|
Brauche dringend Hilfe - mein PC ist krank Hallo, habe hier im Forum gelesen, dass Ihr ein Logfile braucht um mir helfen zu können. Ich hoffe ich habe das mit dem Logfile richtig hinbekommen?! (Siehe Anhang) Liebe Grüße Diana |
Hallo, scanne folgende Datei online bei Jotti und/oder Virustotal C:\WINDOWS\nuexinnd.exe C:\mousepad3.exe C:\WINDOWS\system32\cisvc.exe C:\WINDOWS\RGlhbmE\command.exe C:\PROGRA~1\GEMEIN~1\mrro\mrrom.exe C:\\keyboard3.exe C:\\mousepad3.exe C:\\newname3.exe C:\WINDOWS\system32\o8840ilqe8qe0.dll poste bitte nur die postiven(befallenen) Ergbnisse hier. Gruß Schrulli |
Hallo Schrulli, danke für die schnelle Hilfe. Hier die Ergebnisse: C:\mousepad3.exe ==>Dr.Web Adware.DollarRevenue gefunden , NOD32 a variant of Win32/TrojanClicker.VB.LI gefunden C:\keyboard3.exe ==> AntiVir Heuristic/VB.Downloader gefunden (mögliche Variante) , Dr.Web Trojan.DownLoader.6969 gefunden, NOD32 a variant of Win32/TrojanDownloader.VB.WG gefunden , VBA32 Trojan.DownLoader.6969 gefunden Keyboard3.exe gibt es noch im Unterverzeichnis Prefetch, da wars aber sauber. C:\WINDOWS\nuexinnd.exe ==> Entdeckte Packprogramme: UPX AntiVir Trojan/Dldr.IstBar.IJ.1 gefunden ArcaVir Trojan.Downloader.Istbar.Ij gefunden Avast Win32:Istdnldr-Y gefunden AVG Antivirus Collected.5.AO gefunden BitDefender Trojan.Downloader.IstBar.IJ gefunden ClamAV Trojan.Downloader.Istbar-119 gefunden Dr.Web Trojan.Isbar.214 gefunden F-Prot Antivirus W32/Istbar.JN@dl gefunden Fortinet W32/IstBar.IJ-tr gefunden Kaspersky Anti-Virus Trojan-Downloader.Win32.IstBar.ij gefunden NOD32 Win32/TrojanDownloader.IstBar.gen gefunden Norman Virus Control W32/Istbar.TK gefunden UNA TrojanDownloader.Win32.IstBar gefunden VirusBuster Adware.Istbar.DT gefunden VBA32 Trojan-Downloader.Win32.IstBar.ij gefunden C:\PROGRA~1\GEMEIN~1\mrro\mrrom.exe==> An die Datei läßt er mich nicht mehr ran. Ich wurde beim Scannen rausgeschmissen und jetzt ist sie weg. C:\WINDOWS\system32\o8840ilqe8qe0.dll ==>Was mach ich falsch? Der will nicht! Hoffe ich hab einigermaßen geholfen. Sorry, dass es so lange gedauert hat. Bin leider noch Anfänger. Gruß Diana |
Hallo, Du machst das schon :) lösche manuell: C:\mousepad3.exe C:\WINDOWS\nuexinnd.exe lade Ewido update es und lass es das System bereinigen. Dannach führe einen eScan durch( dauert lange!). Anleitung zum eScan, ist etwas verzwickt, in meiner Signatur verlinkt. Poste den Inhalt der eScan_neu.txt. Gruß Schrulli |
-Danke-:confused: Was mache ich, wenn sich mousepad3.exe nicht löschen lässt? |
Hallo, lade Killbox (gibts in meiner Signatur), öffne es, suche die Datei und wähle "delete on reboot". Starte das System neu. Prüfe ob die Datei noch vorhanden ist. Gruß Schrulli |
Hallöle... ist leider immernoch da... vorher kann ich nicht mit dem Säubern anfangen, oder?:balla: Grüßle Di |
Hallo, sorry wenn ich mich einmische, aber bei einer so massiver verseuchung empfehle ich im Normafall neuaufsetzen, schon allein weil dies schneller geht als eine Bereinigung. Wenn du unbedingt doch reinigen willst solltest du erstmal noch folgendes machen und die vier Logs posten, aber nur die Dateien des letzten Monats abkopieren! Erfahrungsgemäß droppt der Trojaner nämlich noch mehr Dateien als im HijackThis Log ersichtlich. Grüße Wildone |
Oh je... so schlimm gleich? Hab ich mir alles heute eingefangen.... *seufz* Platt machen will ich ihn noch nicht.. dann muß ich halt bereinigen. Werd mir mal Deine Punkte durchlesen. Mom. Di |
Hallo, ich vermisse die C:\WINDOWS\RGlhbmE\command.exe im online Scan. @ Wildone: Wurm? Gruß Schrulli |
Hallo Schrulli, die war sauber.... Gruß Di |
Hallo, @Schrulli Nein das ist Adware, um genau zu sein AdWare.Win32.CommAd.a (Kasperspy), sonst hätte ich eine reinigung erst gatr nicht in Betracht gezogen. Aber der Downloader ist ja auch schon unschön genug, und look2me ist ja auch noch da, aber das wird mittlerweile alles auf einen Rutsch installiert, was da was nachlädt kann ich auch nicht mit Gewissheit sagen. Grüße Wildone |
Hallo, ok, dann bin ich mal ruhig.:dummguck: Gruß Schrulli |
Hallo, mußt du nicht, wollte nur vermeiden das eine halbe Reinigung von statten geht, weil man da viel übersehen kann. Es ist auch möglich das das im Logfile zu sehende "schon" alles war, aber ist halt besser da auf Nummer sicher zu gehen. Grüße Wildone |
Hallo, Zitat:
Mal sehen, was die logs sagen Gruß Schrulli |
Der erste Scan... Weitere folgen gleich.. (Datei war viel zu groß) |
Nur der letzte Monat! Und die Datei C:\WHCC2.exe kannst du auch mal hier überprüfen lassen und das Ergebnis posten. |
Teil 2/1 Oh je.. das wird wohl dauern... |
Hallo, wenn Du Zitat:
Gruß Schrulli |
Ich versuche es, aber die Datei war auch schon nur von 1 Monat so groß :aplaus: |
Hallo, die große Datei mußt du nicht zwingend weiter posten, meine Schuld dich nicht vorher die Tempdateien löschen zu lassen. Wichtig ist noch die Datei über C:\Windows Grüße Wildone |
Sodala.... sind wir jetzt komplett? Sorry für das Chaos... *schäm* Di |
So, und noch die letzte Datei. |
Hallo, [edit]sorry, dummpost [/edit] Gruß Schrulli |
Habs trotzdem kurz gescannt. Ist nat. auch infiziert. Grüßle Di |
Hallo, das ist die befürchtete Sauerei. Überprüfe mal noch die oben genannte datei und poste das Ergebnis (erledigt), dann machen wir jetzt erstmal den ersten grobenDurchputz. Gehe in den abgesicherten Modus (F8 beim booten drücken) und lösche mit killbox folgende Dateien on reboot: C:\Windows\System32\azebar.xml C:\Windows\System32\ad.html C:\Windows\System32\xssp1res.dll C:\Windows\System32\atmtd.dll._ C:\Windows\System32\atmtd.dll C:\Windows\keyboard31.dat C:\Windows\newname.dat C:\Windows\drsmartload95a.exe C:\Windows\azesearch.bmp C:\WHCC2.exe C:\mousepad3.exe C:\keyboard3.exe C:\WINDOWS\RGlhbmE\command.exe Dann besorgst du dir folgendes Tool und läßt es wie beschrieben drüberlaufen. Außerdem löschst du mal noch deine Temp Dateien mit Cleanup! Dann postest du noch mal die vier Logs der Datfind.bat und ein neues HijackThis Log. @Schrulli können wir überprüfen, ist aber glaube ich auch irgendein Trojan.download.* deswegen hatte ich gleich an löschen gedacht. Grüße Wildone |
Hallo, @Wildone: Hab dann aber gelesen, das alles so um den 17.03 22:01 rum weg sollte, also ohne scannen, daher Full Ack. Gruß Schrulli |
Ich weiß, das ist jetzt peinlich, aber wie komme ich in den abgesicherten Modus? :schmoll: |
Hallo, starte den Rechner neu und drücke vor dem erscheinen des Windows Logos F8! Gruß Schrulli |
Hallo, und schreib dir vorher die Dateien auf, du kannst nämlich im abgesicherten Modus nicht online gehen. Kannst auch ruhig mehrmals auf F8 drücken, sicher ist sicher :D Grüße Wildone |
Kann doch nebenher online sein. 2. PC machts möglich... Dauert noch nen moment. Soll das Tool auch im abgesicherten Modus durchlaufen? Grüßle Diana |
Nächstes Problem. ad.html und command.exe nicht auffindbar. Hab ihr nen Tipp? |
und.... der Look2Me Remover läuft nicht im abgesicherten Modus.:kloppen: |
Hallo, komisch, in deinem ersten system32 Log war sie noch da, im zweiten schon nicht mehr, hast du dazwischen etwas gelöscht? Was die command.exe angeht, falls du sie nicht findest, überspringe es dann kümmern wir uns da später bzw. morgen drum. Den l2m Remover im normalen modus laufen lassen. Grüße Wildone |
Ok, bin beim Durchsuchen. Bin ja mal gespannt. Aber an der Stelle: VVVVVVVVVVVVVVVVVIIIIIIIIIIIIIIIIIIIIIIIIIEEEEEEEEEEEEEEEEEEEELLLLLLLLLLLEEEEEEENNNNN, VVVVIIIIEEEEELLLLLEEENNNN Dank für die tolle Hilfe an Euch Beide. Ich hätte sonst wohl format c: nicht umgehen können...:huepp: Danke, Danke, Danke, Danke..... ;o) |
Wow, jetzt hab ich aber ganz schön an Rechnerleistung verloren... also, hier die Logs... |
Hallo, hast du den Remover schon laufen lassen? Das HijackThis Log fehlt noch. Zitat:
Grüße Wildone |
Ja, der lief schon. Ja, mein PC fährt gerade mit Handbremse. Anklicken ==> 1 Minute warten ==> Fenster öffnet sich.... Aber jetzt kommen wenigstens nicht mehr ganz so viele Pop Up Fenster wie vorher rein. *grübel* |
Hallo, vielleicht liegt es daran das du Escan und Ewido installiert hast. Der look2me Remover hat leider nichts gebracht. Benutze alternativ mal l2mfix wie beschrieben, die Logs mußt du aber nicht posten, nur danach wieder ein HijackThis Log. Wenn du die beiden Programme schon installiert hast könntest du uns auch mal die Reportlogs zukommen lassen. Bei Ewido ist das kein Problem, bei Escan nach den Begriffen "infected" und "tagged" suchen (bearbeiten>>suchen) und die jeweiligen Ergebnisse posten. Du hast übrigens die Kaufversion von escan installiert, nicht die kostenlose MWAV Version, also wirst du den bald wieder deinstallieren müssen. Ich gehe jetzt aber zu Bett, vielleicht macht Schrulli noch weiter, wenn nicht werde ich morgen wieder reinschauen. Grüße Wildone |
Hab das Remote Programm gerade nochmal drüber gelassen. Die Rechnerleistung hat sich dadurch aber nicht verbessert. Könnte aber auch an den vielen Viren-Kits liegen, die gerade alle laufen.......?!???? Was sagen den die Log-Files? |
Danke nochmal.... machs jetzt auch nur noch ein kleines bissl weiter... und dann ab ins Bett... Bis morgen... Di |
Hallo, Vorschlag: [edit]KEIN LSP-FIX[/edit] Lade Dir look2me Destroyer und führe es aus Lösche mittels Killbox falls dann noch vorhanden :l80u0id9e80.dll Fixe mittel HJT (kopiere es aber vorher in einen Ordner z.B. c:\programme\HJT, dann kannst Du die Änderungen wieder Rückgänig machen): R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://searchbar.findthewebsiteyouneed.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://searchbar.findthewebsiteyouneed.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://searchbar.findthewebsiteyouneed.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.findthewebsiteyouneed.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://searchbar.findthewebsiteyouneed.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://searchbar.findthewebsiteyouneed.com R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - Default URLSearchHook is missing O4 - HKLM\..\Run: [keyboard] C:\\keyboard3.exe O4 - HKLM\..\Run: [mousepad] C:\\mousepad3.exe O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - h**p://www.pixaco.de/static/download/pixacodndupload.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106208076234 O16 - DPF: {727D6ED1-A073-4828-A338-4621098AAD86} - h**ps://www.openbc.com/sync/openBC%20Plug-In.cab O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} (MediaGatewayX) - h**p://static.zangocash.com/cab/Zango/ie/bridge-c18.cab?83e5fc6d995c376ab70458af1b406574d8c437787d8dd6c88b6c2ac3f84c5c4e1ad957b13b6defd6eebdb1dff93974d7acba375bbc19f23d91e9c49c9ce792b34d1a074f2a:6f7 50d40ae25fea7e1b37b6906113080 O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - h**p://www.azebar.com/install/azesearch.cab O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - h**p://as.photoprintit.de/ips-opdata/activex/IPSUploader.cab Schalte bei Ewido den Hintergrundwächter aus, das bringt schon mal was. Gruß Schrulli [edit] links entfernt GUA [/edit] |
Hallo, die sagen das schon einiges gemacht ist, aber auch das z.B. look2me noch harnäckig ist. Sollte aber mit dem anderen Entferner eigentlich weg gehen. Ansonstenliegt das langsame Verhalten natürlich an deinen AVs, wenn die gerade laufen. Teile und wenn sie fertig sind das Ergebnis mit, da wir bestimmt noch das ein oder andere auftauchen. Aber ich gehe jetzt endgültig ins Bett, bis morgen. Edit @Schrulli Lass das mal mit LSPfix sein, das ist Escan der die Datei reingeschrieben hat, das hat schon seine Richtigkeit, wird auch wieder gelöscht wenn Escan deinstalliert wird. Grüße Wildone |
So, meine letzte Tat für heute Nacht.. Hier sind die Logs. (Das escan log ging in die Hose). |
Hallo, wenigstens look2me ist jetzt weg. Von Ewido wollte ich eigentlich die Reportdatei, die alle sachen enthält die gefunden wurden. Die Sachen die Schrulli gesagt hast kannst du mal noch mit HijackThis fixen, zusätzlich noch: O20 - Winlogon Notify: Run - C:\WINDOWS\system32\l80u0id9e80.dll (file missing) Und lass bitte nicht Escan und AntiVir "on access", will heißen mit aktivem Guard, laufen das kann zu erheblichen Problemen führen! Was genau funktioniert denn nicht bei dem escan Log? @Schrulli War da nicht mal was mit aktiven Links :D Wird mecker von Gua geben Grüße Wildone |
Guten Morgen, Zitat:
Liebe Grüße Diana P.S. Scan läuft gerade.. dauert aber sehr lange.... PC läuft wieder gut, seitdem nur noch ein AV läuft. |
Hallo, Zitat:
Grüße Wildone |
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://searchbar.findthewebsiteyouneed.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://searchbar.findthewebsiteyouneed.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://searchbar.findthewebsiteyouneed.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.findthewebsiteyouneed.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://searchbar.findthewebsiteyouneed.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://searchbar.findthewebsiteyouneed.com R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - Default URLSearchHook is missing O4 - HKLM\..\Run: [keyboard] C:\\keyboard3.exe O4 - HKLM\..\Run: [mousepad] C:\\mousepad3.exe O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - h**p://www.pixaco.de/static/download/pixacodndupload.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106208076234 O16 - DPF: {727D6ED1-A073-4828-A338-4621098AAD86} - h**ps://www.openbc.com/sync/openBC%20Plug-In.cab O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} (MediaGatewayX) - h**p://static.zangocash.com/cab/Zango/ie/bridge-c18.cab?83e5fc6d995c376ab70458af1b406574d8c437787d 8dd6c88b6c2ac3f84c5c4e1ad957b13b6defd6eebdb1dff939 74d7acba375bbc19f23d91e9c49c9ce792b34d1a074f2a:6f7 50d40ae25fea7e1b37b6906113080 O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - h**p://www.azebar.com/install/azesearch.cab O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - h**p://as.photoprintit.de/ips-opdata/activex/IPSUploader.cab Die hier meine ich. Das was er in seinem Posting geschrieben hat. Grüße Di |
Hallo, das sind "nur" Einträge in die Registry, die zugehörigen Dateien hast du schon gelöscht. Jetzt sollst du die Einträge die diese Dateien aufrufen löschen. Grüße Wildone |
Sodala, hier die Log Files. Ich starte jetzt nochmals neu und mache nochmal nen hijack. |
Hallo, das sieht doch schon mal nach Land aus. Hast du Ewido absichtlich so eingestellt das er ignoriert und nicht beseitigt? Wenn ja, stelle auf "löschen mit Rückfrage" oder ähnlich. Dann alles bis auf C:\Programme\eScan\scaninst.exe löschen lassen. Und die Ordner: C:\PROGRAM FILES\Zango Programs\ C:\Programme\webHancer\ C:\Programme\whInstall\ löschen, wenn es nicht funktioniert wieder mit der Deltree Funktion von killbox. Grüße Wildone |
Nein, hab nur nicht gewußt ob ichs löschen darf. Ich lass es nochmal durchlaufen. Hier noch die aktuelle hijack this. Grüßle Di |
Hallo, jetzt mache noch einen Haken bei HijackThis vor alle von Schrulli und mir genannten Einträge und klicke auf "fix checked". Dann noch ein neues Logfile. Grüße Wildone |
So, jetzt hab ichs dann auch mal kapiert :lach: (Ist nicht immer leicht mit ner Frau zusammenzuarbeiten, oder?) Hier das neue Log-File. |
Hallo, Zitat:
So das hier noch ebenfalls fixen: O20 - Winlogon Notify: Run - C:\WINDOWS\system32\l80u0id9e80.dll (file missing) Außerdem deinstallierst du Escan wieder. Bei Ewido kannst du den Guard abstellen, der wird nach 14 Tagen sowieso automtisch deaktiviert. Ansonsten sollte es das jetzt soweit gewesen sein, war ja auch schwer genug die Geburt. Mache aber zur Kontrolle noch einen Onlinescan bei Panda (mit IE, und nimm Panda wenn nötig in die vertrauenswürdigen Seiten auf) und berichte. Grüße Wildone |
Unfreundlicher? das find ich aber hart..... Sollte man für die tolle Hilfe nicht dankbar sein?! Und............ ja, ich glaube mein PC war kurz vorm Neuformatieren, oder? Also: So das hier noch ebenfalls fixen: O20 - Winlogon Notify: Run - C:\WINDOWS\system32\l80u0id9e80.dll (file missing) ==> Ist erledigt. Escan habe ich deinstalliert. Aber die Seite von Panda hat ein Problem (mein Rechner sagt Syntaxfehler). Ich kann die Überprüfung nicht durchführen. Grüßle Diana |
Sodala, hier noch der neuste Ewido-Bericht |
Hab den Scanner zum Laufen gebracht. (Unter der Ami-Version). Sieht aber noch nicht gut aus.... Kurzes Zwischenergebnis: Detected Disinfected Virus 0 0 Spyware 3 0 Hacking Tools and potentially unwanted tools 3 0 Ist aber noch nicht fertig mit scannen. |
Hallo, poste mal wenn er fertig ist genau was er meint (mit Pfaden), dieses "Hacking Tools and potentially unwanted tools" kann durchaus der look2meremover oder destroyer sein, da schlagen die Avs schonmal gerne drauf an. Grüße Wildone |
Sp, nachdem ich jetzt sämtliche Scanner einmal drübr gelassen habe, ergaben sich folgende Tatsachen. Aktivscan: (Siehe Anhang) 1-3 Sachen gibt es da noch. Allerdings habe ich das Gefühl, dass er nach einer gewissen Zeit abbricht. Spybot: Hat nochmals 4 Quellen gefunden, aber auch eigenständig reparieren können. Ich mach jetzt mal einen Neustart und mal sehen, ob dann immernoch alle weg sind. Grüßle Diana |
So, und nochmal... hier ist jetzt der komplette Bericht. (Diesmal hat er nicht abgebrochen). Liebe Grüße Diana |
Hallo, die letzten drei kannst du vergessen, das ist l2mfix. Die anderen Einträge sind Registrykeys, wobei nur der eine Eintrag näher bezeichnet ist. Den kannst du beseitigen indem du in die Registry gehst (Start>>ausführen>>"Regedit") und ihn löschst. Die anderen beiden werden wir wohl nicht finden, sie sind aber ohne Dateien die sie aufrufen können harmlos. Also war es das jetzt. Bleibt zu sagen das du das was du vorgestern um 22:01 gemacht hast niewieder machen wirst, und allgemein gesprochen du solltest keine Programme aus unseriösen Quellen ausführen (Crackseiten, P2P usw.), denn nochmal ist wahrscheinlich niemand so bekloppt und krazt dir das runter. Grüße Wildone |
Hallo Wildone, vielen, vielen Dank für alles! Ich kann Dir gar nicht sagen, wie Du mir geholfen hast. An dieser Stelle sei hoch unf heilig versprochen, dass ich sowas nicht mehr wiederholen werde!:heilig: Würd mich gerne mal revangieren, also wenn ich Dir bei was helfen können sollte, sag einfach bescheid! Liebe Grüße und danke nochmal! Diana |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:24 Uhr. |
Copyright ©2000-2025, Trojaner-Board