|
Problem Mit dem IE7 Also Hallo und entschuldigung erstmal, Ich habe mich mit meinem Problem schon durch mehrere Boards gearbeitet, allerdings hab ich nirgendwo etwas nützliches gefunden, also melde ich mich mal in einem an, und hoffe direkt ein gutes erwischt zu haben ;D Also, wenn ich meinen PC hochfahre kommt das Problem, das er arschlahm wird, sobald mein Internet aktiv ist (gehe über WLAN). Aus spass an der Freud hab ich vor kurzem mal den Task-Manager geöffnet und gesehen, das der Iexplorer.exe mit 2 prozessen am laufen war, wobei ich diesen nicht ausgeführt hatte. Der eine iexplorer.exe läuft relativ klein, also mit nur rund 10.000kb Speicherauslastung, der andere jedoch mit meist bis zu 140.000kb...:snyper: Naja ich habe den Prozess auf jeden Fall manuell beendet, dann wurde sofort ein neuer Aktiv der LISTON~1.exe heisst oder STORER~1.exe , zwischen den beiden wechselt es eigentlich immer. Dies tut er aber nur einmal, somit ich den Prozess nochmal abbrechen muss, dann bleibt er aber auch weg (nach einiger Zeit baut er sich aber wieder auf). dann bin ich mal auf die Idee gekommen nach den Dateien STORER~1.exe und LISTON~1.exe zu suchen, und habe sie auch gefunden, nämlich unter "C:\WINDOWS\Prefetch" , diese beiden manuell gelöscht und siehe da, nachdem ich den Prozess wieder beendet hatte, baute sich kein neuer mehr auf. Ich hab gedacht alles in allem ganz gut gelaufen, musste jedoch feststellen das es das wohl nicht gewesen sein soll, da nach einem neustart den Computers derselbe fehler vorlag, auch wieder mit LISTON~1.exe und der anderen, also kann ich löschen so oft ich will, tauchen immer neu auf:teufel1:...mein Avira zeigt mir auch nichts an wenn ich es überprüfen lasse...Hilfe? Wäre dankbar für jede Hilfe die ich bekommen kann (wenn nötig, erstelle ich ein HiJackThisLog) Danke im Vorraus |
Hi, der prefetch-Ordner ist ein Ordner in dem Windows Informationen zu ausgeführten Dateien sammelt. Du hast also nicht die Datei selber, sondern nur Informationen zu der Datei gelöscht. :) Die Dateien selbst sind wahrscheinlich versteckt. Erstell daher bitte erstmal ein Hijackthis log. :) lg myrtille |
Da bitteschön ;D und das mit dem prefetch ordner: so ein dreck ;D;D;D |
Na sowas, da sind die Dateien nicht zu sehen. :D Da brauchts wohl etwas ausführlichere Infos: Erstelle bitte ein Log mit RSIT. Es werden 2 Dateien erstellt (log.txt und info.txt). Poste den Inhalt beider Dateien hier. (Wenn die Dateien zu lang sind, dann häng sie bitte einfach an) lg myrtille |
uupppssss, sorry ;D...naja ich denk mal ich hänge besser an, denn sie sind in der tat etwas groß ^^ musste allerdings die log.txt in 2 trennen, da sie zu groß war ;D |
Hi, die Dateien die du gesehen hast gehören mit Swizzor, das ist ein "SponsorprogramM" von Messenger Plus. Hast du da über MSConfig etwas deaktiviert? Oder sonstwie verändert? Hat Antivir/Spyware Doctor in letzter Zeit etwas gefunden und bereinigt? es sind noch Reste von verschiedenen Infektionen übrig. Mach bitte einen Scan mit Malwarebytes und lass alle Funde löschen. :) lg myrtille |
SpywareDoc erst seit gerade drauf bzw. kurz vor dem Posting meiner logs ;D der mist dabei ist, er hat etwas gefunden, kann dies allerdings nicht löschen bzw. desinfizieren da ich mich dazu lizensieren lassen muss und das kostet $.$ deswegen wäre es super wenn du ein anti-spyware für nüchts hast :D d.h. kostenlos zur verfügung gestellt wird. Und nein ich habe weder etwas deaktiviert oder verändert, wäre ja schön blöd da irgendwo rumzufuchteln wo ich keine ahnung von hab und wo mir keiner zur seite steht und mir sagt: "lass es besser" ;D Komisch dabei find ich dann doch aber das die beiden prozesse nur auftauchen wenn ich den iexplorer.exe deaktiviere und das dieser überhaupt eine so hohe belastung darstellt, wenn es dich doch nur um ein sponsorenprog. handelt, wie man es beispielsweise von google kennt! |
Hi, das "Sponsorenprogramm" stand schon aus gutem Grund in Anführungszeichen. :D Das ist reine Adware, sprich sorgt für lustige Werbe-Popups wenn du im Netz bist, weswegen ich empfehlen würde Abstand von Messenger Plus zu nehmen. ;) Kostenlose Antispywareprogramme sind zum Beispiel Malwarebytes und SuperAntiSpyware Beide bieten auch eine kostenpflichtige Version an, aber die kostenlosen Versionen sind ausreichend und in der Lage alles zu löschen. :) (Weswegen ich von Malwarebytes gern das Log sehen möchte. ;) ) lg myrtille |
Also hab MalwareBytes mal drüberlaufen lassen hatte dann aber nach über einer std. :O keine lust mehr zu warten und hab erst mal gestoppt...16 funde, hier erst mal der bericht... Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1142 Windows 5.1.2600 Service Pack 2 12.09.2008 19:40:40 mbam-log-2008-09-12 (19-40-40).txt Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|) Durchsuchte Objekte: 36092 Laufzeit: 1 hour(s), 5 minute(s), 2 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 14 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\Interface\{2e9937fc-cf2f-4f56-af54-5a6a3dd375cc} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{741de825-a6f0-4497-9aa6-8023cf9b0fff} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{cf54be1c-9359-4395-8533-1657cf209cfe} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{147a976f-eee1-4377-8ea7-4716e4cdd239} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Typelib\{d518921a-4a03-425e-9873-b9a71756821e} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256a51-b582-467e-b8d4-7786eda79ae0} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256a51-b582-467e-b8d4-7786eda79ae0} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{59c7fc09-1c83-4648-b3e6-003d2bbc7481} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{68af847f-6e91-45dd-9b68-d6a12c30e5d7} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9170b96c-28d4-4626-8358-27e6caeef907} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{d1a71fa0-ff48-48dd-9b6d-7a13a3e42127} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{ddb1968e-ead6-40fd-8dae-ff14757f60c7} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{f138d901-86f0-4383-99b6-9cdd406036da} (Adware.MyWebSearch) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\Schatzy\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für WinRAR.v3.70.GERMAN.Incl.Keymaker.And.Patch-CORE.zip\WinRAR.v3.70.GERMAN.Incl.Keymaker.And.Patch-CORE\CORE10k.EXE (Trojan.Agent) -> Quarantined and deleted successfully. C:\Programme\Windows Live\Messenger\riched20.dll (Adware.MyWebSearch) -> Quarantined and deleted successfully. Werde allerdings morgen nochmal komplett drüber laufen lassen und neu posten, hoffe damit ist dann evtl. das problem behoben... P.S.: Überall dieses MyWebSearch...und irgendwie kommt es mir sogar bekannt vor (nachdenk) aber ich weiss leider nicht mehr woher ;D Und nochwas, wolltest du ihn nur aus reiner interesse sehen? ;D kleiner spezi ne :P |
Hi, quickscan reicht vollkommen aus. Ich hatte eigentlich die (nicht unberechtigte) Hoffnung, das Malwarebytes schonmal das gröbste aufräumt. :D lg myrtille |
Also hier der vollständige Scan-Log: Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1142 Windows 5.1.2600 Service Pack 2 13.09.2008 15:19:06 mbam-log-2008-09-13 (15-19-06).txt Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|) Durchsuchte Objekte: 86715 Laufzeit: 1 hour(s), 16 minute(s), 22 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 20 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 9 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\RunDll32Policy\f3ScrCtr.dll (Adware.MyWay) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\WakeNet (Trojan.Adware) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IProxyProvider (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\MyWebSearch (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Fun Web Products (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\MyWebSearch (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\FocusInteractive (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Fun Web Products (Adware.MyWebSearch) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\System Volume Information\_restore{B4FAEFC1-6764-4BD7-9021-970AD7B5F194}\RP41\A0006389.EXE (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\mcrh.tmp (Malware.Trace) -> Quarantined and deleted successfully. C:\WINDOWS\cookies.ini (Malware.Trace) -> Quarantined and deleted successfully. C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\pskt.ini (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\BMe71df08e.xml (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\BMe71df08e.txt (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\clkcnt.txt (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\nvs2.inf (Adware.EGDAccess) -> Quarantined and deleted successfully. Allerdings besteht das Problem weiterhin =( Hast du evtl. noch eine idee? |
Auch wenn das Problem weiterhin besteht: Wir haben doch schon ne Menge ausm System rausgeholt. ;) Mach bitte hiermit weiter: Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.
Hinweis: Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren. und ein FileListing mit diesem script:
Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist. lg myrtille EDIT: Link von muratgeg NICHT anklicken! Beiträge sind gemeldet und sollte gelöscht werden. |
Ein kleines problem mit dem zweiten schritt...er lädt mir nichts runter sondern öffnet in meinem browser immer nur eine liste (natürlich versteh ich sie nicht ;D) und die ist auch nicht zu lang um hier zu posten, da sie kürzer ist als jedes HiJackThis log was ich je gesehen hab o.o also das einfach zu dem anderen hinzukopieren? |
Hi, nein, bitte die Seite per Rechtsklick und "Speichern unter" abspeichern (es sollte den namen listing8.cmd vorschlagen) und dann wie in der Anleitung weiter vorgehen. :) lg myrtille |
Hier erstmal von Navilog: Search Navipromo version 3.6.5 began on 13.09.2008 at 17:17:54,88 !!! Warning, this report may include legitimate files/programs !!! !!! Post this report on the forum you are being helped !!! !!! Don't continue with removal unless instructed by an authorized helper !!! Fix running from C:\Programme\navilog1 Actual User Account : "Schatzy" Updated on 22.08.2008 at 17h30 by IL-MAFIOSO Microsoft Windows XP [Version 5.1.2600] Version Internet Explorer : 7.0.5730.11 Filesystem type : NTFS Search done in normal mode *** Searching for installed Software *** *** Search folders in "C:\WINDOWS" *** *** Search folders in "C:\Programme" *** *** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" *** *** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" *** *** Search folders in "c:\dokume~1\alluse~1\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\Schatzy\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\Schatzy\lokale~1\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\Schatzy\startm~1\progra~1" *** *** Search with Catchme-rootkit/stealth malware detector by gmer *** for more info : http://www.gmer.net *** Search with GenericNaviSearch *** !!! Possibility of legitimate files in the result !!! !!! Must always be checked before manually deleting !!! * Scan in "C:\WINDOWS\system32" * * Scan in "C:\Dokumente und Einstellungen\Schatzy\lokale~1\anwend~1" * Files found : ognvw.exe found ! *** Search files *** *** Search specific Registry keys *** HKEY_CURRENT_USER\Software\Lanconfig found ! HKEY_CURRENT_USER\Software\mc found ! *** Complementary Search *** (Search specific files) 1)Search new Instant Access files : 2)Heuristic Search : * In "C:\WINDOWS\system32" : * In "C:\Dokumente und Einstellungen\Schatzy\lokale~1\anwend~1" : 3)Certificates Search : Egroup certificate found ! Electronic-Group certificate found ! Montorgueil certificate not found ! OOO-Favorit certificate found ! Sunny-Day-Design-Ltd certificate not found ! 4)Search known files : C:\WINDOWS\system32\EgiPVvut.ini2 found ! Possible Vundo infection, not cleaned with this tool ! *** Search completed on 13.09.2008 at 17:28:16,39 *** Und das vom Script (ich poste es einfach mal): echo LISTING FILE von root24; 28.01.2008 > %temp%\listing.txt echo "------ SYSTEMROOT ---" >> %temp%\listing.txt %systemdrive% cd\ dir /a:-d /o:-d >> %temp%\listing.txt dir /a:d /o:-d >> %temp%\listing.txt echo "------ SYSTEM32 ---" >> %temp%\listing.txt cd %windir% cd system32 dir /a:-d /o:-d >> %temp%\listing.txt dir /a:d /o:-d >> %temp%\listing.txt echo "------ DOWNLOADED INSTALLATIONS ---" >> %temp%\listing.txt cd %windir% cd "Downloaded Installations" dir /a:-d /o:-d >> %temp%\listing.txt dir /a:d /o:-d >> %temp%\listing.txt echo "------ DOWNLOADED PROGRAM FILES ---" >> %temp%\listing.txt cd %windir% cd "Downloaded Program Files" dir /a:-d /o:-d >> %temp%\listing.txt dir /a:d /o:-d >> %temp%\listing.txt echo "------ SYSTEM32-DRIVERS ---" >> %temp%\listing.txt cd %windir% cd system32 cd drivers dir /a:-d /o:-d >> %temp%\listing.txt dir /a:d /o:-d >> %temp%\listing.txt echo "------ PREFETCH ---" >> %temp%\listing.txt cd %windir% cd prefetch dir /a:-d /o:-d >> %temp%\listing.txt dir /a:d /o:-d >> %temp%\listing.txt echo "------ TASKS ---" >> %temp%\listing.txt cd %windir% cd tasks dir /a:-d /o:-d >> %temp%\listing.txt dir /a:d /o:-d >> %temp%\listing.txt echo "------ WINDIR ---" >> %temp%\listing.txt cd %windir% dir /a:-d /o:-d >> %temp%\listing.txt dir /a:d /o:-d >> %temp%\listing.txt echo "------ WINDIR\SYSTEM ---" >> %temp%\listing.txt cd system dir /a:-d /o:-d >> %temp%\listing.txt dir /a:d /o:-d >> %temp%\listing.txt echo "------ WINDOWS\TEMP ---" >> %temp%\listing.txt cd %windir% cd temp dir /a:-d /o:-d >> %temp%\listing.txt dir /a:d /o:-d >> %temp%\listing.txt echo "------ USER\TEMP ---" >> %temp%\listing.txt cd %temp% dir /a:-d /o:-d >> %temp%\listing.txt dir /a:d /o:-d >> %temp%\listing.txt echo "------ PROGRAMS ---" >> %temp%\listing.txt cd %programfiles% dir /a:-d /o:-d >> %temp%\listing.txt dir /a:d /o:-d >> %temp%\listing.txt echo "------ ALLUSERS ---" >> %temp%\listing.txt cd %allusersprofile% cd anwendungsdaten dir /a:-d /o:-d >> %temp%\listing.txt dir /a:d /o:-d >> %temp%\listing.txt echo "------ USERS ---" >> %temp%\listing.txt cd %userprofile% cd anwendungsdaten dir /a:-d /o:-d >> %temp%\listing.txt dir /a:d /o:-d >> %temp%\listing.txt cd %temp% copy /y listing.txt "%userprofile%"\desktop\listing.txt Weitere Schritte? :uglyhammer: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 20:39 Uhr. |
Copyright ©2000-2025, Trojaner-Board