|
Probleme mit Antimalware Doctor und ggf. weiterer malware Hallo, ich habe mir gestern den Rechner lahmgelegt. Folgendes ist geschehen: 1. Avast blockiert plötzlich verschiedene Windowsprozesse wie z.B. "svchost.exe" und verschiebt die folgenden Dateien in den Quarantäne-Ordner: mrnwoxasec.exe C:\users\joschi\AppData\Local\Temp omnswrxcae.exe C:\users\joschi\AppData\Local\Temp oxmcnewrsa.exe C:\users\joschi\AppData\Local\Temp setup.exe C:\Windows\temp\npdp setup.exe C:\Windows\temp\ipvi Tb1.exe C:\users\joschi\AppData\Local\Temp Tb1.exe C:\users\joschi\AppData\Local\Temp Tb2.exe C:\users\joschi\AppData\Local\Temp Tb2.exe C:\users\joschi\AppData\Local\Temp Daraufhin läuft Windows nicht mehr einwandfrei: Minianwendungen sind verschwunden und lassen sich nicht mehr starten, der Iexplorer hängt. Eine Systemüberprüfung mittels Avast zeigt allerdings keine Bedrohungen mehr an. Während des Versuchs einen Windows Live OneCare safety Scan durchzuführen meldet sich erstmals der "Antimalware Doctor" und verlangt die Registrierung. Nach erfolglosem Deinstallationsversuch habe ich "rkill" gestartet. Danach hat nur noch ein Neustart mittels Taskmanager funktioniert, ansonsten ein toter Bildschirm. Im nächsten Schritt habe ich die folgenden Prozesse manuell beendet tb2.exe tsnp2uvc.exe postionversusfix70700.exe und einen Scan mittels Spybot durchgeführt. Dieser hat neben dem Antimalware Doctor eine ganze Menge weiterere Bedrohungen angezeigt und angeblich bereinigt. Nach dem Neustart allerdings meldete sich der M.D. erneut. Daraufhin habe ich einen Scan mit Malwarebytes durchgeführt. Die entsprechende Log-Datei (mbam1.txt) befindet sich im Anhang. Vermutlich dummer Weise, habe ich die gefundenen Probleme löschen lassen. Nach einem Neustart meldete sich das M.D. Programm erneut. Lediglich der Tb2.exe Prozess war nicht mehr zu finden. Im nächsten Schritt habe ich Spybot deinstalliert und den Avast Scanner deaktiviert. Letztlich habe ich erneut die verbliebenen zwei Prozesse beendet, einen Scan mittels OTL durchegführt (Log: otl.txt, extras.txt) und nach einem Neustart erneut einen Scan mittels Malwarebytes durchgeführt. Malwarebytes scheint jetzt allerdingsnichts mehr zu finden (mbam2.txt), obwohl der M.D. nicht entfernt wurde Langsam stehe ich kurz vor der Verzweiflung, weil meine Arbeitsrechner, mit lauter wichtigen Daten nicht mehr funktioniert. Kann mir diesbezüglich jemand raten, wie ich weiter vorgehen soll? Vielen Dank im vorraus. |
• Starte bitte die OTL.exe • Kopiere nun das Folgende in die Textbox. :OTL O4 - HKCU..\Run: [positionversusfix70700.exe] C:\Users\Joschi\AppData\Roaming\6013340234FB5E55EF4903660ABDD0DB\positionversusfix70700.exe (Корпорация Майкрософт) O4 - HKCU..\Run: [SpeedUpMyPC] C:\Program Files\Uniblue\SpeedUpMyPC\launcher.exe File not found [2010.10.28 15:54:17 | 000,000,000 | ---D | C] -- C:\Users\Joschi\AppData\Roaming\6013340234FB5E55EF4903660ABDD0DB [2010.10.29 01:49:05 | 000,000,000 | ---D | C] -- C:\Windows\9EFA732347A048E28F7735DB5EED500A.TMP [2010.10.28 15:44:24 | 000,000,000 | ---D | C] -- C:\Users\Joschi\AppData\Roaming\D9D35B1053E4AB3C3AF15AF5129E5881 @Alternate Data Stream - 116 bytes -> C:\ProgramData\TEMP:A24211BA :FILES :Commands [purity] [EMPTYFLASH] [emptytemp] [Reboot] • Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument dieses posten öffne mein computer, c:\_OTL rechtsklick auf moved files und zu moved files.rar oder zip hinzufügen. archiv zu uns hochladen. http://www.trojaner-board.de/54791-a...ner-board.html |
Vielen Dank für die schnelle Rückmeldung. Im Anhang ist die OTL-Log-Datei nach dem Fix. |
nun bitte den gepackten ordner _OTL hochladen wie beschrieben |
Sorry, die Datei ist jetzt hochgeladen. |
kein problem! bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
Erstelle gerade den Combo-Fix-Log. |
Eine Frage bitte. Combo Fix hat mir bereits gemeldet das das Masterboot... infiziert ist. Jetzt bekomme ich gerade folgende Meldung: Current registry file not found: \Device\Harddisk\Volume1\Boot\BCD Restore this file? Soll ich das mit ja bestätigen? Danke |
ja bitte :-) |
Nachdem ich bestätigt habe die Registry BCD zu wiederherzustellen, hat es eine Weile gedauert und dann einen Blue-Screen gegeben. Nach dem Neustart hat sich Combofix allerdings mit der Meldung eine Log-Datei anzulegen zurückgemeldet. |
Hier ist der Combofix-Log: Combofix Logfile: Code: ComboFix 10-10-28.06 - Joschi 29.10.2010 14:12:41.1.2 - x86 |
bitte nutze den kaspersky tdss killer und poste das ergebniss Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft? |
eine bösartiger eintrag wurde gefunden. Ich bin auf Cure gegangen. Das Programm hat einen Neustart gemacht, dann aber nichts weiter angezeigt. Ei erneuter Scan mit dem TDSSKiller hat keine Infektionen mehr gefunden. |
ok dann nutze mal bitte gmer: http://www.trojaner-board.de/74908-a...t-scanner.html und poste das log |
Ich habe jetzt wieder einen Bluescreen bekommen. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:28 Uhr. |
Copyright ©2000-2025, Trojaner-Board