|
Bitte HiJack Log anschauen! Danke! :-) Hallo, ich wäre euch sehr verbunden, wenn ihr mein Log-File mal genauer anschauen könntet. Ich hatte in letzter Zeit mehrfach Warnungen von AntiVir (CC/Agent.SA am 25. und 26.07., TR/Drop.Agent.vze am 17.07., TR/Agent.1205536.A am 10.07.), dann sehr dubiose Programme, die Popup-Fenster im IE öffneten und unbekannte Soundateien abspielten. Diese Programme hießen p.exe, t.exe und waren im task manager zu sehen. Ich habe alles beendet und gelöscht und AntiVir bzw. A-squared free mehrfach ergebnislos laufen lassen. Da ich gestern aber mehrfach einen Fehler (explorer.exe muss beendet werden) hatte und auch der PC sich mehrfach nicht runterfahren lies, habe ich Angst, dass ich doch noch Mist auf dem PC habe. Hier das Log File: Code: Logfile of Trend Micro HijackThis v2.0.2Sandra |
Ergebnisse Malwarebytes' Anti-Malware gefährlich? Hallo, ich habe nun endlich die Ergebnisse vom Malware-Scan, leider hat der Scan zwei Infizierungen in der Registry gefunden, die ich jetzt in Quarantäne geschickt habe. Es wäre aber trotzdem sehr nett, wenn ein Experte mir nochmal sagen könnte, ob das ausreicht. Hier die Ergebnisse: Code: Malwarebytes' Anti-Malware 1.39Für jegliche Rückmeldung (auch, wenn ich doch etwas falsch gemacht habe...) wäre ich wirklich sehr dankbar. Viele Grüße Sandra |
Ergebnisse RSIT Fortsetzung: Code: |
Ergebnisse RSIT Hier sind die RSIT-Ergebnisse: Code: info.txt logfile of random's system information tool 1.06 2009-07-29 19:02:54 |
Log-Ergebnisse RSIT Fortsetzung Fortsetzung... Code: |
Fortsetzung... Code: [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VPN Client.lnk] |
Hier sind nun die Log-Ergebnisse vom RSIT: Code: Logfile of random's system information tool 1.06 (written by random/random) |
Hallo Sandra und :hallo: Hast du dir das Uniblue-Gelumpe freiwillig installiert? Sind die ganzen Bilder, die auf deinem Desktop sind, erwünscht? Was sind deine Laufwerke G: und H:? ciao, andreas |
Hallo Andreas, danke für die Antwort! Zu deinen Fragen: Das Uniblue-"Gelumpe" habe ich sogar gekauft, weil ich dachte, dass ich mir bzw. meinem PC damit etwas gutes tue... Die Bilder sind gewollt und G und/oder H hängen meines Wissens mit der O2-Laptop-Karte (für den Internet-Zugang) zusammen. Eigentlich habe ich nur die Laufwerke C und D, wobei D verschlüsselt ist. Viele Grüße Sandra |
Zitat:
Tuning- und Tweaking-Mythen | DerFisch.de Tuningmythen | DerFisch.de Da muss ich doch wieder das Zitat von Marc suchen: Zitat:
Zitat:
Welche Tools hast du eingesetzt? Gibt es noch Logs? Ich würde gerne noch ComboFix einsetzen, die Entscheidung liegt aber bei dir. ciao, andreas |
Guten Morgen! :-) von A-squared free und antivir gibt es nur logs von den letzten Scans, bei denen nichts gefunden wurde. Ich habe hier was von TrojanCheck: Code: Trojancheck 6 ReportWegen der USB-Anschlüsse H und G: Eigentlich habe ich nur eine USB-Maus und den Drucker über USB angeschlossen. Wegen Combofix: Ich würde Combofix gerne laufen lassen, aber auf der Combofix-Internetseite hört es sich so an, als ob man das nicht einfach so machen sollte. Scant Combofix denn ertmal nur und fragt dann, ob etwas gelöscht werden soll oder läuft das Löschen bzw. Reparieren automatisch? Viele Grüße Sandra |
Zitat:
Zitat:
ComboFix kann in seltenen Fällen dazu führen, dass Windows nicht mehr startet, aber er legt gleich mehrere Sicherheitskopien für diesen Fall an. In deinem Fall gibt es Anzeichen für eine Infizierung über autorun.inf-Dateien, deshalb würde ich dir das auf jeden Fall empfehlen. Der Dienst 6to4 könnte ein Schädling sein. ComboFix erkennt es, falls es sich um einen Schädling handelt. Falls du Bedenken hast, dann benutze die Forensuche und suche nach ComboFix. Es hat schon vielen geholfen. Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an. ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!ciao, andreas |
Hallo Andreas, alles klar, ich bin überzeugt. Aber was mache ich mit der verschlüsselten (internen) Festplatte D (Enthält nur Videos und Mp3s)? Sie ist über TrueCrypt verschlüsselt, damit Combofix darauf zugreifen kann, muss das Programm TrueCrypt also laufen. Kann ich das unbedenklich laufen lassen, während ComboFix arbeitet? Viele Grüße und vielen Dank (!) für die Hilfe Sandra |
Zitat:
So sucht es u.a. nach Autorun.inf-Infektionen. Spätestens wenn ich scripte, werde ich einen Befehl benutzen, der alle Prozesse (auch Truecrypt) beendet. Deshalb schalte Truecrypt ab und wir suchen von Hand nach entsprechenden Infektionen auf D:. ciao, andreas |
Hallo Könnte bitte jemand mein HiJackThis Report auswerten ? Habe immer mal wieder Probleme z.B. mit Malware. In diesem Forum: http://www.trojaner-board.de/25462-adware-savenow.html findet ihr auch 2 weitere Reports von Luke Filewalker und dem Avira Removal Tool. Vielen Dank !!! Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:22:43, on 28.07.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: F:\WINDOWS\System32\smss.exe F:\WINDOWS\system32\winlogon.exe F:\WINDOWS\system32\services.exe F:\WINDOWS\system32\lsass.exe F:\WINDOWS\system32\svchost.exe F:\WINDOWS\System32\svchost.exe F:\WINDOWS\system32\svchost.exe F:\WINDOWS\system32\spoolsv.exe F:\Programme\Avira\AntiVir Desktop\sched.exe F:\Programme\Avira\AntiVir Desktop\avguard.exe F:\Programme\AntiVirenKit 2005\AVKService.exe F:\Programme\AntiVirenKit 2005\AVKWCtl.exe F:\Programme\avmwlanstick\WlanNetService.exe F:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE F:\WINDOWS\system32\nvsvc32.exe F:\WINDOWS\system32\HPZipm12.exe F:\WINDOWS\system32\PnkBstrA.exe F:\WINDOWS\system32\svchost.exe F:\WINDOWS\system32\WgaTray.exe F:\WINDOWS\Explorer.EXE F:\Programme\CyberLink\PowerDVD\PDVDServ.exe F:\WINDOWS\RTHDCPL.EXE F:\Programme\Java\jre1.5.0_06\bin\jusched.exe F:\WINDOWS\system32\rundll32.exe F:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe F:\Programme\Avira\AntiVir Desktop\avgnt.exe F:\WINDOWS\system32\ctfmon.exe F:\Programme\Microsoft ActiveSync\WCESCOMM.EXE F:\Programme\AOpen\AOpen Silent Fan\openfan.exe F:\WINDOWS\system32\rundll32.exe F:\WINDOWS\System32\svchost.exe F:\WINDOWS\system32\taskmgr.exe F:\Programme\avmwlanstick\WLanGUI.exe F:\WINDOWS\system32\PnkBstrB.exe F:\Programme\Mozilla Firefox\firefox.exe F:\Programme\OpenOffice.org 3\program\swriter.exe F:\Programme\OpenOffice.org 3\program\soffice.exe F:\Programme\OpenOffice.org 3\program\soffice.bin F:\WINDOWS\system32\wuauclt.exe F:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;192.168.178.1 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - f:\programme\google\googletoolbar1.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - F:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - f:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [RemoteControl] F:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SunJavaUpdateSched] F:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [TkBellExe] "F:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "F:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [AVMWlanClient] F:\Programme\avmwlanstick\wlangui.exe O4 - HKLM\..\Run: [avgnt] "F:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [WhenUSave] "F:\Programme\Save\Save.exe" O4 - HKCU\..\Run: [H/PC Connection Agent] "F:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: OpenOffice.org 3.1.lnk = F:\Programme\OpenOffice.org 3\program\quickstart.exe O4 - Global Startup: AOpen Silent-Fan AP.lnk = F:\Programme\AOpen\AOpen Silent Fan\openfan.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - F:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - F:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - F:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: f:\windows\system32\nwprovau.dll O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - F:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - F:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: AVK Service (AVKService) - Unknown owner - F:\Programme\AntiVirenKit 2005\AVKService.exe O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - F:\Programme\AntiVirenKit 2005\AVKWCtl.exe O23 - Service: AVM WLAN Connection Service - AVM Berlin - F:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: Google Updater Service (gusvc) - Google - F:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - F:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - F:\WINDOWS\system32\HPZipm12.exe O23 - Service: PnkBstrA - Unknown owner - F:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - F:\WINDOWS\system32\PnkBstrB.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - F:\WINDOWS\system32\ZoneLabs\vsmon.exe O24 - Desktop Component 0: (no name) - http://www.storyofboris.com/images/files/kalashnikov%20(ak-47)-thumb.gif O24 - Desktop Component 1: (no name) - http://www.archives.gov/research/ww2/photos/images/ww2-09.jpg -- End of file - 8060 bytes |
|
@PC-Depp Bitte erstelle dein eigenes Thema, dieses hier gehört Kandi1982. Klicke da drauf => http://www.trojaner-board.de/plagege...n-bekaempfung/ Dann links oben auf "Neues Thema". Dann klickst du auf "Für alle Neuen" in meiner Signatur, liest alles und arbeitest die komplette Liste unter Punkt 2 ab. ciao, andreas |
Combofix-Ergebnisse Fortsetzung... Code: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]Viele Grüße von einer mehr oder weniger verzweifelten Sandra |
Fortsetzung... Code: |
Fortsetzung... Code: (Updated) {8627B974-FFA4-00EF-0D24-347CA8A3377C} |
Hallo Andreas, ich habe ComboFix ausgeführt, leider musste ich danach eine Systemwiederherstellung durchführen, da Windwos zwar hochgefahren ist, aber sämtliche Internetverbindungen (WLAN und UMTS über O2 Connection Manager) nicht mehr funktionierten und der PC jedes Mal abgestürzt ist, wenn ich die WLAN-Verbindung reparieren wollte. Auch den O2 Connection Manager konnte ich nicht mehr retten, eine Neuinstallation hat nichts gebracht, obwohl ich alle O2 Connection Manager Einträge aus der Registry gelöscht hatte. Zudem konnte ich den PC nicht mehr normal runterfahren, dabei hat er sich auch jedesmal aufgehängt, sodass ich mehrmals den Stecker ziehen musste, weil der Bildschirm "Windows wird jetzt heruntergefahren" einfach eingefroren ist. Glücklicherweise konnte ich die Log-Datei retten. ;-) Hier ist sie: Code: ComboFix 09-07-29.04 - ****** 30.07.2009 19:51.1.2 - NTFSx86 |
:( Es passiert wirklich selten, aber dich hat es voll erwischt. Wie gesagt, ich kann dir gleich mehrere Alternativen anbieten, den ursprünglichen Zustand wiederherzustellen. ComboFix hat fälschlicherweise so gut wie alle Treiber gelöscht. Bedenklich ist das Gemurkse in der Registry, dass Avira verursacht hat. Empfehlen würde ich in deinem Fall aber etwas anderes, dazu muss ich aber den genauen Typ deines Laptops kennen. Bitte poste die genaue Typenbezeichnung deines Laptops. ciao, andreas |
Hallo, das Modell ist ein Sony Vaio VGN-FE21M, die Treiber kann man auf der VAIO-Seite runterladen, vielleicht würde das helfen? Ich werde den PC vermutlich morgen sowieso komplett neu installieren (mein Freund macht das, der kommt morgen aus dem Urlaub zurück und ist Informatiker... ;-)). Viele Grüße Sandra |
Aber noch eine Frage: War denn jetzt irgendetwas schlimmes auf dem Rechner drauf? Oder war das alles umsonst? |
Code: das Modell ist ein Sony Vaio VGN-FE21M, die Treiber kann man auf der VAIO-Seite runterladen, vielleicht würde das helfen?Ich habe gerade die Anleitung für dein Laptop gelesen. Üblicherweise gibt es bei neueren Modellen immer die Möglichkeit den Auslieferungszustand wiederherzustellen, bei deinem scheint das nicht der Fall zu sein. :( Da Avira das absolute Chaos in deiner Registry angerichtet hat, würde ich auf Alternativen wie z.B. AVG Free ausweichen. Ob die Löschungen von ComboFix tatsächlich Schädlinge waren, könntest du mit Scans bei VirusTotal - Free Online Virus and Malware Scan feststellen. Im Ordner C:\qoobox gibt es einen Ordner quarantine. Dort findest du, wenn du dich zum Pfad c:\qoobox\quarantine\c\windows\system32\ durchhangelst, die Löschungen von ComboFix. Lasse folgende Dateien bei Virustotal auswerten: Code: Packet.dll.virZitat:
Zitat:
Dieser Eintrag ist nicht der Originaleintrag: Code: [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]Code: [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 11:09 Uhr. |
Copyright ©2000-2025, Trojaner-Board