niklas93

Schädling lässt sich nicht entfernen

Recommended Posts

Hallo zusammen,

 

durch einen Scan wurde eine schädliche Datei gefunden, die leider nicht gelöscht werden konnte bzw. in Quarantäne verschoben werden konnte. Vielleicht kann jemand helfen!

 

Habe das Scanprotokoll und die Frst-Scandateien gleich angehängt.

 

Schon einmal vielen Dank!

 

:)

 

und frohe Weihnachten

a2scan_141223-145903.txt

FRST.txt

Addition.txt

Share this post


Link to post
Share on other sites

Hi und Herzlich Willkommen beim Emsisoft Suport Forum!

Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen.

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

  • Starte die TDSSKiller.exe
  • Drücke Start Scan
  • Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und speichere das Logfile.

    TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern ( Meistens C:\ )

    Als Beispiel: C:\TDSSKiller.<version_date_time>log.txt

Share this post


Link to post
Share on other sites

Starte TDSSkiller.exe mit Doppelklick.

Vista und Win7 User mit Rechtsklick "als Administrator starten"

  • Drücke auf Start Scan.

    Mache während dem Scan nichts am Rechner

  • Gehe sicher das Cure ( default ) angehackt ist !
  • Drücke Continue --> Reboot.
  • TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern ( Meistens C:\ )

    Als Beispiel: C:\TDSSKiller.<version_date_time>log.txt

Share this post


Link to post
Share on other sites

Irgendwas stimmt mit dem Log nicht. Bitte nochmal scannen, wenn der Fund noch da ist wieder löschen lassen. Dann:

Downloade dir bitte Combofix vom folgenden Downloadspiegel

Link 1

WICHTIG - Speichere Combofix auf deinem Desktop

  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.

    Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die End Nutzer Lizenz.

    Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls was schief geht.

    Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.

Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Share this post


Link to post
Share on other sites

Hinweis für Mitleser:

Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.

Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm vom folgenden Download-Spiegel neu herunter:

BleepingComputer.com

und speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.

File::
c:\windows\system32\drivers\galuipqs.sys
c:\windows\system32\drivers\sfllavvj.sys
c:\windows\system32\drivers\czmhimin.sys
c:\windows\system32\drivers\rwoeqdwy.sys

Speichere dies als CFScript.txt auf Deinem Desktop.

Wichtig:

  • Stelle deine Anti Viren Software temprär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.

    Danach wieder anstellen nicht vergessen!

  • Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.

    Dies kann dazu führen, dass ComboFix sich aufhängt.

  • Schließe alle laufenden Programme. Gehe sicher das ComboFix ungehindert arbeiten kann.
  • Mache nichts am PC solange ComboFix läuft.
CFScriptB.gif
  • In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
  • Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.
Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.

Downloade Dir bitte AdwCleaner auf deinen Desktop.

  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Suche, dann Löschen.
  • Nach Ende des Suchlaufs öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[s1].txt.
Jetzt bitte FRST öffnen, HAlen setzen bei Addition und scannen, bitte beide Logfiles in der nächsten Antwort anhängen.

Share this post


Link to post
Share on other sites

Sieht soweit gut aus. Bitte noch einen Scan mit Emsisoft Antimalware machen und das Log anhängen, dann entfernen wir alle Rest in einem Rutsch.

Bestehen aktuell noch Probleme mit dem System?

Passwörter ändern ist Pflicht, und ich würde dringend umsteigen auf ein anderes Betriebssystem.

Share this post


Link to post
Share on other sites

Hi,

den Fund bitte von EAM entfernen lassen.

Fix mit FRST

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-1184052221-1201713883-2767918749-1006\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ\ICQNewTab\newTab.html" <======= ATTENTION
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ\ICQNewTab
Emptytemp: 
Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
  • Starte nun FRST erneut und klicke den Fix Button.
  • Das Tool erstellt eine Fixlog.txt.
  • Poste mir deren Inhalt.

Share this post


Link to post
Share on other sites
Guest
This topic is now closed to further replies.

  • Recently Browsing   0 members

    No registered users viewing this page.