|
Hi, es gibt da noch einiges was zu ändern wäre und noch eine kleine Frage: Was ist das hier: Code: c:\programme\Lineage II\system\npkycryp.sysDann sind einige Reg.-Einträge (Sicherheitscenter) verbogen, die geändert werden müssten (das macht eigentlich MAM)... ... [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000001 ... Du solltest unbedingt alle Passwörter ändern (Infostealer/Backdoor), ev. sicherheitshalber wenn Du eBanking machst das Konto sperren lassen (denk dabei auch an eBay etc.)... chris Ps.: Bin jetzt mal wech für ca. 1,5 h... |
Zitat:
Das Programm verbindet sich via Client mit einem Hauptserver, auf dem dann gespielt wird. Was die Datei "npkycryp.sys" tut weiß ich nicht, denke aber dass es evt. für den Verbindungsaufbau eine Rolle spielen könnte. Zitat:
Zitat:
Zitat:
|
Hi, MAM? (MAM==Malwarebytes Anti-Malware?)->Ja! So, mache dann noch mal einen Scan mit Prevx, dann sollten wir durch sein... chris |
Hi, mir kommt das Teil nicht geheuer vor, kannst du es löschen: C:\Programme\Lineage II Da muss noch irgendwo ein Loader versteckt sein, wenn das Teil wieder da ist... Mach bitte mal folgendes: Update MAM, gehe offline, lass dann ComboFix laufen und danach immer noch Offline MAM. Poste beide Logs und lasse den Rechner noch von Kapi durchsuchen: Kaskpersky OnlineScanner (IE benutzen) http://www.kaspersky.com/de/virusscanner Dann muß noch die Systemwiederherstellung gepättet werden: Systemwiederherstellung löschen BSI-Faltblattt (https://www.bsi.bund.de/cln_134/Cont...irenundCo.html) und dort unter Viren entfernen Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt: Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung -> anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten; Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder). Einen ersten Restorepunkt setzten: Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen Ich beziehe mich dabei auf das von Dir im Thread http://www.trojaner-board.de/76929-t...-gefahr-2.html gepostete MAM-Log.. chris |
Hi, falls das nichts hilft, werden wir CF scripten... chris |
So hab Lineage gelöscht, danach MAM geupdatet, dann zuerst CF gestartet und dann MAM (alles mit gekaptem Kabel) CF ist zunächst durchgelaufen ohne Probleme, hat dann aber kein Log-file erstellt...hab sehr lange gewartet...dann habe ich das Programm geschlossen und erneut ausgeführt, dann hats funktioniert. Ich hab dann mit MAM weitergemacht. Combofix: Code: ComboFix 09-09-02.02 - *** 03.09.2009 20:43.3.2 - NTFSx86Code: Malwarebytes' Anti-Malware 1.40 |
Zitat:
|
Hi, hmm der Stream ist weg, der Starteintrag in der Reg ist noch da: [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D97A8762-C04A-D035-3133-BC39230D0A40}] c:\windows\system32:spoolsrv.exe Der sollte noch weg.. Kennst Du Dich mit Reg.-Edit aus? Dann Kannst Du den Schlüssel löschen, sonst bastelte ich ein Script dafür. Chris Ps.: Das wäre seltsam, wenn ich mich erinnere, steht als Autor dort Dein nick...? |
Hi, wenn du von auskennen sprichst dann muss ich das klar verneinen, tut mir leid! :( Dieser Thread ist der erste den ich hier überhaupt gestartet habe, der andere ist von Nicki79....also so wird mir das zumindest angezeigt, wenn ich auf deinen Link klicke. Die Anweisungen befolge ich aber trotzdem! :) ~Navaki |
Oh mist, entschuldige....ich seh grad ich hab da wohl mal ausversehen falsch gepostet, sowas!!! :headbang: :headbang: :headbang: |
Das Script für den Onlinescan wird nicht ausgeführt....weißt du wo man da im IE die entsprechenden Einstellungen vornehmen muss? |
Hi, schau in dem anderen Thread mal Post #17 an, der ist von Dir :o).. Das nachfolgende in den Editor kopieren (Start->Ausführen notepad) und als weg.reg auf dem Desktop speichern (nicht als "TXT"-File): Code: REGEDIT4Dann sollte der Eintrag verschwunden sein... So, der Notebookakku ist gleich leer, muss schluss machen... chris Ps.: ActiveX im IE zulassen... Hab hier FF.. |
Zitat:
Hoff das Ding ist jetzt weg... Zitat:
Zitat:
|
/edit: Es geht! :rolleyes: |
Zitat:
Code: ------------------------------------------------------------------------------- |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 15:50 Uhr. |
Copyright ©2000-2025, Trojaner-Board