Trojan KillAV eingefangen Guten Tag zusammen Ich bin neu hier, aber ich versuch alles richtig zu machen, damit man mir auch helfen kann ;) Ich habe seit einiger Zeit, genauer gesagt schon seit Monaten einen Trojaner auf dem PC. Mein Symantec zeigt mir täglich infizierte tmp dateien an, die er entweder in Quarantäne steckt oder löscht. In letzter Zeit ist der Trojaner auch aktiver geworden sprich: Er müllt meine Festplatte mit enormen Mengen an Temp dateien zu. Letztens habe ich 18 Gig löschen müssen. Ab und zu komm ich mit dem Löschen der Dateien garnicht mehr nach, weil er ständig neue produziert. Vor ein paar Tagen wurde mein Desktop nicht mehr richtig angezeigt, bis ich dann das Recovery System von Samsung benutzt habe und auf ein funktionierendes System vor ein paar Tagen zurückgegriffen habe. Ich habe - außer Symantec - schon viele andere Viren Scans durchlaufen lassen. Die haben jedoch nur - wenn überhaupt - die infizierten Dateien gefunden und konnten sie mit Glück auch löschen. Aber den Ursprungstrojaner haben sie nicht gefunden. Meine letzte Hoffnung liegt hier in diesem Forum. Ich habe schon eine Anleitung hier gelesen, wie man den Trojaner beseitigen kann. Doch funktionierte das auf meinem Vista irgendwie nicht. Also die Datei, die ich im abgesichterten Modus starten sollte. Deshalb hoffe ich einfach, dass ich mit ein paar Protokollen - wie es in der Anleitung heißt, hier Lösungen finden kann ;) fang ich mit den Daten von meinem Laptop an. Betriebssystemname Microsoft® Windows Vista™ Home Premium Version 6.0.6001 Service Pack 1 Build 6001 Zusätzliche Betriebssystembeschreibung Nicht verfügbar Betriebssystemhersteller Microsoft Corporation Systemname ***-PC Systemhersteller SAMSUNG ELECTRONICS CO., LTD. Systemmodell R510/P510 Systemtyp X86-basierter PC Prozessor Intel(R) Core(TM)2 Duo CPU T5750 @ 2.00GHz, 2000 MHz, 2 Kern(e), 2 logische(r) Prozessor(en) BIOS-Version/-Datum Phoenix Technologies Ltd. 04LI.MP00.20080820.SCY, 20.08.2008 SMBIOS-Version 2.5 Windows-Verzeichnis C:\Windows Systemverzeichnis C:\Windows\system32 Startgerät \Device\HarddiskVolume2 Gebietsschema Deutschland Hardwareabstraktionsebene Version = "6.0.6001.22150" Benutzername ***-PC\*** Zeitzone Mitteleuropäische Zeit Installierter physikalischer Speicher (RAM) 4,00 GB Gesamter realer Speicher 2,99 GB Verfügbarer realer Speicher 1,94 GB Gesamter virtueller Speicher 6,18 GB Verfügbarer virtueller Speicher 5,20 GB Größe der Auslagerungsdatei 3,29 GB Auslagerungsdatei C:\pagefile.sys Der Scanner Malware hat nichts gefunden: Malwarebytes' Anti-Malware 1.34 Datenbank Version: 1894 Windows 6.0.6001 Service Pack 1 26.03.2009 01:27:22 mbam-log-2009-03-26 (01-27-22).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 285919 Laufzeit: 8 hour(s), 49 minute(s), 11 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Sind 8 Stunden normal?oO Vielleicht liegt es daran, dass mein Laptop ohne langsamer geworden ist. Hijackthis log Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 09:41:14, on 26.03.2009 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18000) Boot mode: Normal Running processes: C:\Windows\system32\Dwm.exe C:\Windows\system32\taskeng.exe C:\Windows\Explorer.EXE C:\Program Files\Symantec\Symantec Endpoint Protection\SmcGui.exe C:\Program Files\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe C:\Program Files\Samsung\EBM\EasyBatteryMgr3.exe C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe C:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe C:\Windows\System32\rundll32.exe C:\Program Files\MirandaFusion\miranda32.exe C:\Windows\ehome\ehtray.exe C:\Windows\ehome\ehmsas.exe C:\Program Files\Synaptics\SynTP\SynTPHelper.exe C:\Program Files\Symantec\Symantec Endpoint Protection\SavUI.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe O1 - Hosts: ::1 localhost O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Miranda Fusion] C:\Program Files\MirandaFusion\mfstart.exe O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\inethttpfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\inethttpfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\inethttpfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\inethttpfilter.dll O13 - Gopher Prefix: O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{905CFCED-0FCA-48F6-B728-2A61EACAECCC}: NameServer = 192.168.2.1 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe O23 - Service: Symantec Management Client (SmcService) - Symantec Corporation - C:\Program Files\Symantec\Symantec Endpoint Protection\Smc.exe O23 - Service: Symantec Network Access Control (SNAC) - Symantec Corporation - C:\Program Files\Symantec\Symantec Endpoint Protection\SNAC.EXE O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe O23 - Service: Symantec Endpoint Protection (Symantec AntiVirus) - Symantec Corporation - C:\Program Files\Symantec\Symantec Endpoint Protection\Rtvscan.exe O23 - Service: plasservice (ZeppelinService) - ParetoLogic Inc. - C:\Program Files\Common Files\ParetoLogic\PLAS\plasservice.exe -- End of file - 7301 bytes So ich hoffe das waren alle Dinge, die ihr braucht, um mir zu helfen. Noch ein kleines Detail. Vor 2 Tagen war ich bei einem Freund und da haben wir via CD Linux geladen um von dort aus, einen Virenscan durchzuführen, da er ja schließlich - davon gehe ich zumindest aus - mit windows geladen wird. Doch leider ergab der Scan auch nichts. Vielen Dank schon einmal im Voraus und entschuldigt mich, falls ich irgendetwas vergessen haben sollte. |
Hm, kann mir denn niemand helfen? |
Zitat:
Dazu Datei auf Virustotal.com/de Hochladen und ergebnis hier posten Sobald du den Virus gefunden hast, bitte NICHT Löschen, sondern auch auf virustotal hochladen! Danach kann Datei in Quarantäne verscoben werden: NICHT LÖSCHEN!!! Spätere Untersuchungen eventuell nötig Zitat:
1 Ist noch ziemlich anfällig und alt |
Danke für die Antwort ;) Ich hab Spybot installiert und durchlaufen lassen. er hat auch was gefunden,das sieht mir aber nicht wie ein Trojaner aus. http://www.pic-upload.de/view-175950...isset.jpg.html Und ich habe auch die Datei, die du mir empfohlen hast zu überprüfen, überprüft. Leider ohne Erfolg. |
Lade die Dateien auch bei virustotal hoch Ich habe gerade ein Problem: Ich muss wissen, wie die Datei bei Avira heißt |
Ich hab die oberste Datei schon hochgeladen. nichts gefunden. und die anderen sind doch nur..cookies, da wird nix dabei sein oder? moment das kann ich dir sagen: TR/Agent.1293397 |
HEY, du hast symantec? Dann wird es leicht sein, den virus zu entfernen! Tu genau das, was ich schreibe!!! 1. Deaktiviere die systemwiederherstellung! 2. Mache ein Liveupdate |
Oh, wie geht das in Vista? :/ ok habs |
PS: Eig. ist dieser tr gar nicht für Vista programmiert Mache nun ein Liveupdate: Lasse die sys. wiederh. deaktiviert |
Okay bin soweit ;) Edit: Symantec ist bei mir immer gestartet oO oder meinst du den Scan? |
Weiter geht die fröhliche desinfizierung! 3. starte norton Antivirus 4. Stelle bei Optionen die Einstellung um auf alle Dateien Prüfen |
hab "all types" eingestellt ;) sorry ist englisch, aber das müssten dann "alle dateien" sein. unter file system |
So, wir sind fast fertig! Der nächste schritt ist der längste! 5.) Mache eine Vollständige systemprüfung -Ist der Virus gefunden, klicke auf Löschen |
Okay... hab ich. aber das hab ich ja schonmal versucht, und da konnte er den trojaner nicht löschen oder gar erst ausfindig machen - glaub ich zumindest. naja lassich mal durchlaufen ;) Edit: Wofür eig. die Systemwiederherstellung deaktiviert? |
komme in ca. 5min auf die Seite antivirhelp Hey, vergiss den teil Ich muss jetzt essen... :-( Bin in ca. 20 min wider da! Wenn der Scan nix findet, im Abgesicherten Modus starten und nochmal scannen |
auf die seite zu gehen oder wie? gut dann ess ich auch was :D |
Zitat:
Vergiss den Teil Also: Bin gleich wieder da.. bg |
Momentan findet er nur infizierte Tmp Dateien.. das ist ja die ganze Zeit schon der Fall. muss da nicht irgendwo der Ursprungstrojaner sein? |
starte im Abgesichterten Modus neu und lasse nochmal suchen |
Wieder nichts gefunden, auch im abgesicherten Modus nicht. da hat er nach 694 files aufgehört. oh man... |
SCHEIßE! Ich dachte es mir schon! Der Trojan beeinflusst das Antivir! Du musst ihn nochmal neu installieren |
Ja dass der Trojaner mein Anti Viren Programm beeinflusst war mir klar, er versuchts ja ständig auszumachen ^^ Wie neuinstallieren? Symantec etwa? |
ja die alternative wäre halt format c |
Ich dachte dieses Forum hier wäre in der Lage einem eben andere Tips zu geben, ohne formatieren zu müssen. Deshalb Hijackthis log und und und.. gibt es keine andere Möglichkeit? |
symantec neu installieren villeicht gibts noch ne alternative |
Downloade Malwarebytes WARNUNG: MANCHE SCANNER HALTEN DES FÜR MALEWARE: DIES IST EINE FEHLMELDUNG |
Den Scanner hab ich doch schon längst ausgeführt. Ergebnis steht in meinem ersten Post. Hat nichts gefunden. |
clipperd kannst du mir bitte mal nen Link für SP2 für Vista schicken. Ich hab erst SP1 und kann keine Quelle zum downloaden finden. Der Updatemanager behauptet es wär auch alles aktuell... |
Hat das was mim Thema zu tun? ... |
Lade bitte mal dieses file bei Virustotal.com hoch und poste hier das Ergebnis Code: c:\windows\system32\inethttpfilter.dll @Clipperd. Du solltest einigen Kompetenzler mal über die Schulter schauen für den Anfang. |
|
Meinst du das: http://www.virustotal.com/de/analisis/916c9ea3acaa1d02bbd578db8d904e3b mh? |
Genau das, vielen Dank Bitte deaktiviere deine Systemwiederherstellung: Systemsteuerung/System/ Reiter Systemwiederherstellung. Nimm das Häkchen aus der Box. Beantworte die Frage mit Ja, somit werden alle deine Wiederherstellungspunkte auch gelöscht. Diese sind in deinem Fall sowieso unbrauchbar.. Für Vista Punkt 1. Mache alle Dateien deines System so sichtbar. ( Ordneroption - versteckte und Systemdateien anzeigen ) Für Vista User Punkt 2. Dann wirst du CCleaner aktivieren und wie beschrieben vorgehen und zwar so lange bis das keine Fehler mehr angezeigt werden. Punkt 3. Aktiviere MBR.exe Lass es laufen und poste das Logfile hier. Punkt 4. Hiernach nochmal einen Malwarebytes Scan ( Full Scan ) und das Logfile hier posten....( wenns nicht läuft benenne die MBAM.exe um in Hups.exe und versuchs dann. Einige Viren verhindern die Ausführung von AV Programmen. Lasse zum Abschluß alle Funde löschen Punkt 5. Hiernach öffnest du Gmer und lässt bei diesem Programm ebenfalls einen Scan durchführen, poste das Logfile hier. Wenn es funktioniert, dann bitte ausführen und die Logfile posten bzw. bei - Ihr kostenloser File Hoster! uploaden und Link posten. Falls es nicht läuft: Auch hier verhindern einige Viren, dass Gmer laufen kann. Benenne die exe dann einfach in Huppala.exe um Punkt 6. Hiernach downloadest du das Programm LSP Noch nicht einsetzen, ich muss erst die anderen Logs sehen @Clipperd Das ist ein Release Candidate, so was wie eine Beta oder Testversion, kein offizielles SP2. |
Zitat:
Ich würde dir auch nicht raten irgendwelche unfertigen Produkte an User zu empfehlen, außer du weißt genau, wie du die Probleme, die daraus entstehen können rückgängig machst. DAS ist dann nämlich ganz alleine deine Verantwortung und nicht die von MS, die das Programm nämlich noch nicht für sicher genug für dne Endbenutzer betrachten. lg myrtille |
http://www.freeware.de/download/windows-vista-service-pack-2-sp2_37386.html so, wenns des net is, weiß i au ned weiter |
Zitat:
|
...ich würde am liebsten einen Kraftausdruck verwenden, aber ich will nicht aus dem Forum verwiesen werden!!! |
Ich kann die mbr.exe nicht ausführen. Da passiert nichts. :/ |
clipperd: Du wirst es nicht finden, einfach weil es das SP2 für Vista noch nicht gibt, es ist noch in Testphase und nicht fertig. Die Veröffentlichung Es wäre schön wenn du in Zukunft derartige Recherchen VOR dem Posten von Hinweisen à la "installier SP2" machst. lg myrtille |
:headbang::headbang::headbang::headbang: :headbang::headbang::headbang::headbang: :heulen::heulen::heulen::heulen::heulen: :koch::koch::koch::koch::koch::koch::koch: :snyper::snyper::snyper::snyper::snyper: |
Zitat:
|
Kann ich nicht das Ergebnis von Malewarebyte von meinem 1. Post nehmen? das war vor 2 Tagen. Viel wird sich ja nicht verändert haben. Außerdem hat der Scan 9 Stunden gedauert. Solang mag ich jetzt nicht schon wieder meinen laptop laufen lassen. |
Mach weiter mit Gmer..... |
Malwarebytes' Anti-Malware 1.34 Datenbank Version: 1894 Windows 6.0.6001 Service Pack 1 26.03.2009 01:27:22 mbam-log-2009-03-26 (01-27-22).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 285919 Laufzeit: 8 hour(s), 49 minute(s), 11 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) und Gmer Log: HTML-Code: http://www.file-upload.net/download-1556129/gmerlog.log.html |
Gar nicht gut, viele Wurmreste.... Überprüfe bitte folgende Files bei Virustotal.com und poste die Ergebnisse hier: Code: C:\Users\Schneef\AppData\Local\Temp\mbr.sys |
Die ersten 3 Dateien finde ich nicht o.O aber bei der dritten sagt mir der pc, wenn ich den pfad oben eingeb, dass er nich weiß wie er die datei öffnen soll. aber wenn ich die datei suche in der liste seh ich sie nicht.. die anderen zwei sind hier: http://www.virustotal.com/de/analisis/bfd1c424d3f5290ee0f8fb5ccd21eb0b http://www.virustotal.com/de/analisis/f8a9a39a79a0adba87cad77c82085ebc |
Bitte führe jetzt Superantispyware nach Anleitung aus Den Downloadlink findest du hier auch. Reporte anschließend. Frage: Hast du noch andere Geräte, wie USB Stick, externe Festplatten, etc, die du hin und wieder verwendest? |
Okay ich führe das Programm aus, sobald ich keine anderen Arbeite mehr am Laptop durchführe... Zu deiner Frage: Ja ich benutze gelegentlich USB Sticks auf der Arbeit. Allerhöchstens 1x in 2 Wochen oder so. Wieso? Ich hab da auch mal ne Frage. Was nutzen eigentlich so viele Scans? Ich mein, Malwarebytes hat nichts gefunden, wieso dann noch einen? Nich, dass ich das nich unterstützen würde, mich würde es nurmal interessieren weshalb ;) |
Es gibt Viren, die z.B. durch einen rootkit abgeschirmt werden. Erst muss man den rootkit killen um dann an den oder die Viren heranzukommen. Jedes Programm hat seine Stärken und Schwächen, das versuchen wir bei entsprechenden Verdacht zu bedenken. Somit versucht jeder Helfer, also auch ich, hier seine Taktik bei entsprechender Verdachtslage anzupassen,- sprich man setzt entsprechende Programme ein. :confused: Soweit die Theorie :) Einfach gesagt, Malwarebytes mag nichts finden, Gmer kanns. Oder Navilog findet nichts, dafür Superantispyware.... es gibt zahlreiche Beispiele.... Zum USB Stick. Hat dieser sich auch andem offensichtlich verseuchten System befunden? Falls ja, solltest du diesen nicht für gewerbliche oder Geschäftsrechner benutzen, da die Gefahr gegeben ist diese ebenfalls zu infizieren. Dieser sollte zu einem späteren zeitpunkt in die Desinfektion einbezogen werden.... |
Code: SUPERAntiSpyware Scan Log Als ich auf "weiter" geklickt habe, habe ich die Entfernung der Dateien verhindert, und den laptop schnell ausgemacht, da mir auffiel, dass das die ganzen Projektdateien von meinem derzeitigen Premiere Film sind. Und um ein Haar wäre Monatelange arbeit dahin gewesen. Ich muss mir was überlegen, den film zu retten ohne dass mein Projekt gelöscht wird un der trojaner weiterhin da ist. aaaah :/ |
Na super 2 Fragen noch: Hast du einen keygenerator benutzt, wenn ja, zu welchem Programm. Ich gehe mal stark davon aus das du einen keygen angeklickt hast. 2. Hast du ein update mit Superantispyware vor dem Scan gemacht? |
Zu deiner ersten Frage... Jein, ich habe einen Patch ausgeführt. Für Adobe Premiere CS4. Daher hab ich den Trojaner auch. Aber das bringt mich ja nicht weiter. Ja, ich habe ein Update ausgeführt, wieso fragst du? |
Zum einen, das letze Logfile ist nicht sonderlich schlimm, jedoch beunruhigend. Ich muss wissen womit wirs zu tun haben. Es sind mehrere Dinge, die anscheinend nicht so sind wie sie sein sollten. Die, ich nenne es mal vorsichtig, Aktivierung des "Patches" halt die Probleme gebracht. Nun müssen wir herausfinden ob der Trojaner nachgeladen hat. Ich möchte dich bitten, einen Kaspersky online scan vorzunehmen, egal wie lange es dauern wird. Mach den Scan deines Systems bitte hier KASPERSKY ONLINE SCANNER Bitte folge den Anweisungen des Scanners. Poste das Ergebnis hier vollständig. In der Zwischenzeit, arbeite NICHT mehr mit dem System, lade nichts runter oder installiere etwas Neues. Belasse das System so wie es jetzt ist. |
Hallöchen mal wieder.. Hab den Kaspersky Online Scan wie gesagt, ausgeführt. Folgende Ergebnisse: Code: ------------------------------------------------------------------------------- Code: C:\ProgramData\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\08FC0000\49FD8241.VBN Infizierte Objekte: Trojan.Win32.Genome.gpx übersprungen |
@ Schneef: Nur eine Kurze Frage, wenn ich darf! Warum verwendest du Symantec Endpoint Protection, diese Software ist ja eigentlich nicht wirklich für HomeUser gedacht, sondern eher für Unternehmen (Server, usw.) oder sehe ich das falsch? So nun bin ich wieder still! :daumenhoc |
|
Wie was soll ich löschen?o_O Edit: Ich sagte doch bereits schon, dass diese MBR Datei bei mir nicht funktioniert. Da taucht für eine Millisekunde ein schwarzes kleines Dos-Fenster auf und ist wieder im nächsten Moment verschwunden. Und Gmer hab ich doch schon mal ausgeführt. aaah ich versteh garnicht worauf du genau hinauswillst, bzw. was deine Lösung ist um die Trojaner zu beseitigen. wäre nett wenn Du mir das kuurz erklären würdest. aber ich führe gmer nochmal aus und poste den Log dann morgen. |
Da der Log zu groß ist, hab ich ihn hochgeladen.. http://uploaded.to/?id=1rr063 |
Ok, mein Fehler Du hast 4 Viren in der Quarantäne deines Norton AV. Die Quarantäne musst du löschen. Schmeiss die Dinger vom PC. Zum einen, im Gmer kann ich keinen rootkit erkennen, dass ist schon mal gut. Die nc.exe ist ein Netzwerktool, dass können wir erst mal hinten anstellen. Also lösche die Quarantäne des Norton, deinstalliere die Alcohol Software, lasse CCleaner laufen und dann nochmals MalwareBytes im vollen Scan. Diese Log postest du dann hier. Schneef, grundsätzlich bin ich hier um dir zu helfen. Manchmal ist es erforderlich aufgrund neuer Erkenntnisse aus deinen Logfiles die Taktik zu ändern. Dies ist für dich vieleicht manchmal nicht nachvollziehbar und deshalb auch verwirrend. Aber wenn wir dein System wieder auf den Vordermann bringen wollen, damit du sicher ein Backup hiervon machen kannst, müssen wir so vorgehen....auch wenns viel Zeit kostet. |
Okay alles klar.. Quarantäne gelöscht und CCleaner laufen lassen. Alles behoben. Den Scan mach ich im Laufe des Tages, da er vermutlich wieder um die 8 Stunden in Anspruch nehmen wird und ich hier in meinem Büro keine 8 Stunden mehr verbringe :D Ich poste ihn spätestens morgen. |
:confused: Handelt es sich hierbei etwa um einen Geschäftsrechner? :eek: |
Zitat:
|
Nein es handelt sich nicht um einen Geschäftsrechner, ich bin nur Zivi. Nehm den Laptop halt mit auf die Arbeit. Und ja, Symantec hab ich von einem Kumpel bekommen. Wird mir jetzt nicht mehr geholfen oder wie? Der Trojaner kommt ja nicht von Symantec.. hier der Malewarebytes Log Code: Malwarebytes' Anti-Malware 1.34 |
Na super....und hast mich jetzt endgültig ins offene Messer rennen lassen. :koch: Ich habe nach reiflicher Überlegung beschlossen, dass meine Hilfe hier endet. Du hast 2 Programme auf deinem Rechner die offensichtlich illegal erworben wurden. Auch wenn ich in meiner Naivität zunächst versucht habe dir zu helfen, ist bei dieser Sache nun meine Geduld erschöpft. Ich möchte dir bei der Beseitigung irgendwelcher Schadware nicht weiter helfen, um deine illegal erworbene Software wieder ans Laufen zu kriegen. Ich habe keine Lust mich strafbar zu machen. Alleine die Anwesenheit eines Droppers in deinem System rechtfertigt die Hilfe hier einzustellen, da ich nicht weiss und auch nicht mehr nachvollziehen kann, was der Dropper sonst noch so alles auf deinen PC geladen hat. Ich möchte dir hierzu die offizielle Stellungnahme von Microsoft an Herz legen. Bitte lies hier Ich kann dir jetzt nur noch Eines empfehlen. Beschäftige dich mit dem Neuaufsetzen + Absichern deines Systems. Anleitungen hierzu findest du im Board. Um mit den Worten eines geschätzen "Kollegen" zu enden: "Ich bin raus ".................. |
Ach, die Antwort habe ich schon länger befürchtet. Allein dass du mich nicht gefragt hast, ob ich Adobe Premiere Pro legal erworben hat, hat mich bereits verwundert, da das Programm schließlich gut >1000€ kostet. Jedoch find ich diese Entscheidung von dir irgendwie doof. Ich mein, du hast die letzten Tage alles daran gesetzt mir zu helfen (im Hinterkopf mit dem Gedanken, dass der Bursche da, dem ich helfe illegale Software auf seinem Rechner hat) und trotzdem HAST du mir geholfen. Meinem Laptop gehts wesentlich besser, Dateien werden nicht mehr multipliziert und eigentlich läuft er wieder ganz schnell. Ja vermutlich wird er noch drauf sein, aber solang er nichts schlimmes macht soll es mich nicht weiter stören. Nach meinem Film den ich bearbeite, wird das System so oder so neuaufgesetzt. Ich hatte hier nur nach einer vorzeitigen Lösung des Problems gesucht. Und mal ehrlich: Wie kriegt man Trojaner/Viren etc? Wohl 90% aus dem Forum werden diese durch unachtsame Wege durch das Internet eingefangen haben. Keygens und ähnliches. Ich bin kein Einzelfall. Zitat:
Außerdem finde ich die Einstellung :" Ich helfe jedem den ich kann - oh mist, er hat illegale Software auf dem Pc -dann nicht" ein wenig widersprüchlich. Gerade dann, wenn man irgendwie selbst verbockt hat, dann sollten welche für einen da sein und einem helfen. Ich mein, so zieh ich da jetzt keine Lehre heraus wenn du dich einfach vom Acker machst ;) dann setz ich eben mein System neu auf und mach so weiter wie bisher. Mit diesen Worten Trotzdem Danke für die bisher erbrachte Hilfe. |
Hallo, Zitat:
Zitat:
Zitat:
|
Alle Zeitangaben in WEZ +1. Es ist jetzt 08:41 Uhr. |
Copyright ©2000-2024, Trojaner-Board