wieder gut läuft? Also was mir immer noch auffällt, ist, daß nach dem Gang in's Netz alles ein wenig "zittrig" wird. Schaut man im Taskmanager unter Prozesse, fällt zudem auf, daß entweder der Leerlaufprozeß oder der Internet Explorer sehr hoch die CPU auslastet. Um mir ein wenig selbst zu helfen, habe ich mal in der Registry nachgeschaut und folgendes gefunden: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_EBLQHXGQ\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PVCYJDFW\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_EBLQHXGQ\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_PVCYJDFW\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_EBLQHXGQ\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_PVCYJDFW\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\eblqhxgq HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\pvcyjdfw (---> C:\WINDOWS\system32\kqtoqow.dll) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_EBLQHXGQ\0000 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PVCYJDFW\0000 Das hat doch noch alles mit dem Virus zu tun, oder? Der Verweis auf die Datei "kqtoqow.dll" stammt übrigens aus einer vorherigen Infektion. Sie wurde damals von mir durch "AVG" entfernt. Mit freundlichen Grüßen |
Erst dachte ich das Teil ist von GMER, denn dieser Rootkitsucher erzeugt auch solche "lustigen" Zufallsnamen ;) mach bitte mal ein frisches Log mit GMER. |
Hallo! "GMER" habe ich laufen lassen, und das Ergebnis sieht aus wie vormals, als ich es nach der letzten Bereinigung eigenhändig einmal laufen lassen habe. Wie gesagt, der Computer zieht ordentlich Luft, und zwar nur dann, wenn ich mit dem Internet verbunden bin. MfG |
Ist unauffällig. Noch weitere Funde? Wenn nicht, kümmer dich unbedingt um die Updates! OS: Windows XP Professional Service Pack 2 (Build 2600) Default Browser: Microsoft Corporation Internet Explorer 7.00.6000.16674 Du gurkst noch mit dem SP2 und IE7 in der Welt herum, da wundert das ja nicht, dass man sich Schädlinge holt!
Achte beim Setup des IE8 wieder dadrauf, dass vorher möglichst alle Programme beendet und der Virenscanner deaktiviert wurde. Im Setup selbst bitte nicht an dem Verbesserungsprogramm teilnehmen (oder wie MS das nennt) und auch KEINE Updates über das Setup installieren. Die installieren wir später, ich sag dir dann wie. Melde dich wenn der IE8 drauf ist. |
Hallo! Ich habe den "Internet Explorer 7" nun über Windows (kein prof. Uninstaller) entfernt. Zum Vorschein kam der Internet Explorer 6. Bei der Gelegenheit: Was ist damit? Anschließend habe ich das Programm in der Version Nr. 8 installiert. Nun geht's um die Updates. Eine Sache möchte dabei erwähnen: Was ist eigentlich mit dem ganzen Kram ist, der sonst noch so installiert ist? Microsoft.NET Framework 1.1 Microsoft.NET Framework 1.1 Hotfix (KB928366) Microsoft .NET Framework 1.1 German Language Pack Microsoft.NET Framework 2.0 Microsoft .NET Framework 2.0 Language Pack - DEU Microsoft.NET Framework 3.0 Microsoft .NET Framework 3.0 German Language Pack Microsoft Kernel-Mode Driver Framework Feature Pack 1.1 Microsoft Kernel-Mode Driver Framework Feature Pack 1.7 Microsoft Compression Client Pack 1.0 for Windows XP Microsoft User-Mode Driver Framework Feature Pack 1.0 In beuzg auf die Frage, ob es weitere Funde gab, kann ich noch sagen, daß, als mein Rechner infiziert wurde, sich Java und der Acrobat Reader meldeten. Aktualisierungen wurden dazu aber schon vorgenommen. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 21:16 Uhr. |
Copyright ©2000-2025, Trojaner-Board