|
Thinkpoint entfernung noch möglich? Hallo erstmal, Habe folgenden Fall: - Jemand hat auf dem Familienrechner Thinkpoint installiert/ausgeführt(unbewusst oder bewusst weis ich nicht) - Es wurde ein Fullscan durchgeführt - Habe Avira AntiVir durchlaufen lassen: -> explorer.exe und andere infizierte Dateien gefunden -> Dateien lassen sich nicht entfernen/verschieben - Eine wininit.exe läuft im Taskmanager mit die sich nicht ohne sofortiges Herunterfahren schließen lässt Ich habe bereits folgendes gemacht/gelöscht: - hotfix.exe gelöscht - beiliegende Dateien von hotfix die lose im Ordner lagen gelöscht - Installation der benötigten Tools via Load.exe - Programme bis TFC installiert Resultat: - PC immernoch geblockt durch schwarzen Screen - Programme können teilweise über taskmanager.exe ausgeführt werden - Bei der Installation von TFC entsteht ein Bluescreen und alles beginnt von vorne Ich hoffe mal alles ist vernünftig von mir beschrieben wurde und mir geholfen werden könnte. Zur behandlung steht evtl. noch mein eigener PC zur verfügung mit einem CD Brenner Gruß Pierre |
Ich glaube ich kenne auch den Ursprung von Thinkpoint |
hast du den link für mich? wenn ja als persönliche nachicht. download: http://filepony.de/download-otlpe/ und brenne es mit ISOBurner auf eine CD. Active@ ISO Burner. Data CD DVD burning software. Write ISO image to CD,DVD,CD-RW,CDR,DVD-RW. • Wenn der Download fertig ist mache ein doppel Klick auf die Datei, was ISOBurner öffnet um es auf die CD zu brennen. Starte dein System neu und boote von der CD die du gerade erstellt hast. Wenn du nicht weist wie du deinen Computer dazu bringst von der CD zu booten, http://www.trojaner-board.de/81857-c...cd-booten.html • Dein System sollte jetzt einen REATOGO-X-PE Desktop anzeigen. • Mache einen doppel Klick auf das OTLPE Icon. • Wenn du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes. • Wenn du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes. • entferne den haken bei "Automatically Load All Remaining Users" wenn er gesetzt ist. • OTL sollte nun starten. • Drücke Run Scan um den Scan zu starten. • Wenn er fertig ist werden die Dateien in C:\otl.txt gesichert • Kopiere diesen Ordner auf deinen USB-Stick wenn du keine Internetverbindung auf diesem System hast. poste beide logs |
Ich muss nochmal einen Scan machen. OTL hat die falsche Platte gescannt sehe ich. |
starte den pc mal in den abgesicherten modus ohne netzwerk. an deinem zweiten nicht infizierten rechner lade combofix. bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix kopiere es auf den infizierten rechner und führe es, falls es funktioniert, aus. log posten. |
ComboFix konnte auf den infizierten Rechner ausgeführt werden und führte zu folgenden: -MSG: MBR infiziert -MSG: Rootkitaktivität festgestellt -ComboFix führt Neustart aus -Beim Hochfahren Bluescreen -Erneutes Hochfahren im abgesicherten Modus -ComboFix führt fort -ComboFix startet Rechner neu nach entfernung von infizierten Dateinen -Rechner scheint wieder normalen zustand erreicht zu haben Combofix Logfile: Code: ComboFix 10-11-07.A2 - FlexxicE 09.11.2010 17:21:05.1.2 - x86 MINIMAL |
start programme zubehör editor, kopiere rein: Killall:: Rootkit:: c:\windows\system32\drivers\yjzwz.sys Driver:: yjzwz Datei speichern unter, ort dort wo sich combofix befindet, typ, alle dateien, name cfscript.txt schalte alle programme, auch avira guard ab, ziehe cfscript auf combofix, programm startet, log posten. öffne dann mein computer, c: qoobox, rechtsklick auf quarantain und zu quarantain.rar oder zip hinzufügen, archiv hochladen. dateiupload: http://www.trojaner-board.de/54791-a...ner-board.html |
Datei habe ich nun via UploadChannel hochgeladen, doch wurde mir beim .rar Archive erstellen folgendes angezeigt: ! Quarantine.zip: Konnte Quarantine\C\Windows\explorer.exe.vir nicht öffnen. ! Zugriff verweigert ! Quarantine.zip: Konnte Quarantine\C\Windows\System32\wininit.exe.vir nicht öffnen. ! Zugriff verweigert Hier noch der CombatFix Log: Combofix Logfile: Code: ComboFix 10-11-07.A2 - FlexxicE 09.11.2010 18:02:26.2.2 - x86 |
öffne mal malwarebytes und poste dein scan log. machst du onlinebanking oder einkäufe? |
Auf diesen PC wird Onlinebanking betrieben. Ich lasse ausserdem gerade Malewarebytes einen Fullscan für C ausführen |
hi, dann rufe unbedingt die bank an, du hattest ein bootkit, dieses hatte die volle kontrolle über dein system und konnte alles auslesen und tun. darin liegt auch das problem, ich kann nicht dafür garantieren das wir alle enderungen finden, die gemacht wurden, nur wirklich sicher gehen kanns du bei daten sichern, + neu aufsetzen, wenn du das nicht tust, bleibt ein risiko. die entscheidung musst du treffen, aber bedenke das du mit deinem geld an diesem pc arbeitest. wenn du formatierst, zeige ich dir wege auf, den pc besser zu schützen |
Also das Onlinebanking ist über HBCI geregelt mit .key Dateien auf einem USB-Stick. Wie soll ich vorgehen? |
naja wie gesagt, um ganz sicher zu gehen solltest du neu aufsetzen. tipps bekommst du natürlich und die entscheidung is dir überlassen. |
Bevor ich dann aber alles neu aufsetze, muss ich erst noch einen haufen an Datein sichern. Kann ich für die Sicherung C partionieren und die relevanten Daten von C auf die neue Partion legen? Bzw. wie kann ich sicher gehen das ich keine Trojaner etc. mitkopiere? |
also du kannst deine daten sichern, dann, wenn du fertig bist, sag bescheid und ich gebe dir weitere anweisungen. befor du dann auf dem neuen system auf die daten zugreifst, scanne die dann mit deinem antivirus programm. aber wie gesagt, erst mal sichern. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:44 Uhr. |
Copyright ©2000-2025, Trojaner-Board