win32.suspect.crc und andere, angebliche Systemprozesse Hijack, bitte mal um Rat bezüglich Viren/Tro
 

HAllo zusammen,

kurze Frage,bin von Kaspersky zu NOD32 gewechselt und habe direkt 8 Infektionen gefunden, wurden automatisch gesäubert/in Quarantäne verschoben.

Nach einem Neustart ist der PC unterm Zocken 2 mal bei verschiedenen Spielen abgestürtzt, unter anderm Team Forterss 2, dabei war das Tray Icon rot, Schutz ausgefallen, in der Startseite jedoch als aktiviert markiert, Virus im Spiel?

Laut Google haben mehrere Nutzer Probleme das NOD32 mal unterm Spielen freezt.

Nun Hijack loggen lassen, auf HiJackthis.de auswerten lassen, demnach einige Dienste die als nagebliche Systemdienste aber nicht im System 32 Ordner ausgeführt werden, also schädlich beweret werden, demhingegen von anderen Nutzern als sicher bewertet, da freut sich der Laie :-(

KAnn es sein dass 64bit eben Prozesse in SystemRoot...ausführt statt System32 und daher die Unterschiede?

Ist zum Beispiel dieser lsass, glaube und spool irgendwas, kann ich das Logfile mal posten und nen kundigen Blick erhalten?

Danke zunächst

Log dazu fehlt...

Das von hijackthis wollt Ihr hier doch nicht?
Und das von NOD ist leider gelöscht weil ich das Programm von der Computerbild für ne Premium SMS ohne Anleitung habe und statt Quarantäne löschen das Log gelöscht hab :-(

Stand was von ner Variante packed...mprotect oder vm protect glaub und paar a hintendran

Neues Log bekomme ich wohl nicht wenn ich nochmal Scanne nachm Neustart mittlerweile?

Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Malwarebytes Antimaleware meinst Du? Mit dem schwazen M links oben?

Anstandslos durchgelaufen, null Funde:

Zum Eset Onlinescanner, wenn ich Eset NOD32 auf dem System habe und damit gescannt trotzdem noachmal online?

1TB online wird allein aufgrund der DSL Leitung ne Ewigkeit dauern?

Danke erstmal

Achso, ich habe bemängelte Dateien auf Virustotal geladen, reanalyse gewählt dass sie auch gescannt statt nur abgeglichen werden und 0% Anschlag

Bitte trotzdem alle Logs von Malwarebytes posten.

So ein Quatsch ;) das Terabytes wird nicht bei ESET hochgeladen - der Onlinescanner wird auf deinem Rechner ausgeführt und lädt keine Dateien von deinem Rechner da hoch

Ok, such die nachher raus, sitz jetzt an nem anderen Rechner und hab keinen Zugriff.

Mal ne dezente Schämfrage...bevor ich auf das Board hier gestossen bin hab ich auch schon per google was von Combofix gelesen und das benutzt bevor ich hier mal durch die Sammelthemen setöbert bin und grad lese...nur nach Aufforderung.

Alos bevor es später heisst hätten wir das gewusst hätten wir anders angesetzt oder uns alles gespart.... ich hab gesündigt ;-)

War zunächst schockiert weil ich hunderte Seiten sex und spam Seiten als gesperrte Keys in der Registry unter Zones/Domains habe aber dann rausgefunden dass das wohl präventive Sperrungen durch eine vergangene Immunisierung von Spybot sind

Ja nun isses passiert, kann man jetzt nicht mehr rückgängig machen. Poste einfach dann auch das Log von CF.

ok, wird aber 7 bis ich am betreffenden pc bin, soll ich die gesperrten spam keys kürzen oder die kompletten gut 600 seiten einfügen?

ist das normal bzw ein risiko dass spybot mal proforma anhand irgendner blacklist tausende spam seiten als gesperrt in die reg einträgt, ist ja quasi n haufen müll/ballast?

Spamkeys? Du meinst die URLs die Spybot in die Hosts Datei einträgt, sodass du diese mit dem Rechner nicht mehr aufrufen kannst?
Ja das ist normal, owas macht Spybot bei der Immunisierung. Wenn die Logs zu groß sind, einfach zippen und hier anhängen.

Malwarebytes' Anti-Malware 1.51.2.1300
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 7988

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

21.10.2011 00:37:58
mbam-log-2011-10-21 (00-37-58).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 996075
Laufzeit: 4 Stunde(n), 10 Minute(n), 19 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)



Malwarebytes aktuell, der alte Durchlauf war leider gelöscht, nun als Standardsetting und eingeschränkter Benutzer ausgeführt, Combofix Log folgt


Asl eingeschränkter Benutzer mit Kennwort gestartet war ok, oder muss alles als Admin angemeldet durchlaufen um was zu finden?

Danke erstmal

Deswegen nachsehen im Reiter Logdateien! Und Malwarebytes als Nicht-Admin auszuführen ist völlig sinnfrei!

Als Gast angemeldet dann Rechstklick als Admin ausführen kommt dem nicht gleich?

Bin eigentlich nur noch als Gast on da der Support von Eset meinte auch jetzt noch könnte ich ohne Adminrechte Aktivität von Malware unterbinden falls noch was drauf ist...

Ein Boottimescan vor dem eigentlichen Windos kommt der eigentlich einem Scan im abgesicherten Modus gleich? Soll ja was bringen?

Hier das Combofix inklusive aller Spamregs als Zip Anhang.

Mir fallen dort beiläufig Einträge von Tune up, Kaspersky und Bitdefender auf, teils als Treiber teils als App/Programmdata.

Kann ich die manuell in den Pfaden löschen, sollte ich das oder bleibt sich das gleich?

Bitdefender hat ja sogar nen Sandboxdriver hinterlassen, nur den Pfad zu löschen löscht den Treiber doch eh nicht? Hab extra das uninstall Utility benutzt.

Ach von Malewarebytes im Reiter Logdateien ist nur das eine.

Ja so ist das ok.

Hast du das wikrlich gelöscht oder nur vorher mit einem anderen Benutzer den Scan mit MBAM gemacht?

Als Admin damals ausgeführt sind keine Logs mehr da, hab das wohl gelöscht weil ohne Befund.

Aber oben in der vorletzten Antowrt war das Combofix Log als Zip Datei angehängt, haste wohl übersehen?

Nein hab ich nicht! Ich wollte das mit den Logs von Malwarebytes erst geklärt haben!

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Bitteschön, per gastkonto als Admin ausgeführt

Ist es normal dass beim Internet Explorer n Proxy eingetragen ist?

Bitte umgehend deinstallieren, das sollte NICHT parallel mit ESET/NOD32 genutzt werden!
Mach danach das OTL-Logfile neu und poste es.

Die Firewall online armor ist aber ok, weil selber Hersteller/Anbieter?

Wollte mal den Funk beobachten.

Hier unterm Adminkonto nach deinstalliertem Emisoft OTL

Ich rate von sowas grundsätzlich ab, nimm nur die Windows-Firewall und zusätzlich einen Router.

Hatte auch nur die Windows Firewall hinterm Router, dachte nur jetzt mal um zu sehen ob sich was n Funktürchen gebaut hat schaut man mal?
Die IPs unter cmd/netstat auftauchend führen laut google zu meinem Provider, Eset, und eine dritte verläuft im Sande, allesamt wartend gelistet.
Vielleicht die der Firewall.

Hab OTL jetzt extra wie gewünscht nochmal vom Admin laufen lassen, der Computer läuft abgesehen von bekannter Webbremse zwischen 20-23 Uhr, Stosszeit beim Provider seit jeher :-(, eigentlich flüssig, ist Dir denn ein Eintrag aufgefallen, soll man es mal beobachten oder doch noch was machen?

Vielen Dank

Wozu dieser ProxyServer?

Ja dazu hab ich paar Beiträge vorher gefragt...was der da macht, ob das normal ist, ich hab mir keinen verpasst :-(

War bisher nicht zu beunruhigt weil eine Zeile drüber zum Thema enabled ne Null steht dass der inaktiv ist.

Soll, kann, muss man den Eintrag irgendwie killen?

Wer den gesetzt hat ist wohl schlecht nachvollziehbar?

Danke

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

All processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{21A88CB9-84D2-4020-A2D1-B25A21034884}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21A88CB9-84D2-4020-A2D1-B25A21034884}\ not found.
File C:\Program Files (x86)\LG Electronics\LG PC Suite IV\LinkAir\LinkAirBrowserHelper.dll not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked not found.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
ADS C:\ProgramData\Temp:CB0AACC9 deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 56468 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes



Ist es normal dass ich unter C: als erstes den Eintrag Recycle.bin habe?

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

1 suspicious file, siehe anhang


was mach ich denn eigentlich mit dem ie proxy? hab keinen eingestellt, in den optionen ist auch kein haken gesetzt, nutze den ie auch gar nicht

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe Vista und Win7 User aswMBR per Rechtsklick "als Administrator ausführen"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Anbei das Logfile, 4 Einträge waren gelb, da ich von Nod zu Kaspersky zurück bin und Du nichts sagtest dass der Virenschutz aus sein soll gehe ich davon aus die Services locked mit K beginnend sind Dienste von Kaspersky?

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

ich habe seit 30 minuten etwa ein unsicheres, nicht (mehr) anerkanntes cdn.eyewonder irgendwas zertifikat bemängelt wenn ich mit firefox in mein email postfach will, google sagt nichts dazu

malwarebytes war ohne befund, über nacht durchgelaufen, siehe:


Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8033

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

28.10.2011 07:49:52
mbam-log-2011-10-28 (07-49-51).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|K:\|)
Durchsuchte Objekte: 933632
Laufzeit: 3 Stunde(n), 54 Minute(n), 40 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Laufwerke K und I sind übrigens der Drucker sowie dessen Speicherkartensteckplatz