|
Kann jemand mein logfile anschauen? Hallo, ich hatte heute mehrere Trojanerwarnungen von meinem Antivir bekommen. Der Trojaner "TR/Crypt.FKM.Gen" sei auf meinem Rechner! Einiges googeln (und suchen hier im Forum) machten mir dann eine Heidenangst. Es hieß irgendwie, daß Russen oder Ukrainer meinen Rechner mitverwenden... Ich poste hier im 1. Beitrag mal das logfile, das ich dann gemacht habe. Im 2. Beitrag teile ich mit, welche 2 Elemente ich gefixt habe. Im 3. Beitrag dann mein jetziges logfile. Wenn sich das jemand angucken könnte, der sich auskennt, wäre das supi! Ach ja: muß ich UNBEDINGT die auf dem Rechner gespeicherten Passwörter ändern? Also, hier mein ursprüngliches logfile: Zitat:
|
So, nun teile ich mit, welche 2 Elemente ich gefixt habe: 1.: [?] O4 - HKLM\..\Run: [TempCom] C:\WINDOWS\FONTS\F0E25.com - Fuzzy Algorithmusprüfung (3.13 / 5.00), Neutral Habe ich gefixt! 2.: [?] O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\svchost.exe:exe.exe - Unbekannter Dienst. (svchost.ex) Habe ich auch gefixt! |
So, nun mein aktuelles logfile: Zitat:
|
Hallo Sabine01, zunächst zwei Rückfragen: Gibt es außer den Meldungen von AntiVir sichtbare Anzeichen für einen Schädlingsbefall (ein ungewöhnliches Verhalten deines Rechners z. B.)? In welchen Dateien hat AntiVir einen Befall gemeldet? Du kannst dies nachsehen unter "Ereignisse", dort nach "Funden" suchen und die Dateipfade hierher kopieren. edit: Hat HijackThis Backups der gefixten Dateien angelegt? Schau bitte im Ordner c:\programme\hijackthis danach. |
Zitat:
********************************************************* Zitat:
1.: Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Danke erstmal, Sabine |
Hm. :confused: Mach bitte Folgendes: 1. Alle versteckten Dateien und Ordner sichtbar machen. 2. Die beiden folgenden Dateien suchen, die du gefixt hattest: Zitat:
3. EScan, im Anschluss die Ergebnisse der find.bat posten. Zitat:
|
Hallo Franz, ich hatte schon zuvor nach diesen beiden Dateien gesucht. Ich kann sie weder durch anklicken und "manuelles" Durchsuchen der entsprechenden Ordner, noch durch einen Suchlauf finden! Alle versteckten Dateien und Ordner habe ich sichtbar gemacht (das ist bei mir ohnehin Standard, habe es aber nochmal geprüft). EScan folgt. Viele Grüße |
Oh je, dieses Escan läuft ja ewig! Bis jetzt behauptet das Programm, bereits 13 Viren gefunden zu haben. Etwas mißtrauisch bin ich da schon, zumal gleich die Aufforderung kam, die Vollversion zu kaufen. Siehe auch diesen Beitrag in einem anderen Forum. Na ja, ich lass da jetzt mal weiterlaufen und poste dann die Ergebisse. Viele Grüße, Sabine (gerade an einem anderen Rechner) |
OK, EScan ist beendet, hier das Ergebnis: Zitat:
Danke und Grüße, Sabine |
Sodele. Mit Abstand am interessantesten sind wieder einmal die "infected files", während die Infektionsmeldungen doch arg nach eScan-typischen Fehlalarmen klingen. (Dein Misstrauen ist da durchaus berechtigt.) Als erstes versuche bitte, diese Datei Zitat:
Zweitens - und jetzt wird's heikel, denn als Windows 2000-Nutzer, das keine Systemwiederherstellung kennt, weiß ich nicht, ob's funktioniert - versuche, diese Datei bei Virustotal scannen zu lassen: Zitat:
Drittens poste ein SilentRunners-Logfile nach KarlKarls Anleitung: Zitat:
|
Habe die Reihenfolge mal geändert, hoffentlich nicht schlimm...! Zitat:
Zitat:
Die "Virustotal"-Website meldet dann: Zitat:
Zitat:
Zitat:
|
So, hier noch das Silentrunners-Logfile: Zitat:
|
Was den "Virustotal"-Test angeht, habe ich diesen gerade nochmals gemacht. Jetzt meldet mein Antivir nichts mehr! Vielleicht war es also gut, die Option "Datei löschen" anzuklicken? |
Zitat:
Wir machen jetzt Folgendes, denn auch SilentRunners hilft nicht wirklich weiter: Update bitte dein AntiVir, fahre deinen Rechner herunter, boote neu in den abgesicherten Modus (-> beim Start F8 drücken, dann die entsprechende Auswahl treffen). Evtl. Funde bitte nicht löschen, sondern zunächst ignorieren. Im Anschluss den Report posten. Zuvor diese Datei bei Virustotal auswerten lassen: Zitat:
Nachtrag: Nutzt du bewusst einen Proxy-Server, wie hier zu sehen? Zitat:
|
OK, die Virustotal-Auswertung kommt hier unten. Den AntiVir-Report kann ich erst heute nacht oder morgen bringen, denn eine komplette Überprüfung durch AntiVir dauert bei mir einige Stunden! (habe erst vorhin einen gemacht, Ergebnis sah harmlos aus...). Dank + Gruß, Sabine edit: hier mal das Ergebnis als Scrennshot-Bild. Zitat:
|
Zitat:
edit: shmgrate.exe ist ok. |
Proxy verwende ich derzeit nicht. Hatte ihn beim IE mal eingerichtet, vor langer Zeit, als ich mal über JAP (Anonymizer) ins Netz ging. In meinem IE ist er aber gerade nicht angeklickt. "Ausgegraut" sieht man die Nummer des Proxys, entspricht derjenigen, die Du hier zitierst. Ansonsten verwende ich ohnehin fast nur firefox. Sabine |
Hallo Frank, AntiVir hatte ich heute morgen mal laufen, war auch nicht im abgesicherten Modus. Ich mache das also jetzt, so wie Du es empfohlen hast, und melde mich dann mit dem Report. Grüße, Sabine |
OK, habe nun ein AniVir-Update gemacht, abgesicherter Modus, da habe ich mich dann aber nicht als "Administrator" angemeldet, sondern unter meinem üblichen Benutzernamen (ist mit Admin-Rechten ausgestattet, ist also okay so, oder?). Hoffentlich habe ich mein AntiVir auch ordentlich konfiguriert!? Ergebnis: kein Virenfund, 2 (wohl harmlose?) Warnungen (siehe unten). Derzeit läuft mein Rechner wieder schön schnell. Kann es sein, daß nichts schädliches (mehr) drauf ist?!?:party: Viele Grüße, Sabine Zitat:
|
Hallo, ist bei mir jetzt alles okay? Nochmal vielen Dank + Grüße, Sabine |
Ich fürchte nein. Aber wirklich viel fällt mir nicht mehr ein. Mach bitte Folgendes: 1. Lade das filelist.zip auf deinen Desktop herunter. 2. Entpacke die Zip-Datei auf deinen Desktop, öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei 3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen 4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein. Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen: Verzeichnis von C:\ Verzeichnis von C:\WINDOWS\system32 Verzeichnis von C:\WINDOWS Verzeichnis von C:\WINDOWS\Prefetch (Windows XP) Verzeichnis von C:\WINDOWS\tasks Verzeichnis von C:\WINDOWS\Temp Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp |
Hallo Frank! Deinen folgenden Satz habe ich nicht verstanden: Zitat:
Ich kann hier mal den gesamten Inhalt posten, der sich in der editor-Datei befindet: Zitat:
|
Ich meinte filelist.zip, wie in meinem vorhergehenden Posting verlinkt. Mit der find.bat des eScan (den du noch einmal gemacht hast?) hat das nichts zu tun. |
OK, hier die filelist.zip-Daten: Zitat:
|
So. Nachdem wir ein paar Tage im Nebel herum gestochert haben, kommen wir der Lösung möglicherweise ein Stück näher. Dazu mache ich wieder einmal eine Anleihe bei unserem User KarlKarl, es geht um diesen Eintrag aus deinem ursprünglichen HijckThis-Logfile: Zitat:
Zitat:
(Bisher war ich davon ausgegangen, dass HijackThis ADSs nicht darstellt. :rolleyes:) Also alles klar? Catchme.exe herunterladen, an der Eingabeaufforderung (Start -> Ausführen -> cmd.exe) den von KarlKarl angegebenen Befehl eingeben, im Anschluss die Datei C:\bad.file bei Virustotal scannen. Danach schauen wir weiter. |
Habe dies gemacht. Das schwarze Fenster zeigt mir an: Zitat:
Nach Upload bei Virustotal lautet das Ergebnis: Zitat:
Viele Grüße, Sabine |
Moin Sabine, die svchost.exe:exe.exe hatte dem log zufolge Antivir in die Quarantäne geschoben (was immer das sein soll, nach ads sieht mir das Teil irgendwie auch nicht aus :balla:). Um vielleicht an ein paar Infos zu kommen, probier SDFix: - downloaden - sdfix.exe entpacken - runthis.bat starten - (U)pdaten! - aktuell ist v1.112 - in den abgesicherten Modus wechseln - runthis.bat starten und Kaffee trinken - report posten Allerdings halte ich eine Bereinigung für einen Tanz mit dem Teufel. Ich zitiere mal raman aus nem anderen thread: Zitat:
|
Hallo! Hier der Report: Zitat:
|
Höchst interessant in dem Zusammenhang ist auch dieser Thread: http://www.trojaner-board.de/45264-d...dig-daten.html, aus dem ich KarlKarls Hinweis entwendet hatte. ;) Im Gegensatz zu dem Threadersteller wird bei dir, Sabine01, kein ADS gefunden, obwohl der wahrscheinlich böse Eintrag aus dem HijackThis-Logfile derselbe ist: Zitat:
|
Zitat:
|
So, liebe Leute, vielen Dank nochmal! Ich habe jetzt XP neu ausgesetzt. Leider habe ich nicht verstanden, ob nun wirklich alles sicher ist.Denn ich habe nur sog. "Recovery CDs". Mir ist nicht klar, ob die Festplatte formatiert wurde:dummguck: Kann ich irgendwie herausfinden, ob mein Gerät jetzt "sauber" ist? Und noch eine Frage: empfiehlt es sich "Spyware Doctor" zu installieren? Gibt es mit Reparaturfunktion hier: http://pack.google.com/intl/de/pack_installer.html?hl=de&gl=de&utm_source=de_DE-et-more&utm_medium=et&utm_campaign=de_DE Ich kenne das Programm aber leider nicht! Viele Grüße, Sabine |
Habe SDFix nochmal ausgeführt. Ich dachte ich sehe nicht recht: während SDFix läuft (nach dem 2. Hochfahren) zeigt mir mein AntiVir doch glatt eine Virenwarnung an!!! Das gibt´s wohl nicht!! Zitat:
Zitat:
|
Recovery-CD: Ich habe null Erfahrung mit Recovery-CDs :schmoll:, aber im Regelfall setzen sie dein Betriebssystem in den Auslieferungszustand zurück und löschen zumindest die Systempartition. Wie das Prozedere genau abläuft, kann ich dir nicht sagen; die Recoveries unterscheiden sich auch von Hersteller zu Hersteller. Daher frag am besten beim support deines Herstellers nach (in der stillen Hoffnung, einen kompetenten Mitarbeiter an die Strippe zu bekommen :D). Antispyware-Doc: Über die Leistungsfähigkeit des scanners kann ich dir nix sagen, es fällt nur auf, dass der Scanner wie Sauerbier von bunten Zeitschriften und Google angeboten wird. Generell halte ich Antispywaretools für komplett überflüssig und installiere mir sowas nicht. Bleib bei Antivir, konfiguriere den scanner vernünftig, das reicht dicke. Zitat:
Das log von SDfix ist i.O. Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:03 Uhr. |
Copyright ©2000-2025, Trojaner-Board