|
Unbekannter Virus Hallo, ich habe ein problem ich soll bei dem Pc einer freundin einen Virus entfernen, weiß aber nicht wie! Den namen kann ich leider nicht nennen... auf jedenfall habe ich unten neben der Uhrzeit ein Gelbes dreieck mit ausrufe zeichen wo wenn ich drauf zeige steht: "You computer is infected!" nein ich habe das "r" bei you nicht vergessen steht da so! ;-) und da neben ist ein zweites zeichen ein Roter kreis mit einem X drin! dort erscheint beim drüber zeigen: "Windows has detected spyware infection! Click here to protect your computer from spyware!" Desweiteren wurde ich ohne irgendwo drauf zu klicken schon zu mehreren verschiedenen antivieren scan seiten gelotzt die ich teilweise direkt wieder geschlossen habe, die sich teilweise aber auch nicht ganz beenden lassen ohne firefox komplett zu beenden über den Task manager... Weiteres problem der Pc ist Urrrralt, langsam und hat aber schon Windows XP. Ich hoffe irgendjemand kann mir hierbei weiter helfen. ein logfile folgt sobald ich verstanden habe wie es geht! ;-) |
Sooo hier der Logfile... ich hoffe mir kann jemand weiter helfen! *Please* Code: Logfile of Trend Micro HijackThis v2.0.2 |
Hallo Ben11One, folgende dateien bitte Online Auswerten lassen: Code: C:\WINDOWS\system32\winver.exe (sollte eigentlich gut sein)Wie man alle dateien sichtbar macht sowie die Links zu Jotti oder Virustotal findest du in meiner SIG! Poste die gesamten Ergebnisse, auch wenn nix gefunden wird, einschließlich der dort angegebenen Größe und Prüfsumme der Dateien! Gruß Mello |
sorry aber wie oder eher wo online auswerten??? und ich entweder ich bin ein nub oder ich weiß nicht was du mit sig meinst...:heulen: |
Signatur ist das, was unter dem Strich steht: Code: ....::::: Anleitung zum Neuaufsetzen:::::...Einfach auf, entweder Virustotal oder Jotti, klicken.....den Anweisungen folgen! Per Copy and Paste die Ergebnisse hier einfügen! |
Entschuldigung für die doofe mail.... Da hat sie sich ja was schönes eingefangen.... Code: |
Na ma schauen ob Malwarebytes schon ausreichend ist! Mache bitte einen Scan mit Malwarebytes! Am besten das Programm nach der Anleitung Instalieren, Updaten und in den Abgesicherten Modus (Beim Start die F8 Taste drücken) Scannen lassen! Lasse alles entfernen was gefunden wird, Poste das Log von Malwarebytes und ein neues Log von Hijackthis (aus dem normalen Modus)! Dann sehen wir mal wie es dannach ausschaut! Gruß Mello |
hijackthis logfile Code: Logfile of Trend Micro HijackThis v2.0.2Malewarebytes logfile Code: Malwarebytes' Anti-Malware 1.14 |
Wo ist das Log von Malwarebytes? |
ohh sorry oben war ja das falsche! Da ist es... ;-) Code: Malwarebytes' Anti-Malware 1.14 |
Mmmhhh, Malwarebytes meckert die Datei ("C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mxgxkjkd.dll") garnicht an und auch nur zwei Scanner haben die Datei Online angemeckert! Ich würde, zum jetzigen Zeitpunkt, von einem Fehlalarm ausgehen möchte Dich aber bitten, die Datei an newvirus@kaspersky.com zu schicken! Packe die Datei mit einem Packprogramm (z.b. Winrar), versehe das Packet mit einem Passwort und schicke sie per email an o.g. Adresse! Im Betreff bitte New Virus und in die Mail das Passwort schreiben! Nach wenigen Tagen bekommst du eine email mit der Analyse der Datei! teile uns das Ergebnis bitte mit! Hast du noch irgendwelche Probleme mit dem Rechner? Gruß Mello |
Hatte die datei nochmal scannen lassen und es waren drei die angeschlagen haben: Code: Datei: mxgxkjkd.dllund was ich noch wissen wollte: wenn ich damit fertig bin kann ich die einfach löschen? |
Pc scheint immer noch befallen zu sein! Habe heute nochmal ein hijackthis logfile erstellt: Code: Code: C:\WINDOWS\system32\syntwidj.dll Code: Datei: syntwidj.dllCode: Datei: hfaiogwy.dll |
hallo.....? ich bitte nochmals um hilfe... da mellosun anscheinend zur zeit nicht mehr on ist hoffe ich das mir hier jemand anders weiter helfen kann! Ich habe nur noch dieses wochenende um den Pc wieder clean zu verlassen... :-( Bitte bitte bitte.... am pc sind wieder die 2teile unten neben der Uhrzeit... er fängt auch schon wieder an einfach internet seiten zu öffnen... die ich bisher früh genug weg drücken konnte...(da sie sich das letzte mal gar nicht schließen ließen nur über den Task Manager) Ich freu mich über jeden hilfreichen tipp... und wenn es nur irgendein programm ist das ich im abgesicherten modus laufen lassen muss! der viren scanner findet andauert neue datein die er in Quarantaine setzt... außerdem heißen die aufälliegen datein plötzlich nicht mehr: C:\WINDOWS\system32\syntwidj.dll C:\WINDOWS\system32\hfaiogwy.dll sondern... Code: Datei: !!!!!! C:\WINDOWS\system32\drvxup.dll !!!!!Code: Datei: !!!!! C:\WINDOWS\system32\xtdwmtqh.dll !!!!!bitte.... |
Diese hab ich vergessen! : Code: Datei: !!!!! C:\WINDOWS\system32\unoeryvv.dll !!!!Diese 3 datein habe ich übriegens außerdem alle im systemstart unter "ausführen" "regedit" gefunden und ausgeschaltet.... bin morgen wieder on... freu mich auf hilfe.... :-( |
Wo ist die Antwort von Kaspersky zur eingeschickten Datei? Die Analyse sollte schon längst geschehen sein! ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. |
so alles getan wie gesagt, bevor combofix allerdings nach dem neustart noch nicht ganz fertig war hatte ich noch ein (ich denke) "fake" hinweis: Warning! Potential Spyware operation! Your Computer is making unauthorized copies of your system and Internet files. Run full scan now to prevent any unauthorized accses to your files! Click here to download spyware remover! Ja Nein ich gehe mal davon aus das diese warnung eher von einem virus ausgeht als vom eigenen system?!?!?!! oder? habe leider keine informationen zu der per e-mail geschickten datei bekommen! so und hier ist der Log: Code: ComboFix 08-06-05.3 - **** 2008-06-06 16:57:39.1 - NTFSx86und nocheinmal ein hijackthis logfile: Code: Logfile of Trend Micro HijackThis v2.0.2Wobei ziehmlich sicher etwas mit diesen datein nicht in ordnung ist! |
Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code: http://www.trojaner-board.de/53264-unbekannter-virus.html4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer!) 5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. http://users.pandora.be/bluepatchy/m...s/CFScript.gif 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann 7. Nachdem das Log im Notepad aufgegenagen ist, erscheint ein Popup http://saved.im/mjk4ndz0cty0_vs/cfcollect.jpg Dies mit Ok wegklicken und es öffnet sich Dein Browser. Auf Deinem Desktop ist eine neue .Zip Datei vorhanden ([4]-Submit_Jahr-Monat-Tag_Uhrzeit.71.zip). Diese mit Klick auf "Durchsuchen" auswählen und dann "Send" klicken. So kann der Author die Erkennungsroutine des Programms verbessern. |
so hier der combofix log: Code: ComboFix 08-06-05.3 - **** 2008-06-06 18:30:58.2 - NTFSx86Code: Logfile of Trend Micro HijackThis v2.0.2O4 - HKLM\..\Run: [MSDisp32] rundll32.exe C:\WINDOWS\system32\drvwuj.dll,startup oder ist die korrekt? |
Reboote bitte den Rechner noch einmal! Combofix sollte erneut starten. |
fehlanzeigte combofix startet nicht erneut! Die einziege meldung die erscheint ist: Fehler beim starten von C:\WINDOWS\system32\drvwuj.dll das angegebene modul kann nicht starten. aber wenn ich die jetzt einfach aus dem systemstart nehme ist sie ja rein theoretisch nicht gelöscht? oder?? edit: habe die datei bei Jotti einmal gecheckt: The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file ist das ein gutes zeichen? |
Ok, bitte noch mal mit Combofix Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code: KILLALL::4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer!) 5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. http://users.pandora.be/bluepatchy/m...s/CFScript.gif 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann |
Code: ComboFix 08-06-05.3 - **** 2008-06-06 19:55:43.3 - NTFSx86Code: Logfile of Trend Micro HijackThis v2.0.2und falls jetzt alles tipp top ist... ein großes lob das mir dieses Forum mal wieder so viel geholfen hat!!!! eindeutig das beste das ich kenne!!! Danke und ein großes lob an Mellosun und für das schnelle weiter helfen auch BataAlexander!!! Danke Danke Danke! nur eine frage hab ich jetzt noch: auf dem rechner wird online banking betrieben sollten die passwörter (und andere die im internet benutz werden) geändert werden oder besteht da in der regel keine gefahr von Missbrauch??? |
Zitat:
beide Logs sehen gut aus, bedanken musst Du Dich bei sUbs der Combofix ständig weiter entwickelt. Eins für Dich noch: Um Combofix zu loeschen(den qoobox ordner) gebe unter Start /Ausführen "combofix /u" ein. Ohne die " natürlich. http://img247.imageshack.us/img247/7...ombofixvs6.jpg Und Spyware Doctor ist nicht das beste Programm... Ansonsten viel Spaß im Netz, bis bald ;) |
Danke BetaAlexander für die Übernahme...das mit dem Scripten mit Combofix hab ich noch net ganz so raus! Gruß Mello |
Zitat:
Ansonsten aber null Problemo. :) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 18:38 Uhr. |
Copyright ©2000-2025, Trojaner-Board