Hallo

Ich fand es sogar ne pfiffige Lösung.

Wozu? ihr habt ne Lösung geliefert

Aber davon auszugehen, dass der Rechner jetzt "sauber" ist nur , weil er keine Auffälligkeiten mehr zeigt konnte kolossal nach hinten losgehen.

Einigermaßen sicher so lange man sich angepasst verhält, bei mir sind es knapp 3 Jahre ohne was:rolleyes:

Währe ne Möglichkeit;)

Du willst dich blind auf Software verlassen:heulen: - Schade ich hatte dir mehr zugetraut

Nur du selbst indem man nicht alles anklickt und ein bisschen gesundes misstrauen an den Tag legt.

Ich geb dir recht, wenn es funktioniert soll es recht sein.

MFG

Hallo!


Ich kann Heidefighter and De-M-oN wirklich danken, dass nun alles wieder funktioniert und es tut mir leid, dass dieser Thread nun wirklich langsam in Machtkämpfe ausartet, das war nicht meine Absicht.

Ich wollte nur recht schnell eine gute Lösung haben, die ich ja auch bekommen habe.

Ich hab allerdings auch eine Verwarnung bekommen, weil ich meine Logs nicht forumgerecht editiert hatte.

Wäre nett, wenn man das vielleicht ganz am Anfang hätte anbringen können, dass es gar nicht zu einer Verwarnung gekommen wäre. Naja, hätte wohl selber auch die Forumregeln durchlesen sollen.


Ich wünsch euch allen alles Gute :party:


Lg Günter

Es geht hier weniger um Machtkämpfe, sondern eher um die mehr als unangebrachte Ausdrucksweise eines gewissen Demons :teufel2:

Dein erstes Logfile hatte keine klickbaren Links, das was du zum Ende allerdings nochmal gepostet hattest allerdings schon, sonst hätte der Admin es nicht editiert. Leider ist es nunmal so, dass in HJT-Logfiles aktive Links eine Gefährdung darstellen können und somit müssen alle editiert werden.

Wie gesagt, das erste hattest du regelkonform gepostet. Die Mitmachregeln werden jedem neuen user dick und fett unter die Nase gehalten und auch wenn ein neuer Thread eröffnet wird, steht alles nochmal da. Aber nichts für Ungut. :party:

Allerdings fand ich es bei deiner sulimo.dat schon etwas verwirrend. Du hast es auf der einen Seite geschafft, sie zu auf Null Byte zu editieren, aber nach meinen Nachfragen nicht hinbekommen sie bei Virustotal auswerten zu lassen, weil sie angeblich nicht mehr da war. Es war auch nichts dergleichen mit "sulimo*.*" im listing.txt aufzufinden. Weder als Datei, noch als Ordner. Du hast sie also als leere schreibgeschütze Datei erneut erstellt, nachdem du in einem Ordner, dessen Namen du nicht nanntest, eine "exit.exe" gefunden hattest.
Was du mit dem Spyware Doctor aufgespürt hast, das würde mich auch mal interessieren. Vllt. könntest du mal davon das Logfile posten und somit für zufällige Fälle mehr Licht ins Dunkle bringen, bevor wieder Dämonen auftauchen... ;)

Das war ja auch gerade das schleierhafte.


Ich konnte die Datei nicht einsehen, deswegen auch nicht zu VirusTotal uploaden.

Wenn ich allerdings mit dem Editor die Datei unter C:\WINDOWS\system32\ speciher lasse, bekam ich den Befehl, ob ich die Datei überschreiben wolle.

Hab das mit sulimo_Delete_Me.... und systems.dat sowie txt gemacht.


Habe mit dem REGEditor die Dateien suchen lasen und sie waren auch mehrfach vorhanden:


nur bei "Sulimo":

ab (Standard) REG_SZ (Wert nicht gesetzt)
ab 000 REG_SZ printer.exe
ab 001 REG_SZ SharedTaskScheduler´s dll
ab 002 REG_SZ sulimo

wenn ich "sulimo.dat" suche:

ab (Standard) REG_SZ (Wert nicht gesetzt)
ab a REG_SZ C:\rapport2.txt
ab b REG_SZ C:\Dokumente und Einstellungen\Günter\Eigene Dateien\rapport2.txt
ab c REG_SZ C:\rapport3.txt
ab d REG_SZ C:\Dokumente und Einstellungen\**\Eigene Dateien\hijackthisNACHT.txt
ab e REG_SZ C:\WINDOWS\system32\sulimo_Delete_Me_Dummy_systems .dat
ab f REG_SZ C:\WINDOWS\system32\systems.dat
ab g REG_SZ C:\Dokumente und Einstellungen\**\Eigene Dateien\REGEDIT.txt
ab h REG_SZ C:\Programme\Firefox Setup 2.0.0.8.exe
ab i REG_SZ C:\WINDOWS\system32\sulimo.dat
ab j REG_SZ C:\Dokumente und Einstellungen\**\Eigene Dateien\hijackthis.log
ab MRUList REG_SZ gdjiefcabh

Danach hab ich Spyware Doctor verwendet und hab vieles löschen können. Das Programm wurde allerdings inzwischen schon wieder entfernt.

Leider hab ich von Spyware Doctor keine Log File, Hauptproblem war: Trojaner.PWS eben knapp 240 Einträge.


Wenn ich jetzt was mit REGEdit suche, finde ich nichts mehr und das System arbeitet einwandfrei, auch SmitFrauFix findet nichts mehr.

Lg Günter

Mich würde mal interessieren was passiert wenn du die Dateien "löschst". Mit dem Avenger kannst du auch Dateidummies erstellen und Kopien der Originalinhalte werden gesichert in einer avenger.zip - die Dateien werden dann quasi wie von @heidefighter auf Null Byte gesetzt. Auch wenn einige Dateien nicht mehr vorhanden sein könnten, acker das hier mal ab:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:
2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:
3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.
4.) Danach das System unverzüglich neu starten lassen
5.) Poste den Inhalt der C:\avenger.txt Datei.

Man hätte von Anfang an mit dem Anvenger diese Datei löschen oder per interner Funktion mit einem "Dummy" ersetzen können, nach einem Neustart hätte man sogar die Möglichkeit den Inhalt der gelöschten Datei übermitteln zu können um so AV-Labs etc. zu benachrichtigen.
Nur leider bin ich aufgrund der Information, dass diese Dateien doch nicht mehr da seien, einen anderen weg eingeschlagen. :headbang:

Schon gemacht cosinus:

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\sulimo_Delete_Me_Dummy_systems.dat not found!
Replacement with dummy of file C:\WINDOWS\system32\sulimo_Delete_Me_Dummy_systems.dat failed!

Could not process line:
C:\WINDOWS\system32\sulimo_Delete_Me_Dummy_systems.dat
Status: 0xc0000034



File C:\Windows\System32\sulimo_Delete_Me_Dummy_systems.txt not found!
Replacement with dummy of file C:\Windows\System32\sulimo_Delete_Me_Dummy_systems.txt failed!

Could not process line:
C:\Windows\System32\sulimo_Delete_Me_Dummy_systems.txt
Status: 0xc0000034



File C:\WINDOWS\system32\systems.dat not found!
Replacement with dummy of file C:\WINDOWS\system32\systems.dat failed!

Could not process line:
C:\WINDOWS\system32\systems.dat
Status: 0xc0000034



File C:\WINDOWS\system32\sulimo.dat not found!
Replacement with dummy of file C:\WINDOWS\system32\sulimo.dat failed!

Could not process line:
C:\WINDOWS\system32\sulimo.dat
Status: 0xc0000034



File C:\WINDOWS\system32\systems.txt not found!
Replacement with dummy of file C:\WINDOWS\system32\systems.txt failed!

Could not process line:
C:\WINDOWS\system32\systems.txt
Status: 0xc0000034



File C:\WINDOWS\system32\sulimo.txt not found!
Replacement with dummy of file C:\WINDOWS\system32\sulimo.txt failed!

Could not process line:
C:\WINDOWS\system32\sulimo.txt
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.


Lg Günter

Ok. Es hat keinen Sinn mehr, dann diese Dateien wurden wahrscheinlich schon vom Spyware Doctor oder was auch immer gelöscht.
D.h. diese Dateien sind definitiv nicht mehr auf deinem Rechner.

Die Funde vom Spyware Doctor wären aber interessant! :daumenhoc

Die hab ich leider nicht, weil ich nicht weiß, wie man mit Spyware Doctor eine log File anlegt.


Weiß eben leider nur, dass er 244 Einträge mit dem Trojaner.PWS gefunden hatte (hoffe, ich hab die richtigen Kürzel verwendet).

Lg Günter

Ich kenn den spyware doctor leider auch nicht, aber vllt. findest du in den Programmoptionen eine Möglichkeit, dir das Logfile anzeigen zu lassen.

Hallo Cosinus!


Hab gestern versucht, Programm noch mal neu zu installieren und dann die Konfiguration nach der Log File zu durchsuchen, nur leider ohne Erfolg.


Leider hab ich auch keinen Pfad einsehen können, sondern hab nur die Meldungen angezeigt bekommen, was auf dem System ist, aber wie gesagt, nicht wo.

Leider, hast du vielleicht noch einen Scanner der Rückstände finden kann und zerstört, oder sollen wir es damit belassen?


Lg Günter

Ich schätze du kannst es erstmal so belassen. Wenn du auf Nummer sicher gehen willst und evtl. Reste sicher löschen willst, die nicht mehr erkannt werden können, solltest du neu aufsetzen. Ist aber deine Entscheidung, denn eine akute Gefahr geht von deiner Kiste wohl nicht mehr aus. Dennoch solltest du mal das System unter Beobachtung mit versch. Scannern quasi unter "Kreuzfeuer" stellen ;) - effektiverweise am besten auch mal von einem Fremdsystem aus, z.B. der UBCD4WIN, die schon versch. AV-Tools beinhaltet.

Hm, sonst als weiterer Scanner würde mir aber nur noch Online-Virenscanner über ActiveX einfallen. Z.B. der Kaspersky-Onlinescanner (mit Internet Explorer öffnen).

Hallo!


Tut mir leid, dass ich mich erst jetzt wieder melde.


Hab alles mit dem Kaspersky Onlinescanner noch einmal überprüfen lassen und es war alles in Ordnung!


Ich danke euch recht herzlich für eure Bemühungen mir zu helfen.

Es hat alles wunderbar geklappt und wie gesagt, es läuft alles wieder einwandfrei.

http://www.smilies.4-user.de/include...lie_sd_007.gifhttp://www.smilies.4-user.de/include...lie_sd_007.gifhttp://www.smilies.4-user.de/include...lie_sd_007.gifhttp://www.smilies.4-user.de/include...lie_sd_007.gifhttp://www.smilies.4-user.de/include...lie_sd_007.gifhttp://www.smilies.4-user.de/include...lie_sd_007.gif


Ich werd immer wieder mal gerne vorbei schauen, denn ich finde euer Form sehr interessant, obwohl ich froh wäre, wenn ich eure Hilfe so schnell nicht mehr brauche. LOL


Also, bis bald


Günter