|
Cryp_Upack - erkannt aber nicht löschbar Hallo, ich habe seit gestern einen "Virus" auf meinem Rechner den ich nicht weg bekomme. Hab schon mit meinem "Standart" Antivieren Programm (Trend Micro OfficeScan) alles was möglich ist versucht ohne erfolg. Bemerkbar macht sich der "Virus" duch ein Rotes "x" In der Systemleiste neben der Uhr. Alle paar sekunden Zeigt dieses ein Popup mit dem Inhalt: Zitat:
Anhand der Logfileauswertung von "http://www.hijackthis.de" habe ich auch schon HijackThis arbeiten lassen aber dies bewirkte keinerlei Änderung. Außerdem habe ich bereits anhand von ähnlichen Beiträgen versucht mit Ad-Aware das Problem in den Griff zubekommen aber leider auch hier keine Auswirkungen. SpyBot - S&D lässt sich nicht starten. Hier mal mein Logfile von HijackThis: Code: Logfile of Trend Micro HijackThis v2.0.2 |
Hi, Bitte folgende Files prüfen: Zitat:
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen Poste die Ergebnisse mit Filename! Achtung: Alle Programme zuerst runterladen, MAM installieren & updaten, dann offline gehen und das nachfolgende Abarbeiten (sonst laden sich die Viecher nach), eventuell Anweisung ausdrucken! Avenger, combofix und MAM downloaden...! Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://swandog46.geekstogo.com/res/images/avenger.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code: 3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet. 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code: O23 - Service: Taskplaner (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\services.exe (file missing)Combofix Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird MAM Anleitung hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html Nutze aber bitte diesen Downloadlink http://filepony.de/download-malwarebytes_anti_malware/. Poste die Logs und ein neues HJ-Log; Chris |
Danke für die schnelle Antwort hier ersteinmal die Analysen der Dateien Zitat:
Sobald ich alles habe schreib ich die logs --- Zitat:
kein symbol mehr! :) Code: ComboFix 08-08-04.01 - sebastian.groemcke 2008-08-05 11:13:59.1 - NTFSx86Danke |
Hi, mist, die Viecher haben Avenger erkannt uns versuchen die Bereinigung zu blokieren... Da hoffen wir mal auf Combofix und MAM... Unbedingt bei der Bereinigung Offline bleiben... chris |
DANKE Alles läuft wieder super und jetzt endlich auch wieder schnell hab alles noch durchlaufen lassen d.h. MAM durchlaufen lassen der hat nix mehr gefunden *freu* Zitat:
Code: Logfile of Trend Micro HijackThis v2.0.2DANKE |
Hi, HALT noch ist der Krieg nicht gewonnen, ComboFix zeigt da noch was an (HJ auch): Diese Files sind suspekt: Code: C:\WINDOWS\system32\dcexdjel.exePoste das Ergebnis mit Filename ggf. müssen wir sie "killen"... chris |
würd ich wohl ma sagen da hab ich mich zu früh gefreut :( Wie kann ich die Killen? Code: C:\WINDOWS\system32\dcexdjel.exeCode: C:\WINDOWS\system32\fqifplag.mroCode: C:\WINDOWS\system32\eoctknas.bejCode: C:\WINDOWS\system32\lijqcaia.xpqCode: C:\WINDOWS\system32\vmbsewim.mimCode: C:\WINDOWS\system32\drivers\b0b42932.sysZitat:
|
Hi, combofix scripten: 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code: File::4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer!) 5. Dann ziehe die CFScript.txt auf die ComboFix.exe. Damit wird Combofix neu gestartet. 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt ACHTUNG: Bin nur noch kurz da, dann bin ich zwei Tage unterwegs, bitte ein anderer ggf. übernehmen... chris |
Code: ComboFix 08-08-04.05 - sebastian.groemcke 2008-08-05 15:20:30.2 - NTFSx86Zitat:
Code: Logfile of Trend Micro HijackThis v2.0.2 |
Hi, im Script ist mir ein Fehler unterlaufen, bitte noch mal laufen lassen (da hat ein File:: gefehlt) chris |
Hi, Nee des war mein Fehler. So ich habs nochmal richtig aus geführt und dann sieht das log so aus: Code: ComboFix 08-08-04.05 - sebastian.groemcke 2008-08-05 15:45:30.3 - NTFSx86HijackThis log: Code: Logfile of Trend Micro HijackThis v2.0.2 |
Hi, ich werde zum Elch, die Dinger sind noch da: KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Download: http://www.bleepingcomputer.com/files/killbox.php Options: Delete on Reboot --> anhaken reinkopieren: C:\WINDOWS\system32\dcexdjel.exe C:\WINDOWS\system32\fqifplag.mro C:\WINDOWS\system32\eoctknas.bej C:\WINDOWS\system32\lijqcaia.xpq C:\WINDOWS\system32\vmbsewim.mim C:\WINDOWS\system32\drivers\b0b42932.sys und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" PC neustarten Dann wieder HJ und poste das Log der Killbox. Bin erst wieder in zwei Tagen verfügbar, chris |
Hi, Hab Killbox laufen lassen wie du gesagt hast Zitat:
Code: Pocket Killbox version 2.0.0.881Zitat:
Code: Logfile of Trend Micro HijackThis v2.0.2scheint ja aber nichts mehr da zu sein dann sag ich mal diesmal nur vorläufig DANKE |
Hi, da hast sich wieder was eingenistet (und hoffentlich nicht schon wieder vermehrt:) C:\WINDOWS\TEMP\IABC38.EXE Bitte sofort online prüfen lassen (Exe-Dateien aus temp. Verzeichnissen sind immer "seltsam")... virustotal Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen http://www.virustotal.com/flash/index_en.html Poste bitte das Log... chris chris |
Datei nicht mehr Vorhanden :) Ich hab nur die normale Windows Temp Leerung vorgenommen aber schon bevor ich deinen Beitrag gelesen hatte :) Neuste Logfile: Code: Logfile of Trend Micro HijackThis v2.0.2Danke |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:20 Uhr. |
Copyright ©2000-2025, Trojaner-Board