|
Firefox leitet ungewollt um, Antivirenprogramme werden blockiert Guten Abend. :) ich hab eine Weile gegooglet und andere Beiträge gelesen und hab mir wie einige andere wohl diese Malware eingefangen, die das Weiterleiten von Google verursacht. Weil nie alles übereinstimmte, und verschiedene Dinge geraten wurden, dachte ich als Computerlaie, ich mache am besten einen eigenen Thread auf. Ich benutze den Asus Eee Pc 1000Ha-H mit Windows XP Home Edition SP 3 (war vorinstalliert). Ich bin nicht ganz sicher, aber ich glaube es hat mit einem Javaupdate angefangen. Auf jeden Fall ist google sehr langsam und leitet anstatt auf das Suchergebnis auf dubiose Seiten um, manchmal kommt für 2-3 Sekunden Musik im Hintergrund, IE versucht ständig eine Seite zu öffnen (sehr viele Registerkarten), das Netbook crasht öfter und die Antivirenprogramme wurden blockiert. (Wollte von Avira zu McAfee wechseln, weil meine Eltern das irgendwie mit dem Internetwechsel für 3 PCs dazubekommen haben.) Das Netbook hab ich nur noch an das Internet angeschlossen, wenn es für ein Programm benötigt wurde. Ich habe HijackThis laufen lassen, dann CCleaner (2 Mal). Malwarebytes wollte sich ganz lange nicht öffnen lassen, hab's aber dann doch zum Laufen bekommen, und zwei Mal laufen lassen: beim ersten Mal waren es 4 Dateien, danach noch eine (wieder eine der vorigen?). McAfee sagt, Malware sei vorhanden, die Installation geht nicht zu Ende. Gmer lief grad drüber "WARNING !!! GMER has found system modification caused by ROOTKIT activity." Was soll ich jetzt tun? Die Logs habe ich hochgeladen und schon mal danke im Voraus. (: http://www.file-upload.net/download-2167840/logs.rar.html |
Tut mir Leid wegen des Doppelpostings, aber ich habe grad ein wenig in anderen Threads gelesen, einige andere hatten wohl auch die Datei "H8SRTD.SYS" und da wurde geraten den Avenger einzusetzen? Bitte um Hilfe, möchte den nicht ohne Empfehlung benutzen. |
Hi Ja, Avenger ist eine gute Idee Avenger a) Deaktiviere den Hintergrundwächter vom Virenscanner. b) Stöpsele alle externen Datenträger vom Rechner ab. c.) Lade Dir von hier Avenger: Swandog46's Public Anti-Malware Tools (Download, linksseitig) d.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen: http://mitglied.lycos.de/efunction/tb123/avenger.png e.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code: drivers to delete:g.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. h.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. i.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. Bitte mache direkt im Anschluss einen Suchlauf mit Malwarebytes, Update nicht vergessen. |
Ok, Avenger sagt: Code: Logfile of The Avenger Version 2.0, (c) by Swandog46Malwarebytes läuft grade drüber, hat bis jetzt eine Datei gefunden. Okay, waren nun doch mehrere, ich häng das log noch mal an. |
Im Malwarebytes Log steht überall "No action taken". Hast du das alles auch löschen lassen? Falls nein - nachholen, und dann bitte einen frischen GMER Durchlauf machen. |
Oh, ja.. ich hatte das log im Ergebnisse anzeigen-Fenster gespeichert und dann alles gelöscht. Hab's auch noch mal laufen lassen, nichts mehr gefunden. Gmer läuft gerade, hat aber bis jetzt nichts gefunden, wärend es vorher direkt am Anfang schon was hatte. Ich muss jetzt weg, aber lass das erst mal an... Vielen Dank für die Hilfe soweit. :) Wenn gmer nichts findet, soll ich dann noch 'was machen? |
Auch wenn GMER nichts findet, bitte das Log posten. Danach bitte einmal Ccleaner ausführen und dann RSIT nach Anleitung :) |
Ich konnte zwar McAfee wieder installieren, aber Firefox und gmer laufen nicht mehr.. Gmer fängt normal an, aber nach einer Weile (ungefähr so lang wie der Scan vorher gedauert hat) kommt irgendwann ganz schnell ein Bluescreen (konnte ich leider nicht lesen) und das Netbook startet neu. |
War McAfee während des Scans aktiv? Das könnte einen Absturz verursachen. Poste erstmal die RSIT Logs. |
Nein, das war schon before ich McAfee wieder installiert hatte. Aber immerhin, vorher meldete gmer schon vorher ein rootkit (also bei dem Kurzscan oder was das ist) und das kam nicht mehr. rsit logs: Code: info.txt logfile of random's system information tool 1.06 2010-01-19 17:36:37Code: Logfile of random's system information tool 1.06 (written by random/random) |
Avenger a) Deaktiviere den Hintergrundwächter vom Virenscanner. b) Stöpsele alle externen Datenträger vom Rechner ab. c.) Lade Dir von hier Avenger: Swandog46's Public Anti-Malware Tools (Download, linksseitig) d.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen: http://mitglied.lycos.de/efunction/tb123/avenger.png e.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code: files to delete:g.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. h.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. i.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. Danach einen neuerlichen Durchlauf mit Malwarebytes bitte. |
Code: Logfile of The Avenger Version 2.0, (c) by Swandog46 |
Ja, da ist zwar ein Registry-Eintrag zu der Datei, aber die Datei selbst ist anscheinend nicht mehr da. Hm, etwas merkwürdig, dass nur das Rootkit gefunden wurde... Malwarebytes wird jetzt wohl nicht viel bringen, versuchen wir es mit SDFix * Lade das SDFix von AndyManchesta herunter und speichere es auf dem Desktop. * Mache einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner zu entpacken. * Starte den Computer neu in den abgesicherten Modus (F8 während des Bootvorgangs drücken). * Öffne den neu entstandenen SDFix Ordner in C:\, mache einen Doppelklick auf die RunThis.bat, um das Skript zu starten. * Gib ein Y ein, um den Reinigungsprozess zu beginnen. * Geduld, das kann ca. 20 Minuten dauern. * Das Programm wird alle Trojaner-Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet. * Nun wirst Du darum gebeten, einen Taste zu drücken, damit Dein Rechner neu starten kann. * Drücke auf eine beliebige Taste. * Wenn der Rechner hochgefahren ist, wird das Fixtool noch einmal laufen, um den Reinigungsprozess zu vervollständigen. * Auch hier ist wieder etwas Geduld gefragt, das kann mehrere Minuten dauern. * Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf eine beliebige Taste, um das Skript zu beenden und Deine Desktop-Icons wieder zu laden. * Wenn die Desktop-Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als Report.txt im Ordner SDFix speichern. * Kopiere den Inhalt des Report.txt und poste den Bericht hier in den Thread. |
Okay, hier ist der Report: Code: SDFix: Version 1.240 |
Hm, nichts gefunden. Installiere mal Firefox neu. Da GMER nicht läuft, versuchen wir es mit Rootkitscan mit RootRepeal - Lade den Scanner hier herunter: RootRepeal - RootRepeal - Rootkit Detector - scrolle runter und downloade RootRepeal.zip. - Trenne deinen Computer vom Internet - Deaktiviere dein Firewall und Antivirenprogramm - Entpacke die Datei auf Deinen Desktop. - Doppelklicke die RootRepeal.exe, um den Scanner zu starten. - Klicke auf den Reiter Report und dann auf den Button Scan. - Mache einen Haken bei den folgenden Elementen und klicke Ok. Drivers Files Processes SSDT Stealth Objects Hidden Services . - Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen. - Wähle C:\ und klicke wieder Ok. - Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld. - Bitte wärend des Scans nicht am Computer arbeiten! - Wenn der Suchlauf beendet ist, klicke auf Save Report. - Speichere das Logfile als RootRepeal.txt auf dem Desktop. - Kopiere den Inhalt hier in den Thread. - Aktiviere Antivirenprogramm wieder. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:15 Uhr. |
Copyright ©2000-2025, Trojaner-Board