na_iche Posted November 17, 2011 Report Share Posted November 17, 2011 Emsisoft Anti-Malware - Version 6.0 Dieser Rechner ist infiziert! Betriebssystem ist Windows Vista, und im Vorfeld wurde das Installieren der neuen EAM Version mit einem Bluescreen verhindert. Danach gab es Schwierigkeiten mit der Installation und Deinstallation. Es erfolgte eine Säuberung mit einem Emsicleaner und eine Neu Installation! Der erste Suchlauf wurde selbsttändig beendet, mit Nachfrage ob der Scan abgebrochen werden soll! Ein erneuter Suchlauf war dann nicht mehr durchführbar. Neustart! Danach wieder Suchlauf, mit diesen Funden! Ich bitte um Hilfe bei der Entfernung, Danke! Report: Letztes Update: 17.11.2011 00:01:38 Scan Einstellungen: Scan Methode: Detail Scan Objekte: Rootkits, Speicher, Traces, C:\, D:\ Archiv Scan: An ADS Scan: An Scan Beginn: 17.11.2011 00:06:02 C:\Users\Davide\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25\1f56cd19-1fe2e53e gefunden: Exploit.Java.CVE-2010!E2 C:\Users\Davide\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25\1f56cd19-130f74c5 gefunden: Exploit.Java.CVE-2010!E2 C:\Users\Davide\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25\1f56cd19-385b6d80 gefunden: Exploit.Java.CVE-2010!E2 C:\Users\Davide\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25\1f56cd19-336107d1 gefunden: Exploit.Java.CVE-2010!E2 C:\Users\Davide\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25\1f56cd19-412b128c gefunden: Exploit.Java.CVE-2010!E2 C:\Users\Davide\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25\4f032b99-766327ca -> report\FWriter.class gefunden: Exploit.Java.Blacole!E2 C:\Users\Davide\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25\4f032b99-766327ca -> report\Generator.class gefunden: Exploit.Java.Blacole!E2 C:\Users\Davide\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25\4f032b99-766327ca -> report\Panel.class gefunden: Exploit.Java.Blacole!E2 C:\Users\Davide\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25\4f032b99-766327ca -> report\SmartyPointer.class gefunden: Exploit.Java.Blacole!E2 C:\Users\Davide\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25\4f032b99-766327ca -> report\StorageSave.class gefunden: Exploit.Java.Blacole!E2 C:\Users\Davide\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25\1f56cd19-5180d8a4 gefunden: Exploit.Java.CVE-2010!E2 Gescannt 634258 Gefunden 11 Scan Ende: 17.11.2011 02:52:13 Scan Zeit: 2:46:11 Link to comment Share on other sites More sharing options...
na_iche Posted November 17, 2011 Author Report Share Posted November 17, 2011 Habe die Funde in Quarantäne genommen, bei Emsisoft über das EAM eingesendet und anschließend gelöscht! Habe Java auf die aktuelle Version 6.29 gebracht. Jetzt lasse ich gerade das Malwarebytes´Antimalware drüber laufen. Soll ich das Ergebnis dann hier posten? Kann ich davon ausgehen das die Infektion dann beseitigt ist? Link to comment Share on other sites More sharing options...
markusg Posted November 17, 2011 Report Share Posted November 17, 2011 kann man ohne ergebniss nicht sagen. zeig erst mal das log dann sehen wir weiter Link to comment Share on other sites More sharing options...
na_iche Posted November 17, 2011 Author Report Share Posted November 17, 2011 Also das MBAM sagt es ist nichts! Und EAM hat in der Zeit seinen Scan wieder mal ohne mein Zutun den Scan abgebrochen und das Programm geschlossen. Link to comment Share on other sites More sharing options...
markusg Posted November 17, 2011 Report Share Posted November 17, 2011 hi, bitte führe erst mal keine scans mehr auf eigene faust durch und sonst auch keine weiteren reinigungs maßnamen. Systemscan mit OTL download otl: http://oldtimer.geekstogo.com/OTL.exe Doppelklick auf die OTL.exe (user von Windows 7 und Vista: Rechtsklick als Administrator ausführen) 1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output 2. Hake an "scan all users" 3. Unter "Extra Registry wähle: "Use Safelist" "LOP Check" "Purity Check" 4. Kopiere in die Textbox: netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL explorer.exe iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT 5. Klicke "Scan" 6. 2 reporte werden erstellt: OTL.Txt Extras.Txt nutze den attachment manager, hänge sie an. Link to comment Share on other sites More sharing options...
na_iche Posted November 17, 2011 Author Report Share Posted November 17, 2011 So, der Scan ist fertig! Ich hoffe das Anhängen hat geklappt! Link to comment Share on other sites More sharing options...
markusg Posted November 17, 2011 Report Share Posted November 17, 2011 hi, du hast zu viele antimalware programme. deinstaliere mal auf jeden fall super antispyware. bitte erstelle und poste ein combofix log. http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird Link to comment Share on other sites More sharing options...
na_iche Posted November 17, 2011 Author Report Share Posted November 17, 2011 Hier ist das Comofix Log! Link to comment Share on other sites More sharing options...
markusg Posted November 17, 2011 Report Share Posted November 17, 2011 hi, im post 1 sagst du, emsisoft hatt schon mehrere suchläufe gemacht und 2 mal wurde was entfernt, hast du die logs noch? Link to comment Share on other sites More sharing options...
na_iche Posted November 17, 2011 Author Report Share Posted November 17, 2011 Ich habe nur das Log, was ich zuerst gepostet habe! Wenn mir jemand sagt, wo ich die anderen finde, wenn es noch welche geben soll, poste ich die hier gern! Link to comment Share on other sites More sharing options...
markusg Posted November 17, 2011 Report Share Posted November 17, 2011 c:\benutzer\benutzername\eigene dokumente\antimalware\\reports Link to comment Share on other sites More sharing options...
na_iche Posted November 17, 2011 Author Report Share Posted November 17, 2011 Ich glaube das hier war gemeint: Emsisoft Anti-Malware - Version 6.0 Letztes Update: 17.11.2011 09:35:30 Scan Einstellungen: Scan Methode: Detail Scan Objekte: Rootkits, Speicher, Traces, C:\, D:\ Archiv Scan: An ADS Scan: An Scan Beginn: 17.11.2011 10:32:11 Gescannt 454 Gefunden 0 Scan Ende: 17.11.2011 10:32:38 Scan Zeit: 0:00:27 Link to comment Share on other sites More sharing options...
markusg Posted November 17, 2011 Report Share Posted November 17, 2011 sind das alle aktuellen? downloade http://www.chip.de/downloads/Rootkit-Unhooker-3.7_21701698.html instalieren, sprache englisch. gehe jetzt auf start suchen tippe: rootkit unhooker rechtsklick, als admin ausführen falls rootkit unhooker schreibt: "found parasite in itself" mit ok bestätigen trenne den pc vom internet, deaktiviere alle programme auch antivirus, rechtsklick auf das emsi symbol, wächter status, bis zum reboot deaktivieren.. • Klicke auf den Report Tab und danach auf Scan hake dort alles an • Wenn Du gefragt wirst welcher Bereich gescannt werden soll, gehe sicher das deine Systemplatte ( meistens C: ) angehackt ist. • Klicke OK • Wenn der Scan beendet wurde Zitatblock File --> Save Report Zitatblock Ende klicken. • Speichere die Datei als RKU.txt auf dem Desktop. • Klicke Close nutze den attachment manager und hänge sie an Link to comment Share on other sites More sharing options...
na_iche Posted November 17, 2011 Author Report Share Posted November 17, 2011 Da mault er! "Error loading driver, NTSTATUS code: C0000001" Link to comment Share on other sites More sharing options...
na_iche Posted November 17, 2011 Author Report Share Posted November 17, 2011 ach so! und eam blockt das ding auch! habs mal als false positiv eingeschickt. Nachdem alle Schutzmaßnahmen aus waren, ging die installation. Aber der rootkit unhooker startet nicht Link to comment Share on other sites More sharing options...
markusg Posted November 17, 2011 Report Share Posted November 17, 2011 ok versuchen wir gmer http://www.paules-pc-forum.de/forum/4-pc-sicherheit/125153-gmer-rootkitscanner.html Link to comment Share on other sites More sharing options...
na_iche Posted November 17, 2011 Author Report Share Posted November 17, 2011 Hier das Gmer log. Ist nur die Kurzform, gleich nach dem Start! Link to comment Share on other sites More sharing options...
markusg Posted November 17, 2011 Report Share Posted November 17, 2011 ok mal den gesammten scan Link to comment Share on other sites More sharing options...
na_iche Posted November 17, 2011 Author Report Share Posted November 17, 2011 Das kann jetzt aber bestimmt dauern! Link to comment Share on other sites More sharing options...
na_iche Posted November 18, 2011 Author Report Share Posted November 18, 2011 So! Hier ist der komplett Scan von GMER! Link to comment Share on other sites More sharing options...
na_iche Posted November 18, 2011 Author Report Share Posted November 18, 2011 Und ist alles in Ordnung? Link to comment Share on other sites More sharing options...
markusg Posted November 18, 2011 Report Share Posted November 18, 2011 bitte folgendes tool ausführen, log posten, nichts löschen http://www.trojaner-board.de/82358-tdsskiller-google-umleitungen-tdss-tdl3-alureon-rootkit-entfernen.html Link to comment Share on other sites More sharing options...
na_iche Posted November 18, 2011 Author Report Share Posted November 18, 2011 Hier das Log vom TDSSKiller... Link to comment Share on other sites More sharing options...
markusg Posted November 18, 2011 Report Share Posted November 18, 2011 wähle mal die option quarantin der ordner sollte dann auf c:\ sein, bitte mal packen, hochladen http://support.emsisoft.com/forum/57-malware-submissions/ hier nen neues topic eröffnen, name: für markus und dort das archiv anhängen bitte Link to comment Share on other sites More sharing options...
na_iche Posted November 18, 2011 Author Report Share Posted November 18, 2011 http://support.emsisoft.com/topic/6496-fur-markus/ Link to comment Share on other sites More sharing options...
na_iche Posted November 18, 2011 Author Report Share Posted November 18, 2011 Und hat sich der Rechner ein Rootkit eingefangen? Link to comment Share on other sites More sharing options...
na_iche Posted November 19, 2011 Author Report Share Posted November 19, 2011 Hallo! Ich möchte nur nachfragen, ob der Rechner nun sauber ist, oder ich noch etwas tun muß! Mit freundlichen Grüßen Link to comment Share on other sites More sharing options...
markusg Posted November 19, 2011 Report Share Posted November 19, 2011 hi, 1. reicht das in einem thema zu fragen :-) 2. die datei ist in ordnung, gibts denn noch probleme im moment, falls ja zehle sie mir auf Link to comment Share on other sites More sharing options...
na_iche Posted November 19, 2011 Author Report Share Posted November 19, 2011 Sorry, aber es hatte sich keiner mehr gemeldet! Probleme gibt es eigentlich keine mehr, bis auf die Tatsache, das Kaspersky Tool eben die gepostete Sache anzeigt. Kann ich die löschen, oder ist das was vom System? Link to comment Share on other sites More sharing options...
markusg Posted November 22, 2011 Report Share Posted November 22, 2011 ne bitte nicht löschen das ist ne saubere datei öffne mal otl klicke bereinigung, pc startet neu. dann lösche tdss killer + quarantäne. Link to comment Share on other sites More sharing options...
Recommended Posts