Rootkit TR/Alureaon.BP.4 hat zugeschlagen, fast entfernt (hoffe ich) |
||
---|---|---|
#0
| ||
08.06.2009, 22:21
...neu hier
Beiträge: 8 |
||
|
||
09.06.2009, 01:14
Ehrenmitglied
Beiträge: 6028 |
#2
Start > Ausführen> Kopiere rein ComboFix /U OK
Poste mal ein log von HijackThis http://board.protecus.de/t23187.htm __________ MfG Argus |
|
|
||
09.06.2009, 12:05
...neu hier
Themenstarter Beiträge: 8 |
#3
Erstmal vielen Dank für Deine Antwort.
Ich habe ComboFix /U ausgeführt, und anbei das Logfile von HiJackThis (irgendwie habe ich es nicht hingekriegt, das File als Anhang zu posten): Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:55:42, on 09.06.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\WINDOWS\system32\DVDRAMSV.exe C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe C:\Programme\NetLimiter 2 Monitor\nlsvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\IoctlSvc.exe C:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\Programme\WEB.DE SmartSurfer\SmurfService.exe C:\WINDOWS\system32\svchost.exe C:\Programme\VMware\VMware Workstation\vmware-authd.exe C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe C:\WINDOWS\system32\vmnat.exe C:\WINDOWS\system32\vmnetdhcp.exe C:\Programme\PC Connectivity Solution\ServiceLayer.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Programme\NetLimiter 2 Monitor\NLClient.exe C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe C:\Downloads\Installationen\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Buyertools - {7C7A8947-5935-4430-AC0E-E7D04697414E} - C:\PROGRA~1\BUYERT~1\IEBUTT~1.DLL O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe O4 - HKLM\..\Run: [Sunbird] "C:\Programme\Mozilla Sunbird\sunbird.exe" O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot O4 - HKLM\..\Run: [BDRegion] C:\Programme\Cyberlink\Shared Files\brs.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Thunderbird] "C:\Programme\Mozilla Thunderbird\thunderbird.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [vmware-tray] "C:\Programme\VMware\VMware Workstation\vmware-tray.exe" O4 - HKLM\..\Run: [VMware hqtray] "C:\Programme\VMware\VMware Workstation\hqtray.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020 O4 - HKUS\S-1-5-21-1004336348-1123561945-682003330-1003\..\Run: [PC Suite Tray] "C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray (User 'oliver') O4 - HKUS\S-1-5-21-1004336348-1123561945-682003330-1003\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun (User 'oliver') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user') O4 - S-1-5-21-1004336348-1123561945-682003330-1003 Startup: Verknüpfung mit speedfan.lnk = C:\Programme\SpeedFan\speedfan.exe (User 'oliver') O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe O4 - Global Startup: VR-NetWorld Auftragsprüfung.lnk = ? O9 - Extra button: Buyertools Reminder - {27914077-B4D6-4A0E-9763-76B6E9DD9A81} - C:\Programme\Buyertools Reminder\ReminderIE.exe O9 - Extra button: PartyCasino - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Programme\PartyGaming\PartyCasino\RunApp.exe O9 - Extra 'Tools' menuitem: PartyCasino - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Programme\PartyGaming\PartyCasino\RunApp.exe O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{A13DA524-5FA7-4924-96AF-AE56DA3DFD27}: NameServer = 192.168.1.1 O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - Unknown owner - C:\WINDOWS\system32\bgsvcgen.exe (file missing) O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: IviRegMgr - InterVideo - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NetLimiter (nlsvc) - Locktime Software - C:\Programme\NetLimiter 2 Monitor\nlsvc.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - C:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Programme\SiSoftware Sandra Lite 2009\RpcAgentSrv.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: SmartSurfer Manager (SmartSurferManager) - United Internet AG - C:\Programme\WEB.DE SmartSurfer\SmurfService.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-ufad.exe O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-authd.exe O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Programme\RealVNC\VNC4\WinVNC4.exe |
|
|
||
09.06.2009, 13:07
Ehrenmitglied
Beiträge: 6028 |
#4
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R3 - Default URLSearchHook is missing O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing) O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - Unknown owner - C:\WINDOWS\system32\bgsvcgen.exe (file missing) Klicke Fixed checked Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst Temp File Cleaner Download TFC.exe by OldTimer zum Desktop Schliesse alle fenster und doppelklick TFC.exe um das Programm zu starten Vista benutzer: rechtermausklick auf TFC.exe und waehle "Run as an Administrator" Lasse Temp File Cleaner seine Arbeit tun Am Ende wird dein Rechner neu starten,wenn nicht starte manuell neu MalwareBytes' Anti-Malware Platform: Windows NT/2000/XP/2003 Server/Vista/2008 Server Download MalwareBytes' Anti-Malware Doppelklick mbam-setup und waehle Deutsch ,das Program wird jetzt ge-updatet Wähle bei Reiter: “Scanner”>> "Quick-scan durchführen". Scan laufen lassen Wenn am Ende infizierungen gefunden werden,anhaken und entfernen lassen Starte dein Rechner neu Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt) Poste dessen inhalt hier ins Forum Note: Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK Danach wird gefragt den Rechner neu zu starten,lass es zu Malwarebytes Anti-Malware kann man nachher behalten ! Später kann man noch ein "Vollständiger Suchlauf“durchführen __________ MfG Argus |
|
|
||
09.06.2009, 13:29
...neu hier
Themenstarter Beiträge: 8 |
#5
Also, ich habe alles so durchgeführt, wie Du beschrieben hast.
Hier das Log von MalwareBytes, anschließend habe ich noch ein paar Fragen: Malwarebytes' Anti-Malware 1.37 Datenbank Version: 2252 Windows 5.1.2600 Service Pack 3 09.06.2009 13:24:25 mbam-log-2009-06-09 (13-24-25).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 65881 Laufzeit: 1 minute(s), 33 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Und jetzt noch ein paar Fragen: - Bin ich jetzt geheilt? :-) - Diese fehlenden Pokerstars-Buttons, die ich über HiJackThis entfernen sollte: Dies hatte aber nicht unmittelbar etwas mit der Infizierung zu tun, sehe ich das richtig? (Trotzdem natürlich sinnvoll) - Dieses Programm "Malwarebytes Anti-Malware": Wie gut ist denn das eigentlich? Man findet ja 1000 verschiedene Programme gegen Malware, Spyware, Adware usw. aber einige taugen offenbar nicht viel. Und: Könnte man mit diesem Programm auch entdecken, wenn man sich so ein verteufeltes Rootkit eingefangen hat? Lohnt es sich, hier die Vollversion zu kaufen, um vor solchen Rootkits geschützt zu sein? Schonmal 1000 Dank für Deine Hilfe! Gruß Oli |
|
|
||
09.06.2009, 13:59
Ehrenmitglied
Beiträge: 6028 |
#6
Zitat Diese fehlenden Pokerstars-Buttons, die ich über HiJackThis entfernen sollte: Dies hatte aber nicht unmittelbar etwas mit der Infizierung zu tun, sehe ich das richtig? (Trotzdem natürlich sinnvoll)das siehst du richtig Zitat Dieses Programm "Malwarebytes Anti-Malware": Wie gut ist denn das eigentlichSEHR GUT tagtaegliche updates und auch noch Kostenlos Systemwiederherstellung Systemwiederherstellung (de)aktivieren Weiss nicht ob man sich gegen Rootkits wehren kann __________ MfG Argus |
|
|
||
09.06.2009, 14:07
...neu hier
Themenstarter Beiträge: 8 |
#7
Ok, erstmal vielen Dank für Deine Hilfe.
Kann ich denn jetzt wieder ruhig schlafen? Oder siehst Du noch irgendwelche Probleme in den Logfiles? Wie kann ich mich erkenntlich zeigen? |
|
|
||
09.06.2009, 14:19
Ehrenmitglied
Beiträge: 6028 |
#8
Zitat Kann ich denn jetzt wieder ruhig schlafen?Jetzt? Sorge dafuer das dein Rechner Up-to-date ist und bleibt Deins Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:55:42, on 09.06.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Meins Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:13:49, on 9-6-2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Ein Hilfsmittel dazu http://www.filehippo.com/updatechecker/ __________ MfG Argus |
|
|
||
09.06.2009, 14:23
...neu hier
Themenstarter Beiträge: 8 |
#9
[Naja, durchgemacht habe ich deswegen jetzt nicht. ]
Ok, wegen dem Internet Explorer ist es so: Ich habe hier einen Krampf im Finger, wenn ich das Update anklicken will, weil es mir ein Mal bei einem Updateversuch das gesamte System zerschossen hat, und ich einen Hass gegen den IE habe. Darüber hinaus hatte ich 1. den Eindruck, dass der IE langsamer geworden ist und 2. ich selbst den Firefox nutze, d.h. der IE ja nur zum tragen kommt, wenn eine Anwendung diesen explizit anfordert, oder? |
|
|
||
09.06.2009, 14:31
Member
Beiträge: 3716 |
#10
ja eben, wenn diese anwendung den ie aufruft, und er ist löchrig wie ein schweizer käse...?
@Arnold was hällst du von prevx 3? das hat einen echtzeitscanner in der kostenlosen version, kann aber leider nicht bereinigen. teste das prog grade, scheint gut zu sein. Dieser Beitrag wurde am 09.06.2009 um 14:53 Uhr von virenfinder editiert.
|
|
|
||
09.06.2009, 14:36
...neu hier
Themenstarter Beiträge: 8 |
#11
Du hast Recht, das wäre dann natürlich fatal. Aber es gibt ja auch immerhin noch Sicherheitsupdates für den IE 6, soweit ich mich erinnern kann...
Ich lass mich auch nur so ungern von Microsoft nötigen. @Argus: Kann ich mich denn nun irgendwie für Deine Hilfe erkenntlich zeigen? - Ich soll "nur" meinen Rechner Up-to-date halten? |
|
|
||
09.06.2009, 15:05
Member
Beiträge: 3716 |
#12
ie 8 gefällt mir auch nicht so, ie 7 ist schon ok...
wie gesagt, ich teste grad prevx version 3. dieses programm kann zwar nicht löschen, aber zum scannen ist es gut, und realtime protection ist dabei. du kannst halt nur nicht löschen. von den Ergebnissen bin ich aber überzeugt.. Es basiert auch nciht auf signaturupdates sondern die files werden mit servern abgeglichen, dies ermöglicht eine schnelle verbreitung von erkennungen. nur mit den optionen bin ich noch am testen, was den maximalsten schutz bietet. |
|
|
||
09.06.2009, 15:10
...neu hier
Themenstarter Beiträge: 8 |
#13
Aha. Hört sich gut an. Es ist nur so: Ich bin mit neuer Software, vor allem mit Software, die dann im Hintergrund läuft, immer etwas zurückhaltend, wegen den Ressourcen... aber wenn es sich bewährt und tatsächlich so gut ist, dann wär das natürlich zu überlegen.
|
|
|
||
09.06.2009, 15:27
Member
Beiträge: 3716 |
#14
ich meld mich noch mal bin ja noch am probieren.
|
|
|
||
09.06.2009, 15:31
...neu hier
Themenstarter Beiträge: 8 |
#15
Ok, super! Vielen Dank schonmal!
|
|
|
||
ich war Opfer eines Infekts durch ein Rootkit "TR/Alureaon.BP.4", und dass durch einen einfachen Aufruf einer Internetseite. Ich hoffe, dass ich das Meiste bereits entfernen konnte, würde mich aber sehr freuen, wenn sich jemand nochmal die Logfiles ansehen könnte, die ComboFix ausgegeben hat.
Zur Vorgeschichte: Ich hatte den Trojaner "TR/Alureon.BP.4" (gemeldet von Avira). Dieser scheint in der Windows-Registry ukrainische Nameserver (85.255.xxx.xxx) eingetragen zu haben, was falsche Google-Suchergebnisse und Umleitungen über diese Server verursacht hatte (auch Updates von SpyBot Search & Destroy oder Ad-Aware schlugen fehl). Ich habe aus der Windows-Registrierung alle Nameserver einträge geleert, die ich finden konnte. Anschließend lief die Internetverbindung überhaupt nicht mehr. Dann habe ich die Treiber der Netzwerkkarte deinstalliert und neu erkennen lassen, woraufhin die Internetverbindung wieder funktionierte, und auch die Google-Suchergebnisse wieder OK waren.
Dann habe ich CCleaner und anschließend ComboFix ausgeführt, weil sich einige Programme nicht mehr starten ließen (unter dem Namen der EXE-Datei; nach einem Umbenennen lies es sich starten). Seit dem scheint alles wieder normal zu funktionieren.
Anbei das Protokoll von ComboFix.
Ich wäre für einen prüfenden Blick von jemanden, der sich damit auskennt, sehr dankbar.
Gruß
Oliver