|
services.exe spinnt... Hi, als ich heute im Internet gesurft bin, schrie Windows auf einmal : "Auf ihrem PC wurde Spyware entdeckt", gleich darauf kamen etliche Virenmeldungen. Ich habe aus Angst nen PC Neustart gemacht und die Verbindung zum Internet getrennt, damit nicht noch mehr Viren reinkommen. Nachm Neustart kam dann die tolle Meldung: services.exe hat ein Problem festgestellt und muss beendet werden. Darauf kam dann eine Meldung, das der PC in 60 Sekunden herunterfährt/neustartet... Deshalb suche ich jetzt mit dem Rechner von meiner Mutter hier in diesem Forum Hilfe... Ich habe leider keine Ahnung wie man bei solchen Viren vorgeht, weil ich bis jetzt noch nicht solch einen fiesen Virus hatte! Kann ich da igendwas machen? Die anderen Threads haben mir nicht weitergeholfen. Kann ich dieses "In 60 Sekunden herunterfahren" irgendwie unterbrechen und dann etwas unternehmen? Der eine Virus heißt: Packed.Generic 233 (davon cirka 10 Stück) der andere Hacktool.Rootkit (davon 6, immer im 2-er Pack aber alle gelöscht) Komischerweise kommt jetzt keine Fehermeldung mehr. Ich versuche es mal MIT Internet... €: Sobald ich meinen PC mit dem Internet verbinde, kommen weitere Viren rein... wieder nur die 2 verschiedenen Viren. Diese werden aber sofort gelöscht... (keine Fehlermeldungen) Also ich freue mich auf eine Lösung/Antworten, damit ich am Wochenende odentlich zocken kann :) _______________________________________________________ Ich habe hier mal die HJT Logfile, falls das weiterhilft?! Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:47:21, on 14.08.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16876) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\Nero\Nero 7\InCD\NBHGui.exe C:\Programme\Nero\Nero 7\InCD\InCD.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\PROGRA~1\SYMANT~1\VPTray.exe C:\Programme\D-Link\AirPlus G\AirGCFG.exe C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe C:\Programme\Java\jre6\bin\jusched.exe C:\WINDOWS\system32\msword98.exe C:\WINDOWS\system32\msword98.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Dokumente und Einstellungen\Felix\msword98.exe C:\Dokumente und Einstellungen\Felix\msword98.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe C:\Programme\Symantec AntiVirus\DefWatch.exe C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\Programme\Symantec AntiVirus\Rtvscan.exe C:\WINDOWS\system32\SearchIndexer.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\system32\SearchProtocolHost.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: (no name) - - (no file) O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [SecurDisc] C:\Programme\Nero\Nero 7\InCD\NBHGui.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Nero\Nero 7\InCD\InCD.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [msword98] C:\WINDOWS\system32\msword98.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [msword98] C:\Dokumente und Einstellungen\Felix\msword98.exe O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\Run: [braviax] (User 'Default user') O4 - Startup: ikowin32.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Capture Device Service - InterVideo Inc. - C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe -- End of file - 7835 bytes |
Hallo... und :hallo: Hört sich niht wirklich gut an. Bitte überprüfe mal die genannte Dateien "services.exe",bei Virustotal.
|
Hi, ich möchte die Aufmerksamkeit auch noch auf die Dateien richten:
Karl |
Danke für die Antworten... soll ich die Analysen der online gescannten Dateien hier posten? |
Bitte alle Analysen komplett posten und nicht selbständig entfernen wenn diese als Malware erkannt werden :) |
Reicht ein Link zur Analyse? Sorry für die blöden Fragen aber besser als etwas falsch zu machen =D |
Es wäre besser wenn Du den ganzen Text kopierst und hier postest Es gibt keine dummen Fragen, nur dumme Antworten |
Hier mal die services.exe Code: Antivirus Version letzte aktualisierung Ergebnis |
die msword98.exe (sieht böse aus ^^) aus system32 Code: Antivirus Version letzte aktualisierung Ergebnis |
Hier die msword98.exe aus Dokumente und Einstellungen... Code: Antivirus Version letzte aktualisierung Ergebnis |
Und hier die letzte Datei, ikowin32.exe ... Code: Antivirus Version letzte aktualisierung Ergebnis |
@KarlKarl Also entweder ich bin nüchtern besoffen, oder der Logfile war da eben nicht:confused:. Ich kann den doch nicht übersehen habe^^ |
Lade bittedie Dateien im internen Uploadchannel hoch http://www.trojaner-board.de/54791-a...ner-board.html ...ausser servies.exe |
Habe ich gemacht, und jetzt? Wo sind die Dateien jetzt? |
Hallo? Was soll ich jetzt mit den Dateien machen? Ich werd echt verrückt, jedes mal wenn ich online gehe kommen erstmal 3 Packete packed.generic 233 rein... Ich bitte jetzt um eine Antwort^^ |
Die sollten vom Kompetenzteam ausgewertet werden... Ich habe auch noch keine Nachricht bekommen... Abwarten. |
Also vor Montag wird das nichts. Die Leute wollen ja`auch mal Wochenende haben. Du könntest inzwischen die noch ausstehenden Malwarebytes und Gmerlogs, hier rein kopieren. |
Malwarebytes' Anti-Malware 1.40 Datenbank Version: 2551 Windows 5.1.2600 Service Pack 3 15.08.2009 17:05:27 mbam-log-2009-08-15 (17-05-22).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|) Durchsuchte Objekte: 200252 Laufzeit: 36 minute(s), 19 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 4 Infizierte Dateiobjekte der Registrierung: 6 Infizierte Verzeichnisse: 0 Infizierte Dateien: 9 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msword98 (Trojan.FakeAlert.H) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msword98 (Trojan.FakeAlert.H) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\braviax (Trojan.Downloader) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\braviax (Trojan.Downloader) -> No action taken. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\Felix\msword98.exe (Trojan.FakeAlert.H) -> No action taken. C:\WINDOWS\system32\msword98.exe (Trojan.FakeAlert.H) -> No action taken. E:\System Volume Information\_restore{25D3A7CE-4D65-46C1-95B3-AC13CE73D78D}\RP212\A0090474.exe (Malware.Packer) -> No action taken. C:\WINDOWS\Temp\wpv271250008288.exe (Trojan.Agent) -> No action taken. C:\WINDOWS\Temp\wpv311250109698.exe (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> No action taken. C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\wiaserva.log (Malware.Trace) -> No action taken. C:\Dokumente und Einstellungen\Felix\oashdihasidhasuidhiasdhiashdiuasdhasd (Trace.Pandex) -> No action taken. C:\Dokumente und Einstellungen\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd (Trace.Pandex) -> No action taken. |
ich habe weitere Probleme bekommen... Gestern musste ich etwas für die Schule aus dem Internet raussuchen. Ich bin eigentlich nur auf seriösen Seiten gesurft. Als ich dann heute den PC startete, wollte er nicht mehr hochfahren. Immer am Windows Ladebalken hängengeblieben... Letzte als funktionierende bekannte Konfiguration gewählt und er fuhr wieder hoch. Ein Freund von mir war auf der gleichen Seite und beschwert sich auch über einen Worm! Ich würde gerne eine genaue Erklärung haben, was dieser Worm/ Trojaner anrichtet. Ich habe echt Angst... Habe mal auf Wunsch von RobSen Malwarebytes und Gmer gestartet: Hier mal die Gmer Logs als Anhang (zu groß !!) Dann hab ich die Malwarebyte - Logs auch gleich als Anhang! ist somit übersichtlicher der Thread! Soll ich noch irgendwas durchführen? Ich will die Dinger ein für alle Mal loswerden, ich will ungestört surfen... Nicht das das irgendein Backdoor ist, dann heul ich. Naja, ich mach ja kein Online Banking etc., ist eigentlich nur mein Zocker PC, aber ich habe kein Bock auf diese Viren... Oha, wie ich gesehen habe 2x Backdoor... HILFE! PS: Dieses Problem hat nichts mit meinem "services.exe Problem" zu tun!!! Das Problem besteht aber weiterhin!! |
Also entweder kannst du neuaufsetzten, oder es wird mit Combofix versucht. Neuaufsetzten wäre schnelle...Combofix nimmt Zeit in Anspruch Entscheide dich. |
Ich nehme Combofix... Neuaufsetzen is mir zu blöd... |
So, Combofix ausgeführt, dann wird der PC neugestartet. Nachm Neustart steht dort: install.exe muss beendet werden... Dann wird der PC heruntergefahren. ??? Combofix Log: Code: ComboFix 09-08-19.06 - Felix 20.08.2009 14:54.2.2 - NTFSx86 |
Das ist ja fast nur noch Malware, diverse Backdoors, Rootkit :aplaus: Zeit für Plan B Zitat:
Eine Woche ist jetzt fast schon rum und in der ging es nur abwärts, soll es ein Monat werden? |
Ok, sieht mies aus. Bitte noch kurz beide Logs von RSIT. |
Okay hier Log von RSIT als Anhang... Was versteht ihr von neuaufsetzen? Meint ihr Festplatte formatieren und Windows neu draufziehn? Wäre eher schlecht, da ich die Windows XP CD verbummelt habe, und erstmal das Haus durchsuchen müsste... Naja, bin recht verzweifelt, Windows spammt in 3 Sekunden "Your computer is infected!", jede 5 min. kommt ne Meldung das Malware auf dem PC ist... Das komische ist, das zusätzlich diese Meldung gelegentlich erscheint: http://s1.directupload.net/images/09...p/iqpg5eor.jpg Komisch?! Das geht mir auf die ... Naja ich hoffe es gibt noch ne Lösung... Scan von Malwarebytes hat sage und schreibe 35 infizierte Dateien ergeben... Na dann Prost Mahlzeit! |
Das Bild ist ein Fake, immer auf Abbrechen klicken oder Prozess über Taskmanager beenden. Zitat:
Zitat:
Es fehlt noch die info.txt von RSIT. Start => Ausführen => c:\rsit\info.txt => OK ciao, andreas |
Ups, hab ich vergessen^^ Anhang! |
1.) Deinstalliere:
Code: KILLALL::
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. ciao, andreas |
Okay, das werd ich dann morgen gleich machen, wenn ich von der Schule zurück bin... oder vielleicht noch jetzt, mal sehen :) Das sieht auf jedenfall schonmal wirksam aus =D lg und gn8 |
Besser sofort. Der Downloader lädt schneller nach als ich löschen kann. :D ciao, andreas |
Wie soll ich das posten/anhängen?! Das sind knapp 3 Millionen Zeichen!!! Naja muss jetzt wirklich ausmachen, sorry... |
Lade es bei einem Filehoster hoch (z.B. www.file-upload.net) und poste hier den Link. Gute Nacht, andreas Edit: :eek: Ich habe einen Eintrag in die falsche Kategorie gepackt. Bitte morgen als Erstes das hier ausführen. Scripten mit Combofix
Code: KILLALL::
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. |
Habe ich gemacht =) Erstes Logfile von gestern Abend : Hier Zweites Logfile von heute Mittag: Hier Es hat auf jeden Fall schon gewirkt! Der PC fuhr ohne Macken und Meldungen über Viren etc. hoch! Nicht eine Meldung... Dann kann ich ja am Wochenende zocken! Auf jeden Fall schonmal ein großes "Dankeschön" an alle Helfer! lg Felix =) |
Zitat:
1.) Scripten mit Combofix
Code: KILLALL::
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. 2.) Deaktiviere den Wächter von Norton/Symantec. 3.) Packe den Ordner c:\qoobox mit Zip oder Rar, lade das Archiv bei einem Filehoster hoch und schicke mir den Link als Private Nachricht. 4.) Aktiviere den Wächter von Norton/Symantec. ciao, andreas |
|
Soll ich sonst noch etwas machen? Es ist Wochenende, ich habe Zeit =D |
1.) Deaktiviere den Wächter von Norton/Symantec. 2.) Packe den Ordner c:\qoobox mit Zip oder Rar, lade das Archiv bei einem Filehoster hoch und schicke mir den Link als Private Nachricht. 3.) Aktiviere den Wächter von Norton/Symantec. ciao, andreas |
Hab dir ne PM geschrieben. Soll ich vielleicht mal nen Malwarebytes Scan durchführen, um zu sehen, ob sich was gebessert hat? Also der Downloader ist anscheinend weg... keine Meldungen mehr =P mfg |
Ja, aber da ist ein Fund, der das Aus bedeutet. Zitat:
Nach dem Entpacken gibt es dort 3 Dateien, genauer: Zitat:
Zitat:
Code: Datei PatchFX.exe empfangen 2009.08.22 16:47:21 (UTC)Damit fällst du in die Kategorie: Selber schuld => Neuinstallation. Du bist entlassen und ich bin raus, Andreas |
Nein, das ist unmöglich!! Die gta_sa.exe ist die .exe von einem Spiel! Das kann unmöglich ein Virus sein!! Also das versteh ich jetzt mal nicht... Ich habe die Datei vielleicht zu 1% über Torrent gedownloadet, konnte sie also auch nicht entpacken. Ich habe abgebrochen, weil es illegal ist. Das kann einfach nicht sein! Die Datei ist doch somit unvollständig. Azureus besitze ich auch garnicht mehr! Und wieso downloadet dieser angebliche "Downloader" dann nichts neues? Ich hänge gleich einen aktuellen Malwarebytes Log an... Eine Datei namens PatchFX.exe.zip habe ich nie heruntergeladen, geschweige denn entpackt. Diese gta_sa.exe brauchte ich, um die exe auf v1.0 zu PATCHEN, damit man online spielen kann. Ich glaub das ist jetzt ein Missverständnis? Naja wie gesagt, ich habe den Download abgebrochen und die exe (nur die exe, keine .zip whatever) von einem Freund geschickt bekommen. Die exe die ich geschickt bekommen habe, war auch nicht verseucht. Symantec hätte es sofort gelöscht wenn ich es benutzt hätte (das weiß ich, weil es bei Trainern auch so ist, Trainer werden ja auch als Trojaner erkannt, obwohl sie keine sind..) Deshalb hat Symantec Antivirus auch nichts erkannt, weils anscheinend ein Fehlalarm ist oder, was weiß ich... Zitat:
Danke, Felix... €€: Gerade eben kam ein Virus rein... Gestern und heute den GANZEN Tag nicht, und jetzt auf einmal wieder: W32.Koobface.D Aber ich glaub dieser Virus ist immernoch das mit der services.exe. Danach kamen nämlich wieder packed.generic 233 rein! Das sagt mir Symantec über W32.Koobface.D: W32.Koobface.D is a worm that spreads through social networking sites. It also sends confidential information to a remote location. Was heißt das? Eingestuft als: Very Low Packed generic auch: Very Low |
Hier nochmal ein aktuelles Malwarebytes Log... sieht besser aus als vorher! Malwarebytes' Anti-Malware 1.40 Datenbank Version: 2551 Windows 5.1.2600 Service Pack 3 22.08.2009 20:19:48 mbam-log-2009-08-22 (20-19-43).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 158128 Laufzeit: 24 minute(s), 44 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 4 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> No action taken. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\wiaserva.log (Malware.Trace) -> No action taken. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:01 Uhr. |
Copyright ©2000-2025, Trojaner-Board