|
Win32/Rootkit.Agent.ODG weiterhin nicht zu erwischen Win32/Rootkit.Agent.ODG trojan wird auch nach Ausführung hier vorgeschlagener Vorgehensweisen wieder von Eset NOD32 erkannt. Vielen Dank erstmal für die rasche Antwort. Die mbam-log von heute fand nichts mehr: (kann Sie hier irgendwie nicht direkt hinein kopieren) Also im Anhang, wie auch Systeminformationen. Hoffentlich klappt es so! Gruß Löwe |
:hallo: Poste bitte wo genau Nod diese Malware findet und poste zusaetzlich noch einen Gmer Report. |
Hallo Habe alles durchgeführt. GMER-log und ESET-Bericht im Anhang. Gruß Löwe |
Ja, das ist ein tdss Rootkit... Du hast 2 Moeglichkeiten, entweder den Rechner neuaufsetzen, oder wir versuchen zu bereinigen. Solltest du bereinigen wollen, nutze bitte Combofix: Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichere es als test.exe auf den Desktop Danach schliesse alle Fenster, deaktiviere alle Hintergrundwaechter (AV und z.B. Spybots Tea-Timer) starte die combofix.exe, lies die Informationen auf den auftauchenden Fenstern und beantworte sie danach mit Ja. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Ein Leitfaden und Tutorium zur Nutzung von ComboFix Nutze immer eine aktuelle Version von Combofix, auch wenn du "deine" erst vor einem Tag heruntergeladen hast. |
Hallo und Danke für die Info. Combo-Fixx log im Anhang. Ich würde soooo gern mein System retten. Gruß Löwe |
Das sieht so nun um einiges besser aus. Deinstalliere Combofix via Start/Ausfuehren, dort combofix /u eingeben und enter druecken. Erstelle einen Wiederherstellungspunkt Neues Seetaler Weblog - Windows: Wiederherstellungspunkt erstellen Dann nutze die mit Windows gelieferte Datenträgerbereinigung(außer alte Dateien komprimieren), säubere die Systemwiederherstellung über "weitere Optionen" ! Löschen von Dateien mithilfe der Datenträgerbereinigung - Windows Vista-Hilfe Danach koennte ein Kontrollscan mit Kaspersky AVP Tool nicht schaden http://downloads5.kaspersky-labs.com/devbuilds/AVPTool/ Sollte noch etwas gemeldet werden, melde dich bitte mit dem Report wo etwas gefunden wurde |
Zitat:
Gruß Löwe |
Hallo Ich habe alles wie beschrieben ausgeführt. Die AVP Tool Log der wichtigsten Ereignisse ist im Anhang. Falls mehr erforderlich sein sollte, poste ich nach. Ist aber eine Menge. Gruß Löwe |
Du kannst die Datei bei virustotal.com pruefen, schau, was ob noch mehr gemeldet wird.... |
Hallo Ich habe nach der letzten Aktion den Rechner in den Ruhezustand gefahren und bin nun bei der Suche der Datei nicht fündig geworden. Der angegebene Pfad: Die Datei:C:/Dokumente und Einstellungen/Frank/Anwendungsdaten/phonostar-player/update.exe, Ordner Anwendungsdaten gibt es nicht, beiApplication-Data ist nichts. Nur bei /Frank/ gibt es einige merkwürdige Dateien mit Nummern und Kopie von..... u.s.w. Ein Nero Show Time File ntuser wurde zur Zeit des letzten Scan um 1.24 Uhr geändert Gruß Löwe |
Stelle deinen Browser ein, wie hier beschrieben und du wirst die Datei finden koennen http://www.trojaner-board.de/59624-a...-sichtbar.html |
Hallo Habe alles wie beschrieben eingestellt und konnte den Anwendungsdaten- Ordner finden. ESet NOD32 meldet keine blocked Attacks mehr. Log von virustotal im Anhang. Kann dieser phono-star Ordner gelöscht werden? Programm exsistiert nicht. Untersuchte Datei heisst aber hinten update2.exe AVP Tool fand: /phonostar-player/update.exe Außerdem im Ordner: rdb-Datei Gruß Löwe |
Ja, wenn du das Programm bereits deinstalliert hast und es nur ein Rest davon ist, kannst du den Ordner loeschen. Wenn sonst keine Probleme mehr aufgetaucht sind, sollten wir durch sein.... :) |
Hallo, erstmal vielen Dank für eure Hilfe. Keine weiteren Probleme aufgetaucht. Ich bin begeistert und fasziniert zugleich. Nun werde ich bestimmt etwas vorsichtiger durch den Dschungel ziehen und mich mochmal auf eurem Board umsehen, wie so einiges Schlimmes zu verhindern geht. Nochmals vielen Dank Gruß Löwe |
Zitat:
Gruß Löwe |
Poste bitte ein aktuelles Hijackthis log. |
Hallo, danke für die Antwort. Hijack-log im Anhang. Gruß Löwe |
Hake in Hijackthis folgendes an und druecke fix checked: R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab56986.cab O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/.../GAME_UNO1.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1112979007390 O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/Driver...aSmartScan.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab O23 - Service: DPCCP - Unknown owner - C:\DOKUME~1\Frank\LOKALE~1\Temp\DPCCP.exe (file missing) O23 - Service: Sandra Data Service (SandraDataSrv) - Unknown owner - C:\Programme\SiSoftware\SiSoftware Sandra Pro Home 2007.SP1\Win32\RpcDataSrv.exe (file missing) O23 - Service: Sandra Service (SandraTheSrv) - Unknown owner - C:\Programme\SiSoftware\SiSoftware Sandra Pro Home 2007.SP1\RpcSandraSrv.exe (file missing) O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Unknown owner - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe (file missing) Starte neu und schaue, ob die Eintraege verschwunden sind |
Habe nochmal geskannt, da ich den alten skan nirgends öffnen konnte, habe die Häkchen gesetzt, aber keinen Dienst beendetr(23). Fehler? Wo kann ich nun nach dem Neu-Start sehen, ob die mit Häkchen nicht mehr da sind? Sorry Gruß Frank PS Wahrscheinlich meinst du einen neuen Skan |
Habe also nochmal mit HiJack skan gemacht. Drei Einträge sind geblieben, siehe Anhang. Gruß Löwe PS SandraSysoft hatte ich früher mal drauf, für Ulead gibt es Installationen auf dem Rechner |
Frage ist, ob du die Programme von SiSoft und Ulead noch brauchst. Sie sind nicht schaedlich, nur unnuetz.... |
Zitat:
Gruß Löwe |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:12 Uhr. |
Copyright ©2000-2025, Trojaner-Board