vom Trojaner TR/Dropper.gen erwischt worden
 

Hallo zusammen,

also ich habe null Ahnung von der Technik meines Laptops, das gleich vorne weg ;)

mein AntiVir hat vorgestern gemeldet, dass der Trojaner TR/dropper.gen gefunden wurde. Nach Verschiebung in die Quarantäne und löschen der befallenen Datei (sorry, falls das falsch war. hab halt in meiner panik auf löschen geklickt), hab ich noch mal einen Systemscan mit AntiVir gemacht und es wurde dann nichts mehr gefunden. Bin aber trotzdem noch unsicher, ob wirklich wieder alles in Ordnung ist und wende mich deshalb jetzt an euch Experten.

Hab den HijackThis ausgeführt und hier ist die logFile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:25:44, on 19.11.2009
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskhost.exe
C:\Windows\Explorer.EXE
C:\Program Files\Sony\VAIO Power Management\SPMgr.exe
C:\Program Files\Mindjet\MindManager 8\MmReminderService.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe
C:\Program Files\CyberLink\PowerDVD9\PDVD9Serv.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\CyberLink\Shared Files\brs.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe
C:\Program Files\Apoint\ApMsgFwd.exe
C:\Program Files\Apoint\Apvfb.exe
C:\Program Files\Apoint\Apntex.exe
C:\Windows\system32\conhost.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\taskhost.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\***\Downloads\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: CmjBrowserHelperObject Object - {6FE6A929-59D1-4763-91AD-29B61CFFB35B} - C:\Program Files\Mindjet\MindManager 8\Mm8InternetExplorer.dll
O4 - HKLM\..\Run: [MMReminderService] C:\Program Files\Mindjet\MindManager 8\MMReminderService.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] C:\Program Files\Realtek\Audio\HDA\Skytel.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [00PCTFW] "C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe" -s
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [RemoteControl9] "C:\Program Files\CyberLink\PowerDVD9\PDVD9Serv.exe"
O4 - HKLM\..\Run: [PDVD9LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD9\Language\Language.exe"
O4 - HKLM\..\Run: [BDRegion] C:\Program Files\Cyberlink\Shared Files\brs.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O4 - Global Startup: Bluetooth.lnk = ?
O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: An Mindjet MindManager senden - {2F72393D-2472-4F82-B600-ED77F354B7FF} - C:\Program Files\Mindjet\MindManager 8\Mm8InternetExplorer.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: @C:\Program Files\WIDCOMM\Bluetooth Software\btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @C:\Program Files\WIDCOMM\Bluetooth Software\btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\btwdins.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NSUService - Sony Corporation - C:\Program Files\Sony\Network Utility\NSUService.exe
O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - C:\Program Files\PC Tools Firewall Plus\FWService.exe
O23 - Service: Realtek Audio Service (RtkAudioService) - Realtek Semiconductor - C:\Program Files\Realtek\Audio\HDA\RtkAudioService.exe
O23 - Service: VAIO Entertainment TV Device Arbitration Service - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzHardwareResourceManager\VzHardwareResourceManager\VzHardwareResourceManager.exe
O23 - Service: VAIO Event Service - Sony Corporation - C:\Program Files\Sony\VAIO Event Service\VESMgr.exe
O23 - Service: VAIO Power Management - Sony Corporation - C:\Program Files\Sony\VAIO Power Management\SPMService.exe
O23 - Service: VAIO Content Folder Watcher (VCFw) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Content Folder Watcher\VCFw.exe
O23 - Service: VAIO Entertainment UPnP Client Adapter (Vcsw) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
O23 - Service: VAIO Entertainment Database Service (VzCdbSvc) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe

--
End of file - 8354 bytes

Ich hoffe ich habe alles richtig gemacht und ihr könnt mir helfen. Bin sozusagen voll auf euch angewiesen, dass ihr mir die Sicherheit gebt, dass alles ok is bzw mir sagt, was zu tun is.

Vielen Dank im Voraus

Grüße collygreen1983

:hallo:

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite bitte folgendes ab.

Poste bitte alle Logfiles in Code-Tags.
Klicke antworten --> #
danach [code]text[/code]
So sollte das dann hier aussehen nach dem antworten:

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.


schritt 1

Windows-Explorer öffnen (Windows-Taste + E) und unter => Extras => Ordneroptionen => im Reiter "Ansicht"

• Dateien und Ordner: Erweiterungen bei bekannten Dateitypen ausblenden deaktivieren
• Dateien und Ordner: Geschützte Systemdateien ausblenden (empfohlen) deaktivieren
• Dateien und Ordner: Inhalte von Systemordnern anzeigen aktivieren (bei Vista nicht vorhanden)
• Versteckte Dateien und Ordner: alle Dateien und Ordner anzeigen aktivieren

schritt 2

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf [b]Run Scan[/b links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles in Code-Tags hier in den Thread.

schritt 3

Poste mir bitte was wo gefunden wurde.

Hallo Daniel,

hmm, ich kann die logFiles nicht posten. Bekomme immer eine Fehlermeldung, dass der Text zu lang ist. oder kann man die einzelnen Files auch aufteilen?

grüße collygreen

Ja aufteilen bitte

Oki doki, dann mal los.

hab alles wie in deiner Beschreibung ausgeführt. Es gab nur "Versteckte Dateien und Ordner: alle Dateien und Ordner anzeigen aktivieren" bei den Ordneroptionen nicht (habe Win7).

Sonst anbei die beiden LogFiles:

erster Teil OTL-File:

und der zweite:

und die Extra-File:

Ich hoffe ich hab alles richtig gemacht. und warte auf weitere Anweisungen :)

Grüße Collygreen

Fehlt mir noch. In der Logfile sehe ich jetzt erstmal nichts.

meinst du damit, was mir das AntiVir angezeigt hatte?

des hat gezeigt, dass die Datei instal.exe im ordner Appdata/local/temp den trojaner TR/dropper.gen enthält und ich hab in meiner panik die datei gelöscht.

Starte einmal Avira, reiter Scanberichte und schau mal ob du den Bericht dazu noch findest :)

entschuldige meine unwissenheit ;)

hier der antiVir-report

hab ja wie gesagt die instal.exe-datei dann gelöscht gehabt und es nochma laufen lassen. poste dir ma auch noch was dann reported wurde.

hier dann der neue scan-report vom AntiVir

Ist kein Problem :)

Wurde die Datei ausgeführt (doppelgeklickt).
Ich denke das Avira schlimmeres verhindert hat.

schritt 1

Wende bitte Malwarebytes nach Anleitung an. (quickscan reicht)


schritt 2

• ESET Online Scanner
  • Unterstützte Betriebssysteme: Microsoft Windows 98/ME/NT 4.0/2000/XP und Windows Vista
  • Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
  • Dein Anti-Virus-Programm während des Scans deaktivieren.
  • Button "ESET Online Scanner" drücken.
  • Firefox-User müssen ein zusätzliches Addon (esetsmartinstaller_enu.exe) installieren.
  • Das Firefox-Addon auf dem Desktop speichern und dann installieren.
  • IE-User müssen das Installieren eines ActiveX Elements erlauben.
  • Einen Haken bei "Remove found threads" und "Scan archives" machen.
  • Start drücken.
  • Signaturen werden heruntergeladen.
  • Der Scan beginnt automatisch.
  • Finish drücken.
  • Browser schließen.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset
  • IE-User zusätzlich: mit HJT folgenden Eintrag fixen:
  • O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control)

schritt 3

Schliesse bitte alle laufenden Programme inkl Browser.
Lösche bitte die Extra.txt von Deinem Desktop.
Doppelklick auf die OTL.exe und poste beide Logfiles.

hab die datei instal.exe meines wissens nach nicht geöffnet.

schritt 1 ist ausgeführt. Es wurde nichts gefunden.

hier das file:

Mache mit Schritt 2 weiter

Schritt 2 ist erledigt. Hier gab es eine Meldung...

und schritt 3 ist erledigt.

Das OTL-File wieder in 2 Teilen:

und das Extra-file:

schritt 1

Deinstalliere bitte Bonjour.


schritt 2

Besuche bitte die Microsoft-Update-Seite und lade Dir alle Updates unter Benutzerdefiniert herunter
Mache das so lange bis du nichts mehr angeboten bekommst
Du musst dafür mit den Internet Explorer ins Netz gehen
Wenn du dies mit FireFox durchführen willst musst Du vorher das Addon IE View installieren.


schritt 3

starte die OTL.exe
Klicke rechts oben auf den CleanUp- Button.
Dies wird die Tools die wir benötigt haben wieder entfernen. Sollte was bestehen bleiben, bitte manuell entfernen.


schritt 4

Systemwiederherstellung leeren

• Start --> Alle Programme--> Zubehör --> Systemprogramme --> Systemwiederherstellung
• Wähle "Einen Wiederherstellungspunkt erstellen" => Weiter
• Gebe den Punkt einen merkbaren Namen ( z.B. Bereinigung) ein --> Erstellen --> Schließen.
• Start --> Ausführen --> cleanmgr (reinschreiben) --> OK --> Reiter Weitere Optionen
• Klicke unter Systemwiederherstellung auf Bereinigen und bestätige das Löschen mit Ja --> OK

schritt 5

Poste eine neue HJT Logfile und berichte wie der Rechner läuft :)

Schritt 1 ist erledigt

zu Schritt 2: auf der microsoft updatem seite gab es kein "benutzerdefiniert". man konnte nur auf einen button klicken: "nach updates suchen". das habe ich gemacht. es hat sich dann das Steuerungselement "windows update" geöffnet. dann hat es nach updates gesucht, sie herunter geladen und dann installiert. den vorgang habe ich solange wiederholt bis keine wichtigen updates mehr verfügbar waren. Ich habe lediglich das optionale update "windwos live essential" nicht installiert, da man damit messenger, email-konten-verwalter, fotoalben-verwalter und so´n zeug installieren würde. das brauche ich ja eigentlich nicht. oder?

Schritt 3 ist erledigt

zu Schritt 4: PROBLEM!!!
wenn ich auf Systemwiederherstellung klicke, hängt sich der laptop auf. was nun?

windows + R- Taste --> sysdm.cpl (eingeben) --> OK

Wechsle nun in den Reiter Systemwiederherstellung. Setze ein Häckchen bei Systemwiederherstellung deaktivieren.
Starte den Rechner neu auf.
Den Hacken danach wieder entfernen.

Den Reiter systemwiederherstellung gibt es nicht. Ich habe nur die Reiter: Computername, Hardware, Erweitert, Computerschutz und Remote

Beim Reiter Computerschutz gibt es allerdings einen Button "Systemwiederherstellung". Wenn man da klickt öffnet sich ein Fenster, bei dem man eine Systemwiederherstellung starten kann. Das ist nicht das richtige, oder?

und es gibt den Button: Wiederherstellungspunkt erstellen. Die Beschreibung dazu lautet folgendermaßen: "Dient zum sofortigen Erstellen eines Wiederherstellungspunkts für die Laufwerke mit aktivem Systemschutz." Ist das vielleicht das richtige?

Sorry wegen der häppchenweisen Darstellung!!

sehr seltsam.

Erstelle bitte einen neuen Systemwiederherstellungspunkt und gib diesen einen Markanten Namen wie "nach Bereinigung" oder in der Art.

Wie das geht habe ich hier eine bebilderte Anleitung von Netzwerktotal

Ok, der Wiederherstellungspunkt ist erledigt! Was würd ich nur ohne dich machen. Soll ich jetz damit weitermachen?

Oder erstmal neustarten oder irgendwas anderes?

Dann würde jemand anderes Dir helfen :lach:


ne wenn das bereinigen nicht will, dann lassen wir das. Dazu auch der neue Punkt ;)

Neue HJT Log bitte :)

Bitte sehr :)

Log ist sauber :daumenhoc:

Wenn es keine Fragen oder Probleme mehr gibt habe ich Hier noch was zu lesen für Dich zum Thema Sicherheit von JigSaw.

Oki doki,

kann ich jetz die erstellten logFiles löschen oder soll ich sie lieber irgendwo abspeichern? Liegen jetzt alle noch auf meinem desktop. Und was ist mit OTL und Anti-Maleware und HJT? Deinstallieren oder lieber drauf lassen?

Ist mein Laptop jetzt geheilt?

Eine Frage hab ich noch: Hab jetzt ein paar mal neu gestartet, um zu sehen, ob der laptop wieder so schnell läuft wie vorher. soweit alles super. nur kommt immer die meldung, dass die gerätetreibersofware-installation fehlgeschlagen ist. und zwar von PC Tools Driver #179 und PC Tools Driver #183.

kannst du damit was anfangen bzw. hat das mit dem trojaner-problem was zu tun? Hab eigentlich keine Ahnung für welches Gerät das ein Treiber sein soll.

PC tools ist Deine Firewall.
Versuche diese neu zu installieren :)

ok, hab sie neu installiert. aber die meldung kommt nach dem neustart immer noch. jetz allerdings für PC tools driver #208 und #209. sehr komisch, oder?

Deinstalliere sie bitte erneut.

Verwende dazu

Software mit Revo Uninstaller deinstallieren

Downloade Dir bitte den Revo Uninstaller

• Doppelklick auf die revosetup.exe.
• Installiere das Tool in den vorgegebenen Pfad.
• Doppelklick auf das Revo Uninstall Icon.
• Suche Dir nun folgende Software aus der Code-Box.
  
  Code:

  ---

  PC Tools Firewall

  ---

  Klicke darauf und bestätige mit Ja.
• Belasse die Einstellung der Deinstallationsroutine auf Moderat und klicke auf weiter.
• Das Tool wird nun nach allen Einträgen auf dem Rechner suchen. Klick auf weiter
• Klick auf den Markiere alle Button und klick auf löschen und bestätige mit Ja.

Starte den Rechner neu auf.


Versuchen wir es erneut.
Downloadlink

Die Meldung kommt immer noch :( :( :(

Gerätetreibersoftware-installation fehlgeschlagen
PC Tool Driver #210
PC Tool Driver #211

startest du das setup mit Rechtsklick "als Admin starten" ?

mist, das hab ich vergessen. nochmal deinstallieren und neu installieren wie in deiner letzten instruktion?

Hab mich jetzt als Admin angemeldet und es nochmal deinstalliert gemäß deiner Anleitung. Nach dem Neustart kommt die Meldung auch. Dieses mal mit "unbekanntes Gerät"

steht nur da unbekanntes gerät ?
schick mal eine neue HJT Logfile

Es kommt die gleiche Meldung wie als die firewall noch installiert war, nur dass jetzt statt "PC Tool Driver" "unbekanntes Gerät" dasteht. und statt "installation fehlgeschlagen" steht "keine Treiber gefunden"

die neue HJT:

Schauen wir mal in die Eventlogs.

• Lade Random's System Information Tool (RSIT) herunter,
• speichere es auf Deinem Desktop.
• Starte mit Doppelklick die RSIT.exe.
• Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
• Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
• Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
• Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt

Die Info.txt reicht mir.

Hab es als Admin ausgeführt.
Nachdem ich "continue" geklickt habe, öffnet sich ein Fenster bei dem ich die Ausführung der Datei: C:/Users/***/Downloads/***_2.exe bestätigen soll.

und dann kommt die Fehlermeldung:
AutoIt Error
Line-1:
Error: Variable used without being declared.

das ist wichtig

sonst.

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles in Code-Tags hier in den Thread.

Extra.txt reicht mir ebenfalls

Hab es auf dem Desktop gespeichert, aber es ging trotzdem nicht.

Deshalb hier die OTL´s:

Okay das unbekannte Gerät scheint ein Part von Sony zu sein.

win + R- Taste --> services.msc (eingeben) --> OK

Suche Dir nun folgenden Eintrag
VzCdbSvc

Stelle diesen Dienst einmal ab (manuell)


Starte den Rechner neu, berichte bitte.

Also gleich kapier ich gar nichts mehr.
Ich konnte dieses VzcdbSvc nicht von automatisch auf manuell umändern. Das war nur grau hinterlegt.

Ich muss dazu sagen, dass ich nachdem du mir gestern diesen brain.exe link geschickt hattest, habe ich ein neues Benutzerkonto für den Administrator eingerichtet und mich selbst als Standardbenutzer festgelegt habe. Da ich die VzcdbSz-Veränderung nicht vornehmen konnte, hab ich mich nochmal zum Admin umgewandelt und habe nochmal neu gestartet.

Nun kam diese Meldung bezüglich Gerätetreiberinstallation plötzlich nicht mehr. Keine Ahnung warum.

Die Firewall ist immernoch deinstalliert. Soll ich sie jetzt neu installieren?

ja versuch mal :)

oh man, langsam kriege ich echt ne Krise.

also bin jetz wieder als admin angemeldet. nachdem ich die firewall installiert hatte, kam die Meldung wieder. Jetzt wieder mit "PC Tool Driver". Hab die Firewall dann wieder deinstalliert und hab dieses VzcdbSvc (Vaio Entertainment Database Service) von automatisch auf manuell umgestellt. Neu gestartet; nun kam die Meldung mit der Gerätetreiberinstallation nicht mehr.

Nochmal die Firewall installiert und da war sie wieder die Meldung :( :( :(

Firewall ist jetzt wieder deinstalliert.

Wie soll ich weiter verfahren?

Ich werde mal meine Kollegen fragen :killpc:

Hab jetzt mal wieder neu gestartet und jetzt kommt auf einmal die Meldung, dass mein Windows keine Originalware wäre. Ich kriege echt gleich die Superkrise

Schauen wir, ob Du eine gültige Produkt-Lizenz hast. Lade das Tool MGADiag.exe von dieser Seite herunter, führe es aus und kopieren den Output per Copy&Paste (den Button Copy drücken) hier in den Thread.

Hallo Daniel,

also das mit der Windows- Aktivierung hat ein Kumpel jetzt für mich gelöst. Da ist jetzt alles wieder in Ordnung. Und der Kumpel meinte auch, dass die Windowsfirewall im Normalfall ausreicht. Ich surfe ja auch nicht auf irgendwelchen illegalen Seiten herum.

Der Trojaner war ja nun vollständig beseitigt, oder!?
Muss ich dann jetzt noch irgendwelche Programme oder Dateien löschen, die du zur Bekämpfung gebraucht hast? (HijackThis, OTL, RSIT, MGADiag hab ich jetzt noch auf meinem Desktop)
Und soll ich dieses VzcdbSvc wieder auf automatisch umstellen?

Gruß Collygreen

Jetzt bin ich neugierig

RSIT erneut das System scannen lassen

• Schließe alle Fenster und Programme inkl. Browser.
• Lösche C:\rsit\info.txt manuell.
• Start => ausführen (bei Vista: im Feld "Suche starten")
• "%userprofile%\desktop\rsit.exe" /info (reinkopieren),
  damit die alten Logdateien von RSIT überschrieben werden.
• Bitte poste den Inhalt folgender Logs hier in den Thread:
  C:\rsit\log.txt und C:\rsit\info.txt (<= wird minimiert in der Taskleiste dargestellt).

Die RSIT.exe lässt sich nicht ausführen bzw. es kommt nur minutenlang die "Eieruhr"...

funzt OTL ? :)

ich teste ;)

jab, klappt :)
hier die logFiles:

Okay, reicht soweit. :)

Starte HJT --> Open Misc tool selection --> open Hosts File manager --> Klicke "open Notepad"

Poste mir den Inhalt

bitte sehr:

Gibts noch Probleme ?

im moment hab ich net das gefühl... :)

hab das antiVir auch noch ein paar mal durchlaufen lassen und es hat keine funde gemeldet...

wenn du mir jetzt noch die absolution erteilst, dass du denkst, es ist alles in ordnung, dann bin ich glücklich...

Hast Du keine Probleme mehr, hab ich auch keine :D

Starte bitte die OTL.exe
Klick rechts oben auf den Clean Up Button. Dies wird die meisten Tools die wir benötigt haben entfernen.
Sollte denoch was bestehen bleiben, bitte manuell löschen.


HJT Logfile bitte :)

bitte sehr:

Log ist sauber :daumenhoc:

Wenn es keine Fragen oder Probleme mehr gibt habe ich Hier noch was zu lesen für Dich zum Thema Sicherheit von JigSaw.

Du bist entlassen.

suuuuuuuuuuuuper

dann sag ich mal

:dankeschoen::dankeschoen::dankeschoen:

auf hoffentlich nicht allzubald ;)