|
TR/Rootkit.Gen & HTML/Infected.WebPage.Gen' & HEUR/HTML.Malware gefunden Also diese 3 Funde waren im letzten Monat bei mir auf dem Rechner aufgetreten. Als erstes habe ich laut den Forenregeln ersteinmal vergleichbare Fälle gesucht, die gab es auch aber bei allen wurde geschrieben man soll ein sogenanntes HijackFile posten. Da mein Hijackfile keinem der anderen gleicht, habe ich diesen Thread eröffnet in der Hoffnung dass man mir helfen kann. Zum einen hier nochmal die 3 Funde detailiert: Die Datei 'C:\Users\xxx\AppData\Local\Temp\plugtmp-48\plugin-npdf.php' enthielt einen Virus oder unerwünschtes Programm 'HEUR/HTML.Malware' [heuristic]. Durchgeführte Aktion(en): Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a93ffaa.qua' verschoben! In der Datei 'C:\Users\xxx\AppData\Local\Mozilla\Firefox\Profiles\yqsuelul.default\Cache\_CACHE_002_' wurde ein Virus oder unerwünschtes Programm 'HTML/Infected.WebPage.Gen' [virus] gefunden. Ausgeführte Aktion: Datei in Quarantäne verschieben In der Datei 'C:\Windows\System32\drivers\ntnus.sys' wurde ein Virus oder unerwünschtes Programm 'TR/Rootkit.Gen' [trojan] gefunden. Ausgeführte Aktion: Datei in Quarantäne verschieben Ich habe alle 3 Funde sofort in Quarantäne verschoben, da ich mal hier im Board gelesen habe, dass dies das beste sei (und nicht löschen) Meine Originalsoftware von Microsoft (Vista) halte ich immer aktuell. Auf eine Freewarefirewall habe ich auf Anraten von vielen Forenexperten verzichtet und nur die Standardwindowsfirewall in Betrieb. Ich surfe nicht auf Seiten die ich nicht kenne und öffne keine Mails deren Absender ich nicht kenne. Dadurch habe ich mich sehr sicher gefühlt nun aber die Funde und sie beunruhigen mich doch sehr und ich weiß nicht was ich tun soll. Hier nun dieser HijackReport (links habe ich analaog den Forenregeln editiert): Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 02:28:02, on 12.06.2009 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18226) Boot mode: Normal Running processes: C:\Windows\system32\Dwm.exe C:\Windows\system32\taskeng.exe C:\Program Files\ASUS\Six Engine\SixEngine.exe C:\Windows\Explorer.EXE C:\Program Files\Windows Defender\MSASCui.exe C:\Windows\RtHDVCpl.exe C:\Program Files\Winamp\winampa.exe C:\Windows\System32\rundll32.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\Java\jre6\bin\jusched.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Program Files\Skype\Phone\Skype.exe C:\QvodPlayer\QvodTerminal.exe C:\Program Files\Skype\Plugin Manager\skypePM.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\The Cleaner\cleaner6.exe C:\Windows\system32\SearchFilterHost.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe" O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [QvodPlayer] C:\QvodPlayer\QvodTerminal.exe O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-21-2217025095-4060059928-118558843-1001\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'premium') O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dlall.htm O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dlselected.htm O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dllink.htm O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dlfvideo.htm O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe O13 - Gopher Prefix: O16 - DPF: {05D44720-58E3-49E6-BDF6-D00330E511D3} (StagingUI Object) - hxxp://zone.msn.com/binFrameWork/v10/StagingUI.cab55579.cab O16 - DPF: {3BB54395-5982-4788-8AF4-B5388FFDD0D8} (MSN Games – Buddy Invite) - hxxp://zone.msn.com/BinFrameWork/v10/ZBuddy.cab55579.cab O16 - DPF: {5736C456-EA94-4AAC-BB08-917ABDD035B3} (ZonePAChat Object) - hxxp://zone.msn.com/binframework/v10/ZPAChat.cab55579.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - hxxp://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab56649.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {DA2AA6CF-5C7A-4B71-BC3B-C771BB369937} (MSN Games – Game Communicator) - hxxp://zone.msn.com/binframework/v10/StProxy.cab55579.cab O16 - DPF: {F773E7B2-62A9-4524-9109-87D2F0BEFAA4} (ChessControl Class) - hxxp://zone.msn.com/bingame/zpagames/zpa_kqrp.cab56961.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{5AF86004-312D-409C-A044-2133DEDE4179}: NameServer = 217.0.43.81 217.0.43.65 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe O23 - Service: PostgreSQL Database Server 8.3 (pgsql-8.3) - PostgreSQL Global Development Group - C:\Program Files\PostgreSQL\8.3\bin\pg_ctl.exe -- End of file - 6933 bytes Ich kann mir nicht vorstellen mir irgendetwas eingefangen zu haben, aber die Funde beunruhigen mich dennoch, auch wenn ich weiß das es oft zu Falschmeldungen kommt. Die Poker und Casinosoftware ist bewusst installiert da ich ab und zu auf diesen Seiten spiele. Ich bin für jede Hilfe dankbar. P.S. Ich hatte schon einmal hier im Forum Hilfe gesucht und leider keine Antwort/Hilfe erhalten, was ich natürlich auch nicht erwarte, da dies ein freiwilliger kostenloser Service ist. Aber sollte ich irgendwelche Regeln verletzt haben oder etwas nicht beachtet haben, wäre es schön wenn mich jemand darauf hinweist oder mir ein Forum nennt wo man gegen eine geringe Gebühr Hilfe bekommen kann. |
Hast du Malwarebytes Anti-Malware schon ausgeführt? Wenn ja, stelle bitte die Logdatei auch hier rein. Falls nicht, dann folge dem Link und lese dir die Anleitung durch. Es fehlt noch die Uninstall-Liste. Die erreichst du indem du HijackThis öffnest und dort folgendes machst:
mfg Kaos |
Vielen Dank für die Zeit die Du Dir nimmst. Dies ist die Unistall Liste, die ich wie von Dir beschrieben erstellt habe. Code: 32 Bit HP CIO Components Installer |
Deinstalliere:
Java Update 14 FoxIt Reader Deinstalliere auch andere Software, die du nicht mehr unbedingt benötigst. mfg, Kaos |
Bin am deinstallieren der von Dir genannten Programme und werde entsprechende Programme neu installieren die Du angegeben hast. Meine Programme auf meinem Rechner halte ich immer aktuell, d.h. alle Programme die drauf sind nutze ich auch. Was natürlich nicht bedeutet dass mal auch ein programm drauf ist was ich mich nicht traue zu löschen, weil es nach einem Windows/Systemprogramm aussieht. Aber ich versuche diesen Rechner hier (Wir haben noch einen anderen) absolut sauber und up to date zu halten, weil ich hiermit meine finanziellen transaktionen mache. Maleware Check läuft noch. nachtrag: habe jetzt doch noch 3 weitere programme gelöscht die meiner Meinung nach nicht mehr benötigt werden. 3dmark (analyseprogramm) Apple Updates (keine Ahnung was das ist, aber ich habe keinen Apple Computer) QVOD Player (habe ich selten genutzt, nur brauchte ich ihn mal für einen Film, was aber jetzt unter VLC Player auch läuft) Das neue Java und den Foxreader habe ich nun installiert, die 3 Programme die Du erwähnt hast deinstalliert und warte nun noch auf die Beendigung des Malwarebytesuchlaufes. An : AGEIA PhysX v7.09.13 MSXML 4.0 SP2 (KB936181) MSXML 4.0 SP2 (KB941833) MSXML 4.0 SP2 (KB954430) EPU-6 Engine marvell 61xx habe ich mich nicht herangetraut weil ich nicht weiß was es ist, alle anderen Programme kenne ich und weiß das ich sie brauche. |
Gut, es ist auch sehr wichtig sein System immer aktuell zu halten. Dabei kann Secunia PSI oder der Secunia-Onlinescan helfen (Dafür wird Java benötigt und der Zugriff muss erlaubt werden). Service Pack 2 ist für Vista inzwischen erschienen und ebenso der Internet Explorer 8. Ich bin jetzt auch offline, stelle das Malwarebytes-Log dann einfach hier rein. mfg, Kaos |
Der MalewareScan läuft immer noch, mir fallen die Augen schon zu aber ich hoffe er ist bald zu Ende. Mit dem Secunia PSI Tool habe ich alle Softwares auf den neuesten Stand gebracht (8 Stück, vorrangig diverse Player), nur 1 Sicherheitsbedrohung wird nach wie vor angezeigt und zwar die des Browsers Mozilla Firefox, obwohl ich die aktuelle Version 3.0.11 installiert habe, zeigt er immer wieder das an. Wahrscheinlich ein Fehler des Programms, da es keine aktuellere Version gibt. |
Endlich, Malewarescan abgeschlossen ;) "Der Scan wurde erfolgreich abgeschlossen. Keine infizierten Objekte. Klicken Sie auf Hauptmenü" Und hier der Report: Code: Malwarebytes' Anti-Malware 1.37Aber so gut das alles klingt, es wurden ja 3 Sachen gefunden im letzten Monat und heute, das liegt jetzt bei Antivir (kostenlose Version) in Quarantäne. Irgendwas muss doch dann kaputt sein am Rechner, oder sind das alles nur Falschalarme? Des weiteren sehe ich gerade in diesem Log "Windows 6.0.6001 Service Pack 1" Ich dachte ich hätte SP2 drauf, da mein Windows ja so eingestellt ist dass alles aktualisiert wird automatisch. So ich habe dann alles gepostet und gemacht was Du gesagt hast, ich bin wirklich sehr dankbar für Deine Hilfe, und werde nun für 2,5h schlafen bevor ich dann auf Arbeit muss :( Wenn ich morgen nachmittag von Arbeit komme, würde ich mich sehr freuen wenn Du Dein Resumee und Deine Empfehlungen bzgl. der Behandlung der Viren/Trojaner posten würdest. LG Thea |
Avira hat wohl alles löschen können, was nicht heißt, das jetzt wirklich alles weg ist, auch wenn -Malwarebytes- nichts gefunden hat, also lieber noch etwas weiter suchen. 1. Lade dir SuperAntiSpyware runter und führe es nach Anleitung aus (Nur Punkt 1-3) 2. Rootkitsuche mit Gmer:
|
Mit Superantispyware alles durchsucht: Folgende Ergebnisse: Meinen Namen habe ich durch XXXXX ersetzt Code: SUPERAntiSpyware Scan LogLeider habe ich die deutsche Version ausgewählt von Antispyware und die 4 Buttons die nach der Suche auftauchten waren zwar mti deutscher Schrift versehen aber unkomplett so dass man nicht lesen konnte was welche Button bedeutet, kann ich nun in die Pfade gehen und das alles manuell löschen? Den 2. Schritt den Du empfohlen hast mache ich jetzt. nachtrag ich habe dann am ende nach der durchführung des 2. programms den weiterbutton entdeckt und alles bis auf die Einträge mit "Partypoker" gelöscht, weil ich dort hin und wieder spiele. |
Nun den 2. Test gemacht, leider habe ich Antivir nicht beenden können (Über Strg Alt Ent -> Prozesse antivir.exe beenden ging nicht da Zugriff nciht möglich) Dazu habe ich noch Dein erstes programm offen weil ich noch nicht sicher bin wie ich welche Kreuze setze und welchen Button ich anklicke. Firewall habe ich ja keine, bis auf die Windowsfirewall die wahrscheilich auch noch an ist. Vom Internet habe ich mich getrennt und alle anderen Programme auch geschlossen. Hier nun der Bericht. Code: GMER 1.0.15.14972 - http://www.gmer.net |
Bzgl. des SUPERAntispyware habe ich jetzt den "WeiterButton" Entdeckt und habe nur die 13 Elemente die "Partypoker/partyaccount etc" enthalten ohne Häkchen gelassen (weil ich dort oft spiele) und alles andere mit Häkchen versehen und lt. Beschreibung in Quarantäne verschieben lassen. Die Software bittet mich nun den Rechner neuzustarten was ich hiermit auch tue und dann auch fertig bin mit den Suchläufen die Du vorgeschlagen hast. Nochmals vielen Dank für Deine Hilfe, kann ich gar nicht oft genug wiederholen. Bei den 2 Programmen wurde nun ja eine Menge gefunden, im ersten habe ich wie oben beschrieben ja alles in Quarantäne verschieben lassen außer den 13 Elementen die von Partypoker sind. Bei dem 2. Programm habe ich nur gescannt und das Ergebnis gepostet. Starte jetzt neu. |
Das mit Antivir macht nichts, Gmer hat nichts finden können. Sieht so aus, als hätte Avira schon alles entfernt. Dieser Casinodinger sind, auch wenn du sie benutzt, Adware und ich würde sienicht auf meinem System lassen. Aber das ist deine Entscheidung, wirklich schädlich sind sie nicht. Zitat:
1. Führe den CCleaner nach Anleitung aus 2. Lade dir Dr.Web CureIt und führe es nach der Anleitung im Link aus. 3. Scanne dein System mit Avira Antivir und den aggressiven Einstellungen 4. RSIT
|
CCLeaner habe ich ausgeführt und in beiden Punkten alle Fehler behoben. Führe nun Schritt 2 durch. |
Habe wie in der Anleitung beschrieben Dr.Web runtergeladen und im abgesicherten Modus ausgeführt. Allerdings nach ein paar laufenden Balken unten tat sich nichts mehr. Es stand unten etwas von Scannen von Boot HDD o.ä. und dann wars das auch, alle Optionen blieben Grau und es passierte einfach nichts mehr (also immer noch ohne das ich auf scan gedrückt habe, sondern direkt nach dem start wenn er kurz alles selber analysiert). Habe das dann im normalen Windowsmodus laufen lassen und hier genau das selbe. Passiert einfach nichts und ich kann auch nichts anklicken. Musste beide Male den Computer per Hand ausschalten, weil der Computer entweder gar nicht oder sehr zeitverzögert (20secs) reagierte. Evtl. hängt das damit zusammen, dass wenn mein Rechenr hochfährt immer die Fehlermeldung "No Harddisc detected" kommt und das Programm bei der anfänglichen Abfrageroutine den Bootsector einer Harddisc durchsuchen will, ihn aber nicht findet? Mein Computer ist so aufgebaut, dass ich 2 Festplatten habe und auf einer Windows Vista und auf der anderen Windows XP und ich am Anfang entsprechend auswählen kann von welcher Festplatte ich boote. Keine Ahnung ob das wichtig ist, aber es erklärt evtl. warum sich Dr.Web bei der anfänglichen Routineüberprüfung meines Rechners immer aufhängt wenn unten steht Scan Boot Hdd (o.ä. halt irgendwas mit festplatte und Boot) Ich lasse nun als letzten Schritt Antivir mit aggressiven Einstellungen drüber laufen und RSIT.exe. Ich habe ab morgen 09:00 Uhr leider für eine Woche keine Möglichkeit ins Internet zu kommen, werde aber 1. den Bericht von Antivir mit den neuen Einstellungen , die Dateien von RSIT.exe hier noch posten und bis morgen 8:50 Uhr immer mal ins Forum schauen. Ich danke Dir nochmal Kaos für Deine Zeit. |
RSIT.exe war schneller als Antivir hier also nun die beiden Berichte von RSIT.exe. Leider weiß ich nicht wie man etwas minimiert darstellt, ich poste es daher wieder mit diesen Code Zeichen. Meinen Namen habe ich diesmal immer durch MUSTER ersetzt Als erstes die log.txt Code: Logfile of random's system information tool 1.06 (written by random/random) |
Nun die info.txt Code: info.txt logfile of random's system information tool 1.06 2009-06-13 16:06:24 |
In der ersten Datei exisitiert die Zeile: S1 ntnus;ntnus; \??\C:\Windows\system32\drivers\ntnus.sys [] Ich weiß nicht was sie bedeutet aber sie enthällt die von Dir erwähnte Datei ntnus.sys. Antivir läuft noch. Nachtrag Habe mal bei google "ntnus.sys" eingegeben, und es gibt auf dieser Welt keinen einzigen Beitrag/Link der "ntnus.sys" enthällt. Ob das jetzt gut oder schlecht ist, weiß ich nicht :( |
Hier der Bericht von ANTIVIR mit aggressiven Einstellungen. Es wurden 2 mal nicht benötigte Casino/Poker Programme gefunden, die ich auch gleich in Quarantäne verschoben habe. Code: Masterbootsektor HD1 -> [WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit. Auch hier wieder diese Meldung und ich glaube HD1 Masterbootsektor ist auch der Schritt bei Dr. Web gewesen wo das Programm nicht weiterkam und hängenblieb. |
Okay, das mit DrWeb und der Meldung ist erstmal nicht so wichtig. Können wir uns später drum kümmern, wenn du wieder internet hast. 1. Lade bitte die Datei bei Virustotal.com hoch und poste das gesamte Egebnis. Code: C:\Windows\system32\drivers\ntnus.sys2. Fixen mit HijackThis: (Bei Vista, rechte Maustaste und als Administrator ausführen)
Code: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
3. Lade dir PrevX und führe es aus. Wenn der Scan fertig ist und er etwas gefunden hat, dann sag bescheid. 4. Avira Antivir 9 von Avira laden. Deine Version scheint noch die 8er zu sein. Am besten die aktuelle deinstallieren und eine neue Installieren. Die Zeit für die Hilfe nehme ich mir gerne, also kein Problem :) mfg, Kaos |
Kann die Datei C:\Windows\system32\drivers\ntnus.sys nicht finden, ahbe auch bei Orderoptionen eingestellt dass er mir auch alle Systemdatein anzeigen soll. |
Ja nochmal alles kontrolliert diese Datei existiert nicht auf meinem Rechner :( Komisch... Evtl. hat sie Antivir mitweggemacht? Damit wäre das Problem dann gelöst oder? |
Möglicherweise ist sie so nicht sichtbar. Starte bitte Gmer.
|
Falls die Datei bei Gmer auch nicht zu finden ist, dann hole sie aus der Quarantäne von Avira
|
Bei GMer nicht zu finden. Hab sie mit AVIRA wiederhergestllt dann AVIRA geschlossen (weil sonst sofort der Virus wieder da war und behandelt werden musste) und sie dann hochgeladen und hier das Ergebnis: Code: File ntnus.vir received on 2009.06.13 23:54:58 (UTC) |
Ich habe natürlich AVIRA gleich wieder aktiviert und die Datei in Quarantäne verschoben. |
Die Einträge die Du unter Punkt 2 auf der vorigen Seite erwähnt hast habe ich gefixt mit dem HijackThis Programm. Punkt 3 habe ich auch gemacht, d.h. Prevx 3.0 runtergeladen und scannen lassen, Ergebnis war Systemstatus Clean und er hat nichts gefunden. Jetzt musst Du nur noch sagen, es ist alles in Ordnung (oder es scheint alles in Ordnung zu sein) und dann kann ich mein problem als gelöst betrachten. Ich weiß nicht ob ich bis morgen 8:50 Uhr nochmal reinschaue aber möchte auch wenn ich mich wiederhole nochmal ausdrücklich meinen Dank aussprechen, weil ich mich bei Dir sicher aufgehoben fühlen konnte und ich durch Deine Hinweise ein ganzes Stück gelernt habe was Sicherheit angeht (wie Programmupdates, die ganzen Analyseprogramme usw.). Wenn ich es nicht schaffe nochmal bis 08:50 reinzuschauen dann mache ich dies am 21.06 wieder wenn ich wieder zu Hause bin, derzeit ist der Rechner sowieso aus und es kann nichts passieren. |
Gut, ich würde sagen, du bist soweit sauber. Was jetzt noch fehlt ist ein wenig aufräumarbeit. Aber das kann man auch machen, wenn du wieder zurück bist. Melde dich dann einfach nochmal hier, ich schaue regelmässig im Forum vorbei. Eine paar Sachen kannst du jetzt noch machen, wenn du willst. 1. ntnus-Treibereintrag entfernen: (Falls der Eintrag dort zu finden ist, sonst machen wir es später anders
3. Einfach ein wenig aufräumen und optimieren. Bei Gelegenheit kannst du dir auch mal diesen Link über Sicherheit durchlesen. Dort stehen die wohl wichtigsten Dinge. (Online-Armor kann man meiner Meinung nach allerdings auch weglassen). mfg, Kaos |
Vielen Dank Kaos für Deine Mühe ich bin wieder zurück und total erleichtert dass mein Rechner scheinbar sauber ist. Werde Deinen Link heute oder morgen durchlesen sowie die Toolbars entfernen. Die Tools lasse ich natürlich drauf und den Link zu diesem Thread auch, so kann ich im Bedarfsfall erstmal alles abarbeiten was Du mir empfohlen hast, bevor ich wieder jemanden Zeit koste. Nochmal vielen herzlichen Dank Kaos! Wünsche Dir alles Gute. |
Kein Problem, ich helfe immer gerne. Hast du den ntnus Treibereintrag entfernen können? mfg, Kaos |
Ja der Treibereintrag lies sich problemlos entfernen. Danke. Habe mir jetzt alles durchgelesen und meinen Rechner komlplett von allem befreit was ich nicht unbedingt brauche. |
Alles klar, dann wünsche ich dir noch viel Spass und einen sauberen Rechner in der Zukunft. :Boogie: Sicherheitshalber solltest du deine bisher verwendeten Kennwörter ändern, vorallem Onlinebanking, Ebay und von ähnlichen Seiten. Diese sollten ohnehin desöfteren geändert werden. mfg, Kaos |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 19:10 Uhr. |
Copyright ©2000-2025, Trojaner-Board