Seite 6 von 6 ErsteErste ... 456
Ergebnis 51 bis 59 von 59
  1. #51
    Anti-Botnet-Team Avatar von Petra
    Registriert seit
    06.09.2011
    Ort
    Nähe Düsseldorf
    Beiträge
    16.359
    Hallo Bockel,

    dann jetzt bitte erneut Gmer

  2. #52
    Stammgast
    Registriert seit
    20.03.2012
    Beiträge
    33
    Hi Petra,

    habs einmal durchlaufen lassen:

    Code:
    GMER 1.0.15.15641 - http://www.gmer.net
    Rootkit scan 2012-03-26 20:48:09
    Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 SAMSUNG_SV8004H rev.QR100-12
    Running: x6qrxdm4.exe; Driver: C:\DOKUME~1\Sven\LOKALE~1\Temp\uwroypoc.sys
    
    
    ---- System - GMER 1.0.15 ----
    
    SSDT            F8D3A254                                                                                              ZwClose
    SSDT            F8D3A20E                                                                                              ZwCreateKey
    SSDT            F8D3A25E                                                                                              ZwCreateSection
    SSDT            F8D3A204                                                                                              ZwCreateThread
    SSDT            F8D3A213                                                                                              ZwDeleteKey
    SSDT            F8D3A21D                                                                                              ZwDeleteValueKey
    SSDT            F8D3A24F                                                                                              ZwDuplicateObject
    SSDT            F8D3A222                                                                                              ZwLoadKey
    SSDT            F8D3A1F0                                                                                              ZwOpenProcess
    SSDT            F8D3A1F5                                                                                              ZwOpenThread
    SSDT            F8D3A277                                                                                              ZwQueryValueKey
    SSDT            F8D3A22C                                                                                              ZwReplaceKey
    SSDT            F8D3A268                                                                                              ZwRequestWaitReplyPort
    SSDT            F8D3A227                                                                                              ZwRestoreKey
    SSDT            F8D3A263                                                                                              ZwSetContextThread
    SSDT            F8D3A26D                                                                                              ZwSetSecurityObject
    SSDT            F8D3A218                                                                                              ZwSetValueKey
    SSDT            F8D3A272                                                                                              ZwSystemDebugControl
    SSDT            F8D3A1FF                                                                                              ZwTerminateProcess
    
    ---- Kernel code sections - GMER 1.0.15 ----
    
    .text           C:\WINDOWS\System32\DRIVERS\nv4_mini.sys                                                              section is writeable [0xF7192360, 0x24BB1D, 0xE8000020]
    .text           C:\WINDOWS\system32\DRIVERS\atksgt.sys                                                                section is writeable [0xB0E80300, 0x3B6D8, 0xE8000020]
    .text           C:\WINDOWS\system32\DRIVERS\lirsgt.sys                                                                section is writeable [0xF43EC300, 0x1BEE, 0xE8000020]
    
    ---- User code sections - GMER 1.0.15 ----
    
    .text           C:\program files\real\realplayer\update\realsched.exe[1284] kernel32.dll!SetUnhandledExceptionFilter  7C84495D 5 Bytes  [33, C0, C2, 04, 00] {XOR EAX, EAX; RET 0x4}
    
    ---- Devices - GMER 1.0.15 ----
    
    AttachedDevice  \FileSystem\Fastfat \Fat                                                                              fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
    
    ---- Registry - GMER 1.0.15 ----
    
    Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout                    15
    Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota                       10000
    Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler                                     yes
    Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk                                    
    Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout                    90
    Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota                      10000
    
    ---- EOF - GMER 1.0.15 ----
    VG

    Bockel

  3. #53
    Anti-Botnet-Team Avatar von Petra
    Registriert seit
    06.09.2011
    Ort
    Nähe Düsseldorf
    Beiträge
    16.359
    ok, dann jetzt bitte erneut MBR laufen lassen:

    Kontrolle mit MBR -t, ob Master Boot Record in Ordnung ist (MBR-Rootkit)

    Mit dem folgenden Tool prüfen wir, ob sich etwas Schädliches im Master Boot Record eingenistet hat.

    Wichtig:
    • Deinstalliere über Systemsteuerung => Software/Programme vorhandene CD-Emulatoren wie Alcohol, Daemon-Tools oder ähnliche, da sie das Ergebnis verfälschen können.


    • Downloade die MBR.exe von Gmer und
      kopiere die Datei mbr.exe in den Ordner C:\Windows\system32.
      Falls Du den Ordner nicht sehen kannst, diese Einstellungen in den Ordneroptionen vornehmen.

    • Start => ausführen => cmd (da reinschreiben) => OK
      es öffnet sich eine Eingabeaufforderung.

      Vista- und Windows 7-User: Start => Alle Programme => Zubehör => Rechtsklick auf Eingabeaufforderung und wähle Als Administrator ausführen.

    • Nach dem Prompt (>_) folgenden Text aus der Codebox manuell eingeben oder alternativ den mit STRG + C ins Clipboard kopieren und einfügen.
      Einfügen in der Eingabeaufforderung: in der Titelleiste einen Rechtsklick machen => Bearbeiten => einfügen.

      Code:
      mbr.exe -t > C:\mbr.log & C:\mbr.log
      (Enter drücken)

    • Nach kurzer Zeit wird sich Dein Editor öffnen und die Datei C:\mbr.log beinhalten.
      Bitte kopiere den Inhalt hier in Deinen Thread.


    Info: Was ist eigentlich ein MBR?

  4. #54
    Stammgast
    Registriert seit
    20.03.2012
    Beiträge
    33
    Huhu,

    Code:
    Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
    Windows 5.1.2600 Disk: SAMSUNG_SV8004H rev.QR100-12 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 
    
    device: opened successfully
    user: MBR read successfully
    
    Disk trace:
    called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys siside.sys 
    C:\WINDOWS\system32\drivers\siside.sys Silicon Integrated Systems Corp. SiS PCI Mini IDE Driver
    1 nt!IofCallDriver[0x804E37D5] -> \Device\Harddisk0\DR0[0x82FEDAB8]
    3 CLASSPNP[0xF8755FD7] -> nt!IofCallDriver[0x804E37D5] -> \Device\00000067[0x82F21F18]
    5 ACPI[0xF86AB620] -> nt!IofCallDriver[0x804E37D5] -> \Device\Ide\IdeDeviceP0T0L0-3[0x82F93940]
    kernel: MBR read successfully
    user & kernel MBR OK
    VG

    Bockel
    Geändert von Petra (26.03.2012 um 20:32 Uhr) Grund: Code-Tags korrigiert

  5. #55
    Anti-Botnet-Team Avatar von Petra
    Registriert seit
    06.09.2011
    Ort
    Nähe Düsseldorf
    Beiträge
    16.359
    Hallo Bockel,

    das sieht alles gut aus. Berichte mir bitte, wie der Computer und ob er noch Probleme macht.

  6. #56
    Stammgast
    Registriert seit
    20.03.2012
    Beiträge
    33
    Hi Petra,

    also Rechner läuft meines Erachtens wie in alten Zeiten.

    Er fragt jetzt auf den Internetseiten meist nach dem Falsh Player, aber den kann ich doch wieder installieren, oder?

    An dieser Stelle einmal viele vielen Dank für Deine Geduld, Deine Ausdauer und Deinen tollen Erklärungen. Es ist nicht selbstverständlich, dass einem so geholfen wird. Vielen lieben Dank noch einmal!!!

    Beste Grüße

    Bockel

  7. #57
    Anti-Botnet-Team Avatar von Petra
    Registriert seit
    06.09.2011
    Ort
    Nähe Düsseldorf
    Beiträge
    16.359
    Hallo Bockel,

    ja, den Flashplayer kannst Du installieren. Dann kommen wir zum Abschluss:

    Tool-Bereinigung mit OTL

    Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.
    • Bitte lade Dir (falls noch nicht vorhanden) OTL von OldTimer herunter.
    • Speichere es auf Deinem Desktop.
    • Doppelklick auf OTL.exe um das Programm auszuführen.
      Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
    • Klicke auf den Button "Bereinigung"
    • OTL fragt eventuell nach einem Neustart.
      Sollte es dies tun, so lasse dies bitte zu.


    Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.


    Absicherung des Rechners

    Dann mache zur Sicherheit noch einen Komplettscan mit aktualisierten Virendefinitionen mit Deinem Antivirus-Programm. Falls noch Funde gemacht werden, sage mir Bescheid, welche und wo. Ansonsten können wir hier mit einigen Tipps zur Absicherung schließen und ich mache den Thread in ein paar Tagen zu

    Lesenswerte Blogeinträge zum Thema Absicherung

    Malware entfernt? Was nun?
    Wie mache ich mein Windows sicher?
    Wie kann ich mein System in Zukunft von Malware frei halten?
    Wie kann ich prüfen, ob meine Software aktuell ist?
    Mozilla Plugins aktuell? Hier prüfen!
    DNS manipuliert?

  8. #58
    Stammgast
    Registriert seit
    20.03.2012
    Beiträge
    33
    Hey Petra,

    so bin von einem Spontanseminar zurück. Rechner habe ich nochmal scannen lassen und läuft alles wieder gut.

    Aber mein Bruder meinte, er hat das selbe Problem schon seit Ende des letzten Jahres. er hat mir seinen Rechner mal vorbei gebracht.
    Der hat wirklich auch so ein Gema Virus. Ich würde da aber mal einen anderes Thema für aufmachen.

    VG

    Bockel

    PS: Danke nochmal

  9. #59
    Anti-Botnet-Team Avatar von Petra
    Registriert seit
    06.09.2011
    Ort
    Nähe Düsseldorf
    Beiträge
    16.359
    Hallo Bockel,

    ja richtig, mache für den Rechner Deines Bruders bitte einen neues eigenes Thema auf und ich kann dann ja hier zumachen

Ähnliche Themen

  1. GEMA Virus Vista home
    Von poochie11 im Forum Archiv
    Antworten: 15
    Letzter Beitrag: 02.10.2012, 15:39
  2. Gema-Vrus auf Windows Vista Home
    Von ppp im Forum Unvollständig / Fehlendes Feedback
    Antworten: 4
    Letzter Beitrag: 14.08.2012, 12:49
  3. Gema 2.05 und Windows XP Home
    Von Sasch_72 im Forum Neuinstallation / Wiederherstellung
    Antworten: 4
    Letzter Beitrag: 11.04.2012, 00:05
  4. Gema win vista home. Was tun?
    Von Dagobertmeth im Forum Unvollständig / Fehlendes Feedback
    Antworten: 2
    Letzter Beitrag: 05.04.2012, 09:02
  5. Virus 2.01 (GEMA) - Windows 7 64 Home
    Von roggerrabbit im Forum Unvollständig / Fehlendes Feedback
    Antworten: 4
    Letzter Beitrag: 16.03.2012, 14:56

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
G Data
forum.botfrei.de wird überprüft von der Initiative-S