|
Kein Virenscan im abgesicherten Modus Hallo, ich habe schon einige Zeit in diesem Forum nach der Art meine Problems gesucht aber leider nichts passendes gefunden, darum poste ich jetzt mal. Offensichtlich wurde mein PC von einem Virus befallen und es läßt sich keinerlei Programm mehr ausführen.Betriebssystem ist "Windown XP". Es kommen u.a. Meldungen wie:"Ordnungszahl 281 konnte nicht in der "ms.dll" gefunden werden" oder "kodnotif.exe" ist infiziert. Hier kann ich auch nur einen Scan mit "Security Suite" ausführen aber das war dann auch schon alles. Antivirguard läßt sich gar nicht starten. Allerdings bin ich noch nicht einmal in der Lage im abgesicherten Modus einen Virenscan auszuführen. Dort kann ich zwar "Antivirguard" öffnen und die Einstellungen festlegen aber das war´s dann schon. Auf diesem Gebiet bin ich leider auch absoluter Laie. Im Normalmodus läßt sich, wie schon erwähnt, kein Programm ausführen ohne eine Fehlermeldung vorweg. Kurz gesagt, habe ich keine Ahnung was zu tun ist. Diese Anfrage ist über einen anderen PC versendet, da ich mit dem besagten PC auch nicht ins Internet komme und "Antivirguard" sich somit auch nicht öffnen läßt. Danke erst mal! MfG simor |
Hallo und Herzlich Willkommen! :) Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:
Hast Du schon mit einem anderen Wiederherstellungspunkt versucht? - Gibt es einen "relativ einfachen Weg",wenn eine frische Infektion vorliegt,oder mal bestimmte Probleme bekommt man auch gelöst, was man sogleich ausprobieren sollte: Zitat:
Zitat:
(drücke beim Hochfahren des Rechners [F8] solange, bis du eine Auswahlmöglichkeit hast, da "abgesicherten Modus " wählen) - Berichte ob die SWH funktioniert hat, bzw ob Du das System auf einen früheren Wiederherstellungspunkt zurückstellen können? oder: Falls Kein Erfolg,einen weiteren Versuch mit: Den Computer mit der letzten als funktionierend bekannten Konfiguration starten Methode D: Letzte als funktionierend bekannte Konfiguration aufrufen gruß CF |
Hallo, danke erst mal für die schnelle Antwort. Leider brachte die "Systemherstellung" nicht den erhofften Erfolg. Diese datierte sich auf einen Zeitpunkt am gestrigen(16.) Nachmittag, dort jedoch hat sich an dem Fehler nichts verändert. Kein Programm ist nach wie vor aufzurufen ohne eine Fehlermeldung und folgenden Abbruch. Ein weiter zurückliegender Punkt konnte dort nicht aufgerufen werden. Auch:"Letzte als funktionierend bekannte Konfiguration aufrufen" brachte ebenfalls nur die gleichen Resultate ein: Gleiche Fehlermeldungen und Abbrüche. Ich habe es gerade geschafft im abgesicherten Modus einen Scan mit Antivirguard(rechtsklick auf Dateien) einzuleiten, was jedoch, wie es scheint, einige Zeit in Anspruch zu nehmen. MfG simor |
hi Ob Du Programme herunterladen und ausführen kannst um eine Diagnose zu erstellen können (im norm Modus) und uns posten? z.B auf USB-Stick speichern - verwende falls anders nicht geht, einen virusfreien Computer, Computer eines Freundes, in einem Internet-Café, bei der Arbeit...) oder : Gehe in den abgesicherten Modus Drücke beim Hochfahren des rechners [F8] solange, bis du eine auswahlmöglichkeit hast: - Abgesicherter Modus - Abgesicherter Modus mit Netzwerktreibern<-- - Abgesicherter Modus mit Eingabeaufforderung kannst dann Programme herunterladen, oder sogar von dort einen Online Viren-Scanner laufen lassen (falls es geht) z.B: 1. versuche dann einen Komplett-Systemcheck mit Nod32: - folgendes bitte anhaken > "Remove found threads" und "Scan archives" - die Scanergebnis als *.txt Dateien speichern) - meistens "C:\Programme\Eset\EsetOnlineScanner\log.txt" - (ESET Online Scanner Vor dem Scan Einstellungen im Internet Explorer: - "Extras→ Internetoptionen→ Sicherheit": - alles auf Standardstufe stellen - Active X erlauben 2. eventuell zuerst mal einen Scan im abgesicherten Modus auch durchführen, wenn die Malware den Start verhindert - Bevor das Programm startet, bitte Internet verbindung trennen Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org
3. updaten-> 2. Scan im norm Modus durchführen Log speichern und mir posten 4. - Lade dir RSIT - http://filepony.de/download-rsit/: - an einen Ort deiner Wahl und führe die rsit.exe aus - wird "Hijackthis" auch von Rsit installiert und ausgeführt - RSIT erstellt 2 Logfiles (C:\rsit\log.txt und C:\rsit\info.txt) mit erweiterten Infos von deinem System - diese beide bitte komplett hier posten **Kannst Du das Log in Textdatei speichern und hier anhängen (auf "Erweitert" klicken) Zitat:
|
Hallo, ich habe wie gestern erwähnt einen Komplettscan mit Antivir gemacht. Als schädliche Datei ist dabei:ADSPY/shopper.v erkannt worden. Hier der Report dazu. Zitat:
|
tja..."sdra64.exe" = Backdoor mit Rootkitfunktionalität http://www.world-of-smilies.com/wos_sonstige/crying.gif - Rootkit können weitere neue Hintertüren ("Backdoors) öffnen... Malwarebytes sollte die Datei finden und eliminieren können - kannst auch noch das Programm "ZbotKiller" von Kaspersky herunterladen |
Also erst 2xMalwarebytes(abgesichert und normal) drüberlaufen lassen und Report senden? Ich hab gerade mal hineingesehen, Malware hatte schon 4 infizierte Files gefunden. |
Hallo, hier ist erst mal das Ergebnis des esrten Mlware Scans: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4052 Windows 5.1.2600 Service Pack 1 (Safe Mode) Internet Explorer 6.0.2800.1106 18.08.2010 11:36:32 mbam-log-2010-08-18 (11-36-32).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 566577 Laufzeit: 2 Stunde(n), 49 Minute(n), 20 Sekunde(n) Infizierte Speicherprozesse: 1 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 15 Infizierte Registrierungswerte: 4 Infizierte Dateiobjekte der Registrierung: 4 Infizierte Verzeichnisse: 1 Infizierte Dateien: 7 Infizierte Speicherprozesse: C:\Dokumente und Einstellungen\Ralf Sievert.RALF\Anwendungsdaten\sdra64.exe (Spyware.Zbot) -> Unloaded process successfully. Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{f6430da2-bac7-4ce5-b19b-8c6835034892} (Adware.Mirar) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{f6430da2-bac7-4ce5-b19b-8c6835034892} (Adware.Mirar) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{f6430da2-bac7-4ce5-b19b-8c6835034892} (Adware.Mirar) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{f6430da2-bac7-4ce5-b19b-8c6835034892} (Adware.Mirar) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{f6430da3-bac7-4ce5-b19b-8c6835034892} (Adware.Mirar) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{f6430da3-bac7-4ce5-b19b-8c6835034892} (Adware.Mirar) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{f6430da3-bac7-4ce5-b19b-8c6835034892} (Adware.Mirar) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f6430da3-bac7-4ce5-b19b-8c6835034892} (Adware.Mirar) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\IEBarProperties (Adware.Mirar) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2 (Adware.PopCap) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2.1 (Adware.PopCap) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{f6430da2-bac7-4ce5-b19b-8c6835034892} (Adware.Mirar) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{f6430da2-bac7-4ce5-b19b-8c6835034892} (Adware.Mirar) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sfkg6wipusp (Trojan.Downloader) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: c:\windows\system32\sdra64.exe -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: system32\sdra64.exe -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: c:\dokumente und einstellungen\ralf sievert.ralf\anwendungsdaten\sdra64.exe -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\Dokumente und Einstellungen\Ralf Sievert.RALF\Anwendungsdaten\sdra64.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (Userinit.exe) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: C:\WINDOWS\system32\lowsec (Stolen.data) -> Delete on reboot. Infizierte Dateien: C:\WINDOWS\system32\4078.dll (Adware.Mirar) -> Quarantined and deleted successfully. C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Delete on reboot. C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Delete on reboot. C:\Dokumente und Einstellungen\Ralf Sievert.RALF\Anwendungsdaten\Microsoft\Windows\jnipmo.exe (Trojan.Downloader) -> Quarantined and deleted successfully. C:\patch.cmd (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\sdra64.exe (Spyware.Zbot) -> Delete on reboot. C:\Dokumente und Einstellungen\Ralf Sievert.RALF\Anwendungsdaten\sdra64.exe (Spyware.Zbot) -> Quarantined and deleted successfully. |
Logfiledateien: [code]info.txtRSIT Logfile: Code: logfile of random's system information tool 1.08 2010-08-18 11:58:52RSIT Logfile: Code: Logfile of random's system information tool 1.08 (written by random/random) |
hi 1. Bitte Versteckte - und Systemdateien sichtbar machen den Link hier anklicken: System-Dateien und -Ordner unter XP und Vista sichtbar machen Am Ende unserer Arbeit, kannst wieder rückgängig machen! 2. → Lade Dir HJTscanlist.zip herunter → entpacke die Datei auf deinem Desktop → Bei WindowsXP Home musst vor dem Scan zusätzlich tasklist.zip installieren → per Doppelklick starten → Wähle dein Betriebsystem aus - Vista → Wenn Du gefragt wirst, die Option "Einstellung" (1) - scanlist" wählen → Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei hjtscanlist.txt präsentieren → Bitte kopiere den Inhalt hier in Deinen Thread. 3. Ich würde gerne noch all deine installierten Programme sehen: "CCleaner" starten: - klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." - wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein 4. Achtung!: WENN GMER NICHT AUSGEFÜHRT WERDEN KANN ODER PROBMLEME VERURSACHT, fahre mit dem nächsten Punkt fort!- Es ist NICHT sinnvoll einen zweiten Versuch zu starten! Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren! 5. Lade und installiere das Tool RootRepeal herunter
6. → besuche die Seite von virustotal und die Datei/en aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren: → Tipps für die Suche nach Dateien Code: C:\Dokumente und Einstellungen\Ralf Sievert.RALF\Lokale Einstellungen\Anwendungsdaten\frpusmwoa\gbhwmllshdw.exe → Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox) → "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist → das Ergebnis wie Du es bekommst (NICHT AUSLASSEN!) da reinkoperen (inklusive <geprüfter Dateiname> + Dateigröße und Name, MD5 und SHA1) ** Beispiel - das zu postende Logfile von Virustotal soll so wie hier aussehen Also nicht auslassen, sondern wie Du es bekommst da reinkopieren!: Code: Datei <hier kommt die Dateiname> empfangen 2009.xx.xx xx:xx:xx (CET)Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post: → vor dein log schreibst du:[code] hier kommt dein logfile rein → dahinter:[/code] |
Hallo, ich hoffe,ich habe das mit den Ordneroptionn richtig gemacht und sende hier erst einmal die Listen von HJTscan und CCleaner. Zitat:
Code: Code: Code: 3dem |
Hier einmal das Ergebnis aus der Codebox. Hoffe das war richtig. Code: VT Community Sign in ▼ My account ▼ Sign out Signing out... Languages ▼ |
die 4 Dateien aus Codebox einzeln (blau geschrieben) bitte bei Virustotal prüfen lassen!: Zitat:
|
Code: C:\Dokumente und Einstellungen\Ralf Sievert.RALF\Lokale Einstellungen\Anwendungsdaten\frpusmwoa\gbhwmllshdw.exe Code: C:\Dokumente und Einstellungen\Ralf Sievert.RALF\Lokale Einstellungen\Anwendungsdaten\rgkssymca\gqojvmcshdw.exe Code: C:\Dokumente und Einstellungen\Ralf Sievert.RALF\Lokale Einstellungen\Anwendungsdaten\mgbssimlb\ghqulsgshdw.exeCode: C:\Dokumente und Einstellungen\Ralf Sievert.RALF\Anwendungsdaten\GabPath\gabpath.exe |
Hallo, nachdem ich heute morgen mit der Installation und dem Start von Gmer begonnen hatte, hängte sich gegen 15:00 Uhr der PC im abgesicherten Modus offenbar komplett auf und reagierte nicht mehr. Ich startete neu und startete RootRepeal doch hier klagt der PC plötzlich über zu wenig Speicher und verliert extrem an Leistung, beginnt gar nicht erst mit Root Repeal und arbeitet so gut wie überhaupt nicht mehr. MfG simor |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:53 Uhr. |
Copyright ©2000-2025, Trojaner-Board