|
Riesenproblem (Bei google wechsel andere Seiten, Keine Downloads möglich, usw.] Also gut dann schildere ich mal mein riesenproblem. Ich mache mein Abitur und da ist der PC mein ein und alles wie ich es wieder Woche wieder festelle und zwar muss ich bis Donnerstag eine Hausarbeit fertig haben, mit der ich schon angefangen habe und auf meinem PC gespeichert ist aber auch Daten aus dem Internet downloaden muss und googlen usw. Und durch die Viren ist es unmöglich die Arbeit fertigzustellen. Die Probleme: 1. Google suche unmöglich da er auf irgendwelche "jump irgendwas seiten springt" 2. Wenn ich Virenprogramme downloaden möchte oder andere Sachen z.b ein VIrenprogramm aktivieren oder zu Updaten. Kann die Internet/Update Seite nicht abgerufen/angezeigt werden 3. Vor 2 Tagen war es nicht möglich sich als Benutzer anzumelden weil man sofort wieder abgemeldet wurde oder nichts angezeigt wurde. Was ich dann irgendwie mit dem Taskmanager behoben habe oder hoffe behoben zu haben. Ich bin einfach ratlos und weiß nicht was ich tuhen kann :headbang: so hijackThislogfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:54:47, on 22.12.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\WINDOWS\Explorer.EXE C:\Programme\Bonjour\mDNSResponder.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\drivers\CDAC11BA.EXE C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\Mixer.exe C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\RUNDLL32.EXE D:\Programme\Rising\Rav\RavTask.exe C:\Programme\Windows Live\Messenger\MsnMsgr.Exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\PnkBstrA.exe D:\Programme\Rising\Rav\Ravmon.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\system32\msiexec.exe C:\Programme\PcCloneEX\PcCloneEX.EXE D:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Windows Live\Messenger\usnsvc.exe C:\Programme\Java\jre1.6.0_05\bin\jucheck.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\System32\wbem\wmiprvse.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = h**p://dnl.crawler.com/support/sa_customize.aspx?TbId=60429 R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\twext.exe, O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" O4 - HKLM\..\Run: [RavTask] "D:\Programme\Rising\Rav\RavTask.exe" -system O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "D:\Programme\DAEMON Tools Pro\DTProAgent.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll O9 - Extra button: Send to Mindjet MindManager - {531B9DC0-D8EE-4c76-A6EE-6C1E50569655} - C:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://w*w.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1206829949250 O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - h**p://messenger.zone.msn.com/binary/ZIntro.cab56649.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{9507004F-47D4-4460-A1CC-39AD0CD18772}: NameServer = 62.220.18.8 89.246.64.8 O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - D:\Programme\a-squared Free\a2service.exe O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Programme\WinPcap\rpcapd.exe O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Information Technology Co., Ltd. - D:\Programme\Rising\Rav\CCenter.exe O23 - Service: Rising RealTime Monitor (RsRavMon) - Beijing Rising Information Technology Co., Ltd. - D:\PROGRAMME\RISING\RAV\Ravmond.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - Unknown owner - C:\Programme\Spyware Doctor\pctsAuxs.exe (file missing) O23 - Service: PC Tools Security Service (sdCoreService) - Unknown owner - C:\Programme\Spyware Doctor\pctsSvc.exe (file missing) -- End of file - 6705 bytes |
Hallo und :hallo: Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen: Code: C:\WINDOWS\system32\twext.exe |
Mom gleiich weiter editiert |
Dann markiere die Zeile in der Box, kopiere und füge sie bei Virustotal in das Feld ein. ciao, andreas |
Zitat:
Virustotal kann nicht angezeigt werden ! :( |
Mir schwant Böses. Starte HJT => Do a system scan only => Markiere: Code: R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)Neustart => F8 => abgesicherter Modus mit Netzwerkunterstützung => Versuchs dort nochmal. ciao, andreas |
Ich kann aufjedenfall im abgesicherten Modus mit Netzwerkaufforderung nicht ins Internet |
Schicke mir die Datei an meine Emailadresse, die ich dir per PN zugeschickt habe. Falls du das hinbekommst, komprimiere die Datei mit ZIP oder RAR und versehe sie mit dem Kennwort infected. ciao, andreas |
Alles klar email geschickt! Danke |
Angekommen. Ich brauche die Twext.exe, nicht die dll. Suche nach der twext.exe, so wie hier beschrieben ist: http://www.trojaner-board.de/59624-a...-sichtbar.html ciao, andreas |
Okay (ABGESENDET) . Danke |
Code: Datei twext.exe empfangen 2008.12.22 23:42:52 (CET)1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde. 2.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten (Wächter Deines Virenscanner vor dem Scannen deaktivieren!) 3.) ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code]
Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist. 5.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe Editiere die Links und privaten Infos!! ciao, andreas |
Ich kann die seiten alle nicht öffnen ... |
Versuche mal: Start => Ausführen => devmgmt.msc eingeben => OK Menüzeile: Ansicht => Ausgeblendete Geräte anzeigen => Nicht-PNP-Treiber Sollten dort Treiber angezeigt werden, die mit TDS beginnen, die dann deaktivieren => Rechner neustarten ciao, andreas p.s.: Funktioniert der hier? RapidShare: Easy Filehosting |
Klappt leider nicht habe 1 davon deaktiviert. |
Zitat:
Funktioniert der Download von Rapidshare? ciao, andreas |
Jo download klappt danke! p.s Ich lasse das jetzt alles über Nacht durchlaufen bin morgen früh wieder da Ich Danke dir GANZ GANZ GANZ rechtherzlich schonmal du Experte ;) Ich hoffe wir kriegens ans laufen bzw DU ich kann ja echt wenig im gegensatz zu dir . Was hätte ich wwohl ohne dich gemacht ich wäre total aufgeschmissen gewesen nochmal danke und hoffentlich bis morgen |
Code: Malwarebytes' Anti-Malware 1.30Code: ComboFix 08-12-21.04 - Torres000 2008-12-23 10:40:35.1 - NTFSx86 |
Sry für 3xFach post ! Logfiles zulang muss neue Antwort erstellen Code: Logfile of Trend Micro HijackThis v2.0.2 |
Der Verdacht, den ich am Anfang hatte, hat sich leider bestätigt. Auch wenn du das Gefühl hast, jetzt sei alles i.O. Code: C:\WINDOWS\system32\twain_32\local.ds (Backdoor.Bot) -> No action taken.WSNPoem: UPSInvoice_90001.exe | abuse.ch Der Bot war leider aktiv => Rien ne va plus. Schau dir mal das hier an: http://www.bsi-fuer-buerger.de/down/...de_768x576.mpg Lies das hier aufmerksam: http://www.trojaner-board.de/65029-t...tml#post394394 Und anschliessend: http://www.trojaner-board.de/51262-a...sicherung.html Frohe Weihnachten, andreas |
Und was hat das für mich zu bedeuten ? |
:confused: Ist das nicht deutlich genug? Du hast einen Bot auf deinem Rechner gehabt. In Programmen laufen Anweisungen ab, die sind berechenbar und eine Reinigung ist meistens möglich. Bei Backdoors und Bots hatte/hat ein Mensch die Möglichkeit deinen Rechner fernzusteuern, Menschen sind (leider) unberechenbar. Ob er etwas gemacht hat, weiß niemand. Was er gemacht hat oder gerade tut weiß niemand. Aber du hast ja selbst bemerkt: Zitat:
Vielleicht hast du ja Glück und er hat nur einen SMTP-Server installiert, über den Spams verteilt werden. Das sieht dann so aus: http://www.trojaner-board.de/66946-r...light=provider Aber was ist, wenn er einen FTP-Server installiert und darüber Kinderpornos verteilt? Möchtest du das Risiko eingehen, dass die Polizei deinen Rechner beschlagnahmt und du bzw. deine Eltern eine Anklage an den Hals bekommen? Bei solchen Sachen gibt es nur eine Möglichkeit: http://www.trojaner-board.de/51262-a...sicherung.html sorry, andreas |
So habe endlich Windows vom Cousin und will Windows neu auf dem noch Verseuchten PC installieren! Nur das Problem... Ich kann es nicht! Ich mach es wie normal ins Bios gehen von der CD booten. Und dann "Drücken sie eine beliebige Taste um die Windows installation zu starten "(Nach dem booten) Dies ist nicht möglich der PC reagiert nicht auf das Tastendrücken. Kann mir jemand helfen? Komme nicht zum Installieren Achja! Habe mich vom letzen mal noch nicht bedankt ! Danke @John.Doe Ist leider erst jetzt möglich da ich ein "Ersatz Laptop " jetzt habe. Und bedanke mich jetzt schonmal im vorraus! |
Die Meldung ist ziemlich gemein. Die beliebige Taste ist die [Enter]-Taste, genauer [Carriage Return] (die größte Taste auf der Tastatur). Sollte es eine USB-Tastatur sein, dann besorge dir vorrübergehend eine PS/2. ciao, andreas |
Danke mein Freund :D Erstmal rauskramen^^ Dann melde ich mich hoffentlich mit dem neuen Betriebsystem gleich nochmal :D:party: |
so danke dir mal wieder Oben ;D Sry für den Doppelpost! So, da ich jetzt immer lieber auf "Nummer sicher " gehe habe ich anscheinend wieder ein Problem... Was aber jetzt nichts mit der Neuinstallation zu tun hat ;D Und zwar bis jetzt konnte ich mich immer einwandfrei ins Internet einwählen. Aber wenn ich mich jetzt einwähle kommt der Fehler 678: Der Remote Computer Antwortet nicht! Kann es sein das es daran liegt das ich mir bei Nvidia die Neusten Treiber geladen habe ? Also Automatische Erkennung kann also nix Falsch eigentlich gemacht haben! Und 2. habe ich gelesen das mein Netzwerk eingeschränkte Verbindung hat oder so was. Ja und da ich jetzt immer auf Nummer sicher gehe macht mich alles Stutzig! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:15 Uhr. |
Copyright ©2000-2025, Trojaner-Board