|
Computer verlangsamt, hängt kurze zeit Hallo, mein pc hat sich seit Samstag den 12.02 verlangsamt und hängt kurz wenn ich eine Anwendung starte. Am Samstag hat mein Virenschutz die Dateien xnd464.exe und xnda2f.exe gefunden und als Bedrohung erkannt und schliessend Isoliert. könnt ihr mal schaun ob hier noch Auswirkungen der Dateien sind? HiJackthis Logfile: Code: Logfile of Trend Micro HijackThis v2.0.2 |
|
Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 5774 Windows 6.0.6002 Service Pack 2 Internet Explorer 8.0.6001.19019 16.02.2011 21:06:11 mbam-log-2011-02-16 (21-06-11).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|G:\|) Durchsuchte Objekte: 344364 Laufzeit: 57 Minute(n), 3 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\bak_Application (Hijacker.Application) -> Value: bak_Application -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\Application (Hijacker.Application) -> Bad: (hxxp://www.helpmeopen.com/?n=app&ext=%s) Good: (hxxp://shell.windows.com/fileassoc/%04x/xml/redir.asp?Ext=%s) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\program files (x86)\pando networks\media booster\uninst.exe (Trojan.Agent) -> Quarantined and deleted successfully. c:\Users\Stefan\AppData\Roaming\desktopicon\ebayshortcuts.exe (Adware.ADON) -> Quarantined and deleted successfully. |
Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle davon posten. Du findest diese im Reiter Logdateien in Malwarebytes. |
Im Anhang sind alle Malwarebytes Logs und OTL Log |
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. |
All processes killed ========== OTL ========== HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully! File not found. G:\autorun.inf moved successfully. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b17aef0e-1724-11e0-a1ce-001bdc0f5e2f}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b17aef0e-1724-11e0-a1ce-001bdc0f5e2f}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b17aef0e-1724-11e0-a1ce-001bdc0f5e2f}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b17aef0e-1724-11e0-a1ce-001bdc0f5e2f}\ not found. File "M:\WD SmartWare.exe" autoplay=true not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f1886aa0-14b5-11e0-bada-001bdc0f5e2f}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f1886aa0-14b5-11e0-bada-001bdc0f5e2f}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f1886aa0-14b5-11e0-bada-001bdc0f5e2f}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f1886aa0-14b5-11e0-bada-001bdc0f5e2f}\ not found. File M:\LaunchU3.exe not found. ADS C:\ProgramData\TEMP:5B30BB17 deleted successfully. ========== COMMANDS ========== File move failed. C:\Windows\System32\drivers\etc\Hosts scheduled to be moved on reboot. HOSTS file reset successfully [EMPTYTEMP] User: All Users User: AppData User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Flash cache emptied: 41 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: Mcx1-STEFAN-PC ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 3431759 bytes ->Flash cache emptied: 41661 bytes User: Public User: Stefan ->Temp folder emptied: 747144 bytes ->Temporary Internet Files folder emptied: 1537087 bytes ->Java cache emptied: 61357260 bytes ->FireFox cache emptied: 42785239 bytes ->Google Chrome cache emptied: 37275808 bytes ->Opera cache emptied: 0 bytes ->Flash cache emptied: 7945 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 512000 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32 (64bit) .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 2216928 bytes %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 51973 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 143,00 mb OTL by OldTimer - Version 3.2.20.6 log created on 02172011_144822 Files\Folders moved on Reboot... File move failed. C:\Windows\System32\drivers\etc\Hosts scheduled to be moved on reboot. Registry entries deleted on Reboot... |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Noch ne frage ist es normal das das Programm Malwarebytes vom Desktop entfernt? Hier das Log: Combofix Logfile: Code: ComboFix 11-02-16.05 - Stefan 17.02.2011 15:25:57.1.4 - x64 |
Bitte nun Logs mit GMER und mbrcheck erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg Anleitung zu mbrcheck: Downloade Dir MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
Log befindet sich im Anhang. |
GMER ging nicht? Code: Size Device Name MBR StatusHast du eine DVD passend zu deiner WIndows-Version da: Windows Version: Windows Vista Home Premium Edition Windows Information: Service Pack 2 (build 6002), 64-bit |
ne GMER ging nicht. ne hab mir die Version Runtergeladen. |
Führ mal bitte wg. des "unbekannten" MBRs dieses Tool von Kaspersky aus => http://www.trojaner-board.de/82358-t...entfernen.html |
Der TDDSKiller von Kapersky erstellt nach dem Scan kein Log. Und sieht bei mir anders aus wie in der Anleitung. |
Hab es jetzt geschafft. log im anhang. |
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
Hier beide Logs im Anhang. |
Sieht ok aus, da wurden nur Cookies gefunden. Noch Probleme oder weitere Funde in der Zwischenzeit? |
Ich glaub er ist wieder normal schnell. Wenn mir was auffält meld ich mich wieder. |
Dann wären wir wohl durch! :abklatsch: Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
Muss man alle Passwörter ändern oder ist es nur empfehlenswert? |
Es ist eine Empfehlung. Du musst es nicht tun, aber schaden kann es nicht. Es ist eine Vorsichtsmaßnahme für den Fall, dass Schädlinge Passwörter mitgelesen haben. Das muss natürlich nicht passiert sein, aber möglich ist es. Deine Entscheidung ob du alle Passwörter ändern willst oder nicht :pfeiff: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 06:11 Uhr. |
Copyright ©2000-2025, Trojaner-Board