Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: tolule.net im Temp. Internet File - Trojaner?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 26.01.2010, 23:31   #1
Wunderland
 
tolule.net im Temp. Internet File - Trojaner? - Standard

tolule.net im Temp. Internet File - Trojaner?



Hallo Zusammen,

ich wurde vor einigen Tagen von "Plagegeistern" überflutet. Mit Malwarebyte und Spyware Doctor und dem löschen von diversen Files habe ich nun meinen Rechner endlich wieder zum Laufen gebracht. Aber ein Problem ist mir geblieben.. in den Temporary Internet Files ist eine Datei mit der Beschreibung http://tolule.net/? Leider läßt sich die Datei nicht löschen und mein Unlocker versagt hier auch

Ich habe bereits in Google gesucht. Dort tauchen nur amerikanische Sites auf und ich traue mich nicht mehr, diese zu öffnen, da ich beim Öffnen von diversen Internetsites automatisch auf einer anderen Seite lande, bzw. eine zweite Seite geöffnet wird mit irgendeinem Casino und Spieleschrott oder "Anti-Spyware" automatischer Scan, der mir dann den nächsten Trojaner beschert.

Ach ja, noch eine Sache. Ich bekomme ständig die Aufforderung irgendeine neue Hardware zu installieren - irgendein Audiocontroller. Weiß nicht was das soll??????

Kann mir jemand helfen?

Vielen Dank!

Alt 27.01.2010, 19:44   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
tolule.net im Temp. Internet File - Trojaner? - Standard

tolule.net im Temp. Internet File - Trojaner?



Hallo,

Zitat:
Mit Malwarebyte und Spyware Doctor und dem löschen von diversen Files habe ich nun meinen Rechner endlich wieder zum Laufen gebracht.
Du musst die Logs posten, wir brauchen immer die Infos, was gelöscht wurde!

Danach diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!


Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.
__________________

__________________

Alt 28.01.2010, 00:02   #3
Wunderland
 
tolule.net im Temp. Internet File - Trojaner? - Standard

tolule.net im Temp. Internet File - Trojaner?



Hallo Arne,

vielen Dank für deine Antwort. Leider funktionierte Spywaredoc nicht mehr. Ich habe ihn daraufhin deinstalliert. Leider wurde der Download der neuesten Version abgebrochen. Ich habe gem. Anleitung den CCleaner laufen lassen. Leider weiß ich nicht, wo ich dort das Logfile finden kann :-(

Das Logfile von Malwarebyte poste ich hier direkt, da es sehr kurz ist. Ich habe in den vergangenen 3 Tagen mehrfach Malwarebyte laufen lassen. Ferner habe ich "händisch" diverse Temp Dateien, Prefetch, Programme u. a. gelöscht. Dennoch leitet mich google teilweise einfach auf dubiose Seiten um. Ich habe auch schon versucht, einen Scan im abgesicherten Modus zu machen. Dieser ließ sich leider nicht öffnen und diese merkwürdige Datei bekomme ich auch nicht aus den Temporary Internet Files raus. Es ist das Mozilla Zeichen mit einer "wild-planlosen" Buchstabenkombination darunter - Unlocker hat auch nichts genützt.

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3633
Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.11

27.01.2010 23:48:32
mbam-log-2010-01-27 (23-48-32).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 115264
Laufzeit: 13 minute(s), 1 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safari.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navigator.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\opera.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Bin dir für deine Hilfe sehr dankbar!

Viele Grüsse,
Alice
__________________

Alt 28.01.2010, 08:38   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
tolule.net im Temp. Internet File - Trojaner? - Standard

tolule.net im Temp. Internet File - Trojaner?



Zitat:
Datenbank Version: 3633
Du hast Malwarebytes nicht aktualisiert, aktuelle DB-Version ist 3649!

Zitat:
Ich habe in den vergangenen 3 Tagen mehrfach Malwarebyte laufen lassen
Die alten Logfiles nachreichen, sofern Funde dabei waren.
Außerdem fehlen noch die Logs von RSIT.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 01.02.2010, 11:05   #5
Wunderland
 
tolule.net im Temp. Internet File - Trojaner? - Standard

tolule.net im Temp. Internet File - Trojaner?



Hallo Arne,

sorry für meine späte Antwort. Ich war über's Wochenende nicht da.

Wie kann das sein, daß ich eine alte MBAM Version habe. Diese habe ich erst letzte Woche runtergeladen. Mein Versuch, die neue Version runterzuladen scheitert derzeit daran, daß Firefox immer wieder schließt. Auch MBAM meldet ständig Fehler, der Download von RSIT ist mir auch noch nicht gelungen :-((

Ich schicke dir hier mal die verfügbaren MBAM logfiles. Hoffentlich hilft es weiter. Ich bleibe dran und versuche RSIT weiter runterzuladen.

Wo finde ich denn die logfiles des CCleaners? (Ich glaub ich bin zu doof :-((

Viele Grüsse,
Alice

File-Upload.net - Malwarebytes


Alt 01.02.2010, 11:24   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
tolule.net im Temp. Internet File - Trojaner? - Standard

tolule.net im Temp. Internet File - Trojaner?



Vom CCleaner brauch ich keine Logs.
Für RSIT hab ich diesen Alternativlink => File-Upload.net - pluescheule.exe
(ist ne umbenannte Version, die rsit.exe heißt pluescheule.exe )

Malwarebytes solltest Du über die Updatefunkion im Programm selbst aktualisieren! Nur dann werden auch neue DB-Versionen installiert!
__________________
--> tolule.net im Temp. Internet File - Trojaner?

Alt 01.02.2010, 11:36   #7
Wunderland
 
tolule.net im Temp. Internet File - Trojaner? - Standard

tolule.net im Temp. Internet File - Trojaner?



Vielen lieben Dank! Das hat nun mal funktioniert :-)

Hier der Link zum RSIT logfile:
File-Upload.net - Logfile-of-random--s-system-information-tool-1.06

Nachfolgend noch das neue Logfile von MBAM in der aktuellen Version:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3671
Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.11

01.02.2010 11:41:15
mbam-log-2010-02-01 (11-41-15).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 116450
Laufzeit: 4 minute(s), 24 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\mghxz.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\rasqervy.dll (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\sdfinacs.dll (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\sdfixwcs.dll (Malware.Trace) -> Quarantined and deleted successfully.


So, und nun hoffe ich, daß die Antwort wieder durchgeht. Bei jedem Posting stürzt mir alles ab und ich bete, daß die Nachricht noch durchgeht!

Viele Grüsse,
Alice

Geändert von Wunderland (01.02.2010 um 11:42 Uhr)

Alt 01.02.2010, 12:07   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
tolule.net im Temp. Internet File - Trojaner? - Standard

tolule.net im Temp. Internet File - Trojaner?



Du hast nur ein Quickscan gemacht
Oder geht der Vollscan mit Malwarebytes nicht?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 01.02.2010, 14:48   #9
Wunderland
 
tolule.net im Temp. Internet File - Trojaner? - Standard

tolule.net im Temp. Internet File - Trojaner?



Ich versuch's weiter....:-((

Er geht schon, läuft aber nicht durch. Im Verlauf des Scan's kommt irgendwann die Nachricht, daß Malwarebytes ein Problem festgestellt hat und geschlossen werden muß.

Sobald ich einen vollständigen Scan habe, poste ich ihn.

Grüsse,
Alice

Alt 01.02.2010, 15:15   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
tolule.net im Temp. Internet File - Trojaner? - Standard

tolule.net im Temp. Internet File - Trojaner?



Dann machen wir das mit Malwarebytes später und zuerst nen Lauf mit CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 01.02.2010, 17:31   #11
Wunderland
 
tolule.net im Temp. Internet File - Trojaner? - Standard

tolule.net im Temp. Internet File - Trojaner?



Hallo Arne,

habe deine Anweisungen befolgt. Mir wurde ganz schwindlig bei der Combofix Aktion :-))

Er hat mir eine Windows Wiederherstellungskonsole runtergeladen und ich mußte ein EULA Agreement bestätigen. Nach dem letzten Neustart kam folgende Fehlermeldung:

SQL Server cannot find default instance (MSSQLSERVER)....

If you believe that your installation is corrupt or has been tampered with, uninstall then re-run setup to correct this problem.

Muß ich damit was anfangen können - ist das alles in Ordnung? :-(

Das Combofix logfile ist hier : File-Upload.net - ComboFix.txt

Es ist ein wenig lang, um es hier zu posten.

Viele Grüsse!
Alice

Alt 01.02.2010, 18:43   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
tolule.net im Temp. Internet File - Trojaner? - Standard

tolule.net im Temp. Internet File - Trojaner?



Zitat:
SQL Server cannot find default instance (MSSQLSERVER)....
If you believe that your installation is corrupt or has been tampered with, uninstall then re-run setup to correct this problem.
Muß ich damit was anfangen können - ist das alles in Ordnung?
Ich seh da so eigentlich keinen Sinn, dass auf Deinem Rechner ein SQL-Server installiert sein muss. Den kannst Du eigentlich deinstallieren über Systemsteuerung, Software. Falls da ne Meldung kommt, dann poste bitte welche bzw. welche Programme den unerwarteterweise doch brauchen.

Weiter gehts:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
ATTFilter
File::
c:\windows\system32\MGHwTemp.sys
c:\dokume~1\Alice\ANWEND~1\Adobe\Update\mmcset.dat
c:\dokume~1\Alice\LOKALE~1\Temp\23756175369.nls

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"midi1"=-
"mixer1"=-
"wave1"=-
"aux1"=-
"midi2"=-
"mixer2"=-
"wave2"=-
"aux2"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Vidloc"=-
"Locvid"=-
         
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 01.02.2010, 22:05   #13
Wunderland
 
tolule.net im Temp. Internet File - Trojaner? - Standard

tolule.net im Temp. Internet File - Trojaner?



Hallo Arne!

Hier ist der Link zum neuen Combofix logfile: File-Upload.net - ComboFix.txt

Oh, habe vergessen, den SQL Server runterzuwerfen :-((

(Ist jetzt auch erledigt. Es kam keine Fehlermeldung. SQL Server wurde anstandslos entfernt)

Viele Grüsse,
Alice

PS: Wenn es euch hier nicht gäbe ......:-))

Alt 01.02.2010, 22:16   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
tolule.net im Temp. Internet File - Trojaner? - Standard

tolule.net im Temp. Internet File - Trojaner?



ok
Mach bitte noch einen Kontrollscan, öffne Malwarebytes, aktualisiere das Programm, starte einen Vollscan und lass alle etwaigen Funde entfernen. Anschließend wieder das Logfile posten.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 01.02.2010, 22:28   #15
Wunderland
 
tolule.net im Temp. Internet File - Trojaner? - Standard

tolule.net im Temp. Internet File - Trojaner?



Hab nochmal 'ne Frage...kann man euch auch ohne Paypal spenden. Die wollen von mir ständig 'ne vollständige Freigabe. Ich mag aber nicht. Kann man auch einfach Überweisen?

LG, Alice

Antwort

Themen zu tolule.net im Temp. Internet File - Trojaner?
amerika, automatisch, datei, diverse, file, files, google, hallo zusammen, hardware, internet, locker, löschen, neue, nicht löschen, nicht mehr, plagegeister, problem, rechner, scan, seite, sites, spyware, spyware doctor, tolule.net, trojaner, trojaner?, unlocker, öffnen



Ähnliche Themen: tolule.net im Temp. Internet File - Trojaner?


  1. TR/Agent.7375 in C:\Users\HerrTest\AppData\Local\Temp\nscA085.tmp\temp\5FT.zip
    Log-Analyse und Auswertung - 18.10.2015 (13)
  2. TrojWare.Win32.Buzus.carj in C:\Windows\Temp\HInfo.exe bzw. C:\Windows\Temp\restart.exe
    Plagegeister aller Art und deren Bekämpfung - 27.09.2012 (2)
  3. Avira findet TR/EyeStye.N.1213 unter C:\User\***\AppData\Local\Temp\203.temp
    Log-Analyse und Auswertung - 31.10.2011 (5)
  4. Trojaner TR/Crypt.ZPACK.gen in C:/WINDOWS/TEMP/xxxx.temp/svchost.exe
    Plagegeister aller Art und deren Bekämpfung - 30.04.2010 (33)
  5. TR/Crypt.ZPACK.Gen in C:\Temp\bcot.tmp\svchost.exe , C:\Temp\qmub.tmp\svchost.exe usw
    Plagegeister aller Art und deren Bekämpfung - 12.04.2010 (1)
  6. Internet geht an und aus, anbei HiJackthis File, bitte um Hilfe
    Netzwerk und Hardware - 24.01.2010 (0)
  7. JAVA/Dldr.Agent.L C:\windows\Temp\~77E1.temp
    Plagegeister aller Art und deren Bekämpfung - 05.01.2010 (2)
  8. Trojaner in \Temp\
    Log-Analyse und Auswertung - 20.07.2009 (5)
  9. Internet sehr langsam ( HiJackThis File )
    Log-Analyse und Auswertung - 28.08.2008 (0)
  10. mx_**.temp dateien in windows/temp ordner?
    Plagegeister aller Art und deren Bekämpfung - 27.06.2007 (1)
  11. Log File Bitte prüfen ..internet langsam ?
    Log-Analyse und Auswertung - 06.11.2006 (3)
  12. Internet Explorer spinnt... Trojaner? Log File
    Log-Analyse und Auswertung - 07.05.2006 (13)
  13. Dauernde Internet-Umleitung ! Log File Check !
    Log-Analyse und Auswertung - 07.10.2005 (4)
  14. TR/Spy.Banker.EK.5 von AntiVir in den Temp internet files gefunden
    Plagegeister aller Art und deren Bekämpfung - 19.01.2005 (11)
  15. mien lof file und problem mit internet seiten
    Log-Analyse und Auswertung - 17.01.2005 (2)
  16. Seltsamer Eintrag in den Temp.Internet Files
    Plagegeister aller Art und deren Bekämpfung - 21.10.2003 (4)

Zum Thema tolule.net im Temp. Internet File - Trojaner? - Hallo Zusammen, ich wurde vor einigen Tagen von "Plagegeistern" überflutet. Mit Malwarebyte und Spyware Doctor und dem löschen von diversen Files habe ich nun meinen Rechner endlich wieder zum Laufen - tolule.net im Temp. Internet File - Trojaner?...
Archiv
Du betrachtest: tolule.net im Temp. Internet File - Trojaner? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.