TR/Crypt.FKM.Gen über externe Festplatte eingefangen

#0
08.05.2010, 18:40
Moderator

Beiträge: 5694
#16 Schritt 1

Hast Du Flashdesinfector richtig angewendet?

Hier Schritt 2:
http://board.protecus.de/t39593.htm#339928

Schritt 2

Fixen mit OTL

• Starte bitte die OTL.exe.
Vista-User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code

:OTL
O32 - AutoRun File - [2008.12.18 17:51:36 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2010.05.06 22:35:03 | 000,000,000 | RHSD | M] - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2010.05.06 22:35:06 | 000,000,000 | RHSD | M] - D:\autorun.inf -- [ FAT32 ]
O32 - AutoRun File - [2008.09.03 21:11:04 | 000,000,122 | RHS- | M] () - F:\autorun.inf -- [ FAT ]
O33 - MountPoints2\{ca894940-5924-11df-91c4-0003253be0f8}\Shell - "" = AutoRun
O33 - MountPoints2\{ca894940-5924-11df-91c4-0003253be0f8}\Shell\1\Command - "" = F:\.\recycled\info.exe -- [2006.11.23 17:29:38 | 000,093,612 | RHS- | M] ()
O33 - MountPoints2\{ca894940-5924-11df-91c4-0003253be0f8}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{e6d12be7-5952-11df-91c6-0003253be0f8}\Shell - "" = AutoRun
O33 - MountPoints2\{e6d12be7-5952-11df-91c6-0003253be0f8}\Shell\1\Command - "" = F:\.\recycled\info.exe -- [2006.11.23 17:29:38 | 000,093,612 | RHS- | M] ()
O33 - MountPoints2\{e6d12be7-5952-11df-91c6-0003253be0f8}\Shell\AutoRun - "" = Auto&Play
:Commands
[purity]
[emptytemp]
[CLEARALLRESTOREPOINTS]
• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Run Fix Button.
• Klick auf .
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument.
Kopiere nun den Inhalt hier in Code-Tags in Deinen Thread


Schritt 3

Rootkit-Suche mit Gmer

Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:

• alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
nichts am Rechner getan werden,
nach jedem Scan der Rechner neu gestartet werden.
Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Gmer ist geeignet für => NT/W2K/XP/VISTA.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (hat einen willkürlichen Programm-Namen).
Vista-User mit Rechtsklick und als Administrator starten.
• Gmer startet automatisch einen ersten Scan.
• Sollte sich ein Fenster mit folgender Warnung öffnen:

Code

WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system?

• Unbedingt auf "No" klicken,
anschließend über den Copy-Button das bisherige Resultat in die Zwischenablage zu kopieren.
• Füge das Log aus der Zwischenablage mit STRG + V in Deine Antwort in Deinem Thread ein.
.
• Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
• Hake an: System, Sections, IAT/EAT, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files.
Wichtig: "Show all" darf nicht angehakt sein!
• Starte den Scan durch Drücken des Buttons "Scan".
Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren.
Mit "Ok" wird Gmer beendet.
• Füge das Log aus der Zwischenablage in Deine Antwort hier ein (mit STRG + V).

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.


Schritt 4

Scan mit SystemLook

Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop.

Download Mirror #1 - Download Mirror #2

• Doppelklick auf die SystemLook.exe, um das Tool zu starten.
Vista-User mit Rechtsklick und als Administrator starten.
• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:

Code

:filefind
info.exe

:regfind
e6d12be7-5952-11df-91c6-0003253be0f8

• Klicke nun auf den Button Look, um den Scan zu starten.
• Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
• Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.
Seitenanfang Seitenende
08.05.2010, 23:55
Member

Themenstarter

Beiträge: 11
#17 Hallo Swiss,

schritt 1: ja ich denke, ich abe flash desinfector so angewendet wie beschrieben. soll ich das procedere nochmal wiederholen?



schritt 2:

[Code]All processes killed
========== OTL ==========
C:\AUTOEXEC.BAT moved successfully.
File not found.
File not found.
F:\autorun.inf moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ca894940-5924-11df-91c4-0003253be0f8}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ca894940-5924-11df-91c4-0003253be0f8}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ca894940-5924-11df-91c4-0003253be0f8}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ca894940-5924-11df-91c4-0003253be0f8}\ not found.
F:\.\recycled\info.exe moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ca894940-5924-11df-91c4-0003253be0f8}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ca894940-5924-11df-91c4-0003253be0f8}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e6d12be7-5952-11df-91c6-0003253be0f8}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e6d12be7-5952-11df-91c6-0003253be0f8}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e6d12be7-5952-11df-91c6-0003253be0f8}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e6d12be7-5952-11df-91c6-0003253be0f8}\ not found.
File F:\.\recycled\info.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e6d12be7-5952-11df-91c6-0003253be0f8}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e6d12be7-5952-11df-91c6-0003253be0f8}\ not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Besitzer
->Temp folder emptied: 245836 bytes
->Temporary Internet Files folder emptied: 6193386 bytes
->FireFox cache emptied: 32985312 bytes
->Flash cache emptied: 405 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33664 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 65536 bytes
RecycleBin emptied: 36405731 bytes

Total Files Cleaned = 72,00 mb

Restore points cleared and new OTL Restore Point set!
Error: Unable to interpret <Quelle: http://board.protecus.de/t39593-2.htm#ixzz0nNKERknB> in the current context!

OTL by OldTimer - Version 3.2.4.1 log created on 05082010_232103

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
[Code/]


schritt 3
???VIRENSCANNER AUSSCHALTEN vor ROOTKITSCAN????
ich habe [b]bisher[/b] vor den scans antivir und spyware doctor deaktiviert.
ich weiß nicht, ob ich noch mehr antiviren programme oder eine firewall habe.
wie kriege ich das raus, wenn ich die programmnamen nicht kenne?
was ist mit malawarebytes- muss ich das deaktivieren?


PROGRAMME DEINSTALLIERT- sorry!
ich habe 3 programme: spyware doctor, pdf-creator und pdf-expert deinstalliert. erst danach ist mir wieder eingefallen, dass man während der reinigung nichts unabgesprochen (de)installieren soll. hoffe das macht dir bz. uns keine unnötige zusatzarbeit


....und mal so generell: wie arg ist es denn? rootkit hört sich böse an....

lg, ulfa
Seitenanfang Seitenende
09.05.2010, 20:55
Moderator

Beiträge: 5694
#18 Ja du musst dies ausschalten. Avira deaktivieren und auch Spywaredoctor. Einfach die Programme zum Schutz welche unten rechts laufen ;) Sollte eigentlich nur Avira und Spywaredoc sein bei Dir.

Dann führe denn Rootkitscan aus.

Und danach Schritt 4 noch.

Also ich will wissen ob ein Rootkit aktiv ist.
Seitenanfang Seitenende
12.05.2010, 22:35
Member

Themenstarter

Beiträge: 11
#19 hej swiss,

ich bin erst nächste woche wieder am start.

schönes wochenende dir, ulfa
Seitenanfang Seitenende
12.05.2010, 22:58
Moderator

Beiträge: 5694
#20 Ok ;) Dann melde Dich einfach wieder ;)
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: