Frühzeitige Symptome auf Trojaner/Malware-befall Morgen Forum, ich bin neu hier und hoffe, dass mir geholfen werden kann. Vor ca. 4 Tagen merkte ich beim Start des PCs, dass die Firewall deaktiviert war. Ich dachte mir schon "Ach du Schei*e, ich denke, ich hab mir was eingefangen!" und Scan erst einmal meinen PC komplett durch - Expertenmodus Avira Antivir Free Home Edition. Es werden 2 oder 3 Files gefunden und diese von mir gelöscht. Ich weiß auch, dass ich mir das Problem selbst zuzuschreiben habe, da ich eine relativ zwielichtige Seite besucht habe und von dort was installiert habe - schön blöd :heulen: Am nächsten Tag (bis heute) war jedesmal beim Start der Avira Guard gestoppt - Ich lies das Programm nochmal durchlaufen, ohne mir viel Hoffnung zu machen - fand auch nichts. Ich denke an meinem Virenschutz wird von einem Trojaner rumgepfuscht. Endgültig sicher bin ich mir, seitdem aufeinmal PopUps aufgingen, auch auf Seiten, wo das eigentlich nicht so ist (Google) Soweit ich weiß muss ich hier ja eine HiJackThis-file posten, also hier ist sie: Code: Logfile of Trend Micro HijackThis v2.0.2 Code: Betriebssystemname Microsoft Windows XP Professional Code: Grafikkarte: NVidia GeForce 8800 GTS EDIT: Ach ja, hier die Auswertung der Hijackthis-file: Ich werde vor folgenden Sachen gewarnt: Code: C:\Programme\Avira\AntiVir Desktop\sched.exe > MfG TheReal48 |
Hallo TheReal48 :hallo: Das HJT log ist soweit in Ordnung. Bitte einmal hier http://www.trojaner-board.de/69886-a...-beachten.html entlang, lesen und dann den Punkt 2 abarbeiten. Bitte alle anfallenden logs als Anhang an deine Antwort. Manche logs sind unter Umständen recht groß um sie zu posten und ich habe den Vorteil daß ich sie mir direkt im Editor ansehen kann. Gruß Acid |
Hier sollte jetzt alles richtig sein: Schon einmal :dankeschoen: im vorraus ^^ |
Also ich sehe da bis jetzt nichts auffälliges. Lass uns mal nach Rootkits suchen. Dazu werden wir GMER benötigen. Als erstes musst du ein paar Einstellungen vornehmen: Windows-Explorer öffnen (Windows-Taste + E) und unter => Extras => Ordneroptionen => im Reiter "Ansicht" * Dateien und Ordner: Erweiterungen bei bekannten Dateitypen ausblenden deaktivieren * Dateien und Ordner: Geschützte Systemdateien ausblenden (empfohlen) deaktivieren * Dateien und Ordner: Inhalte von Systemordnern anzeigen aktivieren (bei Vista nicht vorhanden) * Versteckte Dateien und Ordner: alle Dateien und Ordner anzeigen aktivieren Bevor mit GMER gescant werden kann müssen erst einige Dinge erledigt werden: Alle Scanner gegen Viren, Spyware und sonstiges müssen deaktiviert werden Alle Netzwerk- und Internetverbindungen trennen (auch WLAN) Beim Scan nichts am Rechner machen Nach dem Scan den Rechner neustarten Der Gmer Scan: * GMER auf den Desktop herunter laden. * Gmer ist geeignet für => NT/W2K/XP/VISTA. * Alle geöffneten Programme schließen (auch den Browser) Hintergrundprogramme nach Möglichkeit beenden * Gmer.exe starten * Vista-User müssen das Programm als Administrator starten * Den Scan mit "Scan" starten. Nichts am Rechner machen während der Scan läuft. * Wenn der Scan fertig ist auf "Copy" klicken um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet. * Das Log entweder direkt als Antwort posten oder als Textdatei auf den Desktop speichern falls erst der Neustart durchgeführt wird. Falls sich ein Fenster mit folgender Warnung öffnet: WARNING !!! GMER has found system modification, which might have been caused by ROOTKIT activity. Do you want to fully scan your system ? Unbedingt auf "No" klicken. Alle Scanner unbedingt einschalten bevor eine Internetverbindung hergestellt wird! Gruß Acid |
Zitat:
Was ich sehr seltsam fand: obwohl ich ein Häkchen auch bei der Festplatte D gesetzt habe, taucht diese nicht im log auf. Auch scheint er nur meinen iTunes-ordner geprüft zu haben. Das werd ich nochmal machen, fürs erste die vorläufige Log-file: EDIT: WTH, die file ist zu groß? musste die .txt datei in 2 teilen. Hoffentlich ist das noch übersichtlich :teufel1: MfG TheReal48 |
Hallo TheReal Zitat:
Also weiter im Text :) Ein Rootkit hat sich schonmal nicht bei dir eingenistet das log ist sauber. Also müssen wir weitersuchen wer dir die Werbepopups verpasst. Mache einen Scan mit http://www.trojaner-board.de/51871-a...tispyware.html. Das log auch bitte posten. Gruß Acid |
Hier der Log - Ich beginne wieder zu hoffen :aufsmaul: |
Hallo TheReal Also das was SAS da gefunden hat sind nur Tracking Cookies, die kannst du löschen. Lade dir Lop S&D herunter. Führe Lop S&D.exe per Doppelklick aus. Wähle die Sprache deiner Wahl und anschließend die Option 1 (Suche) Warte bis der Scanbericht erstellt wird (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen) Gruß Acid |
Bitteschön... EDIT: Ich wollte jetzt nicht untätig rumsitzen und habe mal in Avira unter "Ereignisse" geschaut und poste mal hier die Funde seit dem Aufkommen: Guard: 14.10.2009 "In der Datei xyz wurde ein Virus oder unerwünschtes Programm gefunden: 'TR/Crypt.XPACK.Gen' [trojan] Ausgeführte Aktion: löschen Guard: 14.10.2009 "In der Datei xyz wurde ein Virus oder unerwünschtes Programm gefunden: 'TR/Crypt.XPACK.Gen' [trojan] Ausgeführte Aktion: Zugriff Verweigern Guard: 14.10.2009 "In der Datei xyz wurde ein Virus oder unerwünschtes Programm gefunden: 'TR/Crypt.XPACK.Gen' [trojan] Ausgeführte Aktion: Zugriff Verweigern Guard: 14.10.2009 "In der Datei xyz wurde ein Virus oder unerwünschtes Programm gefunden: 'TR/Crypt.XPACK.Gen' [trojan] Ausgeführte Aktion: Zugriff Verweigern Guard: 14.10.2009 "In der Datei xyz wurde ein Virus oder unerwünschtes Programm gefunden: 'TR/Crypt.XPACK.Gen' [trojan] Ausgeführte Aktion: Zugriff Verweigern Guard: 16.10.2009 "In der Datei xyz wurde ein Virus oder unerwünschtes Programm gefunden: 'TR/Crypt.XPACK.Gen' [trojan] Ausgeführte Aktion: Zugriff Verweigern Guard: 16.10.2009 "In der Datei xyz wurde ein Virus oder unerwünschtes Programm gefunden: 'TR/Crypt.XPACK.Gen' [trojan] Ausgeführte Aktion: Zugriff Verweigern Guard: 18.10.2009 "In der Datei xyz wurde ein Virus oder unerwünschtes Programm gefunden: 'TR/Crypt.XPACK.Gen' [trojan] Ausgeführte Aktion: löschen Scanner: 18.10.2009 "In der Datei xyz wurde ein Virus oder unerwünschtes Programm gefunden: 'TR/Crypt.XPACK.Gen' [trojan] Ausgeführte Aktion: In Quarantäne verschieben Guard: 20.10.2009 "In der Datei xyz wurde ein Virus oder unerwünschtes Programm gefunden: 'TR/Crypt.XPACK.Gen' [trojan] Ausgeführte Aktion: löschen Guard: 20.10.2009 "In der Datei xyz wurde ein Virus oder unerwünschtes Programm gefunden: 'TR/Crypt.XPACK.Gen' [trojan] Ausgeführte Aktion: löschen Scanner: 20.10.2009 "In der Datei ZYX wurde ein Virus oder unerwünschtes Programm gefunden: 'TR/Crypt.XPACK.Gen' [trojan] Ausgeführte Aktion: In Quarantäne verschieben Guard: 27.10.2009 "In der Datei YZX wurde ein Virus oder unerwünschtes Programm gefunden: 'TR/Crypt.PEPM.Gen' [trojan] Ausgeführte Aktion: löschen Guard: 20.10.2009 "In der Datei xyz wurde ein Virus oder unerwünschtes Programm gefunden: 'TR/SPY.99328.11' [trojan] Ausgeführte Aktion: löschen Genau am nächsten Tag war Avira das erste mal Deaktiviert - und wurde vom Internet abgesteckt. Ich hoffe das hilft Dir/Mir. MfG TheReal48 |
Hiess die Datei wirklich xyz (zyx / yzx) oder hast du den Namen verändert? Wie gehts dem Rechner im Moment? Bitte gib mir mal den genauen Pfad wo das Ding gefunden wurde. Gruß Acid |
So, da bin ich wieder. Tschuldigung, dass ich den Pfad nicht gleich drinnen hatte, Ich hatte nur meinen USB-Stick verschlampt, sodass ich nicht die Meldungen als .txt speichern und auf den MAC ziehen konnte... Jetzt in voller länge. Die Verfassung des PC's hat sich nicht verändert, jedesmal ist Antivir ausgeschaltet und Firewall wird als aktiv angezeigt, aber ich habe den PC fürs erste mal komplett vom Internet getrennt, sodass ich schön nahe am Ausgangspunkt bleibe. MfG TheReal48 |
Hallo TheReal Falls noch nicht geschehen deinstalliere ActionGameMaker. Code: D:\downloads\ActionGameMaker Alle Anwendungen schließen, Ordner für temporäre Dateien bitte leeren. Lösche nur den Inhalt der Ordner die Ordner selbst nicht löschen! Dateien die noch in Benutzung sind nicht löschbar. * `Start => ausführen` "cleanmgr" reinschreiben (ohne ") => "ok" - die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) müssen geleert werden => "Ok" * `Start => ausführen` => "%temp%" reinschreiben (ohne ") => "Ok" - Ordnerinhalt überall markieren und löschen * für jedes Benutzerkonto bitte durchführen * anschließend den Papierkorb leeren Reinige danach dein System mit dem CCleaner. Browser schließen => "Analysiere" => "Starte CCleaner" Klicke danach im Programm auf "Registry" => "Nach Fehlern suchen" => "Fehler beheben" Rechner neustarten. Mache dann einen kompletten Scan mit deinem AV Programm und poste mir anschließend das Ergebnis hier. Gruß Acid |
Ist bereits seit 5 Tagen deinstalliert, die Dateien hab ich auch schon gelöscht und den Papierkorb geleert... Auch der "cleanmgr" war in letzter Zeit SEHR oft in benutzung, da meine C-Platte am Überlaufen ist. Ich führ nochmal alles aus... hoffentlich klappt es... ... ALSO: CCleaner sagt zwar immer, dass alle Registry-fehler behoben wurden, aber folgender Schlüssel/datei bleibt IMMER vorhanden: Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} Die Auswertung vom AV gibts später, das dürfte nämlich noch ein weilchen dauern... |
Zitat:
Gruß Acid |
So ein :koch: ... Da ich Avira nicht mehr traue, hab ich mir die G-Data Antivir Testversion geholt und komplett durchlaufen lassen - auch nichts gefunden. Trotzdem erscheinen die Pop-Ups noch... MfG TheReal48 |
Alle Zeitangaben in WEZ +1. Es ist jetzt 02:08 Uhr. |
Copyright ©2000-2024, Trojaner-Board