|
PC von div. Viren (Alureon.A, TR/Agent.PJW, TR/FraudPack.kva.66 etc.) befallen Hallo zusammen, mein PC ist seit 1,2 Tagen ziemlich lahm und zickig (z.B. lassen sich div. Browser - Chrome, Safari - nicht mehr starten). Ein Avira-Lauf hat meine Befürchtung bestätigt, dass ich mir irgendwo div. Ungeziefer eigefangen habe. Kann mir jemand sagen, ob und, wenn ja, wie ich das Zeug wieder los werden kann??? Schon jetzt vielen Dank für Eure Mühe!!! Ich hänge hier mal das Avira-Protokoll an. Und eigentlich wollte ich auch gleich einen MBR mitliefern, aber ich scheitere schon am aktualisieren des Programmes; wenn ich auf die aktuelle Version upgraden will, krieg ich den Hinweis, dass meine (Windows-)Firewall das nicht zuläßt. Auch als ich über eine zusätzliche Regel für "C:\Program Files\Malwarebytes' Anti-Malware" den Zugriff zulassen wollte, hat das nicht geklappt! Weiß jemand Rat??? Aber hier erstmal das Avira-Ergebnis: HTML-Code: Avira AntiVir Personal |
Hallo, ich habe natürlich Beiträge im Board gefunden, wo es auch um Probleme mit vom Bootsektor-Virus (?) Alureon befallene PCs ging. Aber es wird dort immer u.a. ein Malwarebytes-Report erstellt, was bei mir schon daran scheitert, dass meine Firewall eine Aktualisierung des Programms nicht zulässt. Die Firewall einfach abschalten will ich aber nicht. Ist es möglich, Malwarebytes' Anti Malware einfach noch mal neu down zu loaden? Nachdem AVIRA jetzt bei jedem Lauf wieder Viren findet und anschließend 'repariert', bin ich ziemlich ohne Plan. Ist es vielleicht einfach so, dass gegen Alureon kein Kraut gewachsen ist und ich meine Kiste einfach wegschmeißen sollte??? Ich bitte um wenigstens eine KURZE Antwort! ClearIce |
Hallo und Herzlich Willkommen! :) Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]: Zitat:
Zitat:
1. - Lade dir RSIT - Random's System Information Tool (RSIT) von random/random herunter - an einen Ort deiner Wahl und führe die rsit.exe aus - wird "Hijackthis" auch von Rsit installiert und ausgeführt - RSIT erstellt 2 Logfiles (C:\rsit\log.txt und C:\rsit\info.txt) mit erweiterten Infos von deinem System - diese beide bitte komplett hier posten 2. Bitte Versteckte - und Systemdateien sichtbar machen den Link hier anklicken: System-Dateien und -Ordner unter XP und Vista sichtbar machen Am Ende unserer Arbeit, kannst wieder rückgängig machen! 3. → Lade Dir HJTscanlist.zip herunter → entpacke die Datei auf deinem Desktop → Bei WindowsXP Home musst vor dem Scan zusätzlich tasklist.zip installieren → per Doppelklick starten → Wähle dein Betriebsystem aus - bei Win7 wähle Vista → Wenn Du gefragt wirst, die Option "Einstellung" (1) - scanlist" wählen → Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei hjtscanlist.txt präsentieren → Bitte kopiere den Inhalt hier in Deinen Thread. 4. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool "Ccleaner" herunter installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein 5. läuft unter XP, Vista mit (32Bit) und Windows 7 (32Bit) Achtung!: WENN GMER NICHT AUSGEFÜHRT WERDEN KANN ODER PROBMLEME VERURSACHT, fahre mit dem nächsten Punkt fort!- Es ist NICHT sinnvoll einen zweiten Versuch zu starten! Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren! 6. läuft unter XP, Vista mit (32Bit) und Windows 7 (32Bit) Lade und installiere das Tool RootRepeal herunter
Zitat:
** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw grußCoverflow |
Hallo Coverflow, ertmal vielen Dank, dass du dich meiner annimmst! Zitat:
Zitat:
Code: info.txtRSIT Logfile:Code: Logfile of random's system information tool 1.08 (written by random/random)Zitat:
Den Rest schieb ich hier noch nach. Wenn ich noch dazu komme! Ich hab jetzt schon Probleme beim Zugriff aufs Internet!!! :heulen: |
Hallo Coverflow, die Logs zu den Punkten 3-6 geb ich hier als Anhang mit. Anders krieg ich das nicht hier hoch. Ich hoffe, es taugt so! Schon jetzt vielen Dank für deine Mühe! Aber irgendwie hab ich kein gutes Gefühl! :heulen: :sleepy: Gruß ClearIce |
1. Deinstalliere unter `Start→ Systemsteuereung→ Ändern/Entfernen...` Code: Adware :Für mich persönlich sind beide überflüssig: Code: McAfee Security Scan Plus→ besuche die Seite von virustotal und die Datei/en aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren: → Tipps für die Suche nach Dateien Code: C:\Users\******\AppData\Roaming\download2\svcnost.exe→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox) → "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist → das Ergebnis wie Du es bekommst (NICHT AUSLASSEN!) da reinkoperen (inklusive <geprüfter Dateiname> + Dateigröße und Name, MD5 und SHA1) ** Beispiel - das zu postende Logfile von Virustotal soll so wie hier aussehen Also nicht auslassen, sondern wie Du es bekommst da reinkopieren!: Code: Datei <hier kommt die Dateiname "svcnost.exe"> empfangen 2009.xx.xx xx:xx:xx (CET)Master Boot Record überprüfen:
|
Hallo Coverflow, erstmal danke für die Tipps! 1./2. Deinstallieren: Das ging bei den unkritischen Programmen (Norton, McAffee, kickin) problemlos; bei "Favorit" und "pdfforge Toolbar" geht es nicht. Bei dem Versuch "Favorit" zu deinstallieren tut er's einfach nicht, bei "pdfforge Toolbar" kommt die Meldung: "ERROR 1402 Could not open key (HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Shared DLLs) Verify that you have sufficient account to that key ... (ich hatte das ganze unter meiner Admin-Kennung ausgeführt) 3. Bei virustotal herrscht ziemlich viel Verkehr z.Z. Ich hab die Datei deshalb via email übermittelt und werde das Ergebnis, sobald ich es habe, sofort hier posten. 4. Bei mbr.exe kommt meinem Eindruck nach wenig oder zumindest nichts erfreuliches raus (auch da habe ich unter der Admin-Kennung gearbeitet): Code: Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.netSag mir bitte, wenn ich, bis zum Ergebnis von virustotal inzwischen noch was tun kann! Ansonsten schon mal vielen Dank! Gruß ClearIce |
Und hier der Virustotal-Report. Ging schneller als ich dachte: Code: 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware. |
1. Programme deinstallieren:-> Revo Uninstaller Code: Favorit Gehe in den abgesicherten Modus [F8] (drücke beim Hochfahren des Rechners [F8] solange, bis du eine Auswahlmöglichkeit hast, da "abgesicherten Modus " wählen) - Abgesicherter Modus - Abgesicherter Modus mit Netzwerktreibern - Abgesicherter Modus mit Eingabeaufforderung 2. da die Datei noch Relativ unbekannt ist, lass uns sie noch schnell hochladen, damit sie zu den AV-Programm Herstellern weitergeleitet werden kann bzw zur weitere Analyse: Datei Upload
C:\Users\******\AppData\Roaming\download2\svcnost.exe
|
Hallo, Zitat:
Code: Your file (svcnost.exe) was successfully submitted. If someone requested you submit this file please let them know that you have submitted the file.Zitat:
Ergänzung: Das Deinstallieren von "Favorit" und "pdfforge Toolbar" ging jetzt mit Revo Uninstaller auch ohne Probleme. ClearIce |
Das Tool "MBR" - unter dem Admin-Konto ausgeführt? |
Jaa! Eigentlich jaa! Aber ich probiers nochmal, und es sieht jetzt tatsächlich anders aus! Vielleicht weil ich's jetzt auch "als Admin" ausgeführt habe?! Code: Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.netAber der aktuelle AVIRA-Scan zeigt natürlich nach wie vor an: Zitat:
Code: Avira AntiVir Personal |
Puuuh! Jetzt hätt ich grad fast richtig zu heulen angefangen! Ich hab nämlich mein Windows Mail aufgerufen und festgestellt, dass alles weg ist! Alles! Alle Ordner, alle Adressen, alle Einstellungen. Einfach ALLES! Ich mußte sogar mein Konto neu einrichten und kann jetzt zwar wieder mails senden und empfangen, aber alles Alte ist "gone with the wind". Kann es sein, dass ich beim Uninstall von "Favorit" und "pdfforge Toolbar" etwas zu viel gelöscht habe, oder hat das der Virus auf dem Gewissen? (Im Firefox, das ist der einzige Browser, der noch irgendwie geht, werd ich übrigens auch immer wieder auf Seiten umgeleitet, die ich nicht aufgerufen habe!) (Ich glaub jetzt trink ich erstmal ein Glas und dann muss ich mich entscheiden, ob ich ins Wasser gehe oder ein neues Leben anfange - ganz ohne Vergangenheit. Die war ja zum größten Teil in meiner Mailbox gespeichert! :crazy:) ClearIce |
wenn Du nur beide: "Favorit" und "pdfforge Toolbar" unter Software Deinstalliert hast, sollte nicht passieren bzw damit eher nichts zu tun Vor dem nächsten Schritt, also bevor wir weitermachen: Da jederzeit etwas passieren kann, wenn du wichtige Daten hast die Du sichern möchtest, empfehle ich Dir es jetzt machen (wie Bilder, Musik usw) ►Achte darauf: Die sicherten Daten sollen keine "Ausführbare Dateien" enthalten! - ►Dateiendungen - Dies ist eine Liste von Dateiendungen, die Dateien mit ausführbarem Code bezeichnen können. Unabhängig von einem Befall (weil ja kann eine Festplatte auch kaputt gehen, oder es gibt andere technische Probleme ), sollte man regelmäßig Sicherung machen und an einem sicheren Ort bewahren, wie CD und DVD, externe Festplatten oder/und USB-Sticks Mache das jetzt bitte! - hast Du inzwischen mit Malwarebytes erneut versucht? wenn nicht: 1. ** Update Malwarebytes Anti-Malware, lass es nochmal anhand der folgenden Anleitung laufen:
2. Lösche unter C:\rsit die log.txt und info.txt Doppelklick auf die RSIT.exe Poste beide Logfiles. |
Zitat:
Code: Aktualisierung fehlgeschlagen. Vergewissern Sie sich, dass Sie mit dem Internet verbinden sind und Ihre Firewall Malwarebytes' Antimalware den Zugriff erlaubtZitat:
Aber jetzt noch einmal eine prinzipielle Frage: Nachdem gestern alle meine Emails&Adressen weg waren und ich mich dafür entschieden hatte, trotzdem weiter zu leben, hab ich mich gefragt, ob es jetzt nicht einfacher wäre, mir Windows 7 zu besorgen und mein altes System komplett platt zu machen und mit Windows 7 neu anzufangen. Die Frage ist bloß, ob das (bei dem Bootsektor-Virus "Alureon", den Avira dauernd meldet) überhaupt Sinn hätte oder ob dieser Virus auch den Systemwechsel überleben würde. Muss ich mich etwa von meinem PC komplett verabschieden??? |
Hallo Coverflow, ich will bestimmt nicht ungeduldig werden, aber es wäre schon wichtig für mich zu wissen: 1. ob ich C:\Users\******\AppData\Roaming\download2\svcnost.exe jetzt löschen kann (es gibt übrigens seit ca. 1 Stunde auch noch eine: C:\Users\******\AppData\Roaming\download\svcnost.exe) 2. ob du für mich eine Möglichkeit siehst, MBAM zu aktualisieren (s.o.) 3 ob es irgendeinen Sinn macht hier überhaupt weiterzumachen, nachdem wir auf den "Bootsektorvirus BOO/Alureon.A" bisher noch gar nicht zu sprechen gekommen sind und, soweit ich sehe, auch noch nichts dagegen unternommen haben. Gruß ClearIce |
Die MBR schienen in Ordnung zu sein, zumindest das Tool MBR rootkit detector nicht gefunden und selbst GMER auch nichts ergeben. Also meldet Probleme momentan nur Avira...ich plane noch einen Test, aber machen wir zunächst so weiter: um dein System zu entlasten und die schädlichen Prozesse zu stoppen: 1. unter Start->Programme-> Zubehör-> Systemprogramme-> geplante Tasks (Anleitung-> Ändern geplanter Tasks in Windows XP und dort auch einfach löschen: Zitat:
2. BHO`s & Toolbars (im Logfile HijacktHis 02 u. 03 aufgelistet): Immer mehr Programme bringen eine Toolbar mit.(wie z.B. Google, Yaho,Messenger, Winamp, ICQ usw). Manche Zustimmung der User installiert, manche wieder ohne Wissen des Benutzers;) Viele davon sehr fehleranfällig und fressen eine Menge an Systemressourcen. Zur funktionstüchtigen Installation der jeweiligen Software ist Toolbar aber nicht notwendig, zudem die meisten modernen Browser mit vielen zusätzlichen Funktionen ausgestattet sind. Ausserdem die dazugehörigen Programme, funktionieren auch ohne... Man kann sie deinstallieren oder mit HJT fixen: alle Programme, Browser etc schließen→ HijackTis starten→ "Do a system scan only" anklicken→ Eintrag auswählen→ "Fix checked"klicken→ PC neu aufstarten HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen Code: O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dllWie lange dauert die Startvorgang? Wenn du auf der Stelle ein schnelleres System haben möchtest: - Beim Hochfahren von Windows werden einige Programme mit gestartet, die sich (mit oder ohne Zustimmung des Users) im Autostart eingetragen haben - Je mehr Programme hier aufgeführt sind, umso langsamer startet Windows. Deshalb kann es sinnvoll sein, Software die man nicht unbedingt immer benötigt, aus dem Autostart zu entfernen. "Start-> ausführen-> "msconfig" (reinschreiben ohne ""-> OK" - Bei allem Häkchen weg was nicht starten soll, aber immer nur einen deaktivieren (Haken weg), also Schrittweise -> Neustart... - Wird noch nach dem nächsten Neustart ein Hinweisfenster erscheinen, da ist ein Haken setzen : `Meldung nicht mehr anzeigen und dieses Programm beim Windows-Star nicht mehr starten` (Du kannst es jederzeit Rückgängig machen wenn du den Haken wieder reinmachst.) - Falls Du mal brauchst, manueller Start jederzeit möglich - Autostart-Einträge die Du nicht findest, kannst mit HJT fixen - Unter 04_Sektion - (*HijackThis Tutorial in German*): Alle Programme, Browser etc schließen→ HijackTis starten→ "Do a system scan only" anklicken→ Eintrag auswählen→ "Fix checked"klicken→ PC neu aufstarten HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen Code: Du solltest nicht deaktivieren :Gleich ein paar Vorschläge: Code: O4 - HKLM\..\Run: [UCam_Menu] "C:\Program Files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\YouCam" update "Software\CyberLink\YouCam\2.0"- Überflüssige Dienste belasten nur den Prozessor und Arbeitsspeicher, daher ist es empfehlenswert solche Dienste ganz einfach abschalten: Code: O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exemit der rechten Maustaste auf den Dienstnamen klicken→ wähle `Eigenschaften`→ `Starttyp`→ Deaktiviert, damit wird der Dienst ruhiggestellt. Den Dienst erst dann nur starten, wenn ein Programm ihn benötigt. - auf keinen Fall Grafiktreibers, Firewall und Anti-Viren-Programmen abschalten!! 5. deinstalliere MBAM und lade es von hier erneut herunter : -> updaten -> und lass es anhand der folgenden Anleitung laufen: :-> http://www.trojaner-board.de/82699-m...tml#post502205
6. poste erneut - nach der vorgenommenen Reinigungsaktion: TrendMicro™ HijackThis™ -Logfile - Keine offenen Fenster, solang bis HijackThis läuft!! |
Zitat:
Zitat:
Aber die Performanz meines Systems ist momentan wirklich nicht meine Hauptsorge. Ich bin z.Z. schon froh wenn überhaupt noch was geht. Unter dem "Admin"-Konto ging vorhin nämlich gar nichts mehr. Zitat:
Bitte gib mir eine Antwort auf meine Frage, ob etwas dagegen spricht: C:\Users\******\AppData\Roaming\download2\svcnost.exe C:\Users\******\AppData\Roaming\download\svcnost.exe) jetzt zu löschen??? |
Unter Punkt 2. solltest mit HJT fixen, und wenn MBAM läuft, sollte es die Datei auch löschen können wenn nicht, dann machen wir das manuell - die Performanz ist auch wichtig, da dein Autostart ist überfluchtet v. unnötige Dinge, wenn auch nicht genug wäre, dass ein Schädling seine zerstörerische Dienst da herumtreibt ... wegen Task ja: Start-> im Suchfeld "Aufgaben" eintippen und dann -> die "Aufgabenplanung" > starten. Wichtig: **Vista und Win7 User: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen |
Zitat:
Wenn ich die "Aufgabenplanung" unter "Admin" aufrufe, wird mir keine Aktion "Löschen" gezeigt. Zitat:
Zitat:
Die Prozesse lassen sich weder über (1) msconfig noch über (2) HJT aus dem Autostart eliminieren! Ich vermute, dass das daran liegt, dass die meisten Prozesse in dem Moment, zu dem sie rausgeschmissen werden sollen, am Laufen sind. Wenn ich rausfinden wollte, wie ich diese Prozesse manuell beenden kann, bevor ich sie eliminiere, bin ich geschätzte 120 Jahre alt. Ausserdem bin ich sicher, dass sich viele dieser Prozesse manuell vom user gar nicht beenden lassen. (Was ist das für ein grauenhaftes Betriebssystem, bei dem der User keine Chance hat, zu bestimmen, welche Anwendungsprozesse er am Laufen haben will und welche nicht!!!!!) Aber (!!!): der sycnost.exe-Prozess hat sich über HJT eliminieren lassen !!! und die Datei C:\Users\******\AppData\Roaming\download2\svcnost.exe wurde gelöscht !!! ( C:\Users\******\AppData\Roaming \download_\svcnost.exe ist aber noch da.) Zitat:
Zitat:
Code: Malwarebytes' Anti-Malware 1.46Zitat:
Code: Logfile of Trend Micro HijackThis v2.0.28. Sorry, aber ich muss jetzt bis Dienstag offline gehen. Bin echt gespannt, was am Dienstag so alles auf mich wartet! :crazy: |
ujjjjjjj...woher hast Du dieses Logfile? schaue Dir mal an: Code: Scan saved at 18:54:55, on 28.02.2010ausserdem: Lass bitte mal den Avira, nach die nachfolgende Prioritäten scannen: [Scanner] Konfigurationshinweise für AntiVir, Anleitung 'Vollständiger Systemscan' und empfohlene Reaktionen bei Schädlingsmeldungen - Tipps und Tricks - Avira Support Forum - Punkt 1.: Einstellung - Punkt 2 und 3.: Erster Scan (Lokale Laufwerke) + Zweiter Scan (Suche nach Rootkits) - Logs speichern/posten ** Bemerkung: "Klick auf das Bild, um es zu vergrößern!" - grau hinterlegt, also nicht mehr anklickbar |
1. Lass bitte mal den Avira, nach die nachfolgende Prioritäten scannen: [Scanner] Konfigurationshinweise für AntiVir, Anleitung 'Vollständiger Systemscan' und empfohlene Reaktionen bei Schädlingsmeldungen - Tipps und Tricks - Avira Support Forum - Punkt 1.: Einstellung - Punkt 2 und 3.: Erster Scan (Lokale Laufwerke) + Zweiter Scan (Suche nach Rootkits) - Logs speichern/posten ** Bemerkung: "Klick auf das Bild, um es zu vergrößern!" - grau hinterlegt, also nicht mehr anklickbar[/QUOTE] 2. ujjjjjjj...woher hast Du dieses Logfile? schaue Dir mal an: Code: Scan saved at 18:54:55, on 28.02.2010Lösche unter C:\rsit die log.txt und info.txt Doppelklick auf die RSIT.exe Poste beide Logfiles. |
Zitat:
Zitat:
Code: Avira AntiVir PersonalZitat:
Code: Avira AntiVir PersonalZitat:
Nee! Im Ernst: es war früh um 3 oder 4 und ich hab da wohl einfach was vertauscht! Sorry! Hier jetzt das aktuelle Log: Code: Logfile of Trend Micro HijackThis v2.0.4Bin dann erst am Dienstag wieder online. Bis dann! Und schon vorab nochmal vielen Dank für deine Mühe!!! |
1. Vor dem nächsten Schritt, also bevor wir weitermachen: Da jederzeit etwas passieren kann, wenn du wichtige Daten hast die Du sichern möchtest, empfehle ich Dir es jetzt machen (wie Bilder, Musik usw) ►Achte darauf: Die sicherten Daten sollen keine "Ausführbare Dateien" enthalten! - ►Dateiendungen - Dies ist eine Liste von Dateiendungen, die Dateien mit ausführbarem Code bezeichnen können. Unabhängig von einem Befall (weil ja kann eine Festplatte auch kaputt gehen, oder es gibt andere technische Probleme ), sollte man regelmäßig Sicherung machen und an einem sicheren Ort bewahren, wie CD und DVD, externe Festplatten oder/und USB-Sticks Mache das jetzt bitte! 2. reinige dein System mit Ccleaner:
3. - Lade das Combofix von einem der folgenden Download Spiegel herunter: BleepingComputer - ForoSpyware - Wichtig!:[/u] muss auf dem Desktop installiert werden! - Antiviren, - und andere Schutz/Spyprogramme bitte deaktivieren - Schließe jeder externe Datenträger (USB Stick und USB Festplatte etc) an dein Computer an - dabei die Shift-Taste bitte unbedingt gedrückt halten! - Per Doppelklick die ComboFix.exe starten und den Anweisungen folgen - Falls die Microsoft-Windows-Wiederherstellungskonsole auf dein Rechner nicht installiert ist, und wenn du direkt gefragt wirst, es zu ermöglichen stimme dem Lizenzvertrag zu. Danach erscheint ein Fenster zur Bestätigung, ansonsten wird ComboFix mit der Arbeit fortfahren - bestätige mit "ja", damit den Suchlauf automatisch beginnen kann Zitat:
Zitat:
|
Zitat:
Zitat:
Das Log sieht so aus: Code: ComboFix 10-10-24.05 - Administratorkonto 25.10.2010 15:46:00.1.2 - x86 |
1. Windows und die installierten Programme auf den neuesten Stand zu halten,sind Garanten für eine erhöhte Sicherheit! Java aktualisieren `Start→ Systemsteuereung→ Java→ Aktualisierung...(Update 22 schon fällig!) 2. alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind,nicht löschbar. c:\windows\temp - anschließend den Papierkorb leeren 3. >>Du sollst das Programm nicht installieren, sondern dein System nur online scannen<< Auch auf USB-Sticks, selbstgebrannten Datenträgern, externen Festplatten und anderen Datenträgern können Viren transportiert werden. Man muss daher durch regelmäßige Prüfungen auf Schäden, die durch Malware ("Worm.Win32.Autorun") verursacht worden sein können, überwacht werden. Hierfür sind ser gut geegnet und empfohlen, die auf dem Speichermedium gesicherten Daten, mit Hilfe des kostenlosen Online Scanners zu prüfen. Schließe jetzt alle externe Datenträgeran (USB Sticks etc) Deinen Rechner an, dabei die Hochstell-Taste [Shift-Taste] gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. (So verhindest Du die Ausführung der AUTORUN-Funktion) - Man kann die AUTORUN-Funktion aber auch generell abschalten.► [Sicherheit] Autorun Funktion für mehr Sicherheit auf allen Laufwerken deaktivieren /Avira Support Forum Führe dann einen Komplett-Systemcheck mit Nod32 durch - folgendes bitte anhaken > "Remove found threads" und "Scan archives" - die Scanergebnis als *.txt Dateien speichern) - meistens "C:\Programme\Eset\EsetOnlineScanner\log.txt" - "Link:-> ESET Online Scanner Vor dem Scan Einstellungen im Internet Explorer: - "Extras→ Internetoptionen→ Sicherheit": - alles auf Standardstufe stellen - Active X erlauben ** bekommst Du noch Meldung von Avira? |
Zitat:
Ich habe dabei festgestellt, wieso ich eine völlig veraltete Version im Einsatz habe. Und zwar hat mir vor längerem jemand vom Trojaner Board empfohlen, Vista mit mindestens 2 Konten zu fahren (Admin-Konto und "normale" User-Konto/Konten). Das macht ja auch Sinn, hat aber zumindest bei Java die Folge, dass keine automatischen Updates laufen. Der Update läuft nämlich nur zu Ende, wenn man ihn auch im Admin-Konto laufen lässt, im normalen User-Konto bricht er ab, auch wenn das Admin-PW abgefragt und eingegeben wird. Kann man das irgendwie ändern? Zitat:
In dem Verzeichnis c:\windows\temp stehen ausserdem noch 3 Ordner mit je einer Datei: - Cookies (1 .DAT Datei) - History (1 .IES Datei) - Temporal Internet Files (1 .IES Datei) Soll ich diese 3 Dateien auch löschen? Zitat:
Zitat:
Code: ** bekommst Du noch Meldung von Avira?Zitat:
|
dann so geht`s weiter: 1. aus der Quarantäne NUR folgendes löschen: Code: C:\Users\reissmannklaus\AppData\Roaming\download\svcnost.exestarte dein System neu auf 2. schauen wir mal, ob Avenger noch die Datei findet: - Kopiere den Text aus der Code-Box in ein Notepad-Dokument und speichere ihn als remove.txt auf deiner Festplatte C:\ auf richtige Pfade achten! Code: C:\Users\reissmannklaus\AppData\Roaming\download\svcnost.exe→ Empfehle ich Dir die Antivirus-Software zu deaktivieren - nach dem Lauf nicht vergessen wieder einzuschalten → die avenger.exe per Doppelklick starten → füge den Inhalt aus der Codebox vollständig und unverändert in das leere Textfeld bei "Input script here" ein → dann klicke auf "Execute" → wirst Du gefragt, ob Du das Script ausführen willst. Beantworte die Frage "Ja". → auf die Fragae ob dein Rechner jetzt neu starten soll "Rebot now" bejahe bitte auch → nach Neustart wird ein Dos Fenster aufgehen. → wenn wieder geschlossen ist, es öffnet sich der Editor mit die Scanergebnisse : C:\avenger.txt → kopiere und füge den Inhalt direkt aus der Textdatei hier rein 3. TDSSKiller von Kaspersky
|
Zitat:
(1) alle Einträge, für die die AVIRA-Quarantäne als Quelle "C:\Users\reissmannklaus\AppData\Roaming\download\svcnost.exe" ausweist (es sind insgesamt 13 Dateien), löschen ??? (2) und alle anderen (es sind 9 Dateien) markieren und Button "ausgewähltes Objekt wiederherstellen" ausführen??? Code: Avira auf die Standardkonfiguration wieder einstellen |
Avira starten-> Verwaltung-> die runden Pfeil-Symbole - es sind sieben Symbole vorhanden und das vorletzte Symbol - "Alle Eigenschaften exportieren" anklicken Editor öffnet sich automatisch mit den Inhalt der Quarantäne Poste mir den Inhalt hier in den Thread |
Sorry Kofferfloh, dass so lange gedauert! Aber nach: Code: 3.Blieb mir nix anderes übrig als System-Recovery! Trotzdem, vielen Dank für deine Bemühungen! Vergelt's Gott! |
ich denke besser so, ohne ein mulmiges Bauchgefühl ins internet gehen können:) Durch einen starken Befall, wie z.B Backdoor und Rootkit, ist nicht mögkich, einen Rechner 100 %-ig von Schädlingen zu befreien. Die Schädlinge hinterlassen charakteristische Spuren an ihrem "Tatort", sie vollkommen aufzuspüren ist nicht möglich. Daher ist empfehlenswert, das stark komprimierte System komplett neu zu installieren, den Auslieferungszustand wieder so zu erreichen Die Entscheidung ist nicht einfach, die Zeiten für PC-Nutzer sind damit härter geworden, da die "Virenprogrammierer" fast täglich produzieren hunderttausende neue Viren und einen großen Schritt voran Zitat:
Ändere deine Passworte und Zugangsdaten! - von einem sauberen System aus Lesestoff:
Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 11:40 Uhr. |
Copyright ©2000-2025, Trojaner-Board