|
Trojan.Downloarder.Firu.H gefunden was tun? ich grüße euch. gestern habe ich mir beim unüberlegten saugen den rechner schön versaut. (windows xp) den fake antivirus2009 habe ich gut wegbekomm dank malewarebyte aber dann fiel mir heute auf dass irgendwas faul ist. gdata antivirus 2009 hat ein trojaner gefunden Trojan.Downloarder.Firu.H und auch im task manager laufen komische sachen Zitat:
muss allerdings zugeben dass ich nicht so die ahnung habe und mein verdacht nur durch aufmerksames googeln und analysieren der posts kommt. hab mir auch dieses hijackthis geladen wie beschrieben um diese dokfile zu bekomm. Code: Logfile of Trend Micro HijackThis v2.0.2und wie gesagt meine pc kenntnisse sind leider begrenzt gerade was solche herausforderungen betrifft. aber ich bin sehr lernfähig. liebe grüße christoph aus berlin |
editionen: hab mal etwas zuarbeit gemacht die bestimmt weiterhilft. hab folgende dateien aus der logdatei überprüft. Code: C:\WINXP\System32\smss.exebei datei: Code: C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exeANALYSEPROTOKOLL: Code: Datei AVKProxy.exe empfangen 2008.11.01 19:20:11 (CET)Antivirus Version letzte aktualisierung Ergebnis Code: C:\Programme\G DATA\AntiVirus\AVK\AVKWCtl.exeCode: Datei AVKWCtl.exe empfangen 2008.11.01 19:50:58 (CET)Antivirus Version letzte aktualisierung Ergebnis |
Hallo :) Arbeite bitte folgende Punkte der Reihe nach durch: 1.) Anleitung SmitfraudFix (by S!Ri) Klick auf das Symbol und lies die Anleitung -> http://saved.im/ndc5ntnxdxq5/biohazard5b100x1005d.jpg und lass das System durchsuchen. (Option 2)
2.) MalwareBytes Anti-Malware:
3.) ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. (ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix) 4.) Random's System Information Tool
HTML-Code: [CODE]Hier das Logfile rein![/CODE]mfg |
aloah... erst mal allerbesten dank dass du mir helfen willst. komm mir vor als würde ich grad im krieg sein ^^ also hier ist das ergebnis von smitfraudfix erstmal (rapport.txt) Code: SmitFraudFix v2.371 |
malewarebytes logdatei Code: Malwarebytes' Anti-Malware 1.30 |
Sieht bis jetzt gut aus. ;) |
Zitat:
weiter gehts... kann man mal sehen was passiert wenn man scheiße saugt... sitz schon die 2. nacht an der mission "sauberer pc" ^^ muss bildschirmschoner wenn combo läuft auch aus??? ach egal ich schalt ihn einfach ab ^^ |
Zitat:
|
na auf jeden fall... zum glück hab ich urlaub und zeit dafür. hier die combofix log-datei Code: ComboFix 08-11-01.01 - Pentium4 2008-11-01 22:43:05.1 - NTFSx86 |
Gut, jetzt noch RSIT. ;) |
die log datei is zu lang für den post. und nu? |
Lade die Logs bei file-upload.net hoch und poste den Downloadlink. ;) |
|
ach ja und info.txt Code: info.txt logfile of random's system information tool 1.04 2008-11-01 23:04:49 |
So, führe jetzt noch das aus: Mit HijackThis fixen:
und das: => Besuche die Windows-Update Seite und lasse über den Button benutzerdefinierte Suche nach fehlenden Updates suchen und installiere die wichtigen Updates. mfg |
das wars??? woher weiß ich das mein rechner jetzt sauber is und ich alles richtig gemacht habe? microsoft updates??? da fang ich mir bestimmt so ein Genuine Advantage branding ein ^^ reichen die updates von gdata antivirus nich? |
Die Logfiles sprechen für sich, ich sage, du bist sauber. ;) Zitat:
|
oh nee der krieg mit meinen rechner die letzten 30h hat mir genügt... hab auch schon ein tool zum entfernen gefunden... so jetzt die dankesrede ^^ daaaaaaaaaaaaaaaaaaaanke ... hätt niemals gedacht dass das so aufwendig ist... es ist wirklich super dass es solche wie dich und die anderen hier in diesem forum gibt die einen so helfen. würd gerne was für dieses forum spenden. kannst mir ja ne pn schreiben oder mail wie ich das tun kann. [E-Mail-Adresse entfernt von cosinus] ansonsten hoffe ich nich das wir uns hier wieder schreiben müssen ;) lieben dank also nochmal. christoph |
So, kein Problem, war mir ein Vergnügen. ;) Und du brauchst nichts spenden, das hier ist alles kostenlos. :p Nochwas: Zitat:
|
remove WGA |
Und was soll das Tool "removen"? :rolleyes: |
na ich hab mir da beim updaten son branding verpassen lassen von microsoft das mein xp nich original is was natürlich nicht stimmt ;) da wusst ich das noch nich mit dem häkchen :( gibt da son tool für. hat geklappt. is wieder runter |
nanu... :confused: komm grad vom tanzen und wollt noch schnell was gucken und da viel mir gleich auf das alles ziehmlich langsam brauch... im taskmanager hab ich ne svchost.exe die is irgendwie voll auf drogen oder so. mein cpu zeigt ständig 100% an. hab ich bei unserem kampf gegen die pest was kaputt gemacht oder was is jetzt faul? und ich dachte ich hab endlich ruhe :schmoll: |
svchost ist der allg. Hostprozess und gehört zum Windowskernel. ;) |
ja das is mir schon klar aber ich bin ständig auf 100% auslastung auch wenn kein programm läuft. das hatte ich vorher nicht. hab das ganze mal lange beobachtet im taskmannager. schlimmer is es mit den browsern. also firefox.exe oder iexplore7.exe je nach dem... brauchen bis zu 70% cpu und das ständig. vieleicht hab ich jetzt auch nen übertriebenes angstgefühl und mit fallen jetzt sachen auf die ich vorher nie beachtet habe. ich halt das bloß nich für normal :schmoll: |
Naja, du hast schon Recht, normal ist es nicht, dass svchost so ausgelastet ist. Scan bitte einmal mit BlackLight: Blacklight scannen lassen
Und einmal mit der mbr.exe: Lade dir bitte mbr detector herunter und führe ihn aus. Poste das Ergebnis dann hier. |
find das programm f-secure blacklight nirgens zum downloarden |
Hier: Klick Edit: Sind beide Programme ohne Befunde kann sich eigentlich fast garnichts mehr verstecken, wenn man aber paranoid ist, kann man noch ADS-Rootkits in Betracht ziehen. |
blacklight Code: 11/02/08 14:16:03 [Info]: BlackLight Engine 1.0.67 initialized |
beim mbr detector link von dir springt mein gdata virenwächter sofort an und sperrt die seite :confused: edit: Website gesperrt! G DATA Security hat den Zugriff auf diese Webseite verweigert. Die Seite enthält infizierten Code: Win32:Crypt-CZU [Trj] (Engine B). |
hmmm also dieses cpu problem is irgend was anderes... aber definitiv neu... gehe jetzt ziemlich agressiv an die sache rann damit ich überhaupt vernünftig mit meinem pc arbeiten kann... schieß den prozess svchost.exe SYSTEM im taskmannager jetzt immer ab... im leerlaufprozess zeigt mir der mannager zwar immernoch 97-99% an aber der cpu un sich bleibt im normalen bereich. kann auch keine einschränkungen vom betriebssystem her erkennen bis jetzt. natürlich is das nich grad die optimale lösung. laufen tuts jedenfalls so. ich glaub ich muss mal über ein neues betriebsystem nachdenken. so viel stress geht ein auf den zeiger. |
Das der Lehrlaufprozess ca. 99% beträgt, wenn man den Rechner nicht auslastet, ist doch normal. :) Was ist mit mbr.exe? |
Zitat:
hab das problem behoben. lag an den updates von ms. die werden zwischengespeichert und belasten dadurch den cpu. soll wohl auch ein bekannter fehler sein. hab diesen speicher gelöscht und jetzt arbeitet er wieder super. Zitat:
|
Dann bin ich ja zufrieden. :D Zitat:
Also deaktiviere deinen Wächter. |
ok... ich setz mich gleich mal rann. ich versteh mein pc dank dir immer mehr ^^ aber um ehrlich zu sein habe ich nach der ganzen aktion hier bedenken was onlinebanking angeht. das wäre das einzige was ich an diesem rechner hier gegehrt sein kann für gesindel. die restlichen datein und nutzungen sind nich so emfindlich für mich. hab vieles von arbeit auf meinem notebook welches ich noch nie am netz hatte. würde gerne wissen wie ich mir zu 100% (99%) sicher sein kann das kein schädling drauf ist bevor ich mich einlogge bei meinem bankserver. gibts da ne checkliste? |
Onlinebanking würde ich generell nicht betreiben, da immer die Gefahr besteht, infiziert zu sein. Wenn du wirklich sicher Onlinebanking betreiben willst, nutze eine Live-CD. Die geeigneste für Onlinebanking ist BartPE. ;) |
keine chance... bekomm es zwar auf den desktop aber nicht geöffnet... für eine 10tel sek versucht sich ein fenster zu öffnen aber bricht sofort wieder ab. fehlermeldungen kommen keine. |
Ja, wenn du mbr.exe anklickst, öffnet sich kurz ein DOS-Fenster und es wird ein mbr.log im gleichen Verzeichnis erstellt, wie die mbr.exe liegt. |
aha... also dann war es das schon? Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK |
Gut, dein MBR ist sauber. Das heißt, du bist clean, bzw. dein Rechner. ;) |
:aplaus: na ich geh gleich inne wanne ^^ hier nochmal ne frische hijackthis logfile ich kann das nich lesen :rolleyes: Code: Logfile of Trend Micro HijackThis v2.0.2 |
:koch: jetzt bekomm ich gleich nen anfall. hab grad mein gdata antivirus wieder angeschalten weil ichs ja ausschalten musste wegen dem downloard und nu hat er was gefunden. Virus: Win32:Crypt-CZU [Trj] (Engine B) Datei: mbr.exe Verzeichnis: C:\Dokumente und Einstellungen\Pentium4\Desktop Prozess: Explorer.EXE |
Es ist doch zum schwarz ärgern, wie sich die AVPs gegenseitig als bösartig erkennen. :koch: |
ah ich verstehe was du meinst... weil sie sich genauso verhalten!? was mach ich jetzt mit dem ding in der quarantäne? is meine logfile ok? darf ich dann mal bald inne wanne? |
Ja, deine Logfiles sind sauber. Restrisiko bleibt dennoch immer. Zitat:
|
na gdata hat die als virus erkannte datei unter quarantäne gestellt. soll ich die löschen oder wieder herstellen? restrisiko bedeutet? was sind denn die anzeichen das sich noch was versteckt hatte? |
mbr.exe kannst du getrost löschen. Außer, du benötigst sie irgendwann, aber da kann man sie ja erneut laden. ;) Restrisiko bedeutet, dass es Malware gibt, die sich durch die Bereinigungsprozedur nicht finden bzw. entfernen lässt. Ich kenne aber nur zwei Kollegen. :) |
das bedeutet diese 2 kollegen kann jeder haben selbst du!? mir is schlecht... was könnte die scheiße denn ohne mein wissen machen? hatte bisher nie was mit viren zu tun gehabt also mich nie mit beschäft... werd mich ab heute auf jeden fall mehr mit beschäftigen... ganz schön interessant die sache wenn auch hauptsächlich nervig. |
Zitat:
Zitat:
Zitat:
|
na wenn du zwei kennst... die machen ja irgendwas... würd gerne wissen was die mit meinen rechner anstellen könnten... wenn se nur da sind und sich den finger in po stecken is mir das wurst ... wäre quasie nur ungewünschter untermieter der sich still verhält. dann war ich garantiert ein leichter patient :) |
|
na alte scheiße was es nich gibt... lass mich raten: sowas willste bei jemanden auch mal finden und löschen ;) hab noch ne gaaaaaaanz wichtige frage. was genau hat ich drauf und was könnte passiert sein nach deinen erfahrungen? |
Zitat:
Zitat:
Zweck des Ganzen: Werbung und üble Geldmacherei. |
aber da war nix bei was sich z.b. auf kostenpflichtigen seiten einlogt? hab schon bammel vor meiner rechnung :balla: is es nich ehr eine herausforderung für leute wie dich auf neuinstallieren zu verzichten? denn das kann ja jeder. aber das was du mir da alles gegeben hast hat schon echt was. :daumenhoc: nun gut. ich danke dir nochmal sehr für deine hilfe die echt besonders schnell ging. ich bin wirklich froh dass ich hier jemanden habe der mir bei solchen problemen helfen kann. auf jeden fall bin ich jetzt gut aufgeklärt und weiß mich jetzt auch besser zu schützen. meine wanne ruft ich stinke ^^ hoffentlich nich bis bald ;) |
Zitat:
Wenn doch, kann dir ein Dialer nichts anhaben. :daumenhoc Zitat:
Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 02:04 Uhr. |
Copyright ©2000-2025, Trojaner-Board