Rogue.SecurityTool |
||
---|---|---|
#0
| ||
29.07.2010, 23:59
Member
Beiträge: 28 |
||
|
||
30.07.2010, 00:06
Moderator
Beiträge: 5694 |
#2
Hallo und herzlich Willkommen auf Protecus.de
Um ein infiziertes System zu bereinigen bedarf es neben Zeit auch die Beachtung folgender Punkte: • Halte Dich an die Anweisungen des jeweiligen Helfers. • Falls Du externen Speichermedien (USB Sticks, Festplatten) hast, dann schliesse die vor der Reinigung an. • Während der Reinigung solltest Du weder Programme installieren noch deinstallieren, welche nicht ausdrücklich verlangt werden. • Bitte arbeite jeden Schritt der Reihe nach ab. • Falls bei einem Schritt Probleme auftauchen, poste was du bereits hast und melde Dich mit dem Problembeschreiben. • Die Bereinigung ist erst beendet wenn der jeweilige Helfer das OK gibt. • Wenn die Kiste wieder flott läuft heisst das nicht, dass das Sytem auch sauber ist. • Bei geschäftlich genutzten Rechner sollte der zuständige IT Verantwortliche beigezogen werden. • Ein Support unsererseits kann unter Umständen bei einem Firmenrechner abgelehnt werden. • Bei illegaler Software besteht die Möglichkeit, dass der Support eingestellt wird. • Jegliche Cracks oder Keygens werden weder gefördert noch akzeptiert. • Bei stark infizierten Systemen vorallem wenn Backdoors oder Rootkits involviert sind kann es vorkommen, dass ein Helfer zum Neuaufsetzen rät. • In letzter Instanz ist dann immer der User welcher entscheidet. Vista und Win7 User: Alle Programme und Tools, die wir anordnen, immer mit Rechtsklick und Als Administrator ausführen. Schritt 1 Kannst Du auf Deinem Computer alle Dateien und Datei-Endungen sehen? Falls nein, bitte diese Einstellungen in den Ordneroptionen vornehmen. Schritt 2 Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. • Doppelklick auf die OTL.exe • Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen. • Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Minimal-Ausgabe • Unter Extra-Registrierung wähle bitte Benutze SafeList. • Mache Häckchen bei LOP- und Purity-Prüfung. • Klicke nun auf Scan links oben. • Wenn der Scan beendet wurde werden zwei Logfiles erstellt. Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt • Poste die Logfiles in Code-Tags hier in den Thread. Schritt 3 Rootkit-Suche mit Gmer Was sind Rootkits? Wichtig: Bei jedem Rootkit-Scans soll/en: • alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein, • keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen), • nichts am Rechner getan werden, • nach jedem Scan der Rechner neu gestartet werden. • Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten! Lade Dir Gmer von dieser Seite herunter (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern. • Gmer ist geeignet für => NT/W2K/XP/VISTA. • Alle anderen Programme sollen geschlossen sein. • Starte gmer.exe (hat einen willkürlichen Programm-Namen). • Vista-User mit Rechtsklick und als Administrator starten. • Gmer startet automatisch einen ersten Scan. • Sollte sich ein Fenster mit folgender Warnung öffnen: Code WARNING !!! • Unbedingt auf "No" klicken, anschließend über den Copy-Button das bisherige Resultat in die Zwischenablage zu kopieren. • Füge das Log aus der Zwischenablage mit STRG + V in Deine Antwort in Deinem Thread ein. . • Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware", • Hake an: System, Sections, IAT/EAT, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files. • Wichtig: "Show all" darf nicht angehakt sein! • Starte den Scan durch Drücken des Buttons "Scan". Mache nichts am Computer während der Scan läuft. • Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet. • Füge das Log aus der Zwischenablage in Deine Antwort hier ein (mit STRG + V). Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst! Nun das Logfile in Code-Tags posten. |
|
|
||
30.07.2010, 01:21
Member
Themenstarter Beiträge: 28 |
#3
Dank dir für die schnelle Antwort.
OTL.txt Code OTL logfile created on: 30.07.2010 00:20:23 - Run 1Extras.Txt Code OTL Extras logfile created on: 30.07.2010 00:20:24 - Run 1Gmer Code GMER 1.0.15.15281 - http://www.gmer.net |
|
|
||
30.07.2010, 16:38
Moderator
Beiträge: 5694 |
#4
Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.
• BleepingComputer • ForoSpyware**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird** • Doppel-klicke auf ComboFix.exe und folge den Aufforderungen. • Wenn ComboFix fertig ist, wird es ein Log für dich erstellen. • Bitte füge das C:\ComboFix.txt Log in deiner Antwort im Forum bei, so dass wir uns diese analysieren können. |
|
|
||
31.07.2010, 02:04
Member
Themenstarter Beiträge: 28 |
#5
Danke erst mal für die Antwort.
Erstellt ComboFix nur ein Log, oder desinfiziert es auch irgendwas? Sollte das ja damals bei einem anderen Problem auch anwenden und habe es dann nicht benutzt, wegen dieser Meldung: |
|
|
||
31.07.2010, 02:07
Moderator
Beiträge: 5694 |
#6
Es löscht sehr tief sitzende Malware. Ich selber habe noch keinen Fall erlebt bei welchem CF Probleme bereitete.
|
|
|
||
31.07.2010, 02:19
Member
Themenstarter Beiträge: 28 |
#7
Traue mich nicht, da es nicht mein Computer ist und bei meinem Glück ich die eine von Hundert bin.
Gibt es nicht noch was anderes was ich probieren könnte? |
|
|
||
31.07.2010, 03:13
Member
Themenstarter Beiträge: 28 |
#8
Ist es vielleicht auch möglich, dass sich das "Programm" gar nicht ausgebreitet hat? Merke keinerlei Beeinträchtigungen und habe Registry/Autostart/Application Data/Prozesse durchgeguckt, aber nirgendwo was von dem SecurityTool gefunden. Die Symptome die andere laut google berichten, treten bei mir überhaupt nicht auf. Ob das ein gutes Zeichen ist?
|
|
|
||
31.07.2010, 14:00
Moderator
Beiträge: 5694 |
#9
Ich wollte einfach noch schauen was CF meint. Aber wenn Du denkst dass es wieder gut läuft dann belassen wir es so.
|
|
|
||
irgendwie hatte ich vorhin mein Hirn nicht eingeschaltet und Mist gebaut. ;(
Hatte Firefox mit mehreren Tabs offen und beim durchklicken dieser war da auf einmal eine Seite, ähnlich der Mozilla Firefox Seite, auf der Stand, dass mein Browser und mein Flash nicht aktuell wären. Und dann habe ich diesen vermeintlichen Updater gedownloaded und ausgeführt. Dann öffnete sich so ein Fake Virenprogramm, dass angeblich jede Menge Viren gefunden hatte und sich auch nicht schließen und den Taskmanager auch nicht mehr öffnen ließ. Habe dann den PC neu gestartet und einen Scan mit meinem Virenprogramm gemacht, was auch mehrere Sachen gefunden hatte, die sich aber nicht löschen ließen, da sie angeblich verschoben, oder gelöscht seien. Die Infizierten Dateien haben sich laut Virenprogramm alle unter C:\Users\Benutzer\AppData\LocalLow\Java\Deployment\cache\6.0\ befunden und sind anscheinend verschwunden? Habe dann mal Temporäre Dateien von Java und sonstige von Windows gelöscht.
Hier mal ein Screen vom Virenprogramm den ich gemacht habe: http://image-upload.de/image/zp1E6g/bfda8e8cf1.png
Habe dann einen Scan mit Malwarebytes gemacht, welches eine nicht funktionierende Verknüpfung im Startmenü zu dem Programm gefunden hatte.
Malwarebytes Log:
Code
Hijackthis Log:Code
Code
Kann ich vielleicht hoffen, dass das Ding weg ist, weil nichts mehr gefunden wird, oder schlummert da vielleicht doch noch was?Schon mal vielen Dank für die Hilfe im Voraus.
nic