|
trojan dropper.SEH oder W32/Agent.HZTR Hallo, Spyware Doktor findet ständig einen Trojan-Dropper.SEH kann ihn zwar entfernen, bei Neustart des PC ist er allerdings immer wieder da. Hab schon bissl gegoogelt, aber ich bin jetzt nicht so der PC-Crack, wer kann mir auf möglichst einfach verständliche Weise helfen, das Ding zu entfernen? Danke Jeanny Betriebsystemname Microsoft® Windows Vista™ Home Premium Version 6.0.6000 Build 6000 Weitere Betriebsystembeschreibung Nicht verfügbar Betriebsystemhersteller Microsoft Corporation Systemname USER-PC Systemhersteller Dell Inc Systemmodell Dimension E521 Systemtyp X86-basierter PC Prozessor AMD Athlon(tm) 64 X2 Dual Core Processor 5000+, 2600 MHz, 2 Kern(e), 2 logische(r) Prozessor(en) BIOS-Version/-Datum Dell Inc 1.1.8, 18.04.2007 SMBIOS-Version 2.4 Windows-Verzeichnis C:\Windows Systemverzeichnis C:\Windows\system32 Startgerät \Device\HarddiskVolume1 Gebietsschema Deutschland Hardwareabstraktionsebene Version = "6.0.6000.20500" Benutzername user-PC\user Zeitzone Mitteleuropäische Zeit Gesamter realer Speicher 2.045,88 MB Verfügbarer realer Speicher 1,27 GB Gesamter virtueller Speicher 4,21 GB Verfügbarer virtueller Speicher 3,01 GB Größe der Auslagerungsdatei 2,29 GB Auslagerungsdatei C:\pagefile.sys |
Hallo Jeanny74 und :hallo: Klick auf den Link, lies alles aufmerksam und arbeite die Liste ab: http://www.trojaner-board.de/69886-a...-beachten.html ciao, andreas |
Okay, CCCleaner durchgeführt Malwarbytes sagt folgendes: Malwarebytes' Anti-Malware 1.34 Datenbank Version: 1811 Windows 6.0.6000 28.02.2009 11:36:02 mbam-log-2009-02-28 (11-36-02).txt Scan-Methode: Vollständiger Scan (C:\|D:\|J:\|) Durchsuchte Objekte: 191944 Laufzeit: 1 hour(s), 28 minute(s), 24 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WebMediaPlayer (Rogue.WebMediaPlayer) -> Delete on reboot. |
So, Hijack auch aus geführt Code: MSIE: Internet Explorer v7.00 (7.00.6000.16809) |
Auch wenn die Uninstallliste von HJT noch fehlt, irgendwie ahne ich, was da schiefhängt. Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.
Hinweis: Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren. ciao, andreas |
Hi, danke für deine Antwort! Die Uninstall-Liste? Wo finde ich die? Ich hab bei Hijak auch nichts weiter gemacht, gefixed oder so, muss ich da noch was tun? Hab alle noch offen wie nach dem Scan Navilog läuft... |
Code: Search Navipromo version 3.7.5 began on 28.02.2009 at 13:09:26,92 |
1.) Rufe das Programm bitte erneut auf und wähle die Option 2
2.) Ein neues HJT-Log posten. ciao, andreas |
Code: Navipromo Removal version 3.7.5 started on 28.02.2009 at 20:24:17,71 |
Code: Logfile of Trend Micro HijackThis v2.0.2 |
Zitat:
Es fehlt noch die Liste der installierten Programme. Kommen wir zu meiner Lieblingsbeschäftigung. 1.) Deinstalliere (Start=>Einstellungen=>Systemsteuerung=>Software (oder Programme bei Vista *rumrate*): Code: Spyware Doctor (Schrott)3.) Installiere: Downloaddetails: Windows Vista Service Pack 1 Five Language Standalone (KB936330) 4.) Lade dir Lop S&D herunter. Führe Lop S&D.exe per Doppelklick aus. Wähle die Sprache deiner Wahl und anschließend die Option 1 (Suche) Warte bis der Scanbericht erstellt wird (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen) (Sollte dein Desktop verschwinden, drücke bitte Ctrl + Alt + Entf um den Taskmanager zu starten. Wähle unter Datei, neuen Task aus und gib dort explorer.exe ein) 5.) Poste ein neues HJT-Log. ciao, andreas |
Liste der installierten Programme? Wie? Oder brauchst du die nicht mehr, wenn ich den ganzen Rest ausführe? |
|
Ah okay, hier die Liste Code: 32 Bit HP CIO Components InstallerPlay it safe? No risk, no fun? Custom? |
Also so ganz verstehe ich dich nicht. Du hast da haufenweise sinnfreie Programme, die du z.T. sogar doppelt installiert hast und machst dir Gedanken über ein Programm, dass ich ständig einsetze? :confused: No risk, no fun. ciao, andreas |
Code: |
Und hier noch das neueste Hijack Code: Logfile of Trend Micro HijackThis v2.0.2 |
Lasse LopSD gleich nochmal laufen, diesmal mit Option 2. Poste das Log. ciao, andreas |
Code: |
Wie geht es dem Rechner? ciao, andreas |
Dem Rechner geht es gut, aber ob das Ding noch drauf ist weiß ich nicht, denn den Doctor hab ich ja gelöscht ;-) Es gingen öfter Seiten von selbst auf wie "ilove" etc. hoffe das passiert jetzt nicht mehr? Da das unregelmäßig war, weiß ich aber nicht, ob das weg ist! Meinst du es passt alles? Oder muss ich noch was machen? Bin schon ganz verwirrt von irgendwas laufen lassen und hier posten:rolleyes: Danke dir jedenfalls für deine Hilfe und Geduld! |
Zitat:
Zitat:
Zitat:
SuperAntiSpyware nach Anleitung laufenlassen und Log posten. Das mit dem abgesicherten Modus kannst du dir sparen. Ist AdAware deinstalliert? Die Ordner sind noch immer da. ciao, andreas |
Ja, Adware ist deinstalliert - wo siehst du den Ordner noch? Wenn ich unter Programm reingehe, seh ich nix. Dafür aber einen Ordner von Vuze - wobei ich das gestern deinstalliert hatte. Kann ich das einfach aus Programme löschen? Das andere mach ich gleich :) |
SUPERAntiSpyware Scan Log http://www.superantispyware.com Generated 03/01/2009 at 01:42 AM Application Version : 4.25.1014 Core Rules Database Version : 3779 Trace Rules Database Version: 1738 Scan type : Complete Scan Total Scan Time : 01:22:24 Memory items scanned : 612 Memory threats detected : 0 Registry items scanned : 6392 Registry threats detected : 3 File items scanned : 150370 File threats detected : 1 Adware.MyWebSearch/FunWebProducts HKCR\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179} HKCR\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179}\TreatAs Trojan.DNSChanger-Codec HKU\S-1-5-21-1740212931-864828806-2113996345-1000\Software\fcn Adware.Vundo/Variant-MSFake C:\PROGRAM FILES\NAVILOG1\REG.EXE |
Deinstalliere SuperAntiSpyware. Auch wenn es nicht unbeding notwendig ist, (ich glaub wir haben alles erwischt), lasse bitte ComboFix laufen. Ich benötige die zusätzlichen Infos, um deinen Rechner schneller zu machen und den ganzen "Müll" zu löschen. Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an. ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Einige Leute haben Angst ComboFix zu starten, wie gesagt, es ist nicht unbedingt nötig, wenn du dich aber genau an die Anleitung hältst, dann kann nichts passieren. ciao, andreas |
Hi Andreas, die externe Festplatte nutze ich nie aktiv, ich sichere nur ab und an meine Musik, Fotos etc. soll ich die dann trotzdem dran tun, oder nicht? Okay, ich häng es ja schon dran :-) |
Zitat:
|
Ich habe Avira deaktiviert, aber Combofix meldet ständig, dass es noch aktiv ist! Kann ich es trotzdem laufen lassen? Will ja nicht meinen PC schrotten:confused: |
Das Problem hatte ich schon einmal, deinstalliere Avira und versuche es damit: AV7 - Upgrade Tools ciao, andreas |
Okay, Avira deinstalliert - bin nun schutzlos Combofix gestartet, nach wenigen Sekunden kam Fehlermeldung mit blauem Screen, die ich nicht schnell genug lesen konnte. Dann hat er sich runter gefahren, Beim Neustart blieb er am Startscreen hängen, ich musste nochmal Reset drücken |
Zitat:
Systemdetails mit RSIT prüfen
ciao, andreas |
Code: Logfile of random's system information tool 1.05 (written by random/random) |
Code: info.txt logfile of random's system information tool 1.05 2009-03-01 13:29:46 |
Soso, Windows Defender hat festgestellt, dass Avira ganz böse ist. http://www.cosgan.de/images/smilie/froehlich/a065.gif Naja, halte ich mich mit meinen Kommentaren mal lieber zurück. Hattest du mal irgendwelche P2P-Software, wie Azureus, BitTorrent, Emule oder sonstige Virenschleudern auf deinem Rechner? 1.) Mache bitte einen Mausklick rechts auf folgende Datei und wähle Bearbeiten: Zitat:
2.) Solltest du Microsoft Works (bäh) nicht benutzen, dann deinstalliere es. Dasselbe gilt für Designer 2.0 (bähbäh). 3.) Lasse SourceForge.net: JavaRa: Downloading ... laufen. 4.) Installiere Download der Java-Software von Sun Microsystems. 5.) Lösche folgende Datei: Code: C:\Windows\tasks\Ad-Aware Update (Weekly).job7.) Schädlinge im Ordner der Systemwiederherstellung:
(Systemwiederherstellung kann nun wieder aktiviert werden.) 8.) Combofix Deinstallieren Klick auf Start -> Ausführen -> eintippen combofix /U http://img247.imageshack.us/img247/7...ombofixvs6.jpg Damit wird Combofix und alle weiteren Programme entfernt. 9.) Starte HJT => Do a system scan only => Markiere: Code: O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"10.) Mache einen Neustart und poste ein neues HJT-Log. ciao, andreas |
So, wieder da, dann werde ich mal Stück für Stück deiner Liste abarbeiten - übrigens hängt mein PC beim hochfahren gleich beim booten, ging grad wieder nicht aufs erste Mal... Ich hatte mal Vuze auf dem Rechner, ist glaub ich so ein BitTorrent-Zeug, oder? zu1) weiß nicht genau was ich dir hier posten soll?? Allgemein: Ort c:\users\user\appdata\local Größe 87 Bytes (87 Bytes) Größe auf Datenträger 4.00 KB (4,096 Bytes) Erstellt: 2009-01-18, 11:48 Geändert: 2009-02-28, 20:18 Letzter Zugriff: 2009-01-18, 11:48 |
Mausklick rechts war schon richtig, doch statt Eigenschaften sollst du Bearbeiten wählen. Dann öffnet sich Notepad, dort [Strg]a, [Strg]c drücken, zu Trojaner-Board wechseln, auf Antworten klicken und dann [Strg]v. ciao, andreas |
Okay, das erklärt einiges:rolleyes: @echo Uninstalling the software... @"c:\users\user\appdata\local\wgcwo.exe" -uninstall |
Die kannst du gleich löschen. ciao, andreas |
Ich habe die Systemwiederherstellung deaktiviert. Muss ich das mit dem abgesicherten Modus auch machen? Denn ich habe Vista und nicht XP und die Beschreibung greift hier nicht |
Zitat:
ciao, andreas |
alles ausgeführt:taenzer: Code: Logfile of Trend Micro HijackThis v2.0.2 |
Vista :pfui: Start => Ausführen => msconfig (eintippeln) => OK => Karte: Tools => Benutzerkontoschutz deaktivieren => OK Fixe nochmal alle Einträge => Neustart => Neues HJT-Log Und von Azureus in Zukunft die Hände weg. ciao, andreas |
Code: Logfile of Trend Micro HijackThis v2.0.2 |
Ich gebs auf. :schmoll: Alle Programme, die wir eingesetzt haben, deinstallieren/löschen. MalwareBytes kannst du anstelle von Spyware Doctor behalten. Benutzerkontosteuerung und Systemwiederherstellung anschalten. Viel Spaß und keine Schädlinge mehr, Andreas |
Du gibst auf?? Wieso, funktioniert irgendwas nicht wie gewollt? Jedenfalls vielen, vielen Dank für deine Hilfe! |
Nicht verunsichern lassen. Die Einträge, die gefixt werden sollten, tauchen immer wieder auf. Sind aber nicht schädlich nur unnötig. ciao, andreas |
Okay, dann hoffe ich es läuft jetzt alles. Werde ich Zukunft besser acht geben:daumenhoc Und nun reicht es mir für diese WE mit Computern...:eek: |
Ja, so eine Reinigung ist ziemlich zeitraubend und nervtötend. :) ciao, andreas |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 20:48 Uhr. |
Copyright ©2000-2025, Trojaner-Board