Vorgehen bei möglicher Infektion : Neuer Thread erstellen

Status
Für weitere Antworten geschlossen.

Swisstreasure

Stammgast
Bei Verdacht einer Infizierung arbeite folgendes ab und poste die Logs in einem eigenen Beitrag mit schlagkräftigem Titel.
Mit "Ich brauche Hilfe" können wir nicht viel Anfangen. :)

Wichtig in diesem Zusammenhang ist, dass Du im Unterforum für Malware IMMER einen eigenen Beitrag erstellst.
Teile uns mit welche Symptome bei Dir auftreten.

Hinweis: Nur weil es scheint als hätte ein anderer User auch genau Dein Problem, sind die Anleitungen zur Bereinigung immer nur auf diesen User zugeschnitten.

Arbeite bitte vor Deinem ersten Beitrag folgende Schritte ab.
Sollte es bei einem Schritt Probleme geben, überspringe diesen und fahre mit dem nächsten fort.
Bitte gib uns eine genaue Beschreibung wo das Problem lag. Um so genauer die Fehlerbeschreibung desto schneller können wir Dir helfen.

[SIZE=+1]Vista[/SIZE] und [SIZE=+1]Win7 User[/SIZE]:
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Here we go :)

[SIZE=+1]Schritt 1[/SIZE]

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die
    otlfix.jpg
    Textbox.
Code:
netsvcs
drivers32 /all
%SYSTEMDRIVE%\*.*
%systemroot%\system32\*.wt
%systemroot%\system32\*.ruy
%systemroot%\Fonts\*.com
%systemroot%\Fonts\*.dll
%systemroot%\Fonts\*.ini
%systemroot%\Fonts\*.ini2
%systemroot%\system32\spool\prtprocs\w32x86\*.*
%systemroot%\REPAIR\*.bak1
%systemroot%\REPAIR\*.ini
%systemroot%\system32\*.jpg
%systemroot%\*.scr
%systemroot%\*._sy
%APPDATA%\Adobe\Update\*.*
%ALLUSERSPROFILE%\Favorites\*.*
%APPDATA%\Microsoft\*.*
%PROGRAMFILES%\*.*
%APPDATA%\Update\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\user32.dll /md5
%systemroot%\system32\ws2_32.dll /md5
%systemroot%\system32\ws2help.dll /md5
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread


[SIZE=+1]Schritt 2[/SIZE]

** Nur bei 32 bit Systemen **

Habe ich ein 32 oder 64 bit Windows ?
Drücke bitte die
windows.jpg
+ R Taste und schreibe msinfo32 in das Ausführen Fenster und drücke OK.




Danach unter Systemtyp nachsehen:
  • x86 basierter- PC = 32bit System = Gmer anwenden
  • x64 basierter- PC = 64bit System = Gmer nicht anwenden
Bitte
  • alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren,
  • keine bestehende Verbindung zu einem Netzwerk/Internet (WLAN nicht vergessen),
  • nichts am Rechner arbeiten,
  • nach jedem Scan der Rechner neu gestarten.
Gmer scannen lassen
  • Lade Dir Gmer von dieser Seite herunter
    (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
  • Alle anderen Programme sollen geschlossen sein.
  • Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
    Vista und Win7 User mit Rechtsklick und als Administrator starten.
  • Sollte sich ein Fenster mit folgender Warnung öffnen:
    WARNING !!!
    GMER has found system modification, which might have been caused by ROOTKIT activity.
    Do you want to fully scan your system ?
    Unbedingt auf "No" klicken.
  • Entferne rechts den Hacken bei:

    • IAT/EAT
    • Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
    • Show all (sollte abgehackt sein)
  • Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
  • Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter [COLOR=#00e00]Gmer.txt[/COLOR] auf deinem Desktop. Mit "Ok" wird GMER beendet.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!
 
Zuletzt bearbeitet:
Status
Für weitere Antworten geschlossen.
Oben