Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Schädling "Scan PC for errors" - Desktop und Dateien weg - wie wiederherstellen & säubern? (https://www.trojaner-board.de/111746-schaedling-scan-pc-for-errors-desktop-dateien-weg-wiederherstellen-saeubern.html)

deogoal 18.03.2012 10:41
Schädling "Scan PC for errors" - Desktop und Dateien weg - wie wiederherstellen & säubern?
 
Hallo,


Leider habe ich mir gestern auch den Schädling eingefangen, der hier auch schon diskutiert wurde.

Über die Tips aus den anderen Threads mit malwarebytes, eset online und combofix habe ich ihn, denke ich, wegbekommen. dieses fenster beim einloggen mit dem betrofffenen User "Scan PC for errors", wo "My Computer", "system drive", RAM Memory" und "system registry" als defekt dargestellt werden, kommt nichtmehr.

Allerdings sind viele Dateien auf den Datenpartitionen VERSTECKT, die quickstartseite, das startmenü und der Desktop sind leer.

TDSSkiller findet nichts. "No thread found"
"10:31:28.0468 5324 Detected object count: 0
10:31:28.0468 5324 Actual detected object count: 0"

Ich finde es auch sehr beängstigend, wie es dieses Teil, was auch immer es war- in anderen Thread steht im Betreff TR/Spy.h und w32/Indus.A im Betreff- trotz laufendem Avast auf das System geschafft hat.

Meine Fragen nun:
- Wie kann ich sicherstellen dass alles weg ist.. auch MBR?
- Wie kann ich Desktop/Symbole wiederherstellen?
- Wie kann ich alle die versteckten dateien wieder sichtbar machen, außer manuell per kontextmenü? (edit: hab was gefunden: hxxp://www.bleepingcomputer.com/download/anti-virus/unhide )


Freue mich auf eure Hilfe und bin schon sehr dankbar! Cooles Board hier!

cosinus 19.03.2012 18:27
Zitat:
Über die Tips aus den anderen Threads mit malwarebytes, eset online und combofix habe ich ihn
Warum zu geier führst du einfach Combofix aus? Sind die Hinweise hier nicht deutlich genug, dass das nur auf explizite Anweisung gemacht werden soll?!

Poste alle Logs von Combofix sowie Malwarebytes und ESET!

deogoal 20.03.2012 13:41
Hi!
leider habe ich keine info gefunden, warum combofix so gefährlich sein soll. kannst du es mir sagen?


malwarebytes findet aktuell nichtsmehr. Ich habe zwei logs angehängt, eins von samstag, und eins von heute.

Userland rootkit detector: catchme.exe von gmer.net startet allerdings nicht sondern zeigt noch etwas besorgniserregendes an:

hxxp://www.abload.de/image.php?img=userlandrootkitdetect5su9m.jpg


("detected NTDLL code modofication" .... "Initialization error")

cosinus 20.03.2012 16:36
Zitat:
leider habe ich keine info gefunden, warum combofix so gefährlich sein soll. kannst du es mir sagen?
Wie kann man die Info denn nicht finden!? :balla:
Hier gibt es hunderte davon! Ganz oben angepinnt in jedem Subforum hier! Und auch in jedem Posting von einem Helfer lässt sich sowas finden!
Zitat:

Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset





Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
hier steht das Log

deogoal 22.03.2012 20:41
Hi! ja, es wird gewarnt, aber nicht, warum das so gefährlich ist..

danke dir, habe die sachen ausgeführt.

also ESET findet nichts spektakuläres
Code:
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=f509ea8aae8be54480d6616f671dcb07
# end=finished
# remove_checked=true
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-03-17 06:51:40
# local_time=2012-03-17 07:51:40 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=5893 16776574 100 94 23839642 83640011 0 0
# compatibility_mode=8192 67108863 100 0 77 77 0 0
# scanned=4161
# found=0
# cleaned=0
# scan_time=138
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=53251
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=f509ea8aae8be54480d6616f671dcb07
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-03-22 07:20:20
# local_time=2012-03-22 08:20:20 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=5893 16776574 100 94 24114865 83911634 0 0
# compatibility_mode=8192 67108863 100 0 271700 271700 0 0
# scanned=934460
# found=5
# cleaned=0
# scan_time=75834
E:\Software\Backup\GenieTimelineFree\cnet2_GenieTimelineSetupFree_exe.exe        a variant of Win32/InstallCore.D application (unable to clean)        00000000000000000000000000000000        I
E:\Software\Media-Audio\installer_free_fast_mpeg_cut_2_4_1_1_Deutsch_Deutsch.exe        Win32/Toggle application (unable to clean)        00000000000000000000000000000000        I
E:\Software\Media-Audio\Audiograbber\agsetup183se.exe        a variant of Win32/Adware.ADON application (unable to clean)        00000000000000000000000000000000        I
E:\Software\Video\Setup_FreeFlvConverter.exe        Win32/Adware.Toolbar.Dealio application (unable to clean)        00000000000000000000000000000000        I
E:\Software\Video\Setup_FreeVideoConverter.exe        Win32/Adware.Toolbar.Dealio application (unable to clean)        00000000000000000000000000000000        I

Code:
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.03.22.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
xx :: xx [Administrator]

22.03.2012 20:33:25
mbam-log-2012-03-22 (20-33-25).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 294986
Laufzeit: 7 Minute(n), 20 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
also alles OK, oder doch nicht? (catchme.exe von gmer.net startet ja nicht,s.o.)

cosinus 23.03.2012 21:11
Zitat:
Art des Suchlaufs: Quick-Scan
Sry aber ich wollte einen Vollscan sehen...bitte nachholen und Log posten!
Denk dran vorher die Signaturen von Malwarebytes zu aktualisieren, da gibt es sehr häufig neue Updates!

Und das Log von Combofix seh ich hier auch noch nicht


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:18 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131