|
Trojan.Win32.Blackbird.exe Guten Tag, seit einigen Tagen habe ich o.g. Trojaner bei mir auf dem Desktop. Neben ihm erscheinen einige andere .exe-Dateien, diese habe ich aber ausgeblendet. (Weiß nicht mehr warum...) und weiß nicht mehr, wie ich sie wieder einblenden kann. Ich besitze Vista Home Premium. Sonderbar ist auch, dass mein Avast in Ordnern Viren entdeckt, die ich gar nicht finden kann... :balla: Hier mein hijack: Code: Logfile of HijackThis v1.99.1 |
Hi, lade dir bitte Smitfraudfix herunter und verfahre entsprechend der Anleitung "Suche". Poste das erstellte Log hier. Stelle anschließend sicher, dass alle Dateien sichtbar sind und suche folgende Datei: Zitat:
lg myrtille |
Hier der Smitfraudfix: Code: SmitFraudFix v2.319Code: MD5: 28e1eb9110e24fe9abe70496c1892753 |
Kannst du mir bitte mal noch die Virenmeldungen von Avast posten? Mich würde interessieren wo was gefunden wird. lg myrtille |
Zitat:
Code: 01.05.2008 10:11:48 *** 1424 Sign of "Win32:Agent-LTS [Trj]" has been found in "c:\windows\bdkpfxqw.dll" file. |
Hehe, nein, das meinte ich nicht. :D Du schriebst: Zitat:
lg myrtille |
Zitat:
und das, was ich vorher gepostet habe, waren alle Meldungen, die ich bekam. |
Ok, hab dein Edit gesehen |
Zitat:
edit: myrtille war schneller :D |
Hi, dann arbeite bitte mal den 2. Schritt (Bereinigung) von Smitfraudfix ab und erstelle danach ein Log mit Malwarebytes Smitfraudfix wird nicht alles entfernen, aber das gröbste sollte dann bereinigt sein. lg myrtille |
Zitat:
Hier die Ergebnisse: Code: Malwarebytes' Anti-Malware 1.09 |
Hi, poste bitte auch den Inhalt der Datei C:\Rapport.txt. :) Lass außerdem die von Malwarebytes gefundenen Einträge löschen. Erstelle bitte außerdem noch ein neues Hijackthislogfile. lg myrtille |
Zitat:
Code: Logfile of HijackThis v1.99.1Aaaaa, rapport: Code: SmitFraudFix v2.319 |
Hiilfe! jetzt kommt noch eine Meldung, dass ich mit Spyware verseucht bin! :schrei::balla::balla::(:balla: |
Ja, wie gesagt Smitfraudfix hat nicht alles entfernt. Daher machen wir hiermit weiter: Deaktiviere bitte zuerst die UAC, dies geht mit: Start -> Ausführen -> msconfig -> Enter -> Tools -> Benutzrkontenstrg. deaktivieren -> starten. Ansonsten kann Avenger nicht korrekt funktionieren. 1.) Lade dir das Tool Avenger, speichere es auf dem Desktop und starte es. 2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein: Code: Folders to delete: 4.) Danach das System unverzüglich neu starten lassen 5.) Poste den Inhalt der C:\avenger.txt Datei. Die *** bitte durch deinen Benutzernamen ersetzen Bitte nicht vergessen, nach dem Neustart UAC wieder zu aktivieren :) Dazu bitte auch ein neues Hijackthislogfile. lg myrtille |
Zitat:
Es kommt folgende Meldung: Error! Invalid script. |
Zitat:
Wenn es dann noch nicht funktioniert, dann melde dich hier wieder. :) |
@tnowacki Sorry habe dir leider eine veraltete Anleitung gegeben... die Lupe gibt es nicht mehr. Die aktuelle Version hat diese nicht mehr, die Anleitung wäre da eher: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://swandog46.geekstogo.com/res/images/avenger.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code: Folders to delete: 3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet. 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. In der Hoffnung, dass das jetzt besser klappt ;) lg myrtille |
Geht immer noch nicht :mad: Komt danach noch sowas wie "a valid script must begin with a command directive. |
Poste mir bitte mal den Inhalt, den du einfügst. EDIT: Hast du ne 64bitversion? lg myrtille |
Nö. 32. Sonst würde es ja nicht TROJAN. WIN32.... heißen ;) Code: Folders to delete: |
Ok, das Log ist richtig so. Versuch es bitte noch 2-3 Mal, Avenger hat manchmal schluckauf, das klappt nicht immer auf Anhieb. lg myrtille |
Klappt immer noch nicht :mad::mad::mad::mad::koch::koch: |
Ok, seltsam. Dann alternativ programm, arbeite bitte Folgendes ab: ComboFix
lg myrtille |
Hier der Log von ComboFix: Code: ComboFix 08-05-07.1 - Admin 2008-05-08 17:19:50.2 - NTFSx86 |
Hi, da war ja noch einiges :D Ich poste dir nachher ein Log um den Rest zu entfernen, das kann aber erst gegen 8 Uhr sein. Hast du dir Boonty Games installiert? Willst du es behalten, oder sollen wir das mitlöschen? lg myrtille |
Hier nochmal ein Hijack: Code: Logfile of HijackThis v1.99.1 |
Zitat:
edit: nicht böse ^^ |
Ey, super. Ich war bis eben auf Arbeit,wär auch lieber früher heimgegangen, das kannst du mir glauben.Aber irgendwie muss ich ja auch überleben, und bin her gekommen bevor ich zu Abendessen. Da ist es absolut motivierend sowas hier zu lesen. :koch: |
Tschuldige... hab das smiley vergessen :( |
Hi, also du bist schon mordsmäßig infiziert. Ich würd über eine Neuinstallation nachdenken. Zumal du offensichtlich schon länger infiziert bist. Wenn du das nicht willst, nimm Folgendes vor:
+ neues Hijackthislog + einen neuen Scan mit Malwarebytes Ich bin dann erstmal essen lg myrtille |
Ich habe auch schon über eine Neuinstallation gedacht. Zum Glück mache ich regelmäßig Backups von meinen pers. Dateien. :) |
Soweit ich das von hier beurteilen kann, hast du keinen Backdoor auf deinem Rechner, allerdings eine MENGE Crapware/Adware und Spyware. Zumindest bei einigen dieser Gesellen handelt es sich eindeutig um neue Varianten, die von den Fixtools derzeit noch nicht richtig erkannt werden und die vor allem in Ordnern liegen, die bisher von vielen Tools nicht näher beachtet wurden. Daher ist eine Bereinigung komplizierter, aber nicht unmöglich. Zugezogen hast du dir das meiste mE über Spiele (myplaycity, boonty, freebla, blubblub. Guck einfach mal die Ordner in C:\Programme durch: Welche hast du installiert, welchse sind "erschienen") und vor allem über P2P. Ich will dir hier keinen Vortrag über legale/illegale Downloads halten, da ich nicht weiß was du runterlädst. Allerdings sollte dir klar sein dass wahrscheinlich weit über die Hälfte des Angebots bei P2P Viren & Schlimmeres sind. Ich würde dir alleine deswegen raten davon Abstand zu nehmen. EDIT: Auf Wunsch eines einzelnen Herren, erstell bitte noch ein Hijackthislogfile mit dem aktuellen Hijackthis: Bitte hier runterladen. Version 2.0.2 Danke :) lg myrtille |
Zitat:
eMule brauchte ich nur, weil mein Freund dort eine Datei für ein Referat gelagert hatte! Aber es beruhigt mich, dass ich keinen Backdoor habe :) |
Hehe, ich hab nie gesagt, dass du etwas Illegales getan hast, ganz im Gegenteil. Ich denke du hast das Pech gehabt dir Spiele zu installieren, deren Programmierer/Vertreiber es nicht allzugenau mit der Legalität nehmen, gerade Boonty hat einen sehr mäßigen Ruf und installiert sich gern mal ungemeldet mit anderen Spielen mit. @P2P Ich sags ja nur. :p Dort ist es auf jedenfall am einfachsten sich solche Späße zuzuziehen. Wie willst du jetzt weitervorgehen? lg myrtille |
Als erstes werde ich dieses ComboFix nochmal laufen lassen und hjt reinstellen, dann muss ich auf dein Urteil zählen :heilig: |
Aaaaalso: Nach 3 Stunden allerlei Logs hier die BErichte: zuerst der HJT: Code: Logfile of Trend Micro HijackThis v2.0.2Code: [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]Code: Malwarebytes' Anti-Malware 1.09 |
Hi, beim Combofixlog fehlt der wichtige, obere teil. Poste den bitte noch. Ansonsten kann ich nicht viel tun. :p lg myrtille |
Ok, HIER (der ganze nochmal :): Code: ComboFix 08-05-07.1 - Admin 2008-05-09 16:04:33.5 - NTFSx86 |
Und Teil 2: Code: C:\Program Files\SmartDraw 2008\Templates\Icons\Estate Planning Tools.png |
Teil 3: Code: C:\Program Files\SmartDraw 2008\Tooltips\TT_ChangeWidth.htm |
Teil 4: Code: C:\Program Files\SmartDraw 2008\Tooltips\TT_SetGrid.htm |
Letzendlich Teil 5 der Combofix: Code: [2006-12-14 20:09 493688] |
Hi, das hats leider nicht so gebracht. Versuche es bitte mit folgendem Skript noch einmal: Code: Killall:: |
hmm.... ComboFix startet; und dann nach einer Minute krieg ich einen PC-Neustart... |
Ja, Combofix startet den Rechner neu, wenn er Datein nicht im laufenden Betrieb löschen kann. Poste bitte das Logfile (C:\combofix.txt) und ein neues Hijackthislog lg myrtille |
Da ist bloß keine Combofix.txt !? |
Bitte poste ein Hijackthislog mit dem aktuellen Hijackthisversion und deaktiviere bei Avast das Selfdefense-Modul während des Scans. (Einstellungen ->Troubleshooting->Haken bei "disable avast! Selfdefensemodule" setzen.) Versuche dann nochmal das Script auf Combofix zu ziehen. Ich vermute, dass avast! Combofix beim arbeiten gestört hat. lg myrtille |
Zitat:
Btw, ich bin die nächste Woche nicht da :heulen: |
Poste bitte mal nen Hijackthislogfile. |
Code: Logfile of Trend Micro HijackThis v2.0.2 |
Hi, ok, avast läuft derzeit nicht. Navigiere im Explorer mal zur folgenden Datei: C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe und führe diese aus, dann sollte Avast gestartet werden. lg myrtille |
Aber ein "Troubleshooting" konnte ich nicht finden!? |
Das sollte der unterste Punkt sein. Wie heißen denn die verschiedenen Menüpunkte? lg myrtille |
Bei mir heißts Fehlererkennung.. SO, ich muss los. Vielen Dank für die Hilfe, wir werden uns in einer Woche wiedersehen. |
Ok :) Tut mir Leid, dass das hier jetzt so langwierig ist. Vista ist in Hinsicht auf Befälle und Bereinigung immernoch eine etwas komplizierte Sache. Bis dann, lg myrtille |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 07:43 Uhr. |
Copyright ©2000-2025, Trojaner-Board