Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   ZAccess.f und PMax.gen (+ Sinowal.knf) (https://www.trojaner-board.de/107091-zaccess-f-pmax-gen-sinowal-knf.html)

Chris4You 29.12.2011 16:39
Hi,

kansnt Du das Log posten (alles was infected ist)?
Waren die beiden search*.exe-Dateien darunter?

Lass Hitman nochmal von der Leine, ob er noch was meldet...

chris

Riddle 29.12.2011 17:08
Zitat:
kansnt Du das Log posten (alles was infected ist)?
Sorry, vergessen ...
Zitat:
Waren die beiden search*.exe-Dateien darunter?
Ja.
Habe sie darüber hinaus vorsorglich in den Papierkorb verschoben.
Zitat:
Lass Hitman nochmal von der Leine, ob er noch was meldet...
Findet rein gar nichts mehr.

Chris4You 29.12.2011 18:16
Hi,

leider fehlen in dem Log die CR+LF, aber was ich so erkennen konnte, ist das praktisch Avira komplett verseucht wurde, die Dateien die wir gefunden haben...die Systemwiederherstellung... ein Backdoor war auch dabei (alle Passwörter von einem sauberen Rechner aus ändern)... und der liebe Rootkit.. empfehle Neuaufsetzen...

Einige Sachen wurden auf cured gesetzt, ist die Frage ob sie wirklich gelöscht wurden...

Lade Dir eine neue Version von ComboFix runter und lass den bitte nochmal laufen...

chris

Riddle 29.12.2011 19:08
Zitat:
leider fehlen in dem Log die CR+LF
Hab ich auch schon bemerkt; Log ist so von Dr.Web erstellt worden ...
Zitat:
Avira komplett verseucht wurde
Ist bereits gelöscht.
Zitat:
Einige Sachen wurden auf cured gesetzt, ist die Frage ob sie wirklich gelöscht wurden...
Habe die Voreinstellung des Programms nicht verändert. War das falsch?

CF.log im Anhang. Ist sie ok?

Chris4You 29.12.2011 19:14
Hi,

da hamma ihn wieder:
Zitat:
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^0.7731218774122423.exe.lnk]
path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\0.7731218774122423.exe.lnk
backup=c:\windows\pss\0.7731218774122423.exe.lnkStartup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^0.8207306309362474.exe.lnk]
path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\0.8207306309362474.exe.lnk
backup=c:\windows\pss\0.8207306309362474.exe.lnkStartup
Schau mal ob Du ihn im Startmenü/Autostart findest, es sollten nur die Links sein, die eigentliche EXE müsste schon über die "wupper" sein, dann löschen...
Gehe jetzt mal Abendmampfen...

chris

Riddle 29.12.2011 20:01
Guten Hunger!

Ich glaube nicht, dass davon noch eine Gefahr ausgeht. Wusste erst nicht, wo ich suchen sollte. Habe dann gesehen, dass die Registry-Eintrage im Zusammenhang mit 2 gestern mittels MSconfig deaktivierten Einträgen stehen. Die Links selber habe ich unter \windows\pss gefunden und gelöscht.

Sind weitere Scans vonnöten? Oder kann ich mich jetzt ans Absichern machen? Erbitte ggf. Empfehlungen.

Chris4You 29.12.2011 21:02
Hi,

sollte nun ok sein, kannst mit der Absicherung anfangen ...

chris

Riddle 29.12.2011 21:20
Hallo Chris,

vielen Dank für die Hilfe. Wünsche Dir und dem ganzen Team einen guten Rutsch und ein "schädlingsfreies" neues Jahr.

Gruß Riddle :dankeschoen:


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:59 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131