|
Cognac Trojaner kann nicht entfernt werden Ich habe erstmal gegoogelt und habe dabei herausgefunden, dass dieser Trojaner sich verfielfacht. Jedoch öffnet sich bei mir plötzlich der Internet-Explorer voller Werbung. In C:\Dokumente und Einstellungen\Patrick R\Lokale Einstellungen\Temp existiert eine Datei namens: "a.dat, die sich nicht löschen lässt. Ich habe bisher versucht mit "regedit" unter "Current Wondows Version" den "Cognac"- Ordner zu löschen, vergebens. Der Trojaner versucht sich auch permanent in die Boot.ini einzuschreiben, was ich aber mit "Trojancheck 6" blocken kann. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:46:03, on 15.07.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Avira\AntiVir Desktop\avmailc.exe C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\msa.exe C:\Program Files\ASUS\Ai Suite\AiGear3\CpuPowerMonitor.exe C:\Program Files\ASUS\Ai Suite\EnergySaving\PwSave.exe C:\Programme\FreePDF_XP\fpassist.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Trojancheck 6\tcguard.exe C:\Programme\Razer\Lachesis\razerhid.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Razer\Lachesis\OSD.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\DAEMON Tools\daemon.exe C:\Programme\ASUS\SmartDoctor\SmartDoctor.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Warkeys\AutoWarkey\AutoHotkey\AutoHotkey.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\Programme\Razer\Lachesis\razertra.exe C:\Programme\Razer\Lachesis\razerofa.exe C:\Programme\ASUS\AASP\1.00.59\aaCenter.exe C:\Dokumente und Einstellungen\Patrick R\Desktop\CryptLoad_1.1.4\CryptLoad.exe C:\Programme\Windows Media Player\wmplayer.exe C:\Programme\Mozilla Firefox\firefox1.exe C:\Programme\Windows Live\Mail\wlmail.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll (file missing) O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [CPU Power Monitor] "C:\Program Files\ASUS\Ai Suite\AiGear3\CpuPowerMonitor.exe" O4 - HKLM\..\Run: [Cpu Level Up help] C:\Program Files\ASUS\Ai Suite\CpuLevelUpHelp.exe O4 - HKLM\..\Run: [ASUS Energy Saving] "C:\Program Files\ASUS\Ai Suite\EnergySaving\PwSave.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe O4 - HKLM\..\Run: [Lachesis] C:\Programme\Razer\Lachesis\razerhid.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Programme\ASUS\SmartDoctor\SmartDoctor.exe /start O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: My_AutoWarkey_Script.lnk = C:\Programme\Warkeys\AutoWarkey\AutoHotkey\AutoHotkey.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avmailc.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe |
Hallo HausTia:) - Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe: 1. ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen:: → Klicke unter Start auf Arbeitsplatz. → Klicke im Menü Extras auf Ordneroptionen. → Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen → Geschützte und Systemdateien ausblenden → Haken entfernen → Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen. → Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein. 2. Für XP und Win2000 (ansonsten auslassen) → lade Dir das filelist.zip auf deinen Desktop herunter → entpacke die Zip-Datei auf deinen Desktop → starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen → kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread ** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen! 3. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool ccleaner herunter installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein 4. Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren! 5.
Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post: → vor dein log schreibst du:[code] hier kommt dein logfile rein → dahinter:[/code] ** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw gruß Coverflow |
So ich habe jetzte alles gemacht was du mir geschrieben hast: Code: ----- Root ----------------------------- |
GMER: Code: GMER 1.0.15.15011 [4nzgrnr8.exe] - http://www.gmer.net |
Der zweite Teil von GMER: Code: ---- Registry - GMER 1.0.15 ----Code: 08/02/09 23:26:24 [Info]: BlackLight Engine 2.2.1092 initialized |
hi Wichtig!: Zitat:
Geh auf den Reiter "Services". Dort sollte das gefundene Rootkit dann rot erscheinen. Klicke mit der rechten Maustaste drauf und wähle "delete". Falls eine Sicherheitsabfrage kommt, bejahe sie bitte ► 'Anleitung' visuell 2. Dann lass` "gmer" erneut scannen Scanner wieder einschalten, bevor Du ins Netz gehst! und poste den Bericht. |
Code: GMER 1.0.15.15011 [4nzgrnr8.exe] - http://www.gmer.net |
hi habe dich übersehen...sorry :schmoll: melde Dich bitte wenn Du noch Hilfe benötigst! gruß Coverflow |
Ja hallo! Ich habe ja jetzt alles gepostet und ich hätte erwartet das du mir sagen kannst was ich zu tun habe um ihn los zu werden :D (außer natürlich es ist bereit geschehen ^^) Jedenfalls schon mal danke :D Lg Haustia |
hi 1. - Kopiere den Text aus der Code-Box in ein Notepad-Dokument und speichere ihn als remove.txt auf deiner Festplatte C:\ Code: Drivers to delete:Wichtig!: Sofort beim Download/speichern v. Avenger, musst Du die Installdatei also avenger.exe umbenennen! Wähle eine beliebige Dateiname, die Endung soll *.com sein! → Lade den Avenger herunter und entzippe ihn auf den Desktop. (direkt als `EXE` *hier* erhältlich ) → die avenger.exe per Doppelklick starten → füge den Inhalt aus der Codebox vollständig und unverändert in das leere Textfeld bei "Input script here" ein → dann klicke auf "Execute" → wirst Du gefragt, ob Du das Script ausführen willst. Beantworte die Frage "Ja". → auf die Fragae ob dein Rechner jetzt neu starten soll "Rebot now" bejahe bitte auch → nach Neustart wird ein Dos Fenster aufgehen. → wenn wieder geschlossen ist, es öffnet sich der Editor mit die Scanergebnisse : C:\avenger.txt → kopiere und füge den Inhalt direkt aus der Textdatei hier rein 3. Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked"klicken→ PC neu aufstarten): Zitat:
reinige dein System mit Ccleaner:
5. poste erneut: Trend Micro HijackThis-Logfile filelist.bat - Nur den letzten sechs Monaten! |
Avenger: Code: Logfile of The Avenger Version 2.0, (c) by Swandog46Code: Logfile of Trend Micro HijackThis v2.0.2Code: ----- Root ----------------------------- |
hi 1. was ist mit dein Logfile v. Trend Micro/HijackThis pssiert? wieso so kurz? Hoffe nicht dass Du (fast) alles gefixt hast?http://www.world-of-smilies.com/wos_...ghtingzapA.gif Du solltest wie hier beschrieben habe 1 Eintrag fixen:-> http://www.trojaner-board.de/75293-c...tml#post458775 Fallso doch, dann mache bitte folgendes: Zitat:
Verwende bitte den Avenger nochmal (laut Anleitung!) - vorher das `alte Backup` (mit die gelöschten Dateien) löschen Code: Files to delete: |
Ich bin schon ein Problemkind was? xD :twak: HijackThis: Code: Logfile of Trend Micro HijackThis v2.0.2Code: Logfile of The Avenger Version 2.0, (c) by Swandog46 |
hi So sieht die Welt gleich ganz anders aus...:aplaus: 1. - den Quarantäne Ordner überall leeren - Antivirus bzw Anti-Spy-Programm usw - Entferne Gmer - C:\avenger\backup.zip löschen– (mit den Inhalt der gelöschten Dateien) → Papierkorb leeren 2. alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren **Lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind,nicht löschbar.
3. reinige dein System mit Ccleaner:
4. Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org
5.
|
heyy :Boogie: Malwarebytes: Code: Malwarebytes' Anti-Malware 1.40Code: SUPERAntiSpyware Scan Log |
hi 1. - Punk 3. - fehlt noch bitte nachreichen:-> http://www.trojaner-board.de/75293-c...tml#post448379 2. Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online - Scanner - wähle "Arbeitsplatz" aus: Vor dem Scan Einstellungen im Internet Explorer: - "Extras→ Internetoptionen→ Sicherheit": - alles auf Standardstufe stellen - Active X erlauben - speichere die Ergebnis als *.txt Datei und poste das Logfile des Scans 3. Führe dann einen FullSystem Scan mit Nod32 - die Scanergebnis als *.txt Dateien speichern) - (ESET Online Scanner (Sicherheitseinstellungen wie unter Punkt 1.) Speichere und Poste bitte das Logfile |
Muss ich das mit Kaspersky machen? Ich habe doch auch ein eigenes Anti-Virenprogramm (Avira) nur kann ich das Ergebnis nicht als .txt speichern. Kann es nicht auch sein, dass sich die beiden Programme gegenseitig bockieren? Könntest du mir das mit dem Internet Explorer auch in Firefox-Sprache übersetzten? MfG |
hi - nein:) Die "Online-Scanner" sind alle reine On-Demand-Scanner. Sie durchsuchen einzelne Dateien oder Verzeichnisse, wahlweise die gesamte Festplatte, haben keinen Hintergrundwächter oder andere residente Prozesse. Dadurch verbrauchen sie ausser Festplattenspeicher keine Resourcen und man kann beliebig viele gleichzeitig installieren. Die Online-Scanner sind gut geeignet um sich eine zweite Meinung einzuholen. Nach dem Scan: Bei den von den Scannern installierten ActiveX-Controls kommen häufiger mal Sicherheitslücken vor. Es empfiehlt sich daher dringend, nicht benötigte ActiveX-Controls zu deaktivieren oder besser löschen: IE öffnen-->Extras-->Internetoptionen-->Programme-->Add-Ons verwalten... oder Eintrag: 016 mit HijackThis (manche findest Du unter Systemsteuerung-->Software-->Ändern/Entfernen...)fixen - Falls der Microsoft Internet Explorer von einigen Websites die ActiveX-Unterstützung benötigt, wird er es wieder automatisch downloaden und installieren ) für die Zeit kannst Avira deaktivieren (musst nicht): in der Taskleiste ist der kleine Kontrollschirm von Antivir. Den mit der rechten Maustaste anklicken und Antivir aktivieren Häkchen weg dananch bitte nicht vergessen wieder aktivieren!! - nutze bitte den Internet Explorer |
Oha, jetzt gibts ein Problem. Wenn ich den Log vom ESET-Scan posten will, bräuchte ich ca. 11 Posts dafür :confused: |
Zitat:
Code: Adobe Flash Player 10 ActiveXCode: ------------------------------------------------------------------------------- |
kannst Du einfach mal anhängen als Textdatei |
|
hi 1. Deinstalliere: - ESET Online Scanner v3 - Kaspersky Online - Scanner - Malwarebytes' Anti-Malware 2. Windows und die installierten Programme auf den neuesten Stand zu halten,sind Garanten für eine erhöhte Sicherheit! Java aktualisieren `Start→ Systemsteuereung→ Java→ Aktualisierung... danach deinstalliere: `Systemsteuerung → Software → Ändern/Entfernen...` Code: Java(TM) 6 Update 15poste erneut: Trend Micro HijackThis-Logfile Gibt`s noch bemerkbare Probleme im allltäglichen Arbeit mit dem Rechner? |
HiJackthis: Code: Logfile of Trend Micro HijackThis v2.0.2 |
hi 1. - Zum Schluss, führe den folgenden Schritt aus: ** Rechten Maustaste auf den "Arbeitsplatz"→ auf "Eigenschaften"→ Registerkarte "Systemwiederherstellung"→ "Systemwiederherstellung deaktivieren"→ auf "OK"→ alles schließen→ Rechner neu starten→die Standardeinstellung wiederherzustellen(SWH wieder"aktivieren") 2. - Malware-Scan mit a-squared Free: - Ohne Hintergrundwächter durchsucht a-squared den Computer auf div. schädlichen Programmen. - Also lade a-squared Free 4.5 von Emsisoft herunter - Update das Programm und lass dein rechner komplett scannen - Am Ende des Scans alle Funde löschen lassen und über den Button "Bericht speichern" das Log speichern und hier in den Thread posten. |
a-squared: Code: a-squared Free - Version 4.5 |
hi Code: Keygen.CallOfDuty!z.B. wenn man in einer P2P-Börse und/oder Warez Seite Dateien/Programme runterläd, von einem bekannten von USB stick installiert oder per Mail geschickt bekommt, einem Serienkey-Generator (Keymaker), eine unrechtmäßig generierte Seriennummer etc verwendet - (`Kostenpflichtige Software zu benützen ohne dafür zu bezahlen`) Denn die die angebotenen Programme und Dateien enthalten Backdoor und Rootkit und nach dem Download so sehr tief und perfekt ins System eingebaut sind, so dass man praktisch nicht mehr herauszubekommen, bzw. dieses Problem nur durch eine Neuinstallation 100%ig lösen kann. Weil dieses `selbstzerrstörerischem Verhalten` illegal ist und verstößt gegen das Gesetz, wir dürfen Dir nicht weiter helfen. Daher, aus diesem Grund sehen wir uns gezwungen den Thread zu schließen Kurz zusammengefast: Du musst dein System einfach neu aufspielen! Aber wenigstens hast Du dann nach einer Neuinstallation wieder ein sauberes System und hoffentlich hast Du was draus gelernt und in Zukunft lässt die Finger von... Warnung vor Crackprogrammen und Keygeneratoren Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:57 Uhr. |
Copyright ©2000-2025, Trojaner-Board