Hallo Bockel,
dann jetzt bitte erneut Gmer
Hallo Bockel,
dann jetzt bitte erneut Gmer
[°¿°] Ciao, Petra
ABBZ Browser- und Plugincheck | Phishing- und Malwareseiten melden | Kein Support per PN oder Mail! | ABBZ Forenregeln | Kaspersky Rescue Disk
Daten sichern! | Anleitungen für diverse BKA-Versionen | ABBZ Blog-Artikel | Youtube-Videos von botfrei.de | Anleitungen & FAQs | Anti-Bot CD V3.0
Du hast eine eigene Website? Lasse sie bei unserer Initiative-S kostenlos auf Malware prüfen.
Hi Petra,
habs einmal durchlaufen lassen:
VGCode:GMER 1.0.15.15641 - http://www.gmer.net Rootkit scan 2012-03-26 20:48:09 Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 SAMSUNG_SV8004H rev.QR100-12 Running: x6qrxdm4.exe; Driver: C:\DOKUME~1\Sven\LOKALE~1\Temp\uwroypoc.sys ---- System - GMER 1.0.15 ---- SSDT F8D3A254 ZwClose SSDT F8D3A20E ZwCreateKey SSDT F8D3A25E ZwCreateSection SSDT F8D3A204 ZwCreateThread SSDT F8D3A213 ZwDeleteKey SSDT F8D3A21D ZwDeleteValueKey SSDT F8D3A24F ZwDuplicateObject SSDT F8D3A222 ZwLoadKey SSDT F8D3A1F0 ZwOpenProcess SSDT F8D3A1F5 ZwOpenThread SSDT F8D3A277 ZwQueryValueKey SSDT F8D3A22C ZwReplaceKey SSDT F8D3A268 ZwRequestWaitReplyPort SSDT F8D3A227 ZwRestoreKey SSDT F8D3A263 ZwSetContextThread SSDT F8D3A26D ZwSetSecurityObject SSDT F8D3A218 ZwSetValueKey SSDT F8D3A272 ZwSystemDebugControl SSDT F8D3A1FF ZwTerminateProcess ---- Kernel code sections - GMER 1.0.15 ---- .text C:\WINDOWS\System32\DRIVERS\nv4_mini.sys section is writeable [0xF7192360, 0x24BB1D, 0xE8000020] .text C:\WINDOWS\system32\DRIVERS\atksgt.sys section is writeable [0xB0E80300, 0x3B6D8, 0xE8000020] .text C:\WINDOWS\system32\DRIVERS\lirsgt.sys section is writeable [0xF43EC300, 0x1BEE, 0xE8000020] ---- User code sections - GMER 1.0.15 ---- .text C:\program files\real\realplayer\update\realsched.exe[1284] kernel32.dll!SetUnhandledExceptionFilter 7C84495D 5 Bytes [33, C0, C2, 04, 00] {XOR EAX, EAX; RET 0x4} ---- Devices - GMER 1.0.15 ---- AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) ---- Registry - GMER 1.0.15 ---- Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout 15 Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota 10000 Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler yes Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout 90 Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota 10000 ---- EOF - GMER 1.0.15 ----
Bockel
ok, dann jetzt bitte erneut MBR laufen lassen:
Kontrolle mit MBR -t, ob Master Boot Record in Ordnung ist (MBR-Rootkit)
Mit dem folgenden Tool prüfen wir, ob sich etwas Schädliches im Master Boot Record eingenistet hat.
Wichtig:
- Deinstalliere über Systemsteuerung => Software/Programme vorhandene CD-Emulatoren wie Alcohol, Daemon-Tools oder ähnliche, da sie das Ergebnis verfälschen können.
- Downloade die MBR.exe von Gmer und
kopiere die Datei mbr.exe in den Ordner C:\Windows\system32.
Falls Du den Ordner nicht sehen kannst, diese Einstellungen in den Ordneroptionen vornehmen.
- Start => ausführen => cmd (da reinschreiben) => OK
es öffnet sich eine Eingabeaufforderung.
Vista- und Windows 7-User: Start => Alle Programme => Zubehör => Rechtsklick auf Eingabeaufforderung und wähle Als Administrator ausführen.
- Nach dem Prompt (>_) folgenden Text aus der Codebox manuell eingeben oder alternativ den mit STRG + C ins Clipboard kopieren und einfügen.
Einfügen in der Eingabeaufforderung: in der Titelleiste einen Rechtsklick machen => Bearbeiten => einfügen.
(Enter drücken)Code:mbr.exe -t > C:\mbr.log & C:\mbr.log
- Nach kurzer Zeit wird sich Dein Editor öffnen und die Datei C:\mbr.log beinhalten.
Bitte kopiere den Inhalt hier in Deinen Thread.
Info: Was ist eigentlich ein MBR?
[°¿°] Ciao, Petra
ABBZ Browser- und Plugincheck | Phishing- und Malwareseiten melden | Kein Support per PN oder Mail! | ABBZ Forenregeln | Kaspersky Rescue Disk
Daten sichern! | Anleitungen für diverse BKA-Versionen | ABBZ Blog-Artikel | Youtube-Videos von botfrei.de | Anleitungen & FAQs | Anti-Bot CD V3.0
Du hast eine eigene Website? Lasse sie bei unserer Initiative-S kostenlos auf Malware prüfen.
Huhu,
VGCode:Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net Windows 5.1.2600 Disk: SAMSUNG_SV8004H rev.QR100-12 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 device: opened successfully user: MBR read successfully Disk trace: called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys siside.sys C:\WINDOWS\system32\drivers\siside.sys Silicon Integrated Systems Corp. SiS PCI Mini IDE Driver 1 nt!IofCallDriver[0x804E37D5] -> \Device\Harddisk0\DR0[0x82FEDAB8] 3 CLASSPNP[0xF8755FD7] -> nt!IofCallDriver[0x804E37D5] -> \Device\00000067[0x82F21F18] 5 ACPI[0xF86AB620] -> nt!IofCallDriver[0x804E37D5] -> \Device\Ide\IdeDeviceP0T0L0-3[0x82F93940] kernel: MBR read successfully user & kernel MBR OK
Bockel
Geändert von Petra (26.03.2012 um 20:32 Uhr) Grund: Code-Tags korrigiert
Hallo Bockel,
das sieht alles gut aus. Berichte mir bitte, wie der Computer und ob er noch Probleme macht.
[°¿°] Ciao, Petra
ABBZ Browser- und Plugincheck | Phishing- und Malwareseiten melden | Kein Support per PN oder Mail! | ABBZ Forenregeln | Kaspersky Rescue Disk
Daten sichern! | Anleitungen für diverse BKA-Versionen | ABBZ Blog-Artikel | Youtube-Videos von botfrei.de | Anleitungen & FAQs | Anti-Bot CD V3.0
Du hast eine eigene Website? Lasse sie bei unserer Initiative-S kostenlos auf Malware prüfen.
Hi Petra,
also Rechner läuft meines Erachtens wie in alten Zeiten.
Er fragt jetzt auf den Internetseiten meist nach dem Falsh Player, aber den kann ich doch wieder installieren, oder?
An dieser Stelle einmal viele vielen Dank für Deine Geduld, Deine Ausdauer und Deinen tollen Erklärungen. Es ist nicht selbstverständlich, dass einem so geholfen wird. Vielen lieben Dank noch einmal!!!
Beste Grüße
Bockel
Hallo Bockel,
ja, den Flashplayer kannst Du installieren. Dann kommen wir zum Abschluss:
Tool-Bereinigung mit OTL
Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.
- Bitte lade Dir (falls noch nicht vorhanden) OTL von OldTimer herunter.
- Speichere es auf Deinem Desktop.
- Doppelklick auf OTL.exe um das Programm auszuführen.
Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".- Klicke auf den Button "Bereinigung"
- OTL fragt eventuell nach einem Neustart.
Sollte es dies tun, so lasse dies bitte zu.
Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.
Absicherung des Rechners
Dann mache zur Sicherheit noch einen Komplettscan mit aktualisierten Virendefinitionen mit Deinem Antivirus-Programm. Falls noch Funde gemacht werden, sage mir Bescheid, welche und wo. Ansonsten können wir hier mit einigen Tipps zur Absicherung schließen und ich mache den Thread in ein paar Tagen zu
Lesenswerte Blogeinträge zum Thema Absicherung
Malware entfernt? Was nun?
Wie mache ich mein Windows sicher?
Wie kann ich mein System in Zukunft von Malware frei halten?
Wie kann ich prüfen, ob meine Software aktuell ist?
Mozilla Plugins aktuell? Hier prüfen!
DNS manipuliert?
[°¿°] Ciao, Petra
ABBZ Browser- und Plugincheck | Phishing- und Malwareseiten melden | Kein Support per PN oder Mail! | ABBZ Forenregeln | Kaspersky Rescue Disk
Daten sichern! | Anleitungen für diverse BKA-Versionen | ABBZ Blog-Artikel | Youtube-Videos von botfrei.de | Anleitungen & FAQs | Anti-Bot CD V3.0
Du hast eine eigene Website? Lasse sie bei unserer Initiative-S kostenlos auf Malware prüfen.
Hey Petra,
so bin von einem Spontanseminar zurück. Rechner habe ich nochmal scannen lassen und läuft alles wieder gut.
Aber mein Bruder meinte, er hat das selbe Problem schon seit Ende des letzten Jahres. er hat mir seinen Rechner mal vorbei gebracht.
Der hat wirklich auch so ein Gema Virus. Ich würde da aber mal einen anderes Thema für aufmachen.
VG
Bockel
PS: Danke nochmal
Hallo Bockel,
ja richtig, mache für den Rechner Deines Bruders bitte einen neues eigenes Thema auf und ich kann dann ja hier zumachen
[°¿°] Ciao, Petra
ABBZ Browser- und Plugincheck | Phishing- und Malwareseiten melden | Kein Support per PN oder Mail! | ABBZ Forenregeln | Kaspersky Rescue Disk
Daten sichern! | Anleitungen für diverse BKA-Versionen | ABBZ Blog-Artikel | Youtube-Videos von botfrei.de | Anleitungen & FAQs | Anti-Bot CD V3.0
Du hast eine eigene Website? Lasse sie bei unserer Initiative-S kostenlos auf Malware prüfen.
Berechtigungen
Lesezeichen