|
TR.Agent.6938.A Hijackthis log mbm logs. Gibt es noch Rettung? Hi, ich habe seit zwei Tagen den Trojaner TR/Agent.6938.A auf meinem PC. Bei weiteren Scans mit Malwarebytes Anti-Malware wurden auch noch der Worm/Autorun.NH, resycled.boot.com, Worm/Agent.86432 und TR/Passcrack.B gefunden. Ich habe sie alle gelöscht. Jedoch habe ich jetzt das Problem, dass ich nicht auf meine Partitionen zugreifen kann. Es kommt immer die Fehlermeldung, dass resycled\boot.com nicht gefunden werden konnte. Ich bin total hilflos und hoffe das ihr mir helfen könnt. Anbei die Angaben zu meinem PC und die Hijackthis und MBM Logfile. Microsoft Windows XP Professional Version 2002 Service Pack 3 Pentium 4, 3,4 Ghz, 1 GB Ram Hijackthis Log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 00:40:21, on 17.10.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe E:\Tobit ClipInc\Server\ClipInc-Server.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe C:\Programme\Labtec\WebCam10\WebCam10.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Winamp\winampa.exe C:\Programme\Java\jre1.6.0_06\bin\jusched.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0C2.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\ALCWZRD.EXE C:\WINDOWS\ALCFDRTM.EXE C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\DAEMON Tools\daemon.exe C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe C:\Programme\Duden\Duden Korrektor\DKTray.exe E:\Tobit ClipInc\Player\ClipIncTray.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\Programme\Duden\Duden Korrektor\DKCore.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Orbitdownloader\orbitdm.exe C:\Programme\Orbitdownloader\orbitnet.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe C:\Programme\Java\jre1.6.0_06\bin\javaw.exe C:\Programme\Office-Bibliothek\officebib.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\Java\jre1.6.0_06\bin\jucheck.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\+++++\Desktop\HiJackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h++p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h++p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Programme\Orbitdownloader\GrabPro.dll O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Labtec\WebCam10\WebCam10.exe" /hide O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0C2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB001" /M "Stylus C64" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [AlcFDMonitor] C:\WINDOWS\ALCFDRTM.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKCU\..\Run: [Duden Korrektor SysTray] C:\Programme\Duden\Duden Korrektor\DKTray.exe O4 - HKCU\..\Run: [ClipIncSrvTray] "E:\Tobit ClipInc\Player\ClipIncTray.exe" O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE O4 - Startup: Wuala.lnk = C:\Dokumente und Einstellungen\+++++\Anwendungsdaten\Wuala\Roaming\Wuala.exe O4 - Global Startup: Office-Bibliothek-Direktsuche.lnk = C:\Programme\Office-Bibliothek\PCLib.exe O4 - Global Startup: Orbit.lnk = C:\Programme\Orbitdownloader\orbitdm.exe O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201 O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204 O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203 O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h++p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://www.olb.de/olb_fb3_1806_1/plugin/AXFOAM.CAB O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h++p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1213390514812 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h++p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1213390645562 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - E:\Tobit ClipInc\Server\ClipInc-Server.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LVSrvLauncher - Labtec Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe -- End of file - 10614 bytes MBM Logs: 1. Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1276 Windows 5.1.2600 Service Pack 3 16.10.2008 20:33:45 mbam-log-2008-10-16 (20-33-45).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|J:\|K:\|) Durchsuchte Objekte: 189257 Laufzeit: 1 hour(s), 16 minute(s), 8 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 5 Infizierte Verzeichnisse: 1 Infizierte Dateien: 3 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\Pornovid (Trojan.DNSChanger) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System (Rootkit.DNSChanger.H) -> Data: kdbvh.exe -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{4d923251-20ca-4aa7-99a5-b3a19ae36697}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.126;85.255.112.131 -> Delete on reboot. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{4d923251-20ca-4aa7-99a5-b3a19ae36697}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.126;85.255.112.131 -> Delete on reboot. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Tcpip\Parameters\Interfaces\{4d923251-20ca-4aa7-99a5-b3a19ae36697}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.126;85.255.112.131 -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Tcpip\Parameters\Interfaces\{4d923251-20ca-4aa7-99a5-b3a19ae36697}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.126;85.255.112.131 -> Quarantined and deleted successfully. Infizierte Verzeichnisse: C:\resycled (Trojan.DNSChanger) -> Quarantined and deleted successfully. Infizierte Dateien: C:\WINDOWS\system32\kdbvh.exe (Rootkit.DNSChanger.H) -> Delete on reboot. C:\Dokumente und Einstellungen\+++++\Lokale Einstellungen\Temp\Grenzg?nger.doc (Trojan.Extension.Exploit) -> Quarantined and deleted successfully. C:\WINDOWS\Temp\tempo-565.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully. 2. Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1276 Windows 5.1.2600 Service Pack 3 16.10.2008 22:41:33 mbam-log-2008-10-16 (22-41-33).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|J:\|K:\|) Durchsuchte Objekte: 188820 Laufzeit: 1 hour(s), 13 minute(s), 26 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 2 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{4d923251-20ca-4aa7-99a5-b3a19ae36697}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.126;85.255.112.131 -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{4d923251-20ca-4aa7-99a5-b3a19ae36697}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.126;85.255.112.131 -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\+++++\Lokale Einstellungen\Temp\Grenzg?nger.doc (Trojan.Extension.Exploit) -> Quarantined and deleted successfully. 3. Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1276 Windows 5.1.2600 Service Pack 3 17.10.2008 00:13:30 mbam-log-2008-10-17 (00-13-30).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|J:\|K:\|) Durchsuchte Objekte: 188993 Laufzeit: 1 hour(s), 12 minute(s), 37 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\+++++\Lokale Einstellungen\Temp\Grenzg?nger.doc (Trojan.Extension.Exploit) -> Quarantined and deleted successfully. Vielen Dank im Voraus :) Ps: CCleaner wurde auch schon angewendet. |
Hallo Lass mal bitte Combofix durchlaufen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code] |
Hi, erstmal danke schön, dass Du mir hilfst. Ich habe erst CCleaner noch einmal durchlaufen lassen und dann Combofix. Hier die Log von Combofix, Code: ComboFix 08-10-16.08 - +++++ 2008-10-17 20:06:08.1 - NTFSx86 |
Weiterer Post, da zuviele Zeichen. Zudem habe ich auch noch einmal Hijackthis durchlaufen lassen. Hier das Log: Code: Logfile of Trend Micro HijackThis v2.0.2Code: Malwarebytes' Anti-Malware 1.28Code: In der Datei 'C:\WINDOWS\NIRCMD.exe'Vielen lieben Dank nocheinmal für Deine Hilfe. Cheers mohfiya |
Weiter wurden noch folgende Antivir Meldungen gemacht. Code: In der Datei 'C:\System Volume Information\_restore{88E927C2-4B63-4E5B-96EE-C6C1A4AA4A8D}\RP236\A0046539.exe'Code: In der Datei 'K:\resycled\boot.com'Danke mohfiya |
Hi, also hier mein neuestes MBM Log: Code: Malwarebytes' Anti-Malware 1.28Ich dreh echt am Rad, Antivir findet immer wieder: Code: In der Datei 'C:\System Volume Information\_restore{88E927C2-4B63-4E5B-96EE-C6C1A4AA4A8D}\RP236\A0046546.com'Danke mohfiya |
So, ich habe jetzt auch nochmal SDfix durchlaufen lassen. Hier das Log: Code: SDFix: Version 1.236 Code: Logfile of Trend Micro HijackThis v2.0.2Für weitere Hinweise, Ratschläge und Tipps wäre ich sehr sehr dankbar. Vielen lieben Dank, mohfiya |
Du solltest doch die Systemwiederherstellung deaktivieren. Malwaredateien landen ja auch in den System-Volume-Information-Ordnern, Du hättest da keine Meldungen mehr bekommen über Dateien in diesen Ordnern wenn Du die SWH deaktiviert hättest. Überprüf mal, ob auf allen Laufwerken bei Dir der Ordner (x steht für den Laufwerksbuchstaben des jew. Laufwerkes) x:\resycled vorhanden ist - wenn ja, am besten erstmal löschen, aber bitte eine darin evtl. vorhandene boot.com bei Virustotal auswerten lassen. Und ja, Du hattest eine Umleitung in die Ukraine lt. Malwarebytes: Code: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{4d923251-20ca-4aa7-99a5-b3a19ae36697}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.114 192.168.0.1 -> Quarantined and deleted successfully. |
Oh man, das mit der Systemwiederherstellung habe ich wohl überlesen...:dummguck: Dann werde ich wohl vorsichtshalber das System neuaufsetzen. Vielen lieben Dank für deine Hilfe. |
Hallo nochmal, ich bin ratlos. Ich habe Parition c: (habe c-e) formatiert und XP mit SP 3 neu installiert. Aber MBM findet immer nochwas ;( Ich habe nochmal Hijackthis und MBM durchlaufen lassen. Ich hoffe Du kannst mir nochmal helfen. Hier die Logs: Hijackthis: Code: Logfile of Trend Micro HijackThis v2.0.2Code: Malwarebytes' Anti-Malware 1.29Hilfos :( |
Was hast Du direkt nach dem Neuaufsetzen denn schon alles ausgeführt? Von alleine landen keine Schädlinge auf der Platte und von alleine ändern sich auf keine TCP/IP-Einstellungen :rolleyes: Die Einträge, die MBAM da entfernt hat, enthalten IP-Adressen, die man defintiv der Ukraine zuweisen kann und die Adressen stammen mit Sicherheit wohl nicht von Deinem Provider :rolleyes: |
Hi, ich habe eigentlich nichts installiert ausser (Chipsatz-, Lan-, Audio-,Grafiktreiber) Antivr, MBM, Thunderbird, Firefox, Tune Up, Trilian. Ich habe das Gefühl, das irgendwas mit dem Router nicht stimmt (DI 524). Da ich keine Downloads von der microsoft.com Seite machen kann. Auf allen anderen Seiten aber wohl. Nachdem ich dann gestern nur über das Modem ins Netz gegangen bin, konnte ich von der Seite das SP 3 laden. Ich versteh es nicht, das Ding hätte doch weg sein müssen...Antivir hat auch nichts mehr gefunden... Habe auch das normale Formatieren genommen (nicht schnell) im NTFS. mfg mohfiya |
Wo hast Du die Setups her? Hast Du die neu heruntergeladen oder aus dem versifften System übernommen (macht man nicht bei ausführbaren Dateien!) Hattest Du min. das SP2 installiert vor dem ersten Gang ins Internet? Wie gesagt, wenn Du richtig neu aufgesetzt hast, wären die Einträge definitiv nicht da. Von irgendwo müssen die herkommen. |
So, ich habe das System jetzt erneut Neuaufgesetzt (formatiert und installiert). Ersten Inet Kontakt mit SP3 drauf. Alle Treiber frisch über meinen Laptop ausm Netz und von CD auf dem PC installiert. Jetzt habe ich gerade MBM runtergeladen und durchlaufen lassen und wieder die selben Einträge. Code: Infizierte Dateiobjekte der Registrierung:mfg mohfiya |
Da gibts eigentlich nur zwei Möglichkeiten. Entweder MBAM irrt sich da, oder Du führst immer munter einen Schädling aus. :rolleyes: Die Einträge sollten bei einem frischen Windows aber definitiv nicht da sein. Ich hab noch keinen wirkichen Anhaltspunkt, was bei Dir tatsächlich der Infektionsherd ist. Ich fass nochmal zusammen: - alle Partitionen formatiert - Windows frisch vom Originaldatenträger neuinstalliert - erst ins Internet gegangen, als min. das SP2 installiert war - Treiber von vertrauenswürdigen Quellen (neu) heruntergeladen und installiert Was mir jetzt noch zusätzlich einfällt (obwohl ich den Router bauchgefühlgemäßig zu 99% als Infektionsquelle ausschließen würde): - DLink Router (WLAN) ist mit ausreichend starkem Schlüssel mit WPA/WPA2 abgesichert? :confused: - Router hat die neuste Firmware Und um nochmal Klarheit bzgl. des MBR zu schaffen: Führe dieses MBR-Tool aus und poste die Ausgabe |
Hi Sorry, das ich mich erst jetzt wieder melde. Habe die Umleitung jetzt wegbekommen. Ich habe sowohl Laptop als auch PC und alle USB-Sticks formatiert. Zudem habe ich einen Router 'reset' gemacht und ihn neu eingerichtet. Ich wollte nochmal Danke sagen für die Hilfe!!! cheers mohfiya |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 15:32 Uhr. |
Copyright ©2000-2025, Trojaner-Board