|
Umleitung auf windowsclick.com , Programme funktionieren nicht etc. Hab ein ähnliches Problem wie http://www.trojaner-board.de/70996-s...dowsclick.html U.a. funktionieren die Systemwiederherstellung und Malwarebytes' Anti-Malware nicht. Hijackthis-File: Zitat:
|
GMER - Rootkit Detection Zitat:
|
Hi, da läuft ein Rootkit, die "Trusted zones" sind keine, und einige Notify-Einträge sind -äh- interessant ... Daher: Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Achtung Benenne es bereits im Downloadialog auf test.com um! Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/comb...x-benutzt-wird Danach bitte MAM und RSIT: Malwarebytes Antimalware (MAM). Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Fullscan und alles bereinigen lassen! Log posten. RSIT Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. * Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/) * speichere es auf Deinem Desktop. * Starte mit Doppelklick die RSIT.exe. * Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. * Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. * In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". * Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. * Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. * Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. * Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. chris |
Combofix bricht wiederholt gleich nach Start des Scans ab, ein blauer Bildschirm erscheint Problem: Speichern in einen speichergeschützten Bereich geht nicht oder so ähnlich Ich muss den PC neu starten. MAM lässt sich wie oben erwähnt nicht starten. Hier meine RSIT Logs: log.txt (Teil 1) Zitat:
|
Das Problem besteht übrigens afaik seit 17.8. oder so Teil 2 log.txt Zitat:
|
info.txt Teil 1 Zitat:
|
info.txt Teil 2 Zitat:
|
Hi, das kann jetzt gefährlich werden... Teile des Rootkits sind sichtbar, versuche sie mit Avenger zu erwischen, wie der Rest drauf reagiert ist unklar... Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code: C:\WINDOWS\system32\kusewovi.dll (?Wurm?)
Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://saved.im/mzi3ndg3nta0/aven.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code: Drivers to delete:4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code: O15 - Trusted Zone: *.antimalwareguard.comSophos Antirootkit: Downloade Sophos Antirookit und Scanne Dein gesamtes System, poste das Logfile. Benutzeranleitung (english): http://www.sophos.de/sophos/docs/eng...r_15_umeng.pdf http://www.chip.de/downloads/Sophos-..._21584106.html Chris |
Hm, die beiden dll finde ich nicht trotz "alle Dateien anzeigen" |
Avenger File: Zitat:
|
MAM geht immernoch nicht (mbam.exe wird, wie vor dem fix, zwar bei den Prozessen im Task-Manager angezeigt, öffnet sicher aber nicht) Bei ComboFix gleiches Problem wie vorher |
Sophos Anti-Rootkit - Download - CHIP Online hat das Problem scheinbar gelöst. Hab nach dem Scan (hat beim mir 1 Stunde gedauert) einfach alles, was ich abhaken konnte, abgehakt und vom Programm bereinigen lassen. (Wie postet man denn da ein Logfile?) Alle Programme funktionieren wieder, ich werde im Netz nicht mehr umgeleitet. Soll ich noch ein Logfile von einem anderen Programm posten? Vielen Dank schonmal. |
Hi, lösche combofix mit Start->ausführen combofix /u, installiere eine neue Version (download wie gehabt) und lass die mal laufen. Was macht MAM, ist es jetzt startfähig, sonst müssen wir noch was tun... Prüfe, od Du das Logfile von Sophos hier findest: Protokolldatei: %TEMP%\sarscan.log (%TEMP% das temporäre Windows-Verzeichnis)... Bitte nochmal ein neues RSIT-Log posten! chris |
MBAM funktioniert hab gestern gescannt (hat ewig gedauert), hat doch einiges gefunden. Das Logfile stammt von vor der Bereinigung (No action taken), ich hab natürlich bereinigen lassen Zitat:
|
RSIT log.txt Teil 1 Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:27 Uhr. |
Copyright ©2000-2025, Trojaner-Board