|
Trojaner? So, also ich hab keine Ahnung. Mein Sohn hatte wohl Mist gemacht :heulen: , und ich sitz nun da :( Ein Bekannter sagte, ich sollte mal hier posten. Also dann mal los: Zitat:
Danke für eine schnelle Nachricht. Heike |
Lasse diese Dateien C:\WINDOWS\System32\wuauclt10.exe C:\WINDOWS\System32\smmss.exe C:\WINDOWS\System32\wudupdate.exe hier prüfen: http://virusscan.jotti.org/de/ und teile dann das Erbnis mit. |
Hallo Felix1, die 3 Dateien konnten auf der Festplatte nicht gefunden werden: " Zitat:
Zitat:
|
@alheivi Bitte hier schauen. |
Also ich hab das jetzt so gemacht, bekomme aber immer die gleiche Meldung. :( Was soll ich jetzt tun? LG |
Hi, schau mal im Task-Manager, ob die Prozesse laufen. Wenn ja, beende sie, bevor Du sie zu Jotti hochlädst. cacatoa edit: Servus Rene-gad! :party: |
Und welche Prozesse soll ich da beenden :confused: , bzw. welche nicht Ich kenn mich da doch nicht so aus. LG |
Zitat:
wuauclt10.exe smmss.exe wudupdate.exe sofern du sie im taskmanager (strg,alt und del/entf) findest |
Da gibts nur eine smss.exe |
Ich glaube mal, dass das so nichts wird. Deshalb mache einen escan genau nach Anleitung. Halte Dich genau an Cidres Anleitung: http://www.trojaner-board.de/showthread.php?t=17492 Beachte dazu Guas Anweisung: http://www.trojaner-board.de/showthread.php?t=22770 |
Thx für die Bemühungen. Ich habs zwar mit dem Scan geschafft, aber mit der Find.bat komm ich nicht klar. Was mache ich falsch? Besser ist wohl ich mach "Format:C" :heulen: LG |
Zitat:
|
Cidre [5] Rechtsklick auf die Find.bat LG |
Klicke auf diesen http://www.cidres-security.de/picture/Find.rar Link und lade die Datei herunter. Entpacke das Archiv nach C: und führe die Datei Find.bat mit einem Doppelklick aus. Wo ist das Problem? |
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Tue Nov 01 18:39:26 2005 => System found infected with bearshare Spyware/Adware ({558ec983-bedb-9168-b2de-31dbf0ee543e})! Action taken: No Action Taken. Tue Nov 01 18:39:26 2005 => System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: No Action Taken. Tue Nov 01 18:39:26 2005 => System found infected with bearshare Spyware/Adware ({9f95f736-0f62-4214-a4b4-caa6738d4c07})! Action taken: No Action Taken. Tue Nov 01 18:39:26 2005 => System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: No Action Taken. Tue Nov 01 18:39:26 2005 => System found infected with bearshare Spyware/Adware ({905d0df2-3a0a-4d94-853c-54a12a745905})! Action taken: No Action Taken. Tue Nov 01 18:39:26 2005 => System found infected with whenu.savenow Spyware/Adware ({c285d18d-43a2-4aef-83fb-bf280e660a97})! Action taken: No Action Taken. Tue Nov 01 18:39:29 2005 => System found infected with ezula Spyware/Adware (woinstall.exe)! Action taken: No Action Taken. Tue Nov 01 18:39:32 2005 => System found infected with unknown pest Spyware/Adware (readme.rtf)! Action taken: No Action Taken. Tue Nov 01 18:43:41 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\mss_xx11.dll.q_804B000_q infected by "Trojan.Win32.Crypt.t" Virus! Action Taken: No Action Taken. Tue Nov 01 19:01:23 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* Tue Nov 01 19:01:23 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\A0054220.EXE.VIR Tue Nov 01 19:01:23 2005 => File C:\Programme\AVPersonal\INFECTED\A0054220.EXE.VIR tagged as "not-a-virus:AdWare.Win32.EZula.bh". Action Taken: No Action Taken. Tue Nov 01 19:01:23 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\A0054697.EXE.VIR Tue Nov 01 19:01:23 2005 => File C:\Programme\AVPersonal\INFECTED\A0054697.EXE.VIR tagged as "not-a-virus:AdWare.Win32.EZula.bh". Action Taken: No Action Taken. Tue Nov 01 20:08:11 2005 => Total Disinfected Files: 0 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Tue Nov 01 18:40:21 2005 => File C:\WINDOWS\woinstall.exe tagged as "not-a-virus:AdWare.Win32.EZula.ak". Action Taken: No Action Taken. Tue Nov 01 19:01:23 2005 => File C:\Programme\AVPersonal\INFECTED\A0054220.EXE.VIR tagged as "not-a-virus:AdWare.Win32.EZula.bh". Action Taken: No Action Taken. Tue Nov 01 19:01:23 2005 => File C:\Programme\AVPersonal\INFECTED\A0054697.EXE.VIR tagged as "not-a-virus:AdWare.Win32.EZula.bh". Action Taken: No Action Taken. Tue Nov 01 20:08:09 2005 => File C:\WINDOWS\woinstall.exe tagged as "not-a-virus:AdWare.Win32.EZula.ak". Action Taken: No Action Taken. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "offending" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Tue Nov 01 18:39:28 2005 => Offending value found in HKLM\Software\Licenses: {i56b3cf0d9ab991e1} !!! Tue Nov 01 18:39:28 2005 => Offending value found in HKLM\Software\Licenses: {056b3cf0d9ab991e1} !!! Tue Nov 01 18:39:29 2005 => Offending file found: C:\WINDOWS\woinstall.exe Tue Nov 01 18:39:32 2005 => Offending file found: C:\Dokumente und Einstellungen\*****\Eigene Dateien\elitetoolbarremoverv10\readme.rtf ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Tue Nov 01 20:08:10 2005 => Total Virus(es) Found: 15 Tue Nov 01 20:08:11 2005 => Total Errors: 126 Tue Nov 01 20:08:11 2005 => Time Elapsed: 01:29:53 Tue Nov 01 20:08:10 2005 => Total Objects Scanned: 72399 Tue Nov 01 18:37:21 2005 => Virus Database Date: 2005/11/01 Tue Nov 01 20:08:11 2005 => Virus Database Date: 2005/11/01 Tue Nov 01 20:09:35 2005 => Virus Database Date: 2005/11/01 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~ © Haui ;-) ~~~~~~~ ~~~~~~~ Dank an Cidre ~~~~~~~ |
Hi nochmal, könnte sich das mal jemand ansehen? Ich weiß doch nicht was ich machen soll. Danke und LG |
Hallo Alheivi Dein Trojaner ist kein Backdoor.Somit ist noch nix verloren.Aber du hast eine Menge Spione an Bord. http://virus-protect.net/temp.html .auf dieser Seite findest du Clear Prog.Das nimmst du,setzt mit allen Optionen und löscht die temporären Dateien.Alles anhaken. Dann suchst du dir das Programm "Spybot Search and Destroy" und "AdAware Personal Free Edition" mit Hilfe von Google, beide updaten und im abgesicherten Modus beide durchlaufen lassen.Laß sie löschen was sie vorschlagen. An die Entfernung des Trojaners traue ich mich nicht ran.Da mußt du leider auf Hilfe vom Kompetenzteam warten. Adaware Personal Free :http://www.download.com/Ad-Aware-SE-...bj=dl&tag=top5 Spybot S&D :http://www.safer-networking.org/de/download/index.html Irrlicht |
Danke @Irrlicht, so komm ich hoffentlich schon mal ein Stückchen weiter. LG Heike |
Deine AV scanner,du hast zwei,(Antivir und Norton)beide die Quarantäneordner oder Ausschlußlisten(so ähnliche Namen)löschen. Dann dieser hier noch laufen lassen :http://www.hoverdesk.net/freeware.htm Regseeker downloaden,entpacken,starten.Languages>deutsch>Registrierung säubern>alles löschen Rechtsklick>ausgewählte Einträge löschen. Hast du einen Security Task Manager mal installiert ? Wenn du die finden kannst>C:\WINDOWS\woinstall.exe >löschen Der auch runterladen : http://download-tipp.de/shareware_un...are/7996.shtml lies was dabei steht,installieren,updaten,den Wächter abschalten und dann >scanner>vollerSystemscan.Alle Funde löschen. Dann neuer E Scan Irrlicht |
Lade und update Ad-aware und Spybot und lasse die Programme laufen. http://www.comsafe.de/download.html MiT Spybot immunisieren. Installiere cleanup, rufe es auf und setze den Haken bei alles löschen und dann Löschen drücken. http://www.clearprog.de/ Leere den Quarantäneordner des Antivirenprogrammes. Installiere: http://www.ewido.net/de/download/ Poste dann das Ergebnis. Weiterhin neues HJT-log, sowie einen neuen escan. ösche vorher im verzeichnis C:\bases_x die Datei mwav.log. Viel Glück |
Also Ad Aware ist immer auf dem neusten Stand. Anti-Vir hab ich komplett deinstalliert und Spybpt installiert. Desweiteren Clear-Prog installiert und ausgeführt und ewido installiert. Ach ja, ich hab seit heute auch NIS 2005 incl. AntiSpyware Edition auf dem PC (bisher NIS 2002 mit allen Updates gehabt). So, erst mal ein neues HJT-log: Zitat:
|
Sry, weiß nicht ob ich grad beim Testen was vergessen hatte, daher gleich noch mal ein aktueller Log: Zitat:
|
Prüfe das System mal mit Ewido und lasse bereinigen. Poste dann mal den Report. |
Da ich mom an der Arbeit bin kann ich erst heute abend die Logs bzw. Berichte posten. Gestern abend hatte ich nicht alles richtig gemacht wie mir grad einfällt. Da hab ich wohl schon halb geschlafen :confused: Also bis heute abend und vielen Dank an Euch. LG |
So, nun hab ich glaub ich erst mal alles. Also los: - mit Spybot = keine Spione gefunden, - Ad-Aware = nur unbedeutende Objekte gefunden, - Regseeker = Registry gesäubert, aber Spybot hat Warnmeldungen gegeben, weiß leider nicht mehr welche :( - Ewido: Zitat:
Zitat:
LG |
@alheivi Am besten poste mal den HijackThis Log von normaler Modus nicht von abgesicherter Modus Gruss Expert |
Ist das jetzt ok? Oder muß ich noch etwas anders machen? :confused: Zitat:
|
Sorry, wenn ich jetzt etwas unruhig werde. Aber das hab ich gerade bei der automatischen Logfileauswertung gefunden: Zitat:
Zitat:
EDIT: Mein Junior hat mir gerade gesagt, was er mit Anti-Vir "gelöscht" hat: ez PopStub.exe ist Trojaner TR/Drop.Apropo.AB Er hatte das auf nem Zettel stehen und hat sich nicht getraut mir das zu sagen. Vielleicht hilft das weiter? Hoffe Ihr könnt mir helfen :headbang: |
Hmm, kann leider nicht editieren. Also ich hab jetzt noch mal mit Regseeker die Registry gesäubert. Dabei wird mir angezeigt: C:\WINDOWS\System32\wuauclt10.exe - Datei oder Pfad existiert nicht, gehe ich dann aber auf löschen meldet sich Spybot mit "Änderung in der Registrierungsdatenbank verboten. und bei C:\Windows\System32\blank.htm meldet Spybot: Resident verweigert die Änderung von Lokal Page, obwohl der Pfad vorher auch als nicht existent angezeigt wurde. :heulen: |
Du hast bei der Installation von S&D den Teatimer mitinstalliert. Schaue, on Du den abstellen kannst. Wenn nicht, deinstalliere S&D. Dann sollte Regseeker auch seine Arbeit verrichten. Hinterher installiere S&D wieder, aber ohne Teatimer. |
Hi Alheivi Hast du die wuauclt 10.exe mal bei Jotti oder Malewareupload hochgeladen ? Wenn die nix finden,versuche mal das :http://www.silentrunners.org/sr_scriptuse.html installieren und ausführen,poste das Ergebnis bitte. Irrlicht |
@irrlicht Regseeker findet sie schon, S&D blockiert mit dem Teatimer:huepp: Zitat:
|
Schon klar ,Felix Aber bevor S&D drauf kam hat sie Regseeker doch auch schon laufen lassen,wie aus dem Thread ich glaube zu entnehmen,oder ? Meinst du ich versuche mit Kanonen nach Spatzen zu schießen ? Also ich bin gespannt wie das weitergeht............. Irrlicht |
Nee, wenn sich alheivi an die Anleitungen gehalten hat, war S&D schon vor dem Regseeker auf dem PC.:party: Zitat:
|
So, nun bin ich endlich zu hause. Finde es echt toll von Euch, daß Ihr Euch solche Sorgen macht :party: Aber wie am Anfang geschrieben hatte ich von so etwas wie hier gar keine Ahnung. Also, ich hab gerade Felix1 Rat befolgt und Spybot deinstalliert. Dann hab ich Regseeker durchlaufen lassen und siehe da, weg war das was S&D nicht ändern wollte. Hier nun erst mal der neue Log: Zitat:
|
Sieht schon besser aus. Lösche mit HJT noch folgendes: O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = Lade Killbox: http://www.comsafe.de/download.html Starte den PC im abgesicherten Modus (F8 beim Starten). Starte Killbox und lösche diese Datei: C:\WINDOWS\System32\wuauclt10.exe |
Sorry Felix, wie lösche ich mit HJT? :dummguck: Und in diesem Zusammenhang noch eine Frage: Bei RegSeeker seh ich als installiertes Programm SPBBC (Your Company Name), wenn ich in der Sys.Steuerung bei Software nachsehe gibt es das nicht. LG |
HJT laufen lassen. Dann vor den entsprechenden Einträgen anhaken, Fix checket drücken. Das war es. Wenn Du einmal dabei bist, fixe auch: O4 - HKLM\..\Run: [shell32] C:\WINDOWS\System32\wuauclt10.exe Programm beenden. Deaktiviere die Systemwiederherstellung. Danach PC im abgesicheten Modus hochfahren. Weiter wie beschrieben. SPBBC (Your Company Name), Zitat:
Schön in Ruhe lassen. |
So Felix, hab hoffentlich alles richtig gemacht und nun noch mal ein Log: Zitat:
|
Sieht eigenlich gut aus. Noch ein paar Sachen: Installiere S&D wieder, aber ohne Teatimer. Halte es aktuell. Deinstalliere Ewido wieder, denn es ist nur eine 14-Tage-Version. Suche ein verlässliches Antivirenprogramm. An der Diskussion , welches das Beste ist, beteilige ich mich hier im Board nicht. Das ist so, als wenn sich puperitäre männliche Jugendliche unterhalten, wer den längsten hat. Schaue Dich halt um. Benutze zum Surfen einen sichereren Browser als IE. Z.B Firefox. Halte das System immer schön up-to-date. Haue Deinem Sohn auf die Finger. Viel Spass mit Deinem PC. Ein schönes WE wünscht der Felix:teufel1: , der eigentlich hier zuhause ist: http://www.netzwerktotal.de/impressum.htm#team |
Hallo Felix, Spybot ist wieder drauf und Ewido deinstalliert. Wegen einem anderen Browser kümmere ich mich heute, entweder Firefox oder Opera. Mal sehn welcher mir mehr zusagt. Und nun - auch im Namen meines Sohnes - vielen vielen Dank an alle die mir hier geholfen haben und vorallem das Ihr so viel Geduld mit mir gehabt habt. Ich hab auf jeden Fall eine menge dazugelernt :huepp: LG alheivi |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 22:37 Uhr. |
Copyright ©2000-2025, Trojaner-Board