|
win32.autorun.tmp lässt sich nicht entfernen Liebes Trojaner-Board-Team, seit gestern öffnet Firefox willkürlich Werbefenster. Ich habe mich nun etwas schlau gemacht und verschiedene Scans durchgeführt. Nun findet Antimalewarebytes immer wieder win32.autorun.tmp. Ich habe mich an einem andren Thread hier im Board orientiert, komme aber mit diesem OTL-Tool nicht weiter. Ich bedanke mich im voraus und warte auf Anweisungen. MfG, Akkki |
Zitat:
Zitat:
|
Hallo Arne, ich meint Spybot S&D, nicht Malwarebytes Anti-malware. Leider habe ich keine Ahnung, wie ich das viel zu große Logfile hier posten soll. Ich hab's mal bei rapidshare hochgeladen: h**p://rapidshare.com/files/409407685/SpybotSD.Results.rar Hier noch das Malewarebytes Log: PHP-Code: |
Gibt es noch andere Logfiles von Malwarebytes? |
Hey, ich habe jetzt nochmal ein Log mit Malewarebytes von allen Laufwerken gemacht. Zuvor WLan-Verbindung gekappt, alle laufenden Programme beendet und Antivir-Guard gestoppt. Spybot findet immer noch, auch nach mehrmaliger Entfernung Trojaner win32.autorun.tmp. Malewarebytes zeigt auch erneut einen Fund. So ein Mist. Betriebssystem ist übrigens XP SP3. Was benötigst Du noch an Informationen? Danke im Voraus, Ak Logfile: PHP-Code: |
Ich brauche echt Hilfe, bitte! |
Hier mal noch das OTL Logfile: OTL Logfile: Code: OTL logfile created on: 29.07.2010 12:14:50 - Run 2 |
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. |
Danke Arne, mach ich sofort! Edit: Hier das neue Logfile: PHP-Code: |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Alles so gemacht, wie Du gesagt hast. Hier das Combofix-Log: Teil 1: PHP-Code: |
Combofix Teil 2: PHP-Code: |
Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code: Registry::4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. http://users.pandora.be/bluepatchy/m...s/CFScript.gif 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann! |
Erledigt, hier das Logfile: Teil1: PHP-Code: |
Teil2: PHP-Code: |
Poste die Logs bitte in Codetags und nicht in PHP-Tags! |
Mach ich. Sorry, hab nicht so richtig gewusst, wie ichs machen soll. Was soll ich als nächstes machen? |
Hab ich doch geschrieben! So mit den PHP-Tags will ich die Logs nicht... |
Combofix Teil1: Code: ComboFix 10-07-28.04 - Akki 29.07.2010 23:23:53.2.2 - x86 |
Combofix Teil2: Code: ((((((((((((((((((((((((((((( SnapShot@2010-07-29_16.18.02 ))))))))))))))))))))))))))))))))))))))))) |
Du hast das aus den PHP-Feld einfach kopiert. Da fehlen aber Zeichen! ZIP am besten das Logfile in eine ZIP Datei und häng diese ZIP hier an. |
Hier als txt. Sorry, dass ich mich so blöd anstelle. |
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus. Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen. Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt. |
GMER funzt nicht. Hier das Osam-Log: Code: Report of OSAM: Autorun Manager v5.0.11926.0 |
Und hier noch das Log vom Bootkit-remover. Ist das das Richtige? Code: .\debug.cpp(238) : Debug log started at 30.07.2010 - 19:42:28 |
Zuerst mal bitte - falls noch nicht getan - die Datei remover.exe (vom BootkitRemover) vom Desktop nach c:\windows\system32 kopieren! Danach die Konsole starten über Start, Ausführen, cmd eintippen, ok. Den Text im folgenden Codefeld eintippen und mit Enter/Return ausführen: Code: remover.exe fix \\.\PhysicalDrive0 |
Ok, hab ich gemacht. |
Dann bitte zur Kontrolle die remover.exe per Doppelklick ausführen und die Ausgabe posten. |
Hier nochmal das remover-Log Code: .\debug.cpp(238) : Debug log started at 31.07.2010 - 15:20:28 |
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
Hier das Malewarbytes Log: Code: Malwarebytes' Anti-Malware 1.46 |
Superantispyware-Log: Code: SUPERAntiSpyware Scan Log |
Hey Arne, danke nochmal für Deine Hilfe, das hätte ich nie alleine hingekriegt! Ich denke, der Thread kann geschlossen werden. Ich habe keine Probleme mehr, Firefox funzt wieder normal und der Rechner bootet viel schneller als vorher. Hab nochmal alle möglichen Scans gemacht und keine Funde mehr verzeichnet. :daumenhoc |
Gut, dann bitte die Updates prüfen, hier mein Leitfaden dazu: Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:19 Uhr. |
Copyright ©2000-2025, Trojaner-Board