![]() |
Win32.FakeAlert.ttam und Win32.Palevo via SpyBot Entdeckt Hallo Leute, dies ist mein erster Post in eurem Forum und ich hoffe ihr könnt mir helfen. Bin momentan etwas verzweifelt. Ok folgendes Problem: Bei einem routinemäßigen Scan mit Spybot fanden sich zwei unerwünschte Besucher: Win32.FakeAlert.ttam Win32.Palevo Ich hab zuerst Spybot versuchen lassen die zwei zu beseitige, ohne Erfolg. Dann war ich manuell in der registry unterwegs um die entsprechenden Einträge zu Löschen. Ich habe auch Einträge gefunden die auf csrss.exe und dm*.exe (habe leider den korrekten namen der letzten vergessen) verwiesen haben. Beide. exe befanden sich im "Dokumente und Einstellungen" Bereich meiner Platte. Ich dachte ich hätte zumindest eine von beiden erledigt weil sich sowohl die .exe (nach beendigung des entsprechenden Prozesses) als auch die registry einträge entfernen ließen aber Fehlanzeige. Auch im abgesicherten Windowsmodus ließ sich nichts dauerhaft entfernen Nun verschlug es mich zu euch und ich fand auch ein Thema bei dem das Problem aber leider ungelöst blieb http://www.trojaner-board.de/95491-w...hmt-panik.html Über google habe ich auch noch einen Kompletten Lösungsansatz gefunden allerdings hat der Helfende dort betont, dass dieser Fix eine Individuallösung ausschließlich für diese Maschine sei. Ich habe mir, durch euer Board dazu verleitet, malwarebytes heruntergeladen und installiert. Der fand die entsprechenden Datein und entfernte sie. nach einem Neustart hatte ich das Problem dass das Internet nicht mehr ging (was einige Leute in meiner Lage auch beschrieben haben). Die Ursache war, dass auf einmal eine Verbindung über einen Proxy versucht wurde. Jetzt habe ich malwarebytes nocheinmal durchlaufen lassen und nun findet er zwei vollkommen neue "Freunde" Hijack.shell PUM.Bad.Proxy Beide male registry values Die habe ich soeben entfernen Lassen. Hier mal die entsprechenden Logs Malwarebytes 1. Lauf Code: Malwarebytes' Anti-Malware 1.50.1.1100 Code: Malwarebytes' Anti-Malware 1.50.1.1100 Edit: Jetzt findet Malwarebytes keine infizierten Dateien mehr.. was natürlich nicht heißt dass keine mehr da sind. Auf den ersten Blick macht das System aber auch einen besseren Eindruck (nur noch ein csrss prozess und der dv* fehlt vollständig) Jetzt würde ich von euch gerne wissen: Wie kann ich denn noch überprüfen ob mein Rechner wieder sauber ist? mit freundlichen Grüßen, Lax Ich hab bei euch in den FAQs noch ein bisschen gestöbert und mir ein paar Anleitungen zu diversen Tools angekuckt. Alelrdings steig ich nicht so ganz dahinter welches davon ich jetzt direkt brauchen könnte. Ich habe jetzt nochmal die Suchmöglichkeiten von AntiVir ausgeschöpft und direkt nach spezielleren dingen wie rootkits alleine suchen lassen ohne Auffälligkeiten. Das absolut sicherste wäre eine komplette Formatierung der Festplatte die ich aber vermeiden möchte. Es gibt hier zwar keine Daten die ich sichern möchte allerdings ist der Arbeitsaufwand doch ein erheblicher. mfg, Lax |
Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
|
Jop, hammer hier: Sind leider zu lang für einen post, daher hänge ich die sachen als zip an Ich werd jetzt garnicht groß versuchen diese selbst zu interpretieren. Das einzige was ich weiß ist, dass die Meldung "Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen: i8042prt" nichts zu sagen hat. War, soweit ich weiß ein standard Maus/Keyboard treiber. Es sei noch gesagt. Ich habe manuell nochmal nach entsprechenden registry keys suchen lassen (regedit). Die verdächtigen keys die auf die .exe der viren verwiesen haben sind alle Weg. Mfg, Lax |
Leute, ich hab nochmal drüber nachgedacht: Ich denek selbst mit den besten scans kann ich nicht garantieren dass mein system noch sicher ist. Darum werde ich den Rechner wohl platt machen. Sofern meine Versuche Sp3 in meine XP install CD zu integrieren nicht fehlschlagen werd ich das auch so machen. Trotzdem wirklich vielen Dank für die Hilfe cosinus, ich schätze das sehr, dass du deine Freizeit dafür hergibst. mfg, Lax |
Selbstverständlich kannst du auch formatieren wenn dir das lieber ist :) |
Alle Zeitangaben in WEZ +1. Es ist jetzt 13:33 Uhr. |
Copyright ©2000-2025, Trojaner-Board