RSIT Log bitte prüfen auf Trojaner! |
||
---|---|---|
#0
| ||
21.08.2009, 10:50
Member
Beiträge: 15 |
||
|
||
21.08.2009, 12:25
Moderator
Beiträge: 5694 |
#2
>>
Versteckte Dateien sichtbar machen: 1. Klicke unter Start auf Arbeitsplatz. 2. Klicke im Menü Extras auf Ordneroptionen. 3. Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden --> Haken entfernen 4. Geschützte und Systemdateien ausblenden --> Haken entfernen 5. Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen --> Haken setzen. Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein. http://virus-protect.org/invisible.html >> Lasse folgende Datei bei www.VIRUSTOTAL.com/de prüfen und poste das Ergebnis: C:\WINDOWS\system32\drivers\restore.sys Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren >> Schliesse alle Fenster und starte Hijack This Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei: (falls diese noch vorhanden sind) Zitat R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\pdfforge Toolbar\SearchSettings.dllund wähle fix checked. Starte den Rechner neu. >> Scanne mit Malwarebytes, lass das gefundene löschen und poste das Log: (Vor der Anwendung Update nicht vergessen) http://virus-protect.org/artikel/tools/malwarebytes.html >> Führe einene Rootkitscan mit GMER durch und poste das Log: http://virus-protect.org/artikel/tools/gmer.html >> Nun poste noch das zweite LOg von RSIT: C:\rsit\info.txt Gruss Swiss Für mich: Zitat S3 restore;restore; \??\C:\WINDOWS\system32\drivers\restore.sys[/u] |
|
|
||
21.08.2009, 15:14
Member
Themenstarter Beiträge: 15 |
#3
Hallo Swisstreasure,
vielen Dank für deine schnelle Antwort. Anbei die Log von Virustotal der Datei restore.sys Zitat Die Datei wurde bereits analysiert: Zitat Datei restore.sys empfangen 2009.08.21 12:55:18 (UTC)->Die Einträge wurde mit HiJackthis entfernt! -> Malwarebytes lies sich leider nicht installieren und auch nicht starten, keine Reaktion von Windows! -> der gleiche Fall auch bei GMER, lies sich nicht starten und keine Reaktion von Windows! Aktuelles RSIT Log der Info.txt Zitat info.txt logfile of random's system information tool 1.06 2009-08-21 15:13:34Vielen Dank schon mal! |
|
|
||
21.08.2009, 15:31
Moderator
Beiträge: 5694 |
#4
>>
Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere in das weisse Feld: Zitat Drivers to disable:- schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten) - Klicke: Execute - bestätige, dass der Rechner neu gestartet wird - klicke "yes" - nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen >> loesche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb >> lade Dir Malwarebytes auf den Desktop und benenne es nach Scan.exe um und versuche es so zu installieren. >> Nun auch noch eiN GMER Scan. Gruss Swiss[/u] |
|
|
||
21.08.2009, 16:51
Member
Themenstarter Beiträge: 15 |
#5
Hallo,
Avenger wurde ausgeführt. Anbei die Log: Zitat Logfile of The Avenger Version 2.0, (c) by Swandog46-> Malewarebytes lies sich jetzt zwar installieren, aber leider immer noch nicht starten! -> GMER Scan wurde ausgeführt, wusste allerdings nicht genau ob ich alle Partitionen scanen sollte oder nicht. Ich hatte von daher erst mal nur C: gescannt wo sich auch WINDOWS drunterbefindet. Auf den anderen Partitionen befinden sich nur Programme und Daten usw. Anbei die Log von GMER: Zitat GMER 1.0.15.15077 [test.exe] - http://www.gmer.netBesten Dank im voraus! |
|
|
||
21.08.2009, 18:56
Moderator
Beiträge: 5694 |
#6
Hallo TommyXP08
Dein Masterbootrecorder wurde infiziert. Zudem hast DU Rootkits auf Deinem System. Falls Du Ebanking machst oder heikle Daten auf dem System hast, dann sichere diese und setze das System komplett Neu auf. Eine Reinigung wäre möglich, aber mit viel Arbeit verbunden und man hat auch nicht die Sicherheit, dass bereits unbefugte Zutritt auf das System verschaffen haben. Nun liegt es an Dir. Neu Aufsetzen oder Reinigen? Gruss Swiss |
|
|
||
21.08.2009, 19:51
Member
Themenstarter Beiträge: 15 |
#7
Hallo Swisstreasure,
ist erst mal eine ziemlich harte Meldung. Ich würde es wirklich erst mal versuchen mit Reinigung versuchen. Auch wenn diese sehr zeitaufwendig wäre. Falls ich wirklich die Lust dran verliere kann ich immer noch neuaufsetzen. Bloß mein PC-System ist derzeit so komplex aufgebaut das bekomme ich von heut auf morgen nicht mehr so hin. Seitdem ich mir das eingefangen habe ist der Rechner sowieso Daueroffline. Also mein Wort ist "Reinigen". Würde mich nun über die weitere Verfahrensweiße freuen. Vielen Dank! P.S. Wie sieht es mit der Windows XP Systemwiederherstellung aus? Dieser Beitrag wurde am 21.08.2009 um 20:05 Uhr von TommyXP08 editiert.
|
|
|
||
21.08.2009, 20:05
Moderator
Beiträge: 5694 |
#8
>>
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Zitat mbr.exe –fDoppelklick auf fix.bat Es wird ein Log erstellt ( mbr.log )und poste dessen Inhalt (Hinweis: der Pfad zu mbr muss der Gleiche sein, also aufpassen, dass mbr auch auf dem Desktop abgespeichert ist) >> Wende Combofix an und poste das Log: http://www.virus-protect.org/artikel/tools/combofix.html Gruss Swiss |
|
|
||
22.08.2009, 10:57
Member
Themenstarter Beiträge: 15 |
#9
OK, wurde soweit ausgeführt.
MBR Log Zitat Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.netCombo-Fix Log Zitat ComboFix 09-08-21.01 - Rühle 22.08.2009 10:34.4.1 - NTFSx86Vielen Dank! |
|
|
||
22.08.2009, 11:29
Moderator
Beiträge: 5694 |
#10
>>
Combofix entfernen: Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" (oder, wenn es nicht funktioniert: C:\QooBox löschen) >> Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere in das weisse Feld: Zitat Files to delete:- schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten) - Klicke: Execute - bestätige, dass der Rechner neu gestartet wird - klicke "yes" - nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen >> Scanne mit Superantispyware und poste das Log: http://board.protecus.de/t31252.htm >> Rootkitscan mit RootRepeal * Gehe hierhin, scrolle runter und downloade RootRepeal.zip. * Entpacke die Datei auf Deinen Desktop. * Doppelklicke die RootRepeal.exe, um den Scanner zu starten. * Klicke auf den Reiter Report und dann auf den Button Scan. * Mache einen Haken bei den folgenden Elementen und klicke Ok. . Drivers Files Processes SSDT Stealth Objects Hidden Services . * Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen. * Wähle C:\ und klicke wieder Ok. * Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld. * Wenn der Suchlauf beendet ist, klicke auf Save Report. * Speichere das Logfile als RootRepeal.txt auf dem Desktop. * Kopiere den Inhalt hier in den Thread. >> Scanne erneut mit GMER und poste das neue Log. Gruss Swiss |
|
|
||
23.08.2009, 19:35
Member
Themenstarter Beiträge: 15 |
#11
Ok wurde soweit alles ausgeführt.
Anbei die Logs. Avenger Zitat Logfile of The Avenger Version 2.0, (c) by Swandog46Superantispyware Zitat SUPERAntiSpyware Scan LogRootRepeal Zitat ROOTREPEAL (c) AD, 2007-2009GMER Zitat GMER 1.0.15.14966 - http://www.gmer.netVielen Dank im voraus! |
|
|
||
23.08.2009, 20:03
Moderator
Beiträge: 5694 |
#12
>>
Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere in das weisse Feld: Zitat Drivers to disable:- schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten) - Klicke: Execute - bestätige, dass der Rechner neu gestartet wird - klicke "yes" - nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen >> loesche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb >> Deinstallier GMER und installiere es neu, poste ein neues Log. Gruss Swiss |
|
|
||
24.08.2009, 20:36
Member
Themenstarter Beiträge: 15 |
#13
OK, anbei die Log von Avenger
Zitat Logfile of The Avenger Version 2.0, (c) by Swandog46Mit GMER bekomme ich leider Log mehr hin. Denn während des Scanvorganges startet jeder mal der Rechner neu. Hatte es bisher schon deinstalliert und auch wieder neu installiert. Allerdings immer während des Scanvorganges (nach ca. 5 Minuten) startet der PC mit einmal neu. Als Scanordner habe ich die normalen standardmäßigen Sachen ausgewählt sowie die Partition C:. Nachm Neustart kommt dann auch keine Fehlermeldung, Log o.ä. Vorher war dieses Problem nicht gewesen mit dem abstürzen, also bei den vorherigen Scans. Vielen Dank schon mal... |
|
|
||
25.08.2009, 11:43
Moderator
Beiträge: 5694 |
#14
>>
Scanne mit Blacklight und poste das LOg: http://virus-protect.org/artikel/tools/blacklight.html >> Installier DIr erneut Combofix, scanne und poste das Log: http://virus-protect.org/artikel/tools/blacklight.html Gruss Swiss |
|
|
||
25.08.2009, 19:15
Member
Themenstarter Beiträge: 15 |
#15
So, hate nun Scan mit Backlight durchlaufen lassen.
Anbei die Log. Dateien zum umbennnen gab es nicht! Zitat 08/25/09 18:10:27 [Info]: BlackLight Engine 2.2.1092 initializedCombofix-Log Zitat ComboFix 09-08-24.06 - Rühle 25.08.2009 19:04.5.1 - NTFSx86Vielen Dank schon mal! |
|
|
||
habe mir durch das Internet irgendwie Viren und Trojaner eingefangen. Dies fängt damit an das sich die Oberfläche von Microsoft Outlook verändert hat. Außerdem gelange ich bei Google mit Surfen des Firefox auf diverse Internetseiten wie DiskDoctor usw.
Hijackthis und MBAM liesen sich leider nicht installieren.
Von daher konnte ich nur eine Log mit RSIT machen.
Vielen Dank schon mal für eure Unterstützung.
Zitat