|
Google Suche schaltet nach Eingabe des ersten Buchstaben um und ist extrem langsam Hallo, ich habe Google als Standard Suchmaschine bei Internet Explorer 8 eingestellt. Google schaltet nach Eingabe des ersten Buchstaben im Suchfeld auf eine andere Eingabemaske um. Ich glaube es ist die von Google Instant. Danach kann ich erst mal keine weiteren Buchstaben im Suchfeld eingeben. Es dauert dann 20 Sekunden bis zu Minuten bis eine weitere Eingabe möglich ist. Die CPU Auslastung ist dann 100%. Mit Firefox scheint es besser zu funktionieren. Wenn ich Google Instant deaktiviere gehts auch wieder besser (da habe ich im Internet einige Informationen gefunden, daß evtl. Google Instant schuld ist) Außerdem: Avira hat 'EXP/CVE-2010-4452.BZ' [exploit]. und 'EXP/CVE-2010-4452.BY' [exploit]. gefunden und mehrere Files in Quarantäne gelegt. Ich weiß nicht ob es damit zu tun hat, aber das würde ich auch gerne zuverlässig beseitigen. Weiß da jemand Bescheid und kann mir da bitte jemand helfen? OTL, GMER und Extra Log-Files sind angehängt. |
Hi, Malwarebytes Antimalware (MAM) Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen: http://filepony.de/download-chameleon/ Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen") Fullscan und alles bereinigen lassen! Log posten. Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet! Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß! Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen. TDSS-Killer Download und Anweisung unter: Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft? Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)! Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe. Nach dem Start erscheint ein Fenster, dort dann "Start Scan". Wenn der Scan fertig ist bitte "Report" anwählen. Es öffnet sich ein Fenster, den Text abkopieren und hier posten... chris |
Hi Chris, Danke für die schnelle Antwort. Das ist ja super. Ich habe alles nach Anleitung gemacht. Combofix brachte 2 Meldung, dass nämlich vorhandene Antivirus Software noch läuft: Avira und Lavasoft und deaktiviert werden soll. da war mir nicht klar wir das geht, da ich Avira deaktiviert hatte und Lavasoft meines Erachten vorher schon deinstalliert war. Habe dann Avira deinstalliert und die Meldung zu Lavasoft ignoriert. Jedenfalls habe ich jetzt die 3 Log File von Malwarebytes, Combofix und TDSS-Killer und stelle sie in den Anhang. Nach TDDS-Killer wurde ein Neustart empfohlen, das habe ich gemacht. Nach erstem kurzem Test scheint Google wieder gut zu reagieren. Mal sehen ob das so bleibt. War das nun das Problem: Backdoor.Win32.Sinowal.knf ? Wie kann ich sehen, ob alles wieder ok ist? Jedenfalls erst mal Vielen Vielen Dank Siggi alias SAMOVAR |
Hi, der Port zur Reotesteuerung Deines Desktops istoffen: [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3389:TCP"= 3389:TCP:Remote Desktop Inwieweit das gewünschtist, weis ich nicht... Du hatest Sinowal drauf, sofort alle Passwöerter (Homebanking, Email etc.) ändern... 22:53:24.0937 3484 \Device\Harddisk0\DR0 ( Backdoor.Win32.Sinowal.knf ) - infected 22:53:24.0937 3484 \Device\Harddisk0\DR0 - detected Backdoor.Win32.Sinowal.knf (0) (Das passt ins Bild...) Da nicht klar ist, was der unbekannte "RemoteUser" sonst noch alles auf Deinem Rechner angestellt har, empfehle ich Neuaufzusetzen ... chris |
Hi Chris, ja auch hier nochmal Danke für die Tips. Das passt soweit. Ich möchte das Neuaufsetzen aber möglichst vermeiden. Das hätte ich ja sonst auch gleich machen können. Habe für alle Fälle noch einen langsameren alten Rechner mit WINXP, den ich nur selten benutze. Passwoerter hab ich geändert. In meiner Windows Firewall habe ich den Haken vor Remote Desktop entfernt. und wenn ich dann bei Remote Desktop Bearbeiten anklicke erscheint TCP 3389 Subnetz (kein Haken gesetzt). In der registry habe ich den Key [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]"3389:TCP"= 3389:TCP:Remote Desktop gelöscht und eine Kopie gemacht falls ich ihn doch brauche. Hast Du noch weitere Ratschläge ? Wie kann ich testen ob ich noch weitere Probleme habe? Viele Grüße Siggi alias Samovar |
Hi, Du kannst zur Sichheit Cureit/Dr. Web von der Leine lassen... Ansonsten mit Firefox und einem eingeschränkten Konto (Gast) und den Plguins NoScript und WOT surfen und natürlich die "Brain.exe" ab- und an bemühen ;o)... Cureit Folge der Anleitung: http://www.trojaner-board.de/59299-a...eb-cureit.html Nach Beendigung des Scans findes Du das Log unter %USERPROFILE%\DoctorWeb\CureIt.log. Bevor du irgendwelche Aktionen unternimmst, kopiere bitte den Inhalt des Logs und poste ihn. Die Log Datei ist sehr groß, ca. über 5MB Text. Benutzt einfach die Suche nach "infiziert" und kopiert betreffende Teile heraus, bevor Du sie postet. chris |
Hallo, ich hab Dr.Web CureIt laufen lassen. Das Ergebnis ist hier vcore.dll C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Defs\Extended Wahrscheinlich DLOADER.Trojan NPCIG.dll C:\Programme\Canon\MyCamera Download Plugin Trojan.DownLoader5.14918 Gelöscht. VideoCacheView.exe C:\Programme\VideoCacheView Tool.PassView.404 A0235406.dll C:\System Volume Information\_restore{3909BD25-6ECD-4EF2-8CAE-81817F273457}\RP644 Wahrscheinlich DLOADER.Trojan A0239027.dll C:\System Volume Information\_restore{3909BD25-6ECD-4EF2-8CAE-81817F273457}\RP653 Wahrscheinlich DLOADER.Trojan A0240592.dll C:\System Volume Information\_restore{3909BD25-6ECD-4EF2-8CAE-81817F273457}\RP655 Wahrscheinlich DLOADER.Trojan A0243718.dll C:\System Volume Information\_restore{3909BD25-6ECD-4EF2-8CAE-81817F273457}\RP656 Trojan.DownLoader5.14918 Gelöscht. 491d5d4f.qua D:\ProgramData\Avira\AntiVir Desktop\INFECTED BackDoor.Siggen.14342 Gelöscht. trigger[1].js D:\Users\Siggi2\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\N0TOCSCB Wahrscheinlich SCRIPT.Virus Bem1: Festplatte D hat WIN7 installiert und ist sogut wie nie in Benutzung Bem2: Ansonsten mit Firefox und einem eingeschränkten Konto (Gast) und den Plguins NoScript und WOT surfen und natürlich die "Brain.exe" ab- und an bemühen ;o)... das verstehe ich nicht? Was wären die nächsten Schritte? Danke & Viele Grüße SAMOVAR |
Hi, Systemwiederherstellung löschen... Vista etc.: Computer->rechts anklicken->Eigenschaften->Computerschutz->Alle Häkchen an den Festplatten entfernen->Übernehmen->Ok & neu Booten; Dann das gleiche nur diesmal für das Laufwerk auf dem Windows liegt anhaken->Übernehmen->Erstellen und den Anweisungen folgen BSI-Faltblattt (https://www.bsi.bund.de/cln_134/ContentBSI/Publikationen/Faltblaetter/F24VirenundCo.html) und dort unter Viren entfernen Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt: Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung -> anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten; Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder). Einen ersten Restorepunkt setzten: Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen Wenn es keine Auffälligkeiten mehr gibt, wären wir erstmal durch... chris |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:52 Uhr. |
Copyright ©2000-2025, Trojaner-Board