|
Google spinnt und leitet teilweise flasch weiter Ich habe ein Problem, erstmal ich hab nicht so die Ahnung von PCs. Und dann zum Hauptproblem: Angefangen hat es damit, dass mir AntiVir und Windows gleichzeitig einen Trojaner meldeten. Also Laptop vom Netz getrennt und Viren-Scan. So zwei Trojaner gefunden und entfernt. Dann schien alles gut und der PC sauber zu sein. Dann wieder im Netz und ich merkte das Google mich oft auf falsche Seiten weiterleitete.Dann hab ich mal in die Prozesse geschaut und die WerFault.exe gefunden. Keine Ahnung was das nun wieder ist. Also noch nen Scan. Nix gefunden.:headbang: Also noch mal ab ins Netz, und schaun was es für lösungen gibt. Also hijackthis-Analyse und das ist das Ergebinnis: HiJackthis Logfile: Code: Logfile of Trend Micro HijackThis v2.0.4Und wie gesagt ich kann damit nicht soviel anfangen und würde mich echt freuen wenn ihr mir helfen könntet. P.S.:Ich lass gerade noch nen Scan nebenher laufen und das Ergebniss werd ich noch posten. Danke schon mal BlackApe Achja ich benutze Firefox und der Scan hat jetzt schon zehn Funde. Hier die Scan-Ergebnisse JAVA/Rowindal.A JAVA/OpenSteam.C JAVA/2010.0094.E Avira AntiVir Personal Erstellungsdatum der Reportdatei: Samstag, 9. Oktober 2010 22:51 Es wird nach 2914708 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows Vista Windowsversion : (Service Pack 1) [6.0.6001] Boot Modus : Normal gebootet Benutzername : Jannik Computername : JANNIK-PC Versionsinformationen: BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00 AVSCAN.EXE : 10.0.3.0 433832 Bytes 01.04.2010 11:37:35 AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16 LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 18:27:49 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 16:37:42 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 15:37:42 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 10:29:03 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 20:45:19 VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 20:45:24 VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 20:45:36 VBASE008.VDF : 7.10.11.133 3454464 Bytes 13.09.2010 20:45:43 VBASE009.VDF : 7.10.11.134 2048 Bytes 13.09.2010 20:45:43 VBASE010.VDF : 7.10.11.135 2048 Bytes 13.09.2010 20:45:44 VBASE011.VDF : 7.10.11.136 2048 Bytes 13.09.2010 20:45:45 VBASE012.VDF : 7.10.11.137 2048 Bytes 13.09.2010 20:45:45 VBASE013.VDF : 7.10.11.165 172032 Bytes 15.09.2010 20:45:46 VBASE014.VDF : 7.10.11.202 144384 Bytes 18.09.2010 20:45:46 VBASE015.VDF : 7.10.11.231 129024 Bytes 21.09.2010 20:45:46 VBASE016.VDF : 7.10.12.4 126464 Bytes 23.09.2010 20:45:47 VBASE017.VDF : 7.10.12.38 146944 Bytes 27.09.2010 20:45:47 VBASE018.VDF : 7.10.12.64 133120 Bytes 29.09.2010 20:45:47 VBASE019.VDF : 7.10.12.99 134144 Bytes 01.10.2010 20:45:48 VBASE020.VDF : 7.10.12.122 131584 Bytes 05.10.2010 20:45:48 VBASE021.VDF : 7.10.12.148 119296 Bytes 07.10.2010 20:45:49 VBASE022.VDF : 7.10.12.149 2048 Bytes 07.10.2010 20:45:49 VBASE023.VDF : 7.10.12.150 2048 Bytes 07.10.2010 20:45:49 VBASE024.VDF : 7.10.12.151 2048 Bytes 07.10.2010 20:45:49 VBASE025.VDF : 7.10.12.152 2048 Bytes 07.10.2010 20:45:49 VBASE026.VDF : 7.10.12.153 2048 Bytes 07.10.2010 20:45:49 VBASE027.VDF : 7.10.12.154 2048 Bytes 07.10.2010 20:45:49 VBASE028.VDF : 7.10.12.155 2048 Bytes 07.10.2010 20:45:49 VBASE029.VDF : 7.10.12.156 2048 Bytes 07.10.2010 20:45:50 VBASE030.VDF : 7.10.12.157 2048 Bytes 07.10.2010 20:45:50 VBASE031.VDF : 7.10.12.167 75776 Bytes 08.10.2010 20:45:50 Engineversion : 8.2.4.72 AEVDF.DLL : 8.1.2.1 106868 Bytes 09.10.2010 20:46:01 AESCRIPT.DLL : 8.1.3.45 1368443 Bytes 09.10.2010 20:46:01 AESCN.DLL : 8.1.6.1 127347 Bytes 09.10.2010 20:46:00 AESBX.DLL : 8.1.3.1 254324 Bytes 09.10.2010 20:46:02 AERDL.DLL : 8.1.9.2 635252 Bytes 09.10.2010 20:46:00 AEPACK.DLL : 8.2.3.7 471413 Bytes 09.10.2010 20:45:59 AEOFFICE.DLL : 8.1.1.8 201081 Bytes 09.10.2010 20:45:59 AEHEUR.DLL : 8.1.2.30 2941303 Bytes 09.10.2010 20:45:59 AEHELP.DLL : 8.1.13.4 242038 Bytes 09.10.2010 20:45:56 AEGEN.DLL : 8.1.3.23 401779 Bytes 09.10.2010 20:45:56 AEEMU.DLL : 8.1.2.0 393588 Bytes 09.10.2010 20:45:56 AECORE.DLL : 8.1.17.0 196982 Bytes 09.10.2010 20:45:55 AEBB.DLL : 8.1.1.0 53618 Bytes 09.10.2010 20:45:54 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07 AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40 AVREG.DLL : 10.0.3.0 53096 Bytes 01.04.2010 11:35:44 AVSCPLR.DLL : 10.0.3.0 83816 Bytes 01.04.2010 11:39:49 AVARKT.DLL : 10.0.0.14 227176 Bytes 01.04.2010 11:22:11 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08 RCTEXT.DLL : 10.0.53.0 98152 Bytes 09.04.2010 13:14:28 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: C:\program files\avira\antivir desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, E:, Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Beginn des Suchlaufs: Samstag, 9. Oktober 2010 22:51 Der Suchlauf nach versteckten Objekten wird begonnen. HKEY_USERS\S-1-5-21-3022767743-2744068324-2558049244-1000\Software\SecuROM\License information\datasecu [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_USERS\S-1-5-21-3022767743-2744068324-2558049244-1000\Software\SecuROM\License information\rkeysecu [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. c:\program files\mozilla firefox\firefox.exe c:\Program Files\Mozilla Firefox\firefox.exe [HINWEIS] Der Prozess ist nicht sichtbar. c:\program files\mozilla firefox\firefox.exe c:\program files\mozilla firefox\firefox.exe c:\users\jannik\appdata\local\temp\cnu.exe c:\Users\Jannik\AppData\Local\Temp\Cnu.exe [HINWEIS] Der Prozess ist nicht sichtbar. c:\users\jannik\appdata\local\temp\cnu.exe c:\users\jannik\appdata\local\temp\cnu.exe c:\program files\adobe\reader 8.0\reader\acrord32.exe c:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe [HINWEIS] Der Prozess ist nicht sichtbar. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'wmiprvse.exe' - '46' Modul(e) wurden durchsucht Durchsuche Prozess 'taskeng.exe' - '25' Modul(e) wurden durchsucht Durchsuche Prozess 'NOTEPAD.EXE' - '51' Modul(e) wurden durchsucht Durchsuche Prozess 'plugin-container.exe' - '70' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'vssvc.exe' - '49' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '69' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '126' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '154' Modul(e) wurden durchsucht Durchsuche Prozess 'avnotify.exe' - '50' Modul(e) wurden durchsucht Durchsuche Prozess 'wmpnscfg.exe' - '20' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '54' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '56' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '68' Modul(e) wurden durchsucht Durchsuche Prozess 'Cnu.exe' - '63' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPHelper.exe' - '14' Modul(e) wurden durchsucht Durchsuche Prozess 'CFSwMgr.exe' - '71' Modul(e) wurden durchsucht Durchsuche Prozess 'winhelp.exe' - '16' Modul(e) wurden durchsucht Durchsuche Prozess 'ehmsas.exe' - '19' Modul(e) wurden durchsucht Durchsuche Prozess 'wmpnetwk.exe' - '73' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'wmpnscfg.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'ehtray.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'TOSCDSPD.exe' - '17' Modul(e) wurden durchsucht Durchsuche Prozess 'unsecapp.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'TCrdMain.exe' - '62' Modul(e) wurden durchsucht Durchsuche Prozess 'TPwrMain.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'RtHDVCpl.exe' - '52' Modul(e) wurden durchsucht Durchsuche Prozess 'NDSTray.exe' - '93' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPEnh.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'MSASCui.exe' - '41' Modul(e) wurden durchsucht Durchsuche Prozess 'taskeng.exe' - '65' Modul(e) wurden durchsucht Durchsuche Prozess 'Dwm.exe' - '48' Modul(e) wurden durchsucht Durchsuche Prozess 'SmartFaceVWatchSrv.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchIndexer.exe' - '53' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'ULCDRSvr.exe' - '5' Modul(e) wurden durchsucht Durchsuche Prozess 'TUProgSt.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'TosIPCSrv.exe' - '18' Modul(e) wurden durchsucht Durchsuche Prozess 'TosCoSrv.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'TODDSrv.exe' - '23' Modul(e) wurden durchsucht Durchsuche Prozess 'TNaviSrv.exe' - '19' Modul(e) wurden durchsucht Durchsuche Prozess 'TempoSVC.exe' - '59' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht Durchsuche Prozess 'StarWindServiceAE.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht Durchsuche Prozess 'PnkBstrA.exe' - '27' Modul(e) wurden durchsucht Durchsuche Prozess 'CTDevSrv.exe' - '12' Modul(e) wurden durchsucht Durchsuche Prozess 'CFSvcs.exe' - '70' Modul(e) wurden durchsucht Durchsuche Prozess 'ClipInc-Server.exe' - '65' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '57' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '85' Modul(e) wurden durchsucht Durchsuche Prozess 'Ati2evxx.exe' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '90' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '87' Modul(e) wurden durchsucht Durchsuche Prozess 'SLsvc.exe' - '23' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '150' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '115' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '73' Modul(e) wurden durchsucht Durchsuche Prozess 'Ati2evxx.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '57' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'PresentationFontCache.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'lsm.exe' - '22' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '60' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'E:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '1814' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <Vista> C:\Users\Jannik\AppData\Local\Temp\jar_cache282714241942448680.tmp [0] Archivtyp: ZIP [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/CV-2010-0094.A --> Exploit.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/CV-2010-0094.A --> PayloadCreater.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/CV-2010-0094.C --> PayloadClassLoader.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/CV-2010-0094.B --> Payloader.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/CV-2010-0094.D --> payload.ser [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/CV-2010-0094.E C:\Users\Jannik\AppData\Local\Temp\jar_cache4805804730922064940.tmp [0] Archivtyp: ZIP [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/OpenConnecti.A --> cpak/Crimepack$1.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/OpenConnecti.A --> cpak/Crimepack.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/OpenStream.C C:\Users\Jannik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25\aff9319-54dca3f0 [0] Archivtyp: ZIP [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.abj --> U_kM5y.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.abj --> uz_gJ_h.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Remote.B --> VjDDB__QuwE.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Rowindal.A Beginne mit der Suche in 'E:\' <Musik> Beginne mit der Desinfektion: C:\Users\Jannik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25\aff9319-54dca3f0 [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Rowindal.A [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4845547c.qua' verschoben! C:\Users\Jannik\AppData\Local\Temp\jar_cache4805804730922064940.tmp [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/OpenStream.C [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '50e67bde.qua' verschoben! C:\Users\Jannik\AppData\Local\Temp\jar_cache282714241942448680.tmp [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/CV-2010-0094.E [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '02b92136.qua' verschoben! Ende des Suchlaufs: Sonntag, 10. Oktober 2010 00:45 Benötigte Zeit: 1:48:17 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 32294 Verzeichnisse wurden überprüft 566861 Dateien wurden geprüft 10 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 3 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 566851 Dateien ohne Befall 7523 Archive wurden durchsucht 0 Warnungen 3 Hinweise 639028 Objekte wurden beim Rootkitscan durchsucht 9 Versteckte Objekte wurden gefunden |
ootl: Systemscan mit OTL download otl: http://filepony.de/download-otl/ Doppelklick auf die OTL.exe (user von Windows 7 und Vista: Rechtsklick als Administrator ausführen) 1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output 2. Hake an "scan all users" 3. Unter "Extra Registry wähle: "Use Safelist" "LOP Check" "Purity Check" 4. Kopiere in die Textbox: netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL explorer.exe iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT 5. Klicke "Scan" 6. 2 reporte werden erstellt: OTL.Txt Extras.Txt beide posten. |
EXTRA.txt Code: OTL Extras logfile created on: 10.10.2010 12:16:36 - Run 1 |
OTL.txt Code: OTL logfile created on: 10.10.2010 12:16:36 - Run 1 |
• Starte bitte die OTL.exe. • Kopiere nun das Folgende in die Textbox. :OTL PRC - C:\Users\Jannik\AppData\Local\Temp\Cnu.exe (Borland International) PRC - C:\Users\Public\Documents\Windows\winhelp.exe () SRV - (TOSHIBA Bluetooth Service) -- c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe File not found DRV - (NwlnkFwd) -- C:\Windows\System32\DRIVERS\nwlnkfwd.sys File not found DRV - (NwlnkFlt) -- C:\Windows\System32\DRIVERS\nwlnkflt.sys File not found DRV - (IpInIp) -- C:\Windows\System32\DRIVERS\ipinip.sys File not found DRV - (igfx) -- C:\Windows\System32\DRIVERS\igdkmd32.sys File not found O2 - BHO: (no name) - {1F364306-AA45-47B5-9F9D-39A8B94E7EF1} - No CLSID value found O4 - HKLM..\Run: [cfFncEnabler.exe] File not found O4 - HKLM..\Run: [NDSTray.exe] File not found O4 - HKU\S-1-5-21-3022767743-2744068324-2558049244-1000..\Run: [DAEMON Tools Lite] C:\Program Files\DAEMON Tools Lite\DTLite.exe File not found O4 - HKU\S-1-5-21-3022767743-2744068324-2558049244-1000..\Run: [FeedBuster] C:\Program Files\Alnera\FeedBuster\FeedBuster.exe File not found O4 - HKU\S-1-5-21-3022767743-2744068324-2558049244-1000..\Run: [Fgefizajifoh] C:\Users\Jannik\AppData\Local\asiyulidemawixor.DLL (VoLT, 2010) O4 - HKU\S-1-5-21-3022767743-2744068324-2558049244-1000..\Run: [iashsdtc] C:\Users\Jannik\AppData\Local\Temp\LocaStub.DLL () O4 - HKU\S-1-5-21-3022767743-2744068324-2558049244-1000..\Run: [KOO9RV9K4Z] C:\Users\Jannik\AppData\Local\Temp\Cnu.exe (Borland International) O4 - HKU\S-1-5-21-3022767743-2744068324-2558049244-1000..\Run: [Metropolis] C:\Users\Jannik\AppData\Local\Temp\sshnas21.DLL (Borland International) O4 - HKU\S-1-5-21-3022767743-2744068324-2558049244-1000..\Run: [Rbidog] C:\Users\Jannik\AppData\Local\xULevsb.DLL () O4 - HKU\S-1-5-21-3022767743-2744068324-2558049244-1000..\Run: [SMH2B46TDP] C:\Users\Jannik\AppData\Local\Temp\Cns.exe (Borland International) O4 - HKU\S-1-5-21-3022767743-2744068324-2558049244-1000..\Run: [TOSCDSPD] File not found O4 - Startup: C:\Users\Jannik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\algdyw32.exe (ZTX) [2010.10.10 00:51:26 | 000,000,000 | ---D | C] -- C:\Users\Jannik\AppData\Local\{A4F55CF6-A86B-4881-8EAF-1B8B33A96DB1} [2010.10.09 16:17:43 | 000,000,000 | -H-D | C] -- C:\Users\Public\Documents\Windows [2010.10.09 16:17:41 | 000,000,000 | -H-D | C] -- C:\Users\Public\Documents\Server [2010.10.09 16:17:22 | 000,000,000 | ---D | C] -- C:\Users\Jannik\AppData\Roaming\22ED443D220FA022E648BB15A2D6E3BE [2010.10.10 12:21:02 | 000,000,290 | -H-- | M] () -- C:\Windows\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job [2010.10.10 00:51:27 | 000,000,120 | ---- | M] () -- C:\Users\Jannik\AppData\Local\Rpixebop.dat [2010.10.10 00:51:27 | 000,000,000 | ---- | M] () -- C:\Users\Jannik\AppData\Local\Gpejumokabadebir.bin [2010.10.09 16:17:59 | 000,000,135 | ---- | M] () -- C:\Users\Jannik\AppData\Roaming\asdsada.bat [2010.10.09 16:17:53 | 000,000,020 | ---- | M] () -- C:\Users\Jannik\AppData\Roaming\cnmkat.dat :FILES :Commands [purity] [EMPTYFLASH] [emptytemp] [Reboot] • Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument dieses posten öffne mein computer, c:\_OTL rechtsklick auf moved files und zu moved files.rar oder zip hinzufügen. archiv zu uns hochladen. http://www.trojaner-board.de/54791-a...ner-board.html |
Erstmal das Text-dokument: Code: All processes killed |
bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
Kann Combofix den PC formatieren oder wie hab ich das zu verstehen?? |
ne wie kommst darauf |
Weil da irgendwas steht von Ursprungsumgebung und Die Windows-CD bereithalten. |
irgendwas, du musst schon genau lesen was da steht, es geht um die rettungskonsole. natürlich könnte combofix zu problemen führen, dass kann dir aber mit jedem programm, welches du nutzt, passieren. |
Code: ComboFix 10-10-09.04 - Jannik 10.10.2010 15:30:41.1.2 - x86€: das neue problem hat sich erledigt. |
starte ihn mal neu. dann weiter hiermit: download malwarebytes: Malwarebytes instalieren, öffnen, registerkarte aktualisierung, programm updaten. schalte alle laufenden programme ab, trenne die internetverbindung. registerkarte scanner, komplett scan, funde entfernen, log posten. |
OK, sag mal wie lange dauert den das noch, so im Durchschnitt?? |
keine ahnung, mindestens bis wir fertig sind... aber sieht ja schon mal besser aus. |
Code: Malwarebytes' Anti-Malware 1.46Und es ist besser. !JA! :applaus: . Hoffe es dauert nicht mehr solange. Kostet dich ja auch Zeit. €: ich seh gerade das ich vergessen habe zu updaten ich Scan nochmal. |
gut das war nämlich auch das was ich grad schreiben wollte. es dauert hatl etwas länger, dafür machen wirs aber auch richtig das is ja wohl woraufs ankommt. |
Bin jetzt vorrübergehend weg. Schreib mal die nächsten Schritte auf. Ich hol die dann nach. Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4791 Windows 6.0.6001 Service Pack 1 Internet Explorer 7.0.6001.18000 10.10.2010 19:55:49 mbam-log-2010-10-10 (19-55-49).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|F:\|) Durchsuchte Objekte: 380786 Laufzeit: 1 Stunde(n), 30 Minute(n), 2 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 2 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 11 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\KOO9RV9K4Z (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\SMH2B46TDP (Trojan.FakeAlert) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Qoobox\Quarantine\C\Users\Jannik\AppData\Roaming\Microsoft\Windows\Templates\memory.tmp.vir (Spyware.Passwords.XGen) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\_OTL\MovedFiles\10102010_142543\C_Users\Public\Documents\Windows\winhelp.exe.vir (Spyware.Passwords.XGen) -> Quarantined and deleted successfully. C:\_OTL\MovedFiles\10102010_142543\C_Users\Jannik\AppData\Local\asiyulidemawixor.dll (Trojan.Hiloti) -> Quarantined and deleted successfully. C:\_OTL\MovedFiles\10102010_142543\C_Users\Jannik\AppData\Local\xULevsb.dll (Trojan.Hiloti.Gen) -> Quarantined and deleted successfully. C:\_OTL\MovedFiles\10102010_142543\C_Users\Jannik\AppData\Local\Temp\Cns.exe (Trojan.Downloader) -> Quarantined and deleted successfully. C:\_OTL\MovedFiles\10102010_142543\C_Users\Jannik\AppData\Local\Temp\Cnu.exe (Trojan.Downloader) -> Quarantined and deleted successfully. C:\_OTL\MovedFiles\10102010_142543\C_Users\Jannik\AppData\Local\Temp\LocaStub.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\_OTL\MovedFiles\10102010_142543\C_Users\Jannik\AppData\Local\Temp\sshnas21.dll (Trojan.Downloader) -> Quarantined and deleted successfully. C:\_OTL\MovedFiles\10102010_142543\C_Users\Jannik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\algdyw32.exe (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Users\Public\Documents\Server\admin.txt (Malware.Trace) -> Quarantined and deleted successfully. C:\Users\Public\Documents\Server\server.dat (Malware.Trace) -> Quarantined and deleted successfully. |
download den ccleaner slim http://filepony.de/download-ccleaner/ instaliren, öffnen, extras, liste der instalierten programme, als txt speichern. öffne diese. hinter jedes von dir benötigte programm schreibe notwendig. hinter von dir nicht benötigte unnötig und hinter dir unbekannte, unbekannt, liste posten. |
Code: Adobe Flash Player 10 ActiveX Adobe Systems Incorporated 10.04.2009 unbekannt |
ok los gehts. Adobe Reader 8.2.3 deinstalieren und ersetzen durch: Adobe - Adobe Reader herunterladen - Alle Versionen bitte hake nicht an, mcafee securety scan + öffne dann den reader, bearbeiten, voreinstellungen, javascript, dort den haken raus, internet, ebenfalls alle haken raus. so werden keine pdfs mehr automatisch geladen und es kann dir kein schadcode mehr auf diese weise untergeschoben werden. bitte noch unnötige plugins verschieben: Adobe Reader schneller starten behalte aber: EScript.api Escript.deu Search.api Search.DEU Deinstaliere. Adobe Shockwave Player BodyTrainer Bonjour Camera Assistant Counter-Strike 1.6 Creative ZEN X-Fi2 Die Sims - Tierisch gut drauf DivX Codec DivX Converter DivX Player DivX Plus DirectShow DivX Web Player DOW RDN Tools Relic Entertainment, DVD MovieFactory for TOSHIBA FastStone Photo Resizer Firebird SQL Server GameSpy Arcade ICQ Toolbar ICQ7.2 : ich würde da einen werbefreien und schlankeren multimessenger vorschlagen. Miranda Fusion wenn es unbedingt icq sein muss, ist ein update fällig: ICQ Download - ICQ.com weiter gehts: IrfanView deinstaliere beide java versionen und update: Download der kostenlosen Java-Software deinstaliere: KraiSoft Games Launcher Microsoft Games for Windows Microsoft Games for Windows - LIVE Redistributable monoface Move Media Player Norton Security Scan Prism Video Converter PunkBuster QuickTime Apple Inc San Andreas Mod Installer save2pc Converter Stabi-Checker SUPER © Text-To-Speech Tobit.Software clipinc TOSHIBA Assist TOSHIBA Benutzerhandbücher TOSHIBA ConfigFree TOSHIBA DVD PLAYER TOSHIBA Extended Tiles for Windows Mobility Center TOSHIBA Face Recognition Toshiba Online Product Information Toshiba TEMPRO TRDCReminder TRORDCLauncher TuneUp Utilities 2009 Typograf4.8f Uniblue RegistryBooster Unity Web Player Vampire Editor VASSAL Vice City Mod Manager VLC media player 0.9.9 updaten: VideoLAN - VLC media player - Open Source Multimedia Framework and Player weiter: WavePad Sound Editor WBFS Manager 3.0 Windows Live Anmelde-Assistent Windows Live Essentials Windows Live-Uploadtool Windows Media Player Firefox Plugin ZENcast Organizer wenn du damit fertig bist, nutze den ccleaner, dateien + registry bereinigen. dann pc neustarten und schauen wie er läuft. |
so CCleaner läuft, aber Miranda funktioniert nicht Code: Fataler ICQ-Fehlerschon mal danke für die tipps. und irgendwie kann ich keine pdfs mehr lesen. BlackApe |
hast du den neuen adobe instaliert? ich hab dieses problem mit miranda auch grad, wird sich vllt wieder legen. die restlichen deinstalationen /updates gemacht? wie läuft der rechner? |
ich starte gleich neu verschiebe nur noch die Plugins |
man merkt schon das er schnell läuft und vorallem hab ich wieder mehr platz. Noch irgegendetwas anderes was ich in dem zusammenhang beachten sollte?? was kommt den jetzt noch alles?? |
nicht mehr sonderlich viel. ja, auf jeden fall hast mehr platz jetzt :-) avira http://www.trojaner-board.de/54192-a...tellungen.html avira 10 so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm. klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten. |
miranda sollte jetzt funktionieren. |
jup tut auch bei mir, aber ich hab ziemlich viele funde und warungen. und AntiVir macht jetzt zum n-ten mal nen system-check. und mein Internet geht dauernt flöten und kommt dan manchmal nicht wieder, ohne das ich die verbindung wieder manuell herstelle. |
zeig mir mal die avira berichte, zu finden unter reports und die meldungen, zu finden unter ereignisse. deaktiviere die systemwiederherstellung Systemwiederherstellung deaktivieren unter Vista - Windows 7 Tipps, Optimieren, Tricks warte 5 min und schalte sie wieder ein. |
Code: Avira AntiVir PersonalCode: |
und ich hatte meldungen, das sich maleware in der explorer.exe befindet und die jetzt in quaratäne verschoben wird. In der Datei 'C:\Windows\explorer.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen2' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern das war der letze bericht der systemanalyse Code: Avira AntiVir Personal |
rechtsklick avira schirm, guard deaktivieren. VirusTotal - Free Online Virus, Malware and URL Scanner prüfe dort: C:\Windows\explorer.exe C:\Windows\System32\wininit.exe falls bereits analysiert, klicke erneut prüfen, poste die ergebniss links. also wenn status beendet angezeigt wird, den links aus der adress zeile kopieren |
hxxp://www.virustotal.com/file-scan/report.html?id=e79ba1d57f20e5377e85b6169818f49e1609ee39c6012ded3be5455e9bed9222-1286810383 hxxp://www.virustotal.com/file-scan/report.html?id=a1f140e402f12ab6aa5bf33157c271429395aaa517067c15a7e6bdd788336275-1286810250 |
lad die beiden mal zu uns hoch: dateiupload: http://www.trojaner-board.de/54791-a...ner-board.html avira muss dazu ausgeschalten sein. dann hiermit weiter: http://www.trojaner-board.de/59299-a...eb-cureit.html bitte anders als beschrieben den scan im normalen modus durchführen. den schnell scan, der automatisch startet, abbrechen. bitte konfiguriere drweb wie beschrieben. schalte nun alles an laufenden programmen aus, trenne außerdem die internet verbindung. starte den scan. arbeite während dessen nicht am pc. das log wird ziemlich groß, lade es daher hoch File-Upload.net und poste den download link. gib bescheid ob avira noch meldungen anzeigt. |
hxxp://www.file-upload.net/download-2883706/CureIt.log.html hier der log achja am ende hat sich mein pc aufgehängt und beim neustart hat mein pc sich dann selbst repariert genauer, die explorer.exe und die wininit.exe. ist das schlimm?? |
schlägt avira noch an? scanne noch mal über lokaler schutz, lokale laufwerke, mit den von mir weiter oben geposteten einstellungen. |
Ich Scan nochmal, aber so findet der nichts. |
wunderbar. dann können wir ja heute zum ende kommen. |
geil und das wäre?? |
das ende wäre das wir fertig sind, aber erst mal auf den avira scan warten, und n bissel zu tun ist ja noch. |
Code: |
ok, lade das vista servicepack2 Downloaddetails: Windows Server 2008 Service Pack 2 und Windows Vista Service Pack 2 - Five Language Standalone (KB948465) instaliere es. dann öffne windows update seite, spiele alle wichtigen updates auf. dann schaue unter einstellungen, das automatische updates aktiev ist und das sie automatisch geladen/instaliert werden. Updates sind für dein system genauso wichtig, wie ein antivirenscanner. Sehr häufig gelangen schädlinge nur aufs system, weil der user veraltete software nutzt. instaliere die folgenden update checker. Secunia: http://www.trojaner-board.de/83959-s...ector-psi.html und file hippo update checker: FileHippo.com Update Checker - FileHippo.com das file Hippo Symbol wird im infobereich neben der uhr auftauchen, mache bitte nen rechtsklick darauf, wähle settings, results, setze einen haken bei "hide beta updates" klicke ok. dann doppelklicke file hippo, eine Internetseite wird geöffnet, auf der dier die aktuellsten updates gezeigt werden, diese downloaden und instalieren. Beide programme sollten im autostart bleiben, und sobald eines der programme updates anzeigt sollten diese umgehend instaliert werden. wenn das erledigt ist, sag bescheid. |
is erledigt |
ok rechtsklick auf hijackthis.exe als administrator ausführen. scan and safe log, neues logfile posten |
Code: Logfile of Trend Micro HijackThis v2.0.4 |
hi, warum hast du den internet explorer 8 noch nicht instaliert? |
ich benutz firefox |
ich kann iTunes nicht mehr ausführen, da mir windows iTunes untersagt. und mein integrirter SD-reader will auch nicht |
das hat nichts damit zu tun, der ie muss auf dem aktuellsten stand sein. instaliere itunes noch mal neu hattest du software für den card reader? vllt noch mal drüber instalieren |
ich hab mir jetzt songbird geholt und iTunes runtergeschmissen. ne software fur reader hab ich nicht aber ich guck mal ob es am adapter liegt. €:liegt am adapter. und i-net explore ist auch auf dem neustem stand |
ok dann hier noch ein paar tipps. dep aktivieren: Datenausführungsverhinderung (DEP) • "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten:". wenn es zu problemen kommen sollte, kann man die betroffenen prozesse aus der Überwachung entfernen. SEHOP aktivieren: Aktivieren von SEHOP (Structured Exception Handling Overwrite Protection) in Windows-Betriebssystemen klicke auf "Feature automatisch aktivieren" und folge den anweisungen einer der sichersten browser ist opera. Opera Webbrowser | Schneller & sicherer | Die neuen Internet-Browser kostenlos herunterladen in den letzten jahren lag er was die sicherheit angeht weit vor den großen wie dem internet explorer und dem firefox. mit diesem tool lässt sich ein werbeblocker laden Opera AdBlock Configurator - Freeware - DE - Download.CHIP.eu zusätzlich kannst du das auch manuell erledigen, falls mal etwas nicht geblockt wird: http://my.opera.com/computerbase/blo...ung-blockieren lesezeichen importieren: Lesezeichen ? OperaWiki um das surfen sicherer zu machen, würde ich sandboxie empfehlen. Download: Sandboxie Download anleitung: drop.io (als pdf) hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar. den direkten datei zugriff bitte auf opera beschrenken, bei Internetzugriff: opera.exe öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung. dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok. somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern. wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen. 1. es gibt dann noch ein paar mehr funktionen. 2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig. 3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen. autorun deaktivieren: über diesen weg werden sehr häufig schaddateien verbreitet, schalte die funktion also ab. Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de usb sticks, festplatten etc, sollte man mit panda vaccine impfen: ANTIMALWARE: Panda USB Vaccine - Download FREE - PANDA SECURITY so holt man sich keine infektionen ins haus, wenn man mal die festplatte etc verleit. hake an: hake an: run panda usb vaccine automatically when computer boots automatically vaccine any new insert usb key enable ntfs file suport regelmäßige Backups des systems sind sehr wichtig, du weist nie, ob deine festplatte mal kaputt geht. Acronis True Image 2011 - Festplatten-Backup-Software, Datei-Backup und Disk Imaging, Wiederherstellung von Anwendungseinstellungen, Backup von Musik, Videos, Fotos und Outlook-Mails außerdem kannst du, bei neuerlichem malware befall das system zurücksetzen. Das Backup sollte möglichst auf eine externe festplatte etc emacht werden, nicht auf die selbe, wo sich die zu sichernden daten befinden. Von sehr wichtigen Daten könnte man noch eine zusätzliche Sicherung auf dvds/cds erstellen, dazu könnte man auch wiederbeschreibbare verwenden (rws) falls die sammlung mal erneuert werden soll. bitte endere alle passwörter. surfe nur noch in der sandbox, mit klick auf "sandboxed web browsr" wenn dir der opera nicht gefällt, sag mir bitte bescheid, damit ich dir noch adons für den ff nennen kann, die das surfen sicherer machen, außerdem muss ich den teil für die sandbox anpassen. |
gut mach ich sonst noch was?? sonst bedanke ich mich jetzt schon mal herzlich und stell dich auf ein imaginäres Bier eingeladen:party: vor. war richtig nett das du dir zeit genommen hast.:daumenhoc:daumenhoc |
danke für das bier :d du solltest nur diese tipps alle noch umsetzen damit du in zukunft geschützter bist. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 20:26 Uhr. |
Copyright ©2000-2025, Trojaner-Board