| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
01.09.2009, 15:32
| #1 |
 |  Plattmachen... Oh, danke fuer die schnelle Antwort!! Hm, das Neuaufsetzen waere auch meine erste Wahl, allerdings sind die Leute hier nicht so begeistert davon... Das System war wie gesagt gut 4 Monate lang ohne aktuellen Virenschutz, geschweige denn Windows-Updates unterwegs (und natuerlich mit IE gesurft)  Es ist halt bloed, da ich hier auch meine Dokumente, Praesentationen und Tabellen draufhabe, fuer die Arbeit, die ich hier zu erledigen habe, und mich zur Datensicherung auch in Email einloggen muss bzw. meinen USB-Stick anschliessen muss. Und dieser PC ist der einzige Internetzugang und Arbeitsplatz, den ich im Moment habe.  Was mich ausserdem wundert, ist, dass das System sehr stabil und ressourcenschonend laueft (zumindest laut Taskmanager, der evtl. aber auch kompromittiert ist) und auch keine Fehlermeldungen etc. anzeigt.  Meinst du, dass sich die ganzen Schaedlinge so tief ins System eingenistet haben, dass man auf der normalen Oberflaeche und auch im Safeboot nichts mehr davon mitbekommt? Wie sieht's aus mit speziellen Rootkit-Tools (Blacklight, Avenger, etc.), sollte ich die mal drueberlaufen lassen? Oder ComboFix? Und welche Eintraege findest du besonders auffaellig bzw. besorgniserregend? (vielleicht lerne ich dann irgendwann auch mal, HiJack This Files richtig zu interpretieren). ;-) Ich finde z.B. die beiden Prozesse smlogsvc.exe und mnmsrvc.exe merkwuerdig, da ich den Remote-Service von Windows abgeschaltet habe, und diese Prozesse m.E. hier nichts zu suchen haben. Nochmals vielen Dank fuer deine schnelle Antwort und fuer evtl. weitere Info! Geändert von malwarefight (01.09.2009 um 16:11 Uhr) |
|
01.09.2009, 16:09
| #2 | ||
  |  Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)?Zitat:
Naja, das ist deren Entscheidung, wenn sie ihr PC nicht Neuaufsetzen wollen, wieso wollen sie ihr PC nicht neuaufsetzen, Gründe? Ich meine begeistert ist keiner von der Nachricht, aber wieso sind sie nicht begeistert? Die können Problemlos ihr Daten sichern wie Bilder, Lieder & Dokumente. Immens besorgniserregend finde ich die beiden Treiber/Dienste: S3 ojcbx;ojcbx; \??\C:\WINDOWS\system32\01.tmp [] S3 iztwg;iztwg; \??\C:\WINDOWS\system32\03.tmp [] google sagt zu beiden nichts. Sind unbekannt somit wohl schädlich. Ich finde zwar die Anzahl der Malware besorgniserregend, aber WAS gefunden wurde ist weitaus besorgniserregender. Zitat:
Zudem ist noch Adobe Reader 7.0 nicht gepatcht, aktuell is 9.1 Und die Google Toolbar for Internet Explorer ist nicht zu übersehen  Also meine Tendenz liegt immer noch beim neuaufsetzen.  Poka
__________________ |
|
01.09.2009, 18:00
| #3 |
| |  komplizierte Angelegenheit Jaja, meine Gastgeberin hat ihren Rechner selbst als "Zoo fuer Viren" bezeichnet.
__________________Als ich ihr von den ueber 400 Tierchen erzaehlte (84 in Mbam + 278 in Avira + 85 beim 2. Suchlauf in Avira) und meinte, dass sie einen neuen Rekord aufgestellt hat (zumindest fuer alle bisher von mir bearbeiteten Rechner) entgegnete sie, dass es das letzte mal mehr als 720 (!!!) waren  Diese beiden .tmp Dateien, die du genannt hast, sind mir erst gar nicht aufgefallen, aber mit Sicherheit was Boesartiges (wahrscheinlich nur die Spitze des Eisberges). Naja, hier zum Problem mit dem Neuaufsetzen: sie finden nicht alle CDs wieder, um die Programme (z.B. Nokia Handy, Office) und um Windows neu zu installieren  Morgen werde ich erst mal eine externe Platte kaufen, sodass ich zumindest die Dateien sichern kann (die ueblichen Multimedien). Dann wuerde ich gerne versuchen, das Ding noch irgendwie zu retten, und sei es mit den radikalsten und verwegensten Mitteln (der Rettungsversuch an sich ist schon verwegen). Dann natuerlich die von dir genannten Programme fixen (Google Toolbar und Adobe Reader) und Windows updaten (Problem: Windows Genuine Advantage will normalerweise eine Registrierungsnummer, und die ist soweit ich weiss auf der Verpackung der Windows-CD, die nicht mehr auffindbar ist...) Ich weiss, dass ich hier zuwider des gesunden Menschenverstandes handele, aber ich wuerde wirklich gerne alles versuchen, um den PC wieder auf den richtigen Weg zu bringen ohne Neuinstallation (nach dem Motto "Trial and Error"). Wenn das nicht funktionieren sollte, kann ich als letztes Mittel immer noch neu installieren, wenn ich auch noch nicht genau weiss, wie das hier gehen soll. Ja, das ist so der aktuelle Stand. Ich danke dir nochmals fuer deinen guten Ratschlag, das System neu aufzusetzen, auch wenn ich ihn vorerst nicht befolgen werde. Koenntest du mir trotzdem vielleicht ein paar Hinweise liefern, welche Programme (Avenger, Blacklight, Combofix) ich am besten zur Reinigung einsetzen soll? Und was mir auch noch Kopfzerbrechen bereitet ist die gute Performanz und geringe Auslastung des total verseuchten Computers. Hast du da vielleicht eine Erklaerung? Spacibo, Sonja |
|
01.09.2009, 18:14
| #4 | ||
| | Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)? Hat der PC keine Recovery Console oder ähnliches? Vllt. hat sie ein Backup/Image? Ich kann dir nur anraten erstmal alle Daten zu sichern und dann versuchen den PC irgendwie platt zu machen. Da ist man froh, wenn man ein Image hat, dass man einfach zurückspielen müsste Avenger und Combofix sind beides sehr mächtige Tools, damit muss man vorsichtig umgehen. Poste dochmal das Malwarebytes Log, mich würde zudem noch interessieren, was MBAM fand. Zitat:
Aber ich denke da Avira + MBAM inner super Team arbeit bisher viel erledigten und fanden dürfte der Größte Mist weg sein. Lass doch nochmal SUPERAntiSpyware laufen und deaktiviere die Systemwiederherstellung. Zitat:
__________________ Avira Upgrade 10 ist auf dem Markt! Agressive Einstellung von Avira What goes around comes around! |
|
01.09.2009, 18:39
| #5 |
| |  Mbam-Logs - Teil 1 Privjet, hier sind alle Mbam-Logs (nur die infizierten natuerlich): Code:
ATTFilter Malwarebytes' Anti-Malware 1.40
Database version: 2551
Windows 5.1.2600 Service Pack 2
23.08.2009 22:29:30
mbam-log-2009-08-23 (22-29-26).txt
Scan type: Quick Scan
Objects scanned: 22232
Time elapsed: 4 minute(s), 26 second(s)
Memory Processes Infected: 0
Memory Modules Infected: 1
Registry Keys Infected: 1
Registry Values Infected: 1
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 37
Memory Processes Infected:
(No malicious items detected)
Memory Modules Infected:
C:\WINDOWS\system32\e8main1.dll (Spyware.OnlineGames) -> No action taken.
Registry Keys Infected:
HKEY_CLASSES_ROOT\CLSID\{bb4c402f-882a-4526-8c08-51278ea437c1} (Spyware.OnlineGames) -> No action taken.
Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{bb4c402f-882a-4526-8c08-51278ea437c1} (Spyware.OnlineGames) -> No action taken.
Registry Data Items Infected:
(No malicious items detected)
Folders Infected:
(No malicious items detected)
Files Infected:
C:\WINDOWS\system32\e8main1.dll (Spyware.OnlineGames) -> No action taken.
C:\WINDOWS\system32\01.tmp (Worm.Conficker) -> No action taken.
C:\WINDOWS\system32\03.tmp (Worm.Conficker) -> No action taken.
C:\WINDOWS\system32\sqccyf.dll (Worm.Conficker) -> No action taken.
C:\1ogf.exe (Spyware.OnlineGames) -> No action taken.
C:\28b6ry9r.exe (Spyware.OnlineGames) -> No action taken.
C:\2a.exe (Spyware.OnlineGames) -> No action taken.
C:\3.cmd (Spyware.OnlineGames) -> No action taken.
C:\ej10fkdo.bat (Spyware.OnlineGames) -> No action taken.
C:\eyt.exe (Spyware.OnlineGames) -> No action taken.
C:\foikf6np.bat (Spyware.OnlineGames) -> No action taken.
C:\fsaht.cmd (Spyware.OnlineGames) -> No action taken.
C:\gbm6n.exe (Spyware.OnlineGames) -> No action taken.
C:\hkn6k.bat (Spyware.OnlineGames) -> No action taken.
C:\husyu8n.exe (Spyware.OnlineGames) -> No action taken.
C:\i.cmd (Spyware.OnlineGames) -> No action taken.
C:\icxpa.cmd (Spyware.OnlineGames) -> No action taken.
C:\j.cmd (Spyware.OnlineGames) -> No action taken.
C:\lc.exe (Spyware.OnlineGames) -> No action taken.
C:\n68mqcra.exe (Trojan.Agent) -> No action taken.
C:\nu.cmd (Spyware.OnlineGames) -> No action taken.
C:\rwj0.cmd (Spyware.OnlineGames) -> No action taken.
C:\sm.exe (Worm.Autorun) -> No action taken.
C:\6phx.com (Spyware.OnlineGames) -> No action taken.
C:\8.exe (Spyware.OnlineGames) -> No action taken.
C:\8r.cmd (Spyware.OnlineGames) -> No action taken.
C:\9max.cmd (Spyware.OnlineGames) -> No action taken.
C:\boyedt.com (Spyware.OnlineGames) -> No action taken.
C:\cqxj.exe (Spyware.OnlineGames) -> No action taken.
C:\d9c.bat (Trojan.Magania) -> No action taken.
C:\uhoxajc.cmd (Spyware.OnlineGames) -> No action taken.
C:\ukvr.bat (Spyware.OnlineGames) -> No action taken.
C:\upw.bat (Spyware.OnlineGames) -> No action taken.
C:\vwewav8.com (Spyware.OnlineGames) -> No action taken.
C:\yhh.bat (Spyware.OnlineGames) -> No action taken.
C:\ymxf2.exe (Spyware.OnlineGames) -> No action taken.
C:\ysep1.exe (Spyware.OnlineGames) -> No action taken.
Code:
ATTFilter Malwarebytes' Anti-Malware 1.40
Database version: 2551
Windows 5.1.2600 Service Pack 2
24.08.2009 7:15:37
mbam-log-2009-08-24 (07-15-34).txt
Scan type: Quick Scan
Objects scanned: 109308
Time elapsed: 12 minute(s), 1 second(s)
Memory Processes Infected: 1
Memory Modules Infected: 2
Registry Keys Infected: 1
Registry Values Infected: 5
Registry Data Items Infected: 1
Folders Infected: 0
Files Infected: 71
Memory Processes Infected:
C:\WINDOWS\AhnRpta.exe (Trojan.Backdoor) -> No action taken.
Memory Modules Infected:
C:\WINDOWS\system32\e8main1.dll (Spyware.OnlineGames) -> No action taken.
C:\WINDOWS\system32\pytdfse0.dll (Spyware.OnlineGames) -> No action taken.
Registry Keys Infected:
HKEY_CLASSES_ROOT\CLSID\{bb4c402f-882a-4526-8c08-51278ea437c1} (Spyware.OnlineGames) -> No action taken.
Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{bb4c402f-882a-4526-8c08-51278ea437c1} (Spyware.OnlineGames) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cdoosoft (Spyware.OnlineGames) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kmmsoft (Spyware.OnlineGames) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kxswsoft (Spyware.OnlineGames) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\54dfsger (Spyware.OnlineGames) -> No action taken.
Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.
Folders Infected:
(No malicious items detected)
Files Infected:
C:\WINDOWS\system32\e8main1.dll (Spyware.OnlineGames) -> No action taken.
C:\WINDOWS\system32\01.tmp (Worm.Conficker) -> No action taken.
C:\WINDOWS\system32\03.tmp (Worm.Conficker) -> No action taken.
C:\WINDOWS\system32\sqccyf.dll (Worm.Conficker) -> No action taken.
C:\1ogf.exe (Spyware.OnlineGames) -> No action taken.
C:\28b6ry9r.exe (Spyware.OnlineGames) -> No action taken.
C:\2a.exe (Spyware.OnlineGames) -> No action taken.
C:\3.cmd (Spyware.OnlineGames) -> No action taken.
C:\ej10fkdo.bat (Spyware.OnlineGames) -> No action taken.
C:\eyt.exe (Spyware.OnlineGames) -> No action taken.
C:\foikf6np.bat (Spyware.OnlineGames) -> No action taken.
C:\fsaht.cmd (Spyware.OnlineGames) -> No action taken.
C:\gbm6n.exe (Spyware.OnlineGames) -> No action taken.
C:\hkn6k.bat (Spyware.OnlineGames) -> No action taken.
C:\husyu8n.exe (Spyware.OnlineGames) -> No action taken.
C:\i.cmd (Spyware.OnlineGames) -> No action taken.
C:\icxpa.cmd (Spyware.OnlineGames) -> No action taken.
C:\j.cmd (Spyware.OnlineGames) -> No action taken.
C:\lc.exe (Spyware.OnlineGames) -> No action taken.
C:\n68mqcra.exe (Trojan.Agent) -> No action taken.
C:\nu.cmd (Spyware.OnlineGames) -> No action taken.
C:\rwj0.cmd (Spyware.OnlineGames) -> No action taken.
C:\sm.exe (Worm.Autorun) -> No action taken.
C:\6phx.com (Spyware.OnlineGames) -> No action taken.
C:\8.exe (Spyware.OnlineGames) -> No action taken.
C:\8r.cmd (Spyware.OnlineGames) -> No action taken.
C:\9max.cmd (Spyware.OnlineGames) -> No action taken.
C:\boyedt.com (Spyware.OnlineGames) -> No action taken.
C:\cqxj.exe (Spyware.OnlineGames) -> No action taken.
C:\d9c.bat (Trojan.Magania) -> No action taken.
C:\uhoxajc.cmd (Spyware.OnlineGames) -> No action taken.
C:\ukvr.bat (Spyware.OnlineGames) -> No action taken.
C:\upw.bat (Spyware.OnlineGames) -> No action taken.
C:\vwewav8.com (Spyware.OnlineGames) -> No action taken.
C:\yhh.bat (Spyware.OnlineGames) -> No action taken.
C:\ymxf2.exe (Spyware.OnlineGames) -> No action taken.
C:\ysep1.exe (Spyware.OnlineGames) -> No action taken.
C:\u3uvew6.bat (Trojan.Agent) -> No action taken.
C:\n.exe (Trojan.Agent) -> No action taken.
C:\o.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\olhrwef.exe (Trojan.Agent) -> No action taken.
C:\rvbi.cmd (Trojan.Agent) -> No action taken.
C:\toe.cmd (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Лиза\Local Settings\Temp\herss.exe (Spyware.OnlineGames) -> No action taken.
C:\WINDOWS\system32\afmain0.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\ierdfgh.exe (Spyware.OnlineGames) -> No action taken.
C:\WINDOWS\system32\pytdfse0.dll (Spyware.OnlineGames) -> No action taken.
C:\WINDOWS\system32\pytdfse1.dll (Spyware.OnlineGames) -> No action taken.
C:\WINDOWS\system32\nmdfgds0.dll (Spyware.OnlineGames) -> No action taken.
C:\WINDOWS\system32\nmdfgds1.dll (Spyware.OnlineGames) -> No action taken.
C:\WINDOWS\AhnRpta.exe (Trojan.Backdoor) -> No action taken.
C:\hbs.exe (Spyware.OnlineGames) -> No action taken.
C:\g1ljsm.com (Spyware.OnlineGames) -> No action taken.
C:\a81lkgv.com (Spyware.OnlineGames) -> No action taken.
C:\sfwypsy.exe (Spyware.OnlineGames) -> No action taken.
C:\WINDOWS\system32\xvassdf.exe (Spyware.OnlineGames) -> No action taken.
C:\WINDOWS\system32\4tddfwq0.dll (Spyware.OnlineGames) -> No action taken.
C:\Documents and Settings\***\Local Settings\Temp\xvassdf.exe (Spyware.OnlineGames) -> No action taken.
C:\ju.com (Spyware.OnlineGames) -> No action taken.
C:\0xuc.com (Trojan.Agent) -> No action taken.
C:\fbak.exe (Trojan.Agent) -> No action taken.
C:\w.com (Trojan.Agent) -> No action taken.
C:\q9.cmd (Spyware.OnlineGames) -> No action taken.
C:\WINDOWS\system32\e8main0.dll (Worm.Autorun) -> No action taken.
C:\WINDOWS\Temp\cvasds0.dll (Spyware.OnlineGames) -> No action taken.
C:\WINDOWS\Temp\cvasds1.dll (Spyware.OnlineGames) -> No action taken.
C:\Documents and Settings\***\Local Settings\Temp\cvasds0.dll (Spyware.OnlineGames) -> No action taken.
C:\Documents and Settings\***\Local Settings\Temp\cvasds1.dll (Spyware.OnlineGames) -> No action taken.
C:\Documents and Settings\***\Local Settings\Temp\cvasds2.dll (Spyware.OnlineGames) -> No action taken.
C:\Documents and Settings\***\Local Settings\Temp\cvasds3.dll (Spyware.OnlineGames) -> No action taken.
C:\WINDOWS\Temp\herss.exe (Spyware.OnlineGames) -> No action taken.
Geändert von malwarefight (01.09.2009 um 18:50 Uhr) |
|
01.09.2009, 18:48
| #6 |
| | Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)? Das schockt mich um ehrlich zu sein sehr, wie deine Gastfamilie da noch so "locker & lässig" sein kann, die Funde sind schon ziemlich interessant und krass. Entferne alles gefundene von MBAM, danach geht es hier entlang zu Gmer, lasse GMER durchlaufen, wie in der Anleitung beschrieben. Gmer Anleitung: http://www.trojaner-board.de/74908-a...t-scanner.html
__________________ --> Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)? |
|
01.09.2009, 18:48
| #7 |
| | Mbam-Logs - Teil 2Code:
ATTFilter Malwarebytes' Anti-Malware 1.40
Database version: 2551
Windows 5.1.2600 Service Pack 2
24.08.2009 8:51:37
mbam-log-2009-08-24 (08-51-32).txt
Scan type: Full Scan (C:\|D:\|)
Objects scanned: 203427
Time elapsed: 1 hour(s), 18 minute(s), 10 second(s)
Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 1
Registry Data Items Infected: 1
Folders Infected: 0
Files Infected: 35
Memory Processes Infected:
(No malicious items detected)
Memory Modules Infected:
(No malicious items detected)
Registry Keys Infected:
(No malicious items detected)
Registry Values Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cdoosoft (Spyware.OnlineGames) -> No action taken.
Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.
Folders Infected:
(No malicious items detected)
Files Infected:
D:\1ogf.exe (Spyware.OnlineGames) -> No action taken.
D:\28b6ry9r.exe (Spyware.OnlineGames) -> No action taken.
D:\2a.exe (Spyware.OnlineGames) -> No action taken.
D:\3.cmd (Spyware.OnlineGames) -> No action taken.
D:\6phx.com (Spyware.OnlineGames) -> No action taken.
D:\8.exe (Spyware.OnlineGames) -> No action taken.
D:\8r.cmd (Spyware.OnlineGames) -> No action taken.
D:\9max.cmd (Spyware.OnlineGames) -> No action taken.
D:\ej10fkdo.bat (Spyware.OnlineGames) -> No action taken.
D:\eyt.exe (Spyware.OnlineGames) -> No action taken.
D:\foikf6np.bat (Spyware.OnlineGames) -> No action taken.
D:\fsaht.cmd (Spyware.OnlineGames) -> No action taken.
D:\gbm6n.exe (Spyware.OnlineGames) -> No action taken.
D:\hkn6k.bat (Spyware.OnlineGames) -> No action taken.
D:\husyu8n.exe (Spyware.OnlineGames) -> No action taken.
D:\i.cmd (Spyware.OnlineGames) -> No action taken.
D:\icxpa.cmd (Spyware.OnlineGames) -> No action taken.
D:\d9c.bat (Trojan.Magania) -> No action taken.
D:\sm.exe (Worm.Autorun) -> No action taken.
D:\boyedt.com (Spyware.OnlineGames) -> No action taken.
D:\lc.exe (Spyware.OnlineGames) -> No action taken.
D:\uhoxajc.cmd (Spyware.OnlineGames) -> No action taken.
D:\ukvr.bat (Spyware.OnlineGames) -> No action taken.
D:\upw.bat (Spyware.OnlineGames) -> No action taken.
D:\vwewav8.com (Spyware.OnlineGames) -> No action taken.
D:\rwj0.cmd (Spyware.OnlineGames) -> No action taken.
D:\n68mqcra.exe (Trojan.Agent) -> No action taken.
D:\nu.cmd (Spyware.OnlineGames) -> No action taken.
D:\yhh.bat (Spyware.OnlineGames) -> No action taken.
D:\ymxf2.exe (Spyware.OnlineGames) -> No action taken.
D:\ysep1.exe (Spyware.OnlineGames) -> No action taken.
D:\j.cmd (Spyware.OnlineGames) -> No action taken.
D:\cqxj.exe (Spyware.OnlineGames) -> No action taken.
C:\Documents and Settings\***\Local Settings\Temp\herss.exe (Spyware.OnlineGames) -> No action taken.
C:\Documents and Settings\***\Local Settings\Temp\cvasds0.dll (Spyware.OnlineGames) -> No action taken.
Ich habe Mbam und Avira beide im SafeBoot ausgefuehrt, bis keines mehr Schadprogramme gefunden hat (im full scan natuerlich). Deinen Rat mit SuperAntiSyware und GMER werde ich morgen umsetzen, da es hier schon fast 1 Uhr nacht ist und ich doch etwas muede bin (obwohl ich sehr gerne an diesem Rechner weiter rumwerkeln wuerde). Ein Image gibt es (ich bin versucht zu sagen: natuerlich) nicht, und die Systemwiederherstellung kann man vergessen, da diese ja genauso verseucht ist (habe gerade heute den neuen Wiederherstellungspunkt gesetzt, aber war offensichtlich eine relativ sinnlose Aktion). Das waere ja auch zu schoen gewesen. Ja, und diese von dir angesprochene Lockerheit war im Satz "der Rechner ist alt und ein bisschen langsam" enthalten, mit der mir der PC vorgestellt wurde, oder auch in "ach ja, ab und zu gehen ein paar komische Fenster auf".... Mir als Sicherheits-Freak stehen da alle Haare zu Berge!! Ich fuehle mich bei der Benutzung eines "unauffaelligen" Windows-Systems schon unwohl genug... Ich werde mich dann morgen mit neuen Logfiles und einem gesicherten System melden, sodass wir dann weitersehen koennen. Bis dahin erst mal viel Spass mit den Mbam-Logfiles! (wenn du noch mehr willst: ich kann auch gerne das Avira-File mit den 278 Schaedlingen posten ;-) Und wenn dir noch was einfaellt: immer her damit. Spacibo i spokoinoi notsch! Sonja P.S. Linux 4ever!! (for reasons please see above)  Geändert von malwarefight (01.09.2009 um 18:59 Uhr) Grund: aktualisierung |
|
02.09.2009, 04:32
| #8 |
| | SuperSpyware-Log Guten Morgen, hier wie erwuenscht der Log von SuperSpyware (nach Anleitung konfiguriert): Code:
ATTFilter SUPERAntiSpyware Scan Log
h**p://www.superantispyware.com
Generated 09/02/2009 at 09:45 AM
Application Version : 4.27.1002
Core Rules Database Version : 4081
Trace Rules Database Version: 2021
Scan type : Complete Scan
Total Scan Time : 01:52:26
Memory items scanned : 399
Memory threats detected : 0
Registry items scanned : 4165
Registry threats detected : 0
File items scanned : 113523
File threats detected : 71
Adware.Tracking Cookie
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@ad12.bannerbank[1].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@234.media.lbn[1].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@120.media.lbn[1].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@120.rbcmedia[1].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@150.media.lbn[1].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@150.rbcmedia[1].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@2o7[2].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@468.media.lbn[1].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@468.rbcmedia[1].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@accounts[1].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@ad.100.tbn[2].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@ad1.bb[2].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@ad3.bannerbank[1].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@ad.text-ent.tbn[2].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@ad4.bannerbank[2].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@ad.600.tbn[1].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@ad6.bannerbank[2].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@ad7.bannerbank[1].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@ad.bannerbank[1].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@ad.ent.tbn[2].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@ad.ir[1].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@adrevolver[1].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@ad.rich1.adbn[1].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@ads.adfox[1].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@ads.maxlab[2].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@ads.us.e-planning[1].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@ad.tbn[1].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@adtech[2].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@ad.text.tbn[1].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@ad.top1.adbn[2].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@ad.vba[1].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@advertising[1].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@ad.yieldmanager[1].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@atdmt[2].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@atwola[1].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@banner.kiev[1].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@banner.klerk[1].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@count.rbc[1].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@counter.credo[1].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@counter.plugin[1].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@data2.perf.overture[1].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@data4.perf.overture[1].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@doubleclick[1].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@engine.adnet[1].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@hotlog[1].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@media.academ[1].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@mediaplex[1].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@mywebsearch[1].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@overture[2].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@ozon.122.2o7[1].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@perf.overture[1].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@questionmarket[1].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@rotabanner234.utro[2].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@revsci[2].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@rotabanner468.utro[2].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@rotabanner.dni[1].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@rotabanner.izvestia[1].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@rotabanner.rian[2].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@rotabanner100.utro[2].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@spylog[1].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@statcounter[2].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@tns-counter[2].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@tribalfusion[1].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@txt.media.lbn[1].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@warlog[1].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@www.234.media.lbn[1].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@www.234.rbcmedia[1].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@www.bannerhouse[1].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@www.spycounter[2].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@xiti[1].txt
D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@yadro[2].txt
Inzwischen habe ich auch die Google Toolbar und den Adobe Reader entfernt (ersetzt durch Foxit Reader ohne Toolbars). Was mir noch aufgefallen ist: ich kann im Arbeitsplatz die Festplatte D nicht oeffnen - ich bekomme immer die Meldung, dass es nicht geoeffnet werden kann und ich mir aus der Liste ein Programm aussuchen soll, das ich dann zum oeffnen benutzen kann. Daraus werde ich nicht schlau, da ich das sonst nur von Dateien kenne. Ich kann allerdings auf Dateien von D zugreifen und Ordner ansteuern, halt nur nicht direkt vom Arbeitsplatz aus. Auch im Infolog von RSIT meldet er einen Fehler im Laufwerk D ("Ungültige Block auf dem Gerät" in der Google-Uebersetzung ;-) Irgendwelche Ideen dazu? Ich werde mich dann wieder melden, sobald ich die Daten gesichert und GMER drueberlaufen gelassen habe. Bin mal gespannt, ob der zur Abwechslung mal was findet...  Bis dann! Sonja Geändert von malwarefight (02.09.2009 um 05:17 Uhr) |
|
| Themen zu Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)? |
| .dll, 0 bytes, abgesicherten modus, adware, antiviren-programm, avira, check, csrss.exe, desktop, entfernen, explorer.exe, file, frage, free, keine funde, logon.exe, lsass.exe, moved, neustart, nicht sicher, nt.dll, prozesse, realplayer, services.exe, spyware, svchost.exe, taskmanager, trojaner, virus, warning, windows system, windows-update, winlogon.exe, zu lang |
Hybrid-Darstellung
