|
Probleme nach dem Hochfahren des PC - Bitte mal das Log prüfen Hallo zusammen! Heute morgen fuhr mein Rechner normal hoch, aber bis auf den Dektop-Hintergrund und den Mauszeiger wurde nichts angezeigt. Keine Taskleiste, kein Kontextmenü, nichts. Die Farbeinstellungen der Grafikkarte wurden auch nicht übernommen. Der Taskmanager funktionierte auch nicht. Ich konnte den Mauszeiger bewegen, aber das war's auch schon. Nachdem ich den Rechner 2x in den abgesicherten Modus (einmal mit, einmal ohne Netzwerktreiber) gestartet hatte (hier funktionierte alles bestens (Taskleiste, Kontextmenü..) und mit escan und Spybot durchgescannt hatte (ohne Meldungen), war ich auch nicht schlauer. Dann bootete ich mit der Avira-Notfall-CD und scannte mein System. Auch ohne Fund. Nach diesem Scan jedoch fuhr ich meinen Rechner nochmal hoch und nun klappte alles normal. Taskleiste da und auch alles andere funktioniert wie es soll. Kann mir bitte jemand mein Hijack-This-Logfile auswerten, denn ich weiss nicht, ob dieses Problem nicht doch einen Maleware-Hintergrund hat(te). Zitat:
Ich kann ehrlich gesagt, bis auf die 3fachen [CTFMON.EXE]-Einträge (sind die ok?), nichts auffälliges entdecken. Aber ich bin im besten Fall nur ein Amateur, deshalb wollte ich Euch Profis mal hinzuziehen. :-) Wo ich schon mal dabei bin: Ich habe gestern mit dem RootkitRevealer (im Admin-Modus) einen Scan durchgeführt und dabei kam folgendes Logfile heraus: Zitat:
Ich danke allen im Vorraus für Ihre Mühe und Arbeit. Viele nehmen dieses Board und die Hilfe, die man hier findet, als selbstverständlich und deshalb möchte ich nochmal allen selbstlosen Helfern hier danken für ihren unermüdlichen Einsatz. Gruß Nez_Perces PS: Ich gehe über einen Router ins Internet, habe alle relevanten Microsoft-Sicherheits-Patches drauf, unnötige Dienste abgeschaltet (per Script) und aktualisiere meinen Virenscanner täglich. Weiss nicht, ob diese Infos Euch helfen, wollte es aber erwähnen. |
Das Problem besteht weiterhin. Seltsam: Wenn ich den Boot-Vorgang durch das drücken der F8-Taste unterbreche und im Menü auf "Normal Booten" auswähle, funktioniert es einwandfrei. Genauso, wenn der Boot-Vorgang durch die eingelegte Avira-Notfall-CD unterbrochen wird und ich im Menü auf "Booten von der Festplatte" auswähle. In diesen Fällen gibt es keine Probleme. Danke im Vorraus für Eure Hilfe. |
hallo dein system ist infiziert. installiere nun zuerst das ComboFix, bevor wir weitere Arbeiten an deinem System vornehmen. Folge dieser Anleitung, waehle die deutsche Übersetzung: Combofix Guide & Instructions, um dich dort über die Anleitung zum Combofix zu informieren, insbesondere über die Installation der Wiederherstellungs Konsole. Installiere die Wiederherstellungskonsole zuerst. Poste anschliessend ein ComboFix Logfile und ein neues HijackThis Log. Hinweis: klicke nicht in das Fenster vom ComboFix, während es läuft, das könnte das Programm veranlassen hängen zu bleiben. Hinweis: das ComboFix kann einige Einstellungen des Internet Explorers zurücksetzen und ihn zu deinem Haupt-Browser machen. Hinweis: das ComboFix verhindert das starten von CDs, Floppies, USB Geräten, um die Malware Entfernung zu unterstützen und die Sicherheit zu erhöhen. |
@markusg: Erstmal danke für die Antwort. Als ich nach Anleitung die Wiederherstellungskonsole installieren wollte (über ComboFix), schlug AntiVir Alarm: "In der Datei 'C:\ComboFix\pv.cfexe' wurde ein Virus oder unerwünschtes Programm 'SPR/Tool.PV' [riskware] gefunden." Ok, ich dachte an eine Fehlermeldung, wobei auf der ComboFix-Seite über solche Fehlermeldungen von Anit-Viren-Programmen nichts stand. Ich erlaubte den Zugriff. Nach Installation der Konsole kam ein Dialogfenster, in welchem in etwa folgendes Stand: "1/100 Rechnern wird durch diesen Vorgang zerstört/beschädigt/unbrauchbar...(habe den genauen Wortlaut nicht im Kopf, sorry)..Sind Sie sicher, dass Sie den Desinfektionsvorgang fortsetzen möchten?" Was soll das? Auf der ComboFix-Seite mit der Anleitung steht nichts über so ein Dialogfenster und dabei wird auf 11 (ausgedruckten) Seiten Schritt für Schritt eine Anleitung gegeben. Nichts gegen Dich markusg, aber ist es 100% sicher, dass mein Rechner infiziert ist? Wie gesagt, escan, AntiVir und Spybot brachten sowohl im abgesicherten Modus als auch im normalen Modus keine Warnung oder Alarm. Ich würde gerne eine 2. fundierte Meinung zu meinem Problem lesen, wenn es nicht zu viele Umstände macht. Nochmals Danke im Vorraus für Eure Mühen. Gruß Nez_Perces PS: Ich ziehe ernsthaft in Betracht mein System neu aufzusetzen, da ich mir wirklich nicht sicher bin, ob es noch vertrauenswürdig ist oder nicht. |
O4 - HKLM\..\Run: [LanguageShortcut] D:\Multimedia\CyberLink\PowerDVD\Language\Language .exe daran sieht mans z.B. das dein rechnder infiziert ist. Der schnellste weg ist neu machen wenn du dazu bereit bist, tu es. bitte keine programme sichern nur persönliche daten. nach dem neu instalieren die windows updateseite aufsuchen alle updates einspielen sowie antivir. |
außerdem kannst du meiner meinung vertrauen und auch die programme verwenden die ich dir nenne... kenn mich da aus und du bist net der erste bei dem diese verwendet werden. |
So, ich habe gestern mein System neu aufgesetzt. Bevor ich in irgendeiner Weise online ging, habe ich alle relevanten Sicherheitsvorkehrungen getroffen, wie sie auch hier auf der Seite als Anleitung für das Neuaufsetzen des Systems vorgeschlagen werden. Ich habe mit escan, Spybot, AntiVir mein System jeweils im abgesicherten und normalen Modus gescant und es wurde nichts gefunden. Hier mein HijackThis-Log-File (im Admin-Modus): Zitat:
Nach dem Neuaufsetzen spielte ich alle Updates/Patches auf bevor ich eine Internetverbindung aufgebaut habe um meine Scanner-Updates zu machen. PS: Zitat:
Hier: http://www.trojaner-board.de/43427-b...r-logfile.html ist die Datei ebenfalls zu erkennen im HijackThis-Log und [Gc]Sunny hatte nichts zu beanstanden. Ich verstehe das nicht. Sorry. Hier auch mein RootkitRevealer-Log-File von heute morgen: Zitat:
|
schau mal diese datei hat ein leerzeichen im namen dies deutet auf einen schädling hin. bitte nun doch noch mal combofix ausführen,. hast du vllt programme dateien etc aus nicht vertrauenswürdiger quelle? |
@markusg: Danke für Deine Geduld mit mir. Ok, ich werde (sobald ich an meinem Heim-Rechner sitze) ComboFix durchlaufen lassen. Diese, oben von mir beschriebenen, (Fehler-)Meldungen sind also ganz normal beim Arbeiten mit ComboFix? Danke nochmals für die Mühe. Nez edit: Alle von mir benutzten Programme sind entweder Freeware (aus vertrauenswürdigen Quellen (CHIP- bzw. PC-Welt-DVDs) oder (wie im Fall von Power-DVD) mit meinem Rechner zusammen gekauft worden. FileSharing-Programme oder ähnliches Zeug nutze ich überhaupt nicht. |
wollt dir net zu nahe treten mit der frage ;-) Ja, dieses programm ist sicher. es nimmt halt verenderungen am system for und könnte schäden verursachen. bitte mit rettungskonsole instalieren dies erhöt die sicherheit noch mal. |
Zitat:
Mal abgesehen vom Raub geistigen Eigentums ist das illegale downloaden aus diesen ganzen P2P-Netzwerken in höchstem Maße gefährlich (Maleware hoch zehn). |
Hier mal ein neues Logfile: Zitat:
Jedoch ist dieses Leerzeichen ansonsten nicht existent. Das heisst, es fehlt sowohl im Texteditor als auch im HijackThis-Fenster: http://i6.photobucket.com/albums/y23...his-Screen.jpg http://i6.photobucket.com/albums/y23...tor-Screen.jpg Tut mir leid, wenn ich sicherlich nerve, aber da ComboFix mein System schädigen kann (ok, eine mögliche Infizierung tut's ja auch), und ich nicht schon wieder nach so kurzer Zeit mein System neu aufsetzen möchte (der Microsoft-Telefonist wäre sicher nicht erfreut), will ich nur auf Nummer sicher gehen. Sorry. edit: Kann ich die Wiederherstellungskonsole auch über die WinXP-CD installieren? Ich kann nämlich bei der von Dir verlinkten Seite nichts für das SP3 finden. |
Hi, poste das Logfile bitte mal in [code]-tags anstatt in [quote]-tags. lg myrtille |
Und bitte nutze die aktuelle HiJackThis Version! :) |
Code: Logfile of HijackThis v1.99.1Kein Lehrzeichen. Hmmm... edit: Übrigends jetzt im Benutzer-Konto-Modus gemacht. edit -The Return-: Ich gehe offline und installiere die neue HijackThis-Version. Sorry. ;-) |
Ok, jetzt der Log (im Admin-Modus) mit der neuesten HiJackThis-Version. Nochmals Entschuldigung für die ganze Arbeit. Code: Logfile of Trend Micro HijackThis v2.0.2 |
nimm die fürs sp2 dieses leerzeichen muss aber da sein... bitte combofix verwenden. |
Zitat:
Wie meinst Du das? Muss es da sein, weil Du denkst das System ist infiziert oder muss es da sein, damit die Datei als unbedenklich angesehen werden kann?? Ich verstehe so langsam nur Bahnhof, sorry. |
in deinem letzten log ist kein leerzeichen mehr da. dieses hätte auf einen infekt hingedeutet. wir können zur sicherheit, wenn du willst nun combofix noch mal laufen lassen oder noch n paar seiten über die sinnhaftigkeit diskutieren... |
Zitat:
Also gut, ich werde ComboFix laufen lassen. Nur so mal nebenbei: Ist mein Logfile, bis auf dieses ominöse Leerzeichen, sauber? Zum wiederholten mal Danke! :) |
wie gesagt in deinem letzten taucht es nicht mehr auf. möchte nur sicher gehen. |
So, mein System hat ComboFix unbeschadet überstanden. :) Bin vielleicht zu übervorsichtig, aber seht mir das bitte nach. ;) Hier also das ComboFix-Logfile: Zitat:
|
also scheint doch was auf deinem syys zu sein. * Lade Malwarebytes' Anti-Malware auf deinen Desktop herunter. Malwarebytes.org - 10k - * Mache einen Doppel-Klick auf die mbam-setup.exe und folge den Hinweisen, um das Programm zu installieren. * Vergewissere dich nun, dass folgende Optionen angehakt sind: o Malwarebytes' Anti-Malware updaten o Malwarebytes' Anti-Malware starten * Klicke nun auf Fertigstellen. * Wenn ein Update gefunden wird, wird es heruntergeladen und die neueste Version installieren. * Wenn das Programm fertig geladen ist, wähle kompletScan durchführen, klicke auf Scan. * Wenn der Scan beendet ist, klicke auf OK, dann auf Ergebnisse anzeigen. * Vergewissere dich, dass neben allen Malware-Einträgen ein Häkchen sitzt. * Klicke dann auf 'Ausgewähltes entfernen' und auf OK. |
Hier das Malwarebyte's Anti-Malware Logfile: Zitat:
edit: Macht es Sinn dieses Programm im abgesicherten Modus laufen zu lassen oder reicht dazu (wie oben getan) der Admin-Modus? |
ist ok so. ist das ne windows cd oder ein image? zeig ein neues hjt-log |
Hier das aktuelle HJ-Logfile: Code: Logfile of Trend Micro HijackThis v2.0.2Ich habe beim Neuaufsetzen die Festplatte formatiert und komplett alles neu Installiert. Habe kein Image aufgesetzt. |
So langsam verzweifle ich noch. Jetzt ist das Problem schon wieder aufgetreten: - Ich fahre meinen Rechner hoch - Ich wähle beim Auswahlbildschirm das Konto mit eingeschränkten Rechten aus - Das Laden der Benutzereinstellungen dauert länger als normal - Der Dektophintergrund wird geladen und das war's auch schon: Kein Mauszeiger, keine Schnellstart- bzw. Taskleiste, kein Kontextmenü läßt sich öffnen und der Taskmanager kann auch nicht aufgerufen werden. Nach einem Reset, startet aber alles normal. Kann sowas an der Hardware liegen? Ich weiss wirklich nicht wo das Problem liegt. |
Nachdem ich gestern abend die neueste escan-Version heruntergeladen hatte und im Admin-Modus ausführte, fanden sich 15 gefährliche Einträge wie z.B. "parentis Spyware/Adware", "kazaa Spyware/Adware", "Backdoor [ircbot]trojans" und "Combo Spyware/Adware"!! Wie das denn?? Seit dem Neuaufsetzen des Systems vor einigen Tagen war ich ausser auf Trojaner-Board nur noch auf der Microsoft-Seite, Ikariam.de und tagesschau.de. Ich verstehe die Welt nicht mehr.:confused: Habe mein System zum wiederholten mal platt gemacht (Formatiert und Neuinstallation von Windows XP Pro). Ich hätte jetzt einige Fragen und hoffe, dass Ihr sie mir beantworten könnt. Ich setze alle Tipps zum Neuaufsetzen und Absichern des Systems, die man hier bekommen kann, um. Das Script zum Abschalten unnötiger Windows-Dienste wird auch ausgeführt und ich überprüfe bei heise.de, ob auch alles dicht ist. Alle relevanten Updates und Patches werden aufgespielt (vor erstmaligem Online-Gang) und ich benutze auch weder Cracks, Software aus illegalen Quellen, Filesharing-Programme oder sonstig potentiell gefährliche Software. Kann es sein, dass das nach dem Aufspielen des SP3 irgendwelche Einstellungen des Scripts zum Abschalten unnötiger Windows-Dienste rückgängig gemacht werden und ich das Script erneut ausführen sollte? Kann es sein, das ComboFix Schäden an meinem System verursacht hat, die die Sicherheit beeinträchtigen? Mir ist ein sicheres System wirklich sehr wichtig. Ich kenne genügend Idioten (muss man wirklich sagen), die sich einen Sch... um ihr System interessieren und nach dem Motto leben "Bei mir kann nichts ausgespäht oder gelöscht werden, also was interessieren mich die anderen". Das mein Rechner Teil eines Botnetzes werden kann oder sonstwie missbraucht wird, darauf kann ich gerne verzichten. Ich möchte nochmals allen danken (vorallem markusg), die Zeit und Mühe für mein Problem aufgewendet haben, bzw. aufwenden. Ihr macht einen tollen Job! :daumenhoc PS: Ich gehe über einen Router ins Netz. Kann eine Malware den Router befallen haben? |
Hi, ohne markusg jetzt hier reinfahren zu wollen, kann ich dich doch ein wenig beruhigen: eScan ist für seine Unzahl von Fehlalarmen bekannt. Poste mal ein Log mit der find.bat dann sollte man recht schnell erkennen können, ob deine Bedenken begründet sind, oder obs nochmal gutgegangen ist. ;) lg myrtille |
Zitat:
Tja, wie oben schon geschrieben, habe ich mein System gestern abend (nach diesen doch für mich schockierenden "Funden") wieder platt gemacht, die Festplatte formatiert und Windows neu aufgesetzt. Ehrlich gesagt muss ich seit neustem jedes mal mich mit irgendeinem Microsoft-Hotline-Mitarbeiter rumschlagen und ihm erklären, dass ich WinXP Pro nur auf einem Rechner am laufen habe, so oft habe ich mittlerweile eine Neuaufsetzung des Systems einer Bereinigung vorgezogen. Komme mir jedesmal ziemlich blöd und unter Verdacht gestellt vor. Ich hoffe inständig, dass ich mal Ruhe vor Schädlingen haben werde (wenn es auch heutzutage immer schwieriger wird, denen aus dem Weg zu gehen). Sobald mein System komplett eingerichtet und abgesichert ist, poste ich mal ein neues HiJack-Logfile. Zu meinen Fragen oben: Hoffe es kann jemand eine halbwegs befriedigende Antwort zu ihnen geben. :) |
Ich habe nun mein System vollständig eingerichtet und poste mal mein aktuelles HijackThis-Log (erstellt noch vor der ersten Online-Verbindung): Code: Logfile of Trend Micro HijackThis v2.0.2Code: HKLM\SECURITY\Policy\Secrets\SAC* 26.05.2008 07:47 0 bytes Key name contains embedded nulls (*)Code: Malwarebytes' Anti-Malware 1.12Escan fand übrigends gleich zu Beginn des Prozesses der Neuaufsetzung "parasite Spyware/Adware" (15 Einträge) und "combo Spyware/Adware" (1 Eintrag). Zu diesem Zeitpunkt hatte ich allerdings gerademal das Betriebssystem, das Motherboard und die Grafikkarte installiert (alles von Original-CDs). Die find.bat zu diesen escan-Funden kann ich nicht posten, da die Datei irgendwie nicht funktionieren will. Nach dem Doppelklick auf find.bat (auf dem Desktop) öffnet sich zwar kurz ein Fenster, aber das verschwindet sehr schnell und es wird keine Textdatei erstellt. Hoffe, dass Ihr mir die obigen Logs interpretieren könnt und, dass ich diesmal alles richtig gemacht habe mit dem Neuaufsetzen. Im Vorraus Dank und viele Grüße Nez_Perces |
Hi, das Hijackthislog ist sauber. Die gefundenen Registryschlüssel von Rootkitrevealer sind von Spysweeper. Die Dateien wohl von Microsoft. Daher denk ich dass das auch sauber ist. Die von Malwarebytes gefundene Datei dürfte auch saubergewesen sein. Ich sehe keinen Anlass zur Sorge. Wenn du mit eScanprobleme hast, bitte Bescheid sagen. :) lg myrtille |
Vielen Dank myrtille für Deine Hilfe und nochmal vielen Dank auch an markusg für seine Mühe und Geduld mit mir. :o :daumenhoc Was "Spysweeper" betrifft: Ich hatte noch nie dieses Programm installiert. Wüsste also wirklich nicht, woher diese Registry-Schlüssel kommen sollten. Danke vielmals für Eure Hilfe. :party: Mit Grüßen der Erleichterung Nez_Perces :Boogie: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:36 Uhr. |
Copyright ©2000-2025, Trojaner-Board