Avira: TR/Spy.98370. gefunden |
||
---|---|---|
#0
| ||
08.08.2010, 03:32
Member
Beiträge: 39 |
||
|
||
08.08.2010, 11:46
Moderator
Beiträge: 5694 |
#2
Hallo und herzlich Willkommen auf Protecus.de
Um ein infiziertes System zu bereinigen bedarf es neben Zeit auch die Beachtung folgender Punkte: • Halte Dich an die Anweisungen des jeweiligen Helfers. • Falls Du externen Speichermedien (USB Sticks, Festplatten) hast, dann schliesse die vor der Reinigung an. • Während der Reinigung solltest Du weder Programme installieren noch deinstallieren, welche nicht ausdrücklich verlangt werden. • Bitte arbeite jeden Schritt der Reihe nach ab. • Falls bei einem Schritt Probleme auftauchen, poste was du bereits hast und melde Dich mit dem Problembeschreiben. • Die Bereinigung ist erst beendet wenn der jeweilige Helfer das OK gibt. • Wenn die Kiste wieder flott läuft heisst das nicht, dass das Sytem auch sauber ist. • Bei geschäftlich genutzten Rechner sollte der zuständige IT Verantwortliche beigezogen werden. • Ein Support unsererseits kann unter Umständen bei einem Firmenrechner abgelehnt werden. • Bei illegaler Software besteht die Möglichkeit, dass der Support eingestellt wird. • Jegliche Cracks oder Keygens werden weder gefördert noch akzeptiert. • Bei stark infizierten Systemen vorallem wenn Backdoors oder Rootkits involviert sind kann es vorkommen, dass ein Helfer zum Neuaufsetzen rät. • In letzter Instanz ist dann immer der User welcher entscheidet. Vista und Win7 User: Alle Programme und Tools, die wir anordnen, immer mit Rechtsklick und Als Administrator ausführen. Schritt 1 Kannst Du auf Deinem Computer alle Dateien und Datei-Endungen sehen? Falls nein, bitte diese Einstellungen in den Ordneroptionen vornehmen. Schritt 2 AntiVir - Funde rauskopieren Rechtsklick auf den AntiVir-Schirm in der Taskleiste => AntiVir starten => Übersicht => Ereignisse Typ anklicken, damit die Ereignisse nach Typart sortiert werden. Jeden Fund markieren (nicht alle Ereignisse, nur Funde) => Rechtsklick auf Funde => Ereignis(se) exportieren und als Ereignisse.txt auf dem Desktop speichern und den Inhalt hier posten. Schritt 3 Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. • Doppelklick auf die OTL.exe • Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen. • Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Minimal-Ausgabe • Unter Extra-Registrierung wähle bitte Benutze SafeList. • Mache Häckchen bei LOP- und Purity-Prüfung. • Klicke nun auf Scan links oben. • Wenn der Scan beendet wurde werden zwei Logfiles erstellt. Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt • Poste die Logfiles in Code-Tags hier in den Thread. Schritt 4 Rootkit-Suche mit Gmer Was sind Rootkits? Wichtig: Bei jedem Rootkit-Scans soll/en: • alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein, • keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen), • nichts am Rechner getan werden, • nach jedem Scan der Rechner neu gestartet werden. • Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten! Lade Dir Gmer von dieser Seite herunter (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern. • Gmer ist geeignet für => NT/W2K/XP/VISTA. • Alle anderen Programme sollen geschlossen sein. • Starte gmer.exe (hat einen willkürlichen Programm-Namen). • Vista-User mit Rechtsklick und als Administrator starten. • Gmer startet automatisch einen ersten Scan. • Sollte sich ein Fenster mit folgender Warnung öffnen: Code WARNING !!! • Unbedingt auf "No" klicken, anschließend über den Copy-Button das bisherige Resultat in die Zwischenablage zu kopieren. • Füge das Log aus der Zwischenablage mit STRG + V in Deine Antwort in Deinem Thread ein. . • Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware", • Hake an: System, Sections, IAT/EAT, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files. • Wichtig: "Show all" darf nicht angehakt sein! • Starte den Scan durch Drücken des Buttons "Scan". Mache nichts am Computer während der Scan läuft. • Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet. • Füge das Log aus der Zwischenablage in Deine Antwort hier ein (mit STRG + V). Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst! Nun das Logfile in Code-Tags posten. |
|
|
||
08.08.2010, 11:52
Member
Themenstarter Beiträge: 39 |
#3
Schritt 2:
Zitat Exportierte Ereignisse: |
|
|
||
08.08.2010, 12:11
Member
Themenstarter Beiträge: 39 |
#4
Schritt 3:
OTL.txt: Zitat OTL logfile created on: 08.08.2010 11:56:11 - Run 1Extras.txt: Zitat OTL Extras logfile created on: 08.08.2010 11:56:11 - Run 1 |
|
|
||
08.08.2010, 12:28
Moderator
Beiträge: 5694 |
#5
ESET Online Scanner
Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten. Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten. • Dein Anti-Virus-Programm während des Scans deaktivieren. • Button drücken.Firefox-User: Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren. • IE-User: müssen das Installieren eines ActiveX Elements erlauben. • Setze den einen Hacken bei Yes, i accept the Terms of Use. • Drücke den Button. • Warte bis die Komponenten herunter geladen wurden. • Setze einen Haken bei "Remove found threads" und "Scan archives".• drücken. • Die Signaturen werden herunter geladen.Der Scan beginnt automatisch. Wenn der Scan beendet wurde • Klicke Finish.• Browser schließen. • Explorer öffnen. • C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen. • Logfile hier posten. |
|
|
||
08.08.2010, 15:40
Member
Themenstarter Beiträge: 39 |
#6
Hier der Log von gmer. Ich musste den Scan im abgesicherten Modus durchführen, da er im normalen Modul abstürzte (im normalen Moduls waren aber schon mehr Einträge im Scan vorhanden als jetzt im abgesicherten):
Zitat GMER 1.0.15.15281 - http://www.gmer.net |
|
|
||
08.08.2010, 15:46
Moderator
Beiträge: 5694 |
#7
OK, mach nun den Eset Scan.
|
|
|
||
08.08.2010, 20:28
Member
Themenstarter Beiträge: 39 |
#8
der Eset-Scan hat 4 1/2 Stunden gedauert mit folgendem Ergebnis:
Zitat ESETSmartInstaller@High as CAB hook log: |
|
|
||
08.08.2010, 21:04
Moderator
Beiträge: 5694 |
#9
Bitte miste Deine EmailOrdner auf:
Zitat Mail100\Local FoldersKommen noch Meldungen? |
|
|
||
08.08.2010, 21:07
Member
Themenstarter Beiträge: 39 |
#10
Meldungen kamen keine mehr. Allerdings hatte ich bei Avira zwar bei einigen Funden Löschen als Anweisung gegeben (siehe oben), aber bei einigen auch nur "Zugriff verweigern", so dass eigentlich ja der Trojaner noch vorhanden sein muss.
Soll ich ggf. Avira nochmals ausführen als Komplettscan? |
|
|
||
08.08.2010, 22:20
Moderator
Beiträge: 5694 |
#11
Ja mach das bitte.
|
|
|
||
09.08.2010, 08:14
Member
Themenstarter Beiträge: 39 |
#12
Avira war erneut fündig. Hier der Report:
Zitat Avira AntiVir Personal |
|
|
||
09.08.2010, 18:35
Member
Themenstarter Beiträge: 39 |
#13
ich habe heute nachmittag nochmals einen Scan gemacht. Jetzt wurde nichts mehr gefunden:
Zitat Avira AntiVir Personal |
|
|
||
09.08.2010, 18:38
Moderator
Beiträge: 5694 |
#14
Erneuter Systemscan mit OTL
• Doppelklick auf die OTL.exe • Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen. • Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Minimal-Ausgabe • Unter Extra-Registrierung wähle bitte Benutze SafeList. • Mache Häckchen bei LOP- und Purity-Prüfung. • Klicke nun auf Scan links oben. • Wenn der Scan beendet wurde werden zwei Logfiles erstellt. Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt • Poste die Logfiles in Code-Tags hier in den Thread. |
|
|
||
09.08.2010, 19:55
Member
Themenstarter Beiträge: 39 |
#15
hier die OTL.txt:
Was sind denn das für komische Seiten unter Hostfiles? Hab ich ebenso wenig jemals was von gehört wie weiter unten die Dateien wie pc_drugs.dat etc. Zitat OTL logfile created on: 09.08.2010 19:41:48 - Run 2 |
|
|
||
wurde ein Virus oder unerwünschtes Programm 'TR/Spy.98370.2' [trojan] gefunden.
Ich habe Malwarebytes ausgeführt. Dort wurde aber nichts gefunden:
Zitat
Was soll ich jetzt tun?