So, nach über 4 Stunden das SASW Protokoll:
SUPERAntiSpyware Scan Log
http://www.superantispyware.com
Generated 01/19/2011 at 07:26 PM
Application Version : 4.48.1000
Core Rules Database Version : 6231
Trace Rules Database Version: 4043
Scan type : Complete Scan
Total Scan Time : 04:09:46
Memory items scanned : 617
Memory threats detected : 0
Registry items scanned : 8151
Registry threats detected : 0
File items scanned : 145023
File threats detected : 2
Rootkit.Agent/Gen-TDSS
C:\QOOBOX\QUARANTINE\C\WINDOWS\SYSTEM32\DRIVERS\ATAPI.SYS.VIR
C:\SYSTEM VOLUME INFORMATION\_RESTORE{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP702\A0071414.SYS
Ich dachte mit [Weiter] käme ich wieder in den Hauptbildschirm, aber das Programm hat die beiden Dateien unter Quarantäne gestellt und entfernt und will jetzt neu starten um den Prozess abzuschließen. Was tun?
SASW hat da nur den Fund im Quarantäneordner von CF - das ist so ok.
Der andere ist in der Systemwiederherstellung, die musst du mal komplett deaktivieren, damit alle Wiederherstellungspunkte gelöscht werden. Du willst ja nicht versehentlich deinen Rechner durch einen infizierten WH-Punkt erneut infizieren
Also kann ich SASW mit einem Neustart beenden bei dem diese beiden Dateien endgültig entfernt werden?
Hier das Malwarebytes Log:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Datenbank Version: 5553
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
19.01.2011 21:03:52
mbam-log-2011-01-19 (21-03-52).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 227274
Laufzeit: 1 Stunde(n), 8 Minute(n), 27 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Hallo Arne,
kann ich noch nicht sagen. Seit heute morgen 6.00 Uhr führt der Rechner eine Konsistenzprüfung meiner externen Festplatte durch.
Er hat gemeldet dass die Größe des Eintrages \Programme\Photoacute\phapp.log ungültig ist.
Hat das was zu sagen? Bin ab Mittag leider weg und erst morgen früh wieder on (hoffentlich ),
Falls der Rechner wieder ok ist, würde ich mich gerne möglichst gut absichern. Bisher läuft regelmäßig nur Avira und ab und zu AdAware. Welche Programme empfhielst Du (z.B. Search & Destroy)? Weitere Maßnahmen?
Auf jeden Fall möchste ich mich herzlich bei Dir bedanken, für die Zeit die Du aufgewandt und die Mühe, die Du dir gemacht hast. Das ist beileibe keine Selbstverständlichkeit, gerade wenn auf der anderern Seite ein Dir vollkommen ahnungsloser Unbekannter sitzt. Also nochmals vielen Dank!
Darüber hinaus möchte ich mich erkenntlich zeigen. Ich habe im Trojanerbord gesehen, dass ihr dort ein Spendenkonto habt. Soll ich das nehmen oder gibt es noch etwas anderes.
Seit heute morgen 6.00 Uhr führt der Rechner eine Konsistenzprüfung meiner externen Festplatte durch.
Jo und? Dateisysteminkonsistenzen können immer mal vorkommen sind aber auch nicht kritisch. Dateisystem der ext. Platte ist NTFS oder FAT32?
her läuft regelmäßig nur Avira und ab und zu AdAware. Welche Programme empfhielst Du (z.B. Search & Destroy)? Weitere Maßnahmen?
Verlass dich nicht zu sehr auf Programme. Hin und wieder Malwarebytes kann nicht schaden, aber du musst zusehen und Maßnahmen in erster Linie treffen, sodass ein Befall von vornherein garnicht stattfinden kann! Und falls doch kann man schnell ein System recovern (durch regelmäßig erstellte Backup-/Systemimages)
Halte Dich am besten grob an diese fünf Regeln:
1) Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2) Halte Windows und alle verwendeten Programme immer aktuell
3) Führe regelmäßig Backups auf externe Medien durch
4) Arbeite mit eingeschränkten Rechten
5) Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen
Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?
Soll ich das nehmen oder gibt es noch etwas anderes.
Ist völlig freiwillig, wenn du uns im TB gerne unterstützen, bitte! Ich sag DANKE!
Ob Computerhilfen ein Spendenkonto hat, weiß ich leider nicht
Hallo Arne,
soweit ich es erkennen kann, läuft alles wieder ganz normal!
Vielen Dank für die Tipps. Backups mache ich schon regelmäßig und gesurft wird auch seit einem Jahr nur noch mit Firefox.
Den verlinkten Artikel werde ich mir bei Gelegenheit mal durchlesen.
Die externe Platte ist Fat 32
Die Spende ist raus. Also nochmals vielen Dank und nimm es mir nicht übel, wenn ich hoffe, dass wir uns so bald nicht wiedersehen
FAT32 ist ein wenig anfällig. Ich würd mal nach NTFS konvertieren, geht ohne Datenverlust.
Achso und danke für die Spende!
Habe versucht die externe Festplatte mit dem empfohlenen Programm von FAT32 auf NTSF umzustellen.
Prozess wurde auch durchgeführt (jedenfalls wurde der Fortschritt angezeigt) aber es wurde kein Neustart angefordert (wie beschrieben). Auch nach Neustart wird die Festplatte immer noch als FAT32 angezeigt. ??? Kann man da was falsch machen?
genau so ?
Zitat:
öffnen Sie Kommandozeile und geben Sie ein:
convert X:/fs:ntfs
Die große "X" soll mit der tatsächlichen Buchstabe des Datenträgers, den Sie in NTFS umwandeln wollen, ersetzt werden. Das Programm fordert einen Neustart des Systems an.
Microsoft Windows [Version 6.0.6002]
Copyright (c) 2006 Microsoft Corporation. Alle Rechte vorbehalten.
C:\Windows\system32>convert /?
Konvertiert FAT-Volumes in NTFS.
CONVERT Volume /FS:NTFS [/V] [/CvtArea:Dateiname] [/NoSecurity] [/X]
Volume Bestimmt den Laufwerkbuchstaben (gefolgt von einem Doppelpunkt),
den Bereitstellungspunkt oder das Volume.
/FS:NTFS Bestimmt das in NTFS zu konvertierende Volume.
/V Legt fest, dass CONVERT im ausführlichen Modus ausgeführt wird.
/CvtArea:Dateiname
Bestimmt die zusammenhängende Datei im Stammverzeichnis, die als
Platzhalter für NTFS-Systemdateien dienen soll.
/NoSecurity Bestimmt die Sicherheitseinstellungen für konvertierte Dateien
und Verzeichnisse, die für jeden Benutzer zugänglich sind.
/X Erzwingt ggf. das Aufheben der Bereitstellung.
Alle geöffneten Handles auf das Volume sind in diesem Fall
ungültig.
C:\Windows\system32>
Wahrscheinlich bin ich schon wieder im Ansatz unfähig....
In die Kommandozeile gelangt man doch über Programme ausführen oder ?(Windows XP)
Nachdem ich dort: convert H:/fs:ntfs eingegeben habe,
fragt ver mich nach der aktuellen Volumen-Bezeichnung. Nachdem ich dort TREKSTOR eingegeben habe, hat er innerhalb von ca. 30 sec den Fortschritt in % angezeigt und dann das Fenster geschlossen.
Hallo zusammen,
ich habe seit ein paar Tagen das selbe Problem, dass Google mich manchmal auf falsche Sieten weiter leitet und die Suche dauert dan dementsprechend auch länger (Ladezeit). Wenn ich allerdings auf den "Zuürckbutton" gehe, zeigt er mir die richtige Seite an.
Was kann ich da machen? Ich bin ein absoluter Laie, was PCs angeht und habe überhaupt keine Ahnung. Ich hab dieses Hijackteil da auch gemacht:
Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 16:37:48, on 21.01.2011
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal
Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\igfxpers.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Common Files\TerraTec\Remote\TTTvRc.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Synaptics\SynTP\SynToshiba.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Program Files\TrendMicro\HiJackThis\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://vshare.toolbarhome.com/?hp=df
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O3 - Toolbar: TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\PROGRA~1\TerraTec\TERRAT~1\THCDES~1.DLL
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [Remote Control Editor] "C:\Program Files\Common Files\TerraTec\Remote\TTTvRc.exe"
O4 - HKCU\..\Run: [{230F3CD4-837F-367F-738D-110B0D181713}] C:\Users\Sephiroth\AppData\Roaming\Imefvo\irmoi.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: @C:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
--
End of file - 4209 bytes
Kann mir BITTE jemand weiter helfen? Ich werde aus diesem Kauderwelsch nicht schlau.Bei der Auswertung habe ich schon diese Teile mit den roten Kreuzen gelöscht/gefixt.
Vielen Dank schon mal im voraus und beste Grüße!
Das musst du in der Konsole ausführen. Also Start, Ausführen => "cmd" eintippen und ausführen. In der Konsole den convert Befehl eintippern und ausführen.
Okay, habe ich gemacht. Gemeldet wird, dass sich Inkonsistenzen auf dem Laufwerk befinden und die Konvertierung deshalb nicht ausgeführt werden kann. Ich soll chkdsk ausführen. Habe ich gemacht mit chkdsk H:
Keine besonderen Meldungen.
Nochmal alles wiederholt. Gleiche Meldung, keine Konvertierung! ???
« Win XP: Verdächtiger Kontozugriff bei Facebook | Komme mit Avast nur noch ins Netz, wenn ich den WebSchutz rausnehme » | ||