|
Download hat immer 0 kb, Google öffnet falsche Seiten hab ich den TR/kazy.mekml.1 ? Hallo alle zusammen! ich bin neu hier, da ich (wie wahrscheinlich die meisten Neuen) ein Problem mit meinem Rechner habe. Ich habe versucht alles so wie in den Anleitungen zu Erstellen. Falls was nicht passt, habt bitte Nachsehen, ich bin absoluter Laie auf dem Gebiet und mach das zum ersten Mal. Zum Problem: Ich hatte das Problem, dass wenn ich mir eine Datei runtergeladen hab (z.B. Antivir, oder FreePDF), dass die Datei zwar angezeigt wurde, aber immer 0kB enthalten hat, also damit auch nicht funktioniert hat. Ein zweites Problem was zeitgleich aufkam ist, dass wenn ich bei Google auf ein Ergebnis klicke, teilweise (nicht immer) irgendwelche andren Seiten wie z.B. "Adultfriendfinder" aufgingen. Wenn ichs dann nochmal versuche, geht meistens der Korrekte Link auf. Ich hab hier etwas gesucht und bin auf mehrere Beiträge mit dem Thema TR/kazy.mekml.1 gestoßen. Könnte es sein, dass ich das Teil auch habe? hatte als erstes Antivir (per Stick vom andren Rechner) installiert und laufen lassen, der fand eine verdächtige Datei. (s. AVSCAN-1) Später lies ich es nochmal laufen, dann erkannte es 4 Dateien (s. AVSCAN-2) dann hab ich Euer Forum hier entdeckt. Ich hab mir Malewarebytes und OTL runtergeladen (was komischerweise ohne Probleme ging!!) und dann die Files erstellt. Bei Malwarebytes kam nach dem Löschen die Meldung: "Bestimmte Objekte konnten nicht entfernt werden...Computer neu starten, um den Entfernungsprozess abzuschließen..." Ist das normal? Nachdem ich die beiden Programme angewendet habe, konnte ich eben auch wieder FreePDF downloaden, und bisher hatte ich auch keine Entgleisung von Google mehr. Aber ich hab gelesen, dass fehlende Sympthome nicht heißen, dass der Rechner sauber ist, darum schreib ich hier. Wäre super wenn Ihr mir helfen könntet Gruß Marc Die Files: |
das mit dem neustart ist normal. bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
Hallo zusammen, da bin ich wieder. @markusg: vielen Dank für deine superschnelle Reaktion. Hier kommt der File von ComboFix. Allerdings mit einem Problem: während Combo fix am Ende sagt "starte keine Anwendungen bevor ComboFix fertig ist", startet bei mir schon Automatisch z.B. Skype, ICQ, Lenovo-Zusatzprogramme etc. Ist das schlimm, oder nicht so? Gruß Marc |
update erst mal malwarebytes, vollständiger scan, log posten, funde entfernen. |
So, hier ist die Datei vom vollständigen Scan Gruß Marc |
|
GMER Logfile: Code: GMER 1.0.15.15627 - hxxp://www.gmer.net |
Doppelklick auf die OTL.exe (user von Windows 7 und Vista: Rechtsklick als Administrator ausführen) 1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output 2. Hake an "scan all users" 3. Unter "Extra Registry wähle: "Use Safelist" "LOP Check" "Purity Check" 4. Kopiere in die Textbox: netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL explorer.exe iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT 5. Klicke "Scan" 6. 2 reporte werden erstellt: OTL.Txt Extras.Txt beide posten. |
Hallo, anbei die beiden Files Gruß Marc |
• Starte bitte die OTL.exe • Kopiere nun das Folgende in die Textbox. :OTL SRV - (PsaSrv) -- File not found SRV - (HidServ) -- File not found SRV - (AdobeSS) -- File not found FF - prefs.js..network.proxy.http: "127.0.0.1" FF - prefs.js..network.proxy.http_port: 62889 O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present :Files :Commands [purity] [EMPTYFLASH] [emptytemp] [Reboot] • Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren. öffne firefox, extras erweitert, netzwerk keinen proxy verwenden auswählen. |
Die Sache mit Firefox nach der ganzen Aktion durchführen oder vorher, und dann Firefox geöffnet lassen? Oder Firefox zum Posten verwenden (bisher verwende ich IE, hab aber beides Installiert) Gruß Marc |
firefox schließen, otl scan laufen lassen pc startet neu. firefox öffnen und dann die einstellung mit dem proxy vor nehmen. |
So, hier die Daten Gruß Marc All processes killed ========== OTL ========== Service PsaSrv stopped successfully! Service PsaSrv deleted successfully! File File not found not found. Service HidServ stopped successfully! Service HidServ deleted successfully! File File not found not found. Service AdobeSS stopped successfully! Service AdobeSS deleted successfully! File File not found not found. Prefs.js: "127.0.0.1" removed from network.proxy.http Prefs.js: 62889 removed from network.proxy.http_port Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions\ deleted successfully. Registry key HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel\ not found. Registry key HKEY_USERS\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel\ not found. Registry key HKEY_USERS\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel\ not found. ========== FILES ========== ========== COMMANDS ========== [EMPTYFLASH] User: Administrator User: All Users User: Default User User: LocalService User: MH ->Flash cache emptied: 3040 bytes User: NetworkService Total Flash Files Cleaned = 0,00 mb [EMPTYTEMP] User: Administrator ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 32902 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 32902 bytes User: MH ->Temp folder emptied: 400537 bytes ->Temporary Internet Files folder emptied: 57155859 bytes ->FireFox cache emptied: 51978338 bytes ->Google Chrome cache emptied: 18431154 bytes ->Flash cache emptied: 0 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 32902 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 39097 bytes %systemroot%\System32 .tmp files removed: 53980458 bytes %systemroot%\System32\dllcache .tmp files removed: 1146880 bytes %systemroot%\System32\drivers .tmp files removed: 43992 bytes Windows Temp folder emptied: 505 bytes RecycleBin emptied: 302080 bytes Total Files Cleaned = 175,00 mb OTL by OldTimer - Version 3.2.22.3 log created on 05162011_191230 Files\Folders moved on Reboot... Registry entries deleted on Reboot... |
gibts eine besserung? |
Sieht gut aus, hatte jetzt keine Fehlleitungen mehr von Google!! FreePDF, was ich vorher nicht downloaden konnte ging jetzt auch Wenn ich Antivir downloaden will geht das auch, nur irgendwie seehr schleppend, aber das kann auch an der Homepage liegen (obwohls sonst sehr schnell geht) Aber eigentlich siehts gut aus. Gruß Marc |
ok, wir prüfen noch einiges. start suche tippe cmd.exe rechtsklick, als admin ausführen gib ein: ipconfig /flushdns enter dann sollte dort stehen dns auflösungschache geleert dann exit eingeben. lade den ccleaner slim: Piriform - Builds falls der ccleaner bereits instaliert, überspringen. instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen. hinter, jedes von dir benötigte programm, schreibe notwendig. hinter, jedes, von dir nicht benötigte, unnötig. hinter, dir unbekannte, unbekannt. liste posten. |
so, hier die Liste Ganz schön viel Zeug von dem ich keine Ahnung hab was es ist ! leeren des auflösungschache hat funktioniert. Gruß Marc 'Niao Tetris' Eduard Schneider unnötig Access Help 1.00 unbekannt Adobe Flash Player 10 ActiveX Adobe Systems Incorporated 10.1.82.76 notwendig Adobe Flash Player 10 Plugin Adobe Systems Incorporated 10.1.82.76 unbekannt Adobe Reader 7.0 - Deutsch Adobe Systems Incorporated 007.000.000 notwendig Avira AntiVir Personal - Free Antivirus Avira GmbH 10.0.0.648 notwendig Biet-O-Matic v2.14.3 BOM Development Team Biet-O-Matic v2.14.3 notwendig CCleaner Piriform 3.06 unnötig falls nicht mehr für Dich wichtig Citrix Online Plug-in - Web Citrix Systems, Inc. 12.0.0.6410 notwendig CyberView X Multiple-Slides Scanner v1.20 Pacific Image Electronics Co., Ltd 1.20 notwendig Deutz Engine unnötig Dienstprogramm 'ThinkPad-Tastaturanpassung' 1.3.22.0 unnötig Diskeeper Lite Diskeeper Corporation 9.0.535 unnötig DivX-Setup DivX, Inc. 1.0.2.23 unnötig ElsterFormular für Privatanwender Landesfinanzdirektion Thüringen 12.0.0.5880p unnötig Ergänzung zu Productivity Center für ThinkPad 1.01 unbekannt Funktion "TrackPoint-Eingabehilfen" 1.11.0.0 unbekannt Google Chrome Google Inc. 11.0.696.68 unnötig Google Desktop Google 5.9.1005.12335 unnötig Google Earth Google 6.0.1.2032 unnötig Google Toolbar for Internet Explorer unnötig Hardcopy (c:\hardcopy) www.hardcopy.de 2010.08.19 notwendig Help Center 1.03 unbekannt High Definition Audio - KB888111 Microsoft Corporation 20040219.000000 unbekannt IBM 32-bit Runtime Environment for Java 2, v1.4.2 IBM 1.4.2 unbekannt ICQ7.2 ICQ 7.2 notwendig Intel(R) Graphics Media Accelerator Driver unbekannt Intel(R) PRO Network Connections Drivers unbekannt Intel(R) PROSet/Wireless Software Intel Corporation 10.1.0.3 API unbekannt Langenscheidt Vokabeltrainer 6.0 Englisch Langenscheidt 6.0.0 notwendig LiveReg (Symantec Corporation) Symantec Corporation 2.4.2.2295 unbekannt Malwarebytes' Anti-Malware Malwarebytes Corporation unnötig falls nicht mehr für Dich wichtig Message Center 1.03 unbekannt Microsoft .NET Framework 1.1 unbekannt Microsoft .NET Framework 1.1 German Language Pack Microsoft 1.1.4322 unbekannt Microsoft .NET Framework 2.0 Language Pack - DEU Microsoft Corporation unbekannt Microsoft .NET Framework 2.0 Service Pack 2 Microsoft Corporation 2.2.30729 unbekannt Microsoft .NET Framework 3.0 Service Pack 2 Microsoft Corporation 3.2.30729 unbekannt Microsoft .NET Framework 3.5 SP1 Microsoft Corporation unbekannt Microsoft .NET Framework 4 Client Profile Microsoft Corporation 4.0.30319 unbekannt Microsoft .NET Framework 4 Client Profile DEU Language Pack Microsoft Corporation 4.0.30319 unbekannt Microsoft Compression Client Pack 1.0 for Windows XP Microsoft Corporation 1 unbekannt Microsoft Office Home and Student 2007 Microsoft Corporation 12.0.6425.1000 notwendig Microsoft User-Mode Driver Framework Feature Pack 1.0 Microsoft Corporation unbekannt Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148 Microsoft Corporation 9.0.30729.4148 unbekannt Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570 Microsoft Corporation 9.0.30729.5570 unbekannt Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729 Microsoft Corporation 9.0.30729 unbekannt Microsoft-Basissmartcard-Kryptografiedienstanbieterpaket Microsoft Corporation unbekannt Mozilla Firefox (3.6.8) Mozilla 3.6.8 (de) notwendig Mozilla Thunderbird (3.1.10) Mozilla 3.1.10 (de) MSN unnötig MSXML 4.0 SP2 (KB954430) Microsoft Corporation 4.20.9870.0 unbekannt MSXML 4.0 SP2 (KB973688) Microsoft Corporation 4.20.9876.0 unbekannt PC-Doctor 5 for Windows PC-Doctor, Inc. 5.00.3347.1 unnötig Picasa 2 Google, Inc. 2.0 unnötig Rescue and Recovery - Client Security Solution Lenovo Group Limited 3.01.0037.00 notwendig SAMSUNG CDMA Modem Driver Set unnötig SAMSUNG Mobile Composite Device Software unnötig Samsung Mobile phone USB driver Software unnötig SAMSUNG Mobile USB Modem 1.0 Software unnötig SAMSUNG Mobile USB Modem Software unnötig Samsung PC Studio 3 Samsung Electronics Co., Ltd. 3.1.3.71009 unnötig Security Update for Windows Search 4 - KB963093 Microsoft Corporation unbekannt SilverFast AFL 6.6.2r3 LaserSoft Imaging AG notwendig Skype Toolbars Skype Technologies S.A. 5.0.4137 unnötig Skype™ 5.1 Skype Technologies S.A. 5.1.112 notwendig Software Installer 3.21.0601 unbekannt SoundMAX Analog Devices 5.10.01.4270 unbekannt System Migration Assistant Lenovo Group Limited. 5.02.0014 unbekannt TeamViewer 5 TeamViewer GmbH 5.1.9160 notwendig Tetris Unlimited 0.5.0 Oscar Giner 0.5.0 unnötig ThinkPad Bluetooth with Enhanced Data Rate Software IBM, Inc. 4.0.1.3000 unbekannt ThinkPad Energie-Manager 1.12 notwendig ThinkPad FullScreen Magnifier 1.16 unbekannt ThinkPad Modem 7.62.00 unbekannt ThinkPad Power Management Driver 1.43 notwendig ThinkPad TrackPoint Driver 4.64.0.0 unbekannt ThinkPad-Dienstprogramm 'EasyEject' 2.22 unbekannt ThinkPad-Konfiguration 1.51 unbekannt ThinkPad-Präsentationsdirektor 2.41b notwendig ThinkVantage Access Connections 4.12 unbekannt ThinkVantage Away Manager 1.0.9.0 unbekannt ThinkVantage Fingerprint Software 5.4 UPEK 5.4.0.2659 notwendig ThinkVantage Productivity Center 1.02 unbekannt ThinkVantage System für aktiven Festplattenschutz 1.40 notwendig ThinkVantage System Update Lenovo 1.00.120 unbekannt TomTom HOME 2.8.0.2146 TomTom 2.8.0.2146 unnötig TomTom HOME Visual Studio Merge Modules TomTom International B.V. 1.0.2 unnötig Windows Driver Package - Multiple Slides Scanner Vendor (scsiscan) Image 10/22/2002 1.1.1 Multiple Slides Scanner Vendor 1.1.1 unbekannt(schätze das hat mit meinem Diascanner zu tun) Windows Genuine Advantage Validation Tool (KB892130) Microsoft Corporation unbekannt Windows Internet Explorer 8 Microsoft Corporation 20090308.140743 notwendig Windows Media Format 11 runtime unbekannt Windows Media Player 11 notwendig Windows Search 4.0 Microsoft Corporation 04.00.6001.503 unbekannt Windows XP Service Pack 3 Microsoft Corporation 20080414.031514 notwendig WinRAR notwendig |
deinstaliere: 'Niao Tetris' Access Help Adobe Reader 7.0 Adobe - Adobe Reader herunterladen - Alle Versionen nimm den haken bei mcafee security scan raus. öffne den adobe reader, bearbeiten, voreinstellungen, javascript, dort den haken raus, internet, ebenfalls alle haken raus. so werden keine pdfs mehr automatisch geladen und es kann dir kein schadcode mehr auf diese weise untergeschoben werden. unter allgemein, nur zertifizierte zusatzmodule verwenden anhaken. unter update, auf instalieren stellen. klicke übernehmen /ok deinstaliere. Deutz Dienstprogramm Diskeeper DivX ElsterFormular Google alle LiveReg Malwarebytes' kann man 1x pro monat updaten und nen quick scan machen. Message Center Mozilla Firefox öffnen, hilfe update, version 4 ist aktuell MSN PC-Doctor Picasa Samsung alle Skype Toolbars TeamViewer homepage besuchen, version 6 ist aktuell Tetris ThinkPad FullScreen Magnifier TomTom beide. Windows Search bereinige mit dem ccleaner. |
Deinstallieren ganz normal über Systemsteuerung / Programme? |
ja oder über ccleaner, ist egal. |
So, alles erledigt, Acrobatreader hab ich jetzt die Version 10 drauf. Einziger Punkt den ich nicht gefunden habe ist"Haken bei McAffee rausnehmen. war das auch auf den Acrobatreader bezogen? Wenn ja, wo? Gruß Marc |
das war auf der homepage beim download. schau mal in der software liste ob du jetzt den mc afee drauf hast, falls ja, deinstalieren. |
Da war nur was mit Google Toolkbar oder so, das hab ich rausgenommen. McAffee ist nicht installiert Gruß Marc |
avira http://www.trojaner-board.de/54192-a...tellungen.html avira 10 so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm. bitte auch unter verwaltung, planer, scan auftrag, darauf achten, das dieser über lokale laufwerke läuft! sonst werden die einstellungen nicht gültig. den update auftrag auf 1x pro tag einstellen. und "nachhohlen falls zeit überschritten" auswählen klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten. |
Hallo, hatte Avira 10 ja schon drauf von gestern, habs upgedatet, Einstellungen wie beschrieben ausgeführt, und das ist jetzt der Scan. Der hat wohl immer noch was gefunden. Das Ding ist ganz schön hartnäckig... Hier der Bericht Gruß Marc Avira AntiVir Personal Erstellungsdatum der Reportdatei: Dienstag, 17. Mai 2011 19:27 Es wird nach 2743090 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : MH Computername : LAPTOP_X60 Versionsinformationen: BUILD.DAT : 10.0.0.648 31823 Bytes 01.04.2011 18:23:00 AVSCAN.EXE : 10.0.4.2 442024 Bytes 01.04.2011 15:07:08 AVSCAN.DLL : 10.0.3.0 56168 Bytes 01.04.2011 15:07:22 LUKE.DLL : 10.0.3.2 104296 Bytes 01.04.2011 15:07:16 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 14:15:11 VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 14:15:12 VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 05:46:56 VBASE004.VDF : 7.11.5.226 2048 Bytes 07.04.2011 05:46:56 VBASE005.VDF : 7.11.5.227 2048 Bytes 07.04.2011 05:46:56 VBASE006.VDF : 7.11.5.228 2048 Bytes 07.04.2011 05:46:57 VBASE007.VDF : 7.11.5.229 2048 Bytes 07.04.2011 05:46:57 VBASE008.VDF : 7.11.5.230 2048 Bytes 07.04.2011 05:46:57 VBASE009.VDF : 7.11.5.231 2048 Bytes 07.04.2011 05:46:57 VBASE010.VDF : 7.11.5.232 2048 Bytes 07.04.2011 05:46:58 VBASE011.VDF : 7.11.5.233 2048 Bytes 07.04.2011 05:46:58 VBASE012.VDF : 7.11.5.234 2048 Bytes 07.04.2011 05:46:58 VBASE013.VDF : 7.11.6.28 158208 Bytes 11.04.2011 05:46:59 VBASE014.VDF : 7.11.6.74 116224 Bytes 13.04.2011 05:47:00 VBASE015.VDF : 7.11.6.113 137728 Bytes 14.04.2011 05:47:00 VBASE016.VDF : 7.11.6.150 146944 Bytes 18.04.2011 05:47:01 VBASE017.VDF : 7.11.6.192 138240 Bytes 20.04.2011 05:47:02 VBASE018.VDF : 7.11.6.237 156160 Bytes 22.04.2011 05:47:03 VBASE019.VDF : 7.11.7.45 427520 Bytes 27.04.2011 05:47:04 VBASE020.VDF : 7.11.7.64 192000 Bytes 28.04.2011 05:47:05 VBASE021.VDF : 7.11.7.97 182272 Bytes 02.05.2011 05:47:09 VBASE022.VDF : 7.11.7.127 467968 Bytes 04.05.2011 05:47:12 VBASE023.VDF : 7.11.7.183 185856 Bytes 09.05.2011 05:47:13 VBASE024.VDF : 7.11.7.218 133120 Bytes 11.05.2011 05:47:14 VBASE025.VDF : 7.11.7.234 139776 Bytes 11.05.2011 05:47:15 VBASE026.VDF : 7.11.8.16 147456 Bytes 13.05.2011 05:47:17 VBASE027.VDF : 7.11.8.46 169472 Bytes 17.05.2011 17:20:25 VBASE028.VDF : 7.11.8.47 2048 Bytes 17.05.2011 17:20:25 VBASE029.VDF : 7.11.8.48 2048 Bytes 17.05.2011 17:20:25 VBASE030.VDF : 7.11.8.49 2048 Bytes 17.05.2011 17:20:25 VBASE031.VDF : 7.11.8.50 2048 Bytes 17.05.2011 17:20:25 Engineversion : 8.2.4.236 AEVDF.DLL : 8.1.2.1 106868 Bytes 28.03.2011 14:14:53 AESCRIPT.DLL : 8.1.3.63 1601915 Bytes 17.05.2011 17:20:40 AESCN.DLL : 8.1.7.2 127349 Bytes 28.03.2011 14:14:53 AESBX.DLL : 8.1.3.2 254324 Bytes 28.03.2011 14:14:53 AERDL.DLL : 8.1.9.9 639347 Bytes 25.03.2011 10:21:38 AEPACK.DLL : 8.2.6.8 557430 Bytes 17.05.2011 17:20:38 AEOFFICE.DLL : 8.1.1.22 205178 Bytes 15.05.2011 05:47:25 AEHEUR.DLL : 8.1.2.118 3469687 Bytes 17.05.2011 17:20:36 AEHELP.DLL : 8.1.16.1 246134 Bytes 28.03.2011 14:14:46 AEGEN.DLL : 8.1.5.5 401780 Bytes 17.05.2011 17:20:27 AEEMU.DLL : 8.1.3.0 393589 Bytes 28.03.2011 14:14:45 AECORE.DLL : 8.1.20.4 196983 Bytes 17.05.2011 17:20:26 AEBB.DLL : 8.1.1.0 53618 Bytes 28.03.2011 14:14:44 AVWINLL.DLL : 10.0.0.0 19304 Bytes 28.03.2011 14:14:57 AVPREF.DLL : 10.0.0.0 44904 Bytes 01.04.2011 15:07:07 AVREP.DLL : 10.0.0.10 174120 Bytes 17.05.2011 17:20:41 AVREG.DLL : 10.0.3.2 53096 Bytes 01.04.2011 15:07:07 AVSCPLR.DLL : 10.0.4.2 84840 Bytes 01.04.2011 15:07:08 AVARKT.DLL : 10.0.22.6 231784 Bytes 01.04.2011 15:07:04 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 01.04.2011 15:07:06 SQLITE3.DLL : 3.6.19.0 355688 Bytes 17.06.2010 13:27:02 AVSMTP.DLL : 10.0.0.17 63848 Bytes 28.03.2011 14:14:57 NETNT.DLL : 10.0.0.0 11624 Bytes 28.03.2011 14:15:04 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 01.04.2011 15:07:24 RCTEXT.DLL : 10.0.58.0 98152 Bytes 28.03.2011 14:15:16 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Lokale Laufwerke Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\alldrives.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, R:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Intelligente Dateiauswahl Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 10 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: hoch Abweichende Gefahrenkategorien........: +PCK,+PFS,+SPR, Beginn des Suchlaufs: Dienstag, 17. Mai 2011 19:27 Der Suchlauf nach versteckten Objekten wird begonnen. c:\programme\ibm thinkvantage\safeguard privatedisk\pdcmd.exe c:\programme\ibm thinkvantage\safeguard privatedisk\pdcmd.exe [HINWEIS] Der Prozess ist nicht sichtbar. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'rsmsink.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'msdtc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxext.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'skypePM.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'pwmgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'BTSTAC~1.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hardcopy.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'DLG.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'BTTray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wfcrun32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WMPNSCFG.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'concentr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ACWLIcon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ACTray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'pdservice.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'cssauth.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LPMGR.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TPONSCR.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smax4pnp.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TPHKMGR.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'EzEjMnAp.Exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TpShocks.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'tp4serv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SvcGuiHlpr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'logmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WMPNetwk.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AcSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'UCLauncherService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'tvtsched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rrservice.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ibmtcsd.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TPHDEXLG.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RegSrvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'btwdins.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AcPrfMgrSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'IPSSVC.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'S24EvMon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'EvtEng.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ibmpmsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'R:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '485' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <IBM_PRELOAD> C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP125\A0034364.exe [FUND] Ist das Trojanische Pferd TR/Trash.Gen C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP125\A0034365.exe [FUND] Ist das Trojanische Pferd TR/Trash.Gen C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP125\A0034366.dll [FUND] Ist das Trojanische Pferd TR/Trash.Gen Beginne mit der Suche in 'R:\' <Securedrive> Beginne mit der Desinfektion: C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP125\A0034366.dll [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '456a66e6.qua' verschoben! C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP125\A0034365.exe [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5dfd4941.qua' verschoben! C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP125\A0034364.exe [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0fa213a9.qua' verschoben! Ende des Suchlaufs: Dienstag, 17. Mai 2011 20:45 Benötigte Zeit: 1:17:43 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 8607 Verzeichnisse wurden überprüft 347033 Dateien wurden geprüft 3 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 3 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 347030 Dateien ohne Befall 9222 Archive wurden durchsucht 0 Warnungen 4 Hinweise 48819 Objekte wurden beim Rootkitscan durchsucht 1 Versteckte Objekte wurden gefunden |
rechtsklick arbeitsplatz eigenschaften systemwiederherstellung, auf allen laufwerken deaktivieren, bestätigen, übernehmen ok. 5 minuten warten wieder einschalten. |
Den Rechner aus, und nach 5 min wieder einschalten, oder nur die Systemwiederherstellung nach 5 min wieder aktivieren. Sorry, saudoofe Fragen, ich schätz mal zweiteres, aber ich frag halt mal. Gruß Marc |
blöde fragen gibts nicht. nach 5 minuten die swh wieder einschalten :-) |
Erladigt. Was nun Chef ? :-) |
passt jetzt wieder alles? dann würde ich mit dir noch das system absichern. |
ja, Symptome hab ich keine mehr. Aber Avira hatte doch gestern noch was gefunden. oder nicht? Gruß Marc |
das war in der systemwiederherstellung, das haben wir mit deaktivieren gelöscht. wir können ja mal den autostart aufräumen, ist ziemlich viel zeug dort. start ausführen msconfig enter systemstart überall haken raus außer bei avira. (avgnt) ok klicken, pc startet neu. meldungsfenster erscheint, dort anhaken meldung nicht mehr anzeigen. du kannst jederzeit wieder anhaken falls du doch was im autostart benötigst. |
So, erledigt. Habe ICQ und Skype drin gelassen, da ich das meistens aktiv habe. Hab das auch immer wieder mal ausgedünnt, aber bei viel Zeug wusste ich gar nicht was es ist und dachte dann, "nicht dass er dann nicht mehr richtig läuft" |
funktioniert doch aber alles denke ich :-) http://www.trojaner-board.de/96344-a...-rechners.html hier alles unter xp und allgemeines abarbeiten, was du nicht benötigst sind die updates, schau aber das updates bei dir automatisch geladen und instaliert werden, du benötigst kein eingeschrenktes konto, und ein av hast du ja schon. für firefox nutze noch noscript und adblock. hier gibt es noch filterlisten: Bekannte Filterlisten fr Adblock Plus hier würde ich 2 oder 3 deutsche filter auswählen. unter sonstiges die malware blocklist. 7. um das surfen sicherer zu machen, würde ich sandboxie empfehlen. Download: http://filepony.de/download-sandboxie/ anleitung: Sandbox*Einstellungen | (als pdf) hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar. den direkten datei zugriff bitte auf firefox.exe und plugin-container.exe beschrenken, hier kannst du auch noscript und andere plugins eintragen. geht auch unter c:\windows\sandboxie.ini unter dem eintrag defauld box OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\prefs.js OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\bookmarks.html OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\sessionstore.js OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\adblockplus\patterns.ini bei Internetzugriff: firefox.exe und plugin-container.exe eintragen öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung. dort auf anwendung, webbrowser, firefox. direkten zugriff auf lesezeichen erlauben auswählen und auf hinzufügen klicken, dann auf ok. wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen. 1. es gibt dann noch ein paar mehr funktionen. 2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig. 3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen. ab sofort also nur noch in der sandbox surfen bitte. klicke jetzt also immer anstelle des browser symbols, das symbol sandboxed web browser. danach den abschnitt Maßnahmen für ALLE Windows-Versionen abarbeiten. dazu gehört panda, file hippo secunia... endere sicherheitshalber alle passwörter. |
hi kurze zwischenmeldung habs noch nicht geschafft alles abzuarbeiten, und bin jetzt 2 Tage nicht daheim. Also nichts wundern, ich meld mich dann wieder Gruß Marc |
ok bis die tage. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 02:06 Uhr. |
Copyright ©2000-2025, Trojaner-Board