|
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann! |
Der Rechner wurde neu gestartet, hier das Log: Code: All processes killed |
Bitte nun (im normalen Modus!) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet, Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten. Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition nach, da speichert der TDSS-Killer seine Logs. Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten! http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen: Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop. Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern ) http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif |
Was heißt jetzt normaler Modus, ist das der, mit dem ich immer arbeite? Oder muß ich da etwas ändern? Sorry, ich bin eben keine Fachfrau.. Gruß, Charleen |
Ja einfach Windows normal und nicht der abgesicherte Modus |
Jessas, der flitzte aber schnell dadurch! Code: 15:18:21.0640 5568 TDSS rootkit removing tool 2.6.23.0 Dec 13 2011 10:39:31 |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie Zitat:
|
Hallo Arne, entschuldige, dass es so lange gedauert hat, aber nebenbei habe ich noch eine Familie zu versorgen, tja.. So, mit Bibbern habe ich Combofix gestartet, hörte sich alles so gefährlich an, war aber dann doch nicht schlimm. Ich hoffe, ich habe alle Anforderungen erfüllt, weil ich mir nicht sicher bin, was alles Hintergrundwächter sind. XP-Anty-Spy ist auch vorhanden, hätte ich das alles deaktivieren müssen?Es ist auf neutral eingestellt... AV-Guard war aus und die Firewall von Windows, mehr habe ich nicht gemacht - war das ausreichend oder habe ich etwas durch Nichtausschalten behindert? Naja, hier die Log-Datei: Code: ComboFix 11-12-16.03 - Sternchen 16.12.2011 20:59:58.1.2 - x86Gruß, Charleen |
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM! Downloade dir bitte  aswMBR.exe und speichere die Datei auf deinem Desktop.
Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none). |
Lieber Arne, hier ist das Gmer-Log: Code: GMER 1.0.15.15641 - hxxp://www.gmer.netCode: Report of OSAM: Autorun Manager v5.0.11926.0aswMBR.txt: Code: aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST SoftwareWärest Du so nett und gibst mir Auskunft, wie es denn nun um meinen PC steht? Ich habe nämlich immer noch das große "P(anik!)" im Auge, habe soviele Dinge seit unserem ersten Kontakt gemacht und blicke da langsam nicht mehr durch. Danke! Liebe Grüße Charleen |
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt: ESET Online Scanner
|
Hallo Arne, hier die Logs: Malwarebytes-Log: Code: Malwarebytes' Anti-Malware 1.51.2.1300Super-Anti-Spyware-Log (der hat was gefunden!): Code: SUPERAntiSpyware Scan LogCode: ESETSmartInstaller@High as downloader log:Ich würde Dich gern noch mit ein paar anderen Fragen löchern, wenn ich darf… Diese ganze Malware-Sache habe ich jetzt über das infizierte und vorübergehend als Admin-Konto eingerichtete Benutzerkonto abgewickelt, war das richtig? Oder hätte ich das über das Haupt-Admin-Konto machen müssen? Was ich auf dem Haupt-Adminkonto update oder installiere, wirken sich die Updates auch auf das normalerweise eingeschränkte Benutzerkonto aus, kann ich dort dann die installierten Programme nutzen oder muss ich das alles für jedes Konto separat machen? Kannst Du mir bitte dabei helfen, meinen PC sicherer zu machen? Ich habe z.B. über Programme gelesen, die automatisch auf Updates hinweisen; auch dass ich eine Notfall-Start-CD und auch eine Image-CD für Systemsicherungen erstellen sollte; dass ich an diversen Stellen im System Einstellungen verändern sollte (z.B. Auto-Run abstellen); dass ein Checksummenprogramm nützlich wäre und, und, und – wie geht das alles vor sich? Ich wäre Dir sehr dankbar, wenn Du mich da beraten würdest. Ich benutze meinen PC hauptsächlich zum Arbeiten mit Excel, Words und dem Buchungsprogramm von Lexware, aber auch zum Einkaufen und ab und zu auch zum Spielen, am liebsten Puzzles und escape-games :o – gibt es sichere Seiten für online-Spiele? Oder eher gar nichts online spielen, lieber von sicheren Seiten downloaden? Ich danke Dir viele Male für Deine Hilfe und Mühe, :bussi: !! Liebe Grüße, Charleen |
Sieht ok aus, da wurden nur Cookies gefunden. Noch Probleme oder weitere Funde in der Zwischenzeit? |
Oh, Mann, Arne, das ist einfach super !!! Danke!! Nein, keine weiteren Probleme, mein PC ist schneller geworden und fühlt sich gut an. Falls Du die Zeit findest, würdest Du mir dann noch ein paar Hinweise geben (siehe Fragen in letzter Antwort)? Puh - noch ne Frage: kann ich die Cookie-Speicherung und die Speicherungen in den diversen Caches unterbinden oder zumindest so einstellen, dass sie bei Beendigung des Browsers gelöscht werden? Da sammelt sich ja mordsmäßig was an! Liebe Grüße, Charleen |
Halte Dich am besten grob an diese Regeln:
Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar? Dann wären wir durch! :abklatsch: Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt. Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken. Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast) Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader. Flashplayer Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers => Adobe - Andere Version des Adobe Flash Player installieren (Alternativ bei Chip => http://filepony.de/?q=Flash+Player) Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind. Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 07:49 Uhr. |
Copyright ©2000-2025, Trojaner-Board
