Ich Glaube ich bin Infeziert... Alsooo ^^ Seit paar Tagen (4 denk ich ^^) bekomm ich von meim Anti virenprogramm (Eset Smart Security) Dauerhaft meldungen wie z.B Winglsetup.exe Quarantined, Loader49.exe Quarantined, Loader266.exe Quarantined und und und (das sind die häufigsten ^^) Da ich gesehn habe, das dies sys32 datein sind war mir klar warum diese warnungen immer wieder kommen. Kann mir jemand sagen was ich mir da eingefangen hab und wie ich das wieder wegbekomm ^^. Danke schonmal im vorraus.. ..Mfg |
Hallo und :hallo: Bitte klicke in meiner Signatur auf "Für alle Neuen", lies alles aufmerksam und arbeite die komplette Liste unter Punkt 2 ab. ciao, andreas |
Ja hab den hijack report vergessen mom Malewarebyte's log kommt noch falls nötig Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:00:55, on 28.04.2009 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18226) Boot mode: Normal Running processes: C:\Windows\system32\Dwm.exe C:\Windows\system32\taskeng.exe C:\Windows\Explorer.EXE C:\Program Files\Windows Defender\MSASCui.exe C:\Windows\RtHDVCpl.exe C:\Program Files\ESET\ESET Smart Security\egui.exe D:\Program Files\Razer\DeathAdder\razerhid.exe C:\Program Files\Steam\Steam.exe C:\Program Files\DAEMON Tools Lite\daemon.exe C:\Program Files\RocketDock\RocketDock.exe C:\Program Files\Windows Media Player\wmpnscfg.exe D:\Program Files\Razer\DeathAdder\razertra.exe D:\Program Files\Razer\DeathAdder\razerofa.exe C:\Windows\system32\WTablet\Pen_TabletUser.exe C:\Windows\System32\mobsync.exe C:\Program Files\Teamspeak2_RC2\TeamSpeak.exe C:\Program Files\Mozilla Firefox\firefox.exe D:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - Default URLSearchHook is missing O1 - Hosts: ::1 localhost O2 - BHO: (no name) - AutorunsDisabled - (no file) O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - D:\Program Files\Adobe\/Adobe Contribute CS3/contributeieplugin.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [StartCCC] "c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice O4 - HKLM\..\Run: [DeathAdder] D:\Program Files\Razer\DeathAdder\razerhid.exe O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe" O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\Run: [fsc-reg] C:\ProgramData\fsc-reg\fscreg.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'Default user') O8 - Extra context menu item: An vorhandenes PDF anfügen - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - AutorunsDisabled - (no file) O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O13 - Gopher Prefix: O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab O18 - Protocol: AutorunsDisabled - (no CLSID) - (no file) O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\Windows\system32\GameMon.des.exe (file missing) O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\Windows\system32\Pen_Tablet.exe O23 - Service: TeamViewer 4 (TeamViewer4) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version4\TeamViewer_Service.exe O23 - Service: Fujitsu Siemens Computers Diagnostic Testhandler (TestHandler) - Fujitsu Siemens Computers - C:\Program Files\Fujitsu Siemens Computers\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Windows\System32\TuneUpDefragService.exe O23 - Service: @%SystemRoot%\System32\TUProgSt.exe,-1 (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\Windows\System32\TUProgSt.exe -- End of file - 6729 bytes |
Zitat:
Jeden Punkt unter Punkt 2 abarbeiten. ;) ciao, andreas |
1.Hijack unninstall log Code: Adobe AIR Code: Malwarebytes' Anti-Malware 1.36 |
1.) Was ist denn das? Zitat:
3.) Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an. ComboFix Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert. Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. ciao, andreas |
Das is ein Japano rpg Spiel (jah japano fan orgassmus ^^) Hintergrund wächter wie z.b? windows defender anti vir softwar usw ? zu 3. gild da auch handy ? |
Zitat:
Zitat:
ciao, andreas |
mir is noch ein kleiner fehler unterlaufen. Beim Deinstallieren der dinge die du/sie ^^ aufgelistest hast hab ich ausversehn bei Uninstall auf entfernen nicht auf deinstallieren geklickt (also im cccleaner) WIe bekomm ich die jetzt deinstalliert |
Ist nicht so wichtig. Du könntest schauen, ob im entsprechneden Programmordner eine uninstall.exe o.ä. ist, aber das spielt bei dem nicht wirklich die Rolle. Oder manchmal gibt es das Uninstall auch im Startmenü. ciao, andreas |
aber(noobalarm xD) wie beedne ich mein eset smart security ich habs schon aus der autostart genommen und neu gestartet aber combo fix sagt mir immernoch ich solle es schliessen ^^ |
Da kann ich jetzt leider nicht helfen, da ich Eset nicht kenne. Gibt es ein Verwaltungstool von Eset, bei dem sich der Wächter deaktiviern lässt? Oder lassen sich rechts unten, die Symbole von Eset mit Doppelklick konfigurieren oder mit Mausklick rechts beenden? sorry, andreas |
Soo ich glaub ich habs geschaft hier der log... Code: ComboFix 09-04-27.05 - Sebastian 28.04.2009 19:53.2 - NTFSx86 Also das der erste tei |
2. teil ^^ erster is drunter war zu lang Code: --- Andere Dienste/Treiber im Speicher --- |
1.) Deinstalliere:
Lade eine neue ComboFixversion auf deinen Desktop.
Code: KILLALL::
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. ciao, andreas |
Bonjour find ich nicht rest gelöscht Ich probiers dan mal jetzt ich sag jetzt schonmal arigatô gosaimasu für deine nerven aus stahl |
So muss aber den log wieder in 2 aufteilen 1.teil Code: ComboFix 09-04-27.05 - Sebastian 28.04.2009 21:07.3 - NTFSx86 |
2.teil Code: --- Andere Dienste/Treiber im Speicher --- |
GMER - Rootkit Detection http://pic.leech.it/i/ab0bc/635985fgmer60.jpg
ciao, andreas |
log :) |
1.) Anleitung Avenger (by swandog46) Lade dir das Tool Hopsassa und speichere es auf dem Desktop:
Code: Drivers to delete:
2.) Neues Gmer-Log posten. ciao, andreas |
avenger log Code: Logfile of The Avenger Version 2.0, (c) by Swandog46 apropo msb.dll kahm schon wieder ne virus meldung btw hab grad ne meldung bekommen msb.dll quarantined |
log2hier hier bitte :) |
1.) Start => Ausführen => combofix /u => OK 2.) Deinstalliere/lösche Gmer und Avenger. 3.) Lade dir ein neues ComboFix runter, lasse es laufen und poste das Log. ciao, andreas |
|
Man, war der hartnäckig. :schmoll: 1.) Deinstalliere:
Code: KILLALL::
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. ciao, andreas |
Utorrent is nicht in meiner software lsite und bei hijack und ccleander is es au net drin ^^ |
Dann weiter. ciao, andreas |
|
Zitat:
Und wieso erscheint, wenn ich auf MSIE runterladen klicke diese URL: h**p://www.opendownload.de/anmelden.php?name=Internet%20Explorer&web=10006&code=sharebase Und warum steht rechts auf der Seite dann: Zitat:
|
sorry hab bei sharebase geuppt da materialordner gerade nich bei mir ging Hier jetzt bei materialordner Log Edit: w00t? sharebase is free ^^ Sharebase is eigentl so ne art Rapidshare |
1.) Lade die Datei: Code: c:\windows\system32\loader49.exe 2.) Systemdetails mit RSIT prüfen
3.) ZHPDiag von Nicolas Coolman http://pic.leech.it/i/5e532/9b50601zhpdiag.jpg
|
soll ich die logs liebr auf materialordner uppen sind weng groß also die von RSIT? und bei zhpdiag bekomm ich ne melung vom explorer Das die maximale useranzahl bereits eingeloggt ist ^^ |
Zitat:
Zitat:
ciao, andreas |
Code: Rapport de ZHPDiag v1.20 par Nicolas Coolman |
Rsitinfo.txt Rsitlog.txt :) Edit:Nja ich geh dan mal schlafen lass uns späta weitermachen (ich hoffe das breitet sich nicht wieder aus ^^) |
*push* :) |
Zitat:
1.) Start => Ausführen => combofix /u => OK 2.) Lade dir eine neue ComboFix-Version auf deinen Desktop. 3.) Scripten mit Combofix Lade eine neue ComboFixversion auf deinen Desktop.
Code: KILLALL::
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. ciao, andreas |
|
1.) Wieso fragst du ständig, ob du clean bist? Geht es dem Rechner denn wieder besser? 2.) Hast du in der Zwischenzeit irgendwelche Scans mit anderen Programmen gemacht oder hat Eset sich mit Funden gemeldet? Da sind einige Einträge verschwunden. 3.) Da sind noch zwei Einträge die mir nicht gefallen. Neues cfscript.txt für ComboFix: Code: KillAll:: |
1. Also des mit dem ständigen fragen tut mir leid. Mit dem pc hmmm ^^ ich weis nich..aber mir kommt es so vor als liefe er jetzt besser.(Placebo effeckt?) kann aber auch daran liegen das ich das Systemoptimierungs tut hier im boad angewendet hab. 2.Eset hat in letzter zeit keine funde mehr Maleware Luft Gerade und sieht eigentl gut aus bis jetzt keine funde und sind gleich mit C Fertig Edit: Maleware hat au nichts gefunden |
Es fehlt noch das letzte Log von ComboFix. :) ciao, andreas |
|
Hast du schon einmal mit Regedit gearbeitet? ciao, andreas |
Software? oder Start-Ausführen-Regedit? letzeres ja aber is nicht so das ich jetzt der profi bin! Bisschen kenntnis was, wo, wie is da ^^ |
Ich vermute, dass irgendetwas mit den Berechtigungen schiefhängt und ComboFix deshalb die Regeinträge nicht begradigt bekommt. Das kann ich allerdings nur überprüfen, wenn du das Ganze von Hand machst. Versuchen wirs. 1.) Start => Ausführen => regedit => OK 2.) Taste [Pos1] drücken 3.) [Strg]f 4.) autocheck [Enter] 5.) Sollte ein Eintrag BootExecute gefunden werden, dann doppelklicke drauf, falls nicht, dann beende Regedit und melde dich. 6.) Da muss stehen: Code: autocheck autochk * 7.) Klick auf OK. Sollte eine Meldung kommen, dann notiere dir bitte den genauen Wortlaut. 8.) Regedit beenden. ciao, andreas |
BootExecute nicht gefunden! |
Dann lasse weitersuchen, bis er gefunden wird. ciao, andreas p.s.: Das muss etwa so aussehen: http://pic.leech.it/i/5f96d/4ee43b50boot.jpg |
Zitat:
Zitat:
|
OK. Dann stimmt das ComboFix-Log nicht. Kontrollieren wir noch den anderen Eintrag. 1.) Regedit beenden 2.) Regedit starten 3.) [Pos1] drücken 4.) [Strg]f 5.) EnableNotificationsRef [Enter] 6.) Kontrolliere ob auf der linken Seite S-1-5-21-3622106172-2588214691-1172252104-1000 steht. Falls ja, dann drücke [Entf] 7.) [Tabulator] (das ist die Taste links vom q mit den zwei Pfeilen) 8.) [Entf] 9.) Regedit beenden ciao, andreas |
Wenn ich EnableNotificationsRef löschen will steht dort Zitat:
|
Da hängt etwas schief. Versuche einen Doppelklick auf EnableNotificationsRef und ändere den Wert auf 0 => OK => Nochmal versuchen zu löschen. ciao, andreas |
Da steht der wert kann nicht geändert werden: Fehler beim schreiben des inhalts des werts |
1.) [Tabulator], der Eintrag mit den vielen Zahlen muss markiert sein. 2.) Mausklick rechts auf die vielen Zahlen 3.) Berechtigungen 4.) Was ist oben bei Gruppen- oder Benutzernamen zu sehen? ciao, andreas |
1x steht mein pc drinne und drunter steht wscsvc |
Nope, da ist etwas schiefgelaufen. Es muss etwa so aussehen: http://pic.leech.it/i/1803c/44e0b64eberecht.jpg Dort sollte oben dein Anmeldename erscheinen. Den Anwählen und unten den Haken setzen bei Vollzugriff zulassen. ciao, andreas |
Ich kann meinem konto kein vollzugriff geben (nja und das da nur einmal mein pc drin steh is kla da ich nich admin und benutzerkonto hab admin is benutzerkonto ^^ (ich weis das es falsch ist ^^) |
Zitat:
ciao, andreas |
Die berechtigung für "den komischen ordner " wurde nicht gespeicher Zugriff Verweigert |
Gehe einen Schlüssel höher auf das Svc und versuche es dort. ciao, andreas |
Das selbe.. |
Noch ein höher auf Security Center. Nochmal probieren. ciao, andreas |
geht und jetzt? |
Mausklick rechts auf Svc => Löschen ciao, andreas |
Svc kann nicht gelöscht werden: Fehler beim löschen des schlüssels xD ich kann nimma ^^ |
:D Wieder auf Security Center. Mausklick rechts. Berechtigungen. Diesmal auf Erweitert klicken. Karte Besitzer. Dein Anmeldenamen markieren. Haken bei Besitzer der Objekte.... OK. Erweitert. Karte Berechtigungen. Deinen Anmeldenamen auswählen. Unten beide Haken setzen. OK. OK. Mausklick rechts auf Svc. Löschen. ciao, andreas |
1. ich hab admninistrator (anmeldname) und anmeldname) ohne admin 2.hier is mal nen screen http://s11b.directupload.net/images/090501/9zzxtnea.jpg (issn image hoster) Der zweite ganz geschwärzte is Nur der anmelde name ^^ |
Du klickst auf den geschwärzten, den ganz unten, setzt den Haken, klickst auf OK. ciao, andreas |
hab ich schon versucht ich klick auf ok versuch zu löschen wieder das selbe. dan guck ich nochma rein und der hacken is wieder weg |
Regedit beenden. Registry Search by undoreal Mit diesem kleinen Programm kann man die Registrierung nach verschiedenen Schlüsseln bzw. Einträgen durchsuchen. Hier das Programm herunterladen -> RegSearch by Bobbi Flekman Das Archiv entpacken und die regsearch.exe mit einem Doppelklick starten. Danach in den weißen Feldern (Search String) nach Dateien oder Schlüsseln suchen lassen. (auch mehrere Dateien gleichzeitig) http://virus-protect.org/artikel/bilder/bobby.gif Folgenden Text einfügen: Code: S-1-5-21-3622106172-2588214691-1172252104-1000 ciao, andreas |
sorry war in letzter zeit nicht mehr am pc sondern immer nur kurz regsearch log |
Letzter Versuch: 1.) Start => Einstellungen => Systemsteuerung => Benutzerkonten => Neues Konto erstellen => test => Weiter => Computeradministrator => Konto erstellen. 2.) Starte im abgesicherten Modus. 3.) Melde dich als test an. 4.) Start => Ausführen => regedit => OK 5.) Wie schon gemacht auf Security Center gehen. Mausklick rechts. Berechtigungen. Diesmal auf Erweitert klicken. Karte Besitzer. test markieren. Haken bei Besitzer der Objekte.... OK. Erweitert. Karte Berechtigungen. test auswählen. Unten beide Haken setzen. OK. OK. Mausklick rechts auf Svc. Löschen. ciao, andreas |
Alle Zeitangaben in WEZ +1. Es ist jetzt 12:51 Uhr. |
Copyright ©2000-2024, Trojaner-Board