|
Security Tool Hallo ich hab dieses komische Security Tool auf meinem Laptop gehabt. Malwarebytes hat es gelöscht. Ist jetzt alles Gefährliche von meinem PC weg? Und die Sachen, die es angeblich gefunden hat, sind die auch weg? Könnt ihr mir helfen? Der Computer ist ganz langsam, das ist doch sicher auch nicht normal, oder? Danke im Voraus und viele Grüße! Code: Malwarebytes' Anti-Malware 1.41 |
Hallo & :hallo: Starte RSIT wie in der Anleitung beschrieben. Poste erstmal nur die LOG.TXT. Danach starte mir bitte Gmer Rootkit Suche - Das Log hier her. |
Hi, vielen Dank fürs prompte Antworten! Ich wollte das gerade eben noch reinstellen! Code: Logfile of random's system information tool 1.06 (written by random/random) |
Das ist der zweite Teil, der hat oben nicht mehr reingepasst. Jetzt muss ich das noch mit dem Gmer schauen. Code: ======List of files/folders created in the last 1 months====== |
In dem Rsit Logfile scheint nichts auffälliges zu sein, aber warten wir nochmal Gmer ab. |
Hier ist das Log von GMER. Ich hoffe, ich habe alles richtig gemacht! Avira hab ich vorher ausgeschaltet. Code: GMER 1.0.15.15252 - http://www.gmer.net |
ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Besonders hartnäckige Malware erkennt eine combofix.exe und würde sich vor ihr gezielt verstecken! Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so: [HTML] Code: Hier das Logfile rein! |
Hi Angel21, ich habe Combofix durchgeführt! Erfolgreich? Combofix ist aber nicht so gelaufen, wie in der Anleitung beschrieben. Ich hab es ja unter smss.exe gespeichert und dann gestartet. Mein Ventilator lief die ganze Zeit schon sehr stark und auf einmal wurde er ganz leise, hat sozusagen aufgehört zu "pusten" (Ist das ein Zeichen dafür, dass sich da vielleicht ein Virus vor Combofix versteckt hat). Dann hat sich smss.exe selbst wieder in Combofix.exe umbenannt und dann kam eine Meldung, dass ein Neustart erforderlich wäre wegen Rootkitaktivität. Nach dem Neustart kam erstmal kein richtiges Desktopbild und Combofix ist normal weitergelaufen. Dann hat er nochmal neugestartet und hat ein Log erstellt. Man sollte keine Programme öffnen, aber Avira und Skype haben sich automatisch wieder gestartet. Hoffentlich war das alles nicht so schlimm?! Combofix hat gesagt, er hat 3 Sachen aus System32 gelöscht. Was ist das System 32 eigentlich? Kannst du erkennen, was ich auf dem Computer habe? Woher weisst du, wie man so was erkennt aus einem Logfile und was man tun muss um einen Virus oder Trojaner zu entfernen? Vielen Dank für die Hilfe! Das ist sehr nett von dir! viele Grüße HTML-Code: [CODE]ComboFix 09-11-28.03 - user01 29.11.2009 13:50.1.2 - x86 |
Starte Superantispyware und lass es nach Anleitung laufen. Poste das Log hier her. Danach nochmal Malwarebytes im Quick Scan, log hier her. |
Ok, mach ich heute nachmittag. Ich hab blos nochwas seltsames entdeckt: Jedesmal wenn ich neustarte, kommt vor dem eigentlichen Desktopbild ein Fenster mit "C:\ComboFix\CF21150.cfxxe konnte nicht gefunden werden." und man soll es selbst suchen. Was hat das zu bedeuten? Etwas wichtiges? Und meinen USB hatte ich am PC dran, aber ich hab leider vergessen meine Kamera anzuschliessen. Soll ich Combofix nochmal wiederholen, oder reicht es wenn ich es bei Superantispyware drantue? viele Grüße! |
Lass Gmer nochmal laufen. Stelle das neue Log rein. Einfach so wie letztes mal :) |
Hi, ist vielleicht ne blöde Frage, aber soll ich GMER vor oder nach Superantispyware laufen lassen? :confused: und vielleicht noch blöder bei SASW steht man muss das als Administrator ausführen: wie macht man das nochmal? :( Fragen die einen das? |
vergiss erstmal SASW starte einfach Gmer ;) |
Also das war jetzt seltsam: Ich hab Gmer gestartet wie beschrieben, auf Scan geklickt, es hat ein paar Sekunden gearbeitet und dann wurde der Bildschirm schwarz und der Computer ist wieder neu hochgefahren. Es kam dann auch wieder dieses Fenster mit dem fehlenden Combofix-"Zeug". Aber Gmer hat sich nicht mehr automatisch gestartet. Ich versuch es aber nochmal! |
start - ausführen - combofix /u eingeben - neustart, Gmer nochmal versuchen. |
oh ok, ich hab deine Antwort jetzt erst gelesen. Hab es aber nochmal probiert, ist nochmal abgestürzt, hab es nochmal probiert, dann kamen neue Fenster: CreateFile"C:\DOKUME~1\user01\okale~1\Temp\pwldqpow.sys: Zugriff verweigert. und CreateFile "C:\pwldqpow.sys": Zugriff verweigert. und Gmer: LoadDriver ("C:\pwldqpow.sys") error 0xC0000061: Zugriff verweigert. und C:\WINDOWS\System32\config\system Scheint aber nichts schlimmes zu sein. (Oder?). Danach hab ich es nochmal probiert mit Gmer starten und es läuft jetzt. Also ich stell das Log ins Forum, sobald es fertig ist! Danke für den Tipp! |
Scan mit SystemLook Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop. Download Mirror #1 - Download Mirror #2
|
Hi also Gmer hat nicht funktioniert. Habs noch paarmal probiert. Es lief schon länger als 2 Sekunden aber es hat sich dann gestoppt oder der PC ist wieder abgestürzt. Das mit Ausführen hab ich auch probiert, der hat dann Combofix gestartet. Das wollten wir ja nicht(?), also hab ich es wieder abgebrochen. Das ist jetzt von SystemLook: Code: SystemLook v1.0 by jpshortstuff (29.08.09) |
Rootkitscan mit RootRepeal
|
Also ich hab da wohl echt einen Problemfall! Beim starten des RootRepeal ist er mir abgestürzt - dreimal. schluchz :( Hast du vielleicht noch ne Idee? |
Kurz reinspring. Lösche die vorhandene Version von Gmer schritt 1 Kontrolle, ob Master Boot Record in Ordnung ist (MBR-Rootkit)
schritt 2 Rootkit-Suche Was sind Rootkits? Einige Scans auf Dateien, Prozesse u2nd Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):
Nun das Logfile in Code-Tags posten. schritt 2 CustomScan mit OTL Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code: netsvcs
rausspring ;) |
Hi Larusso, hier ist das Logfile von dem MBR, ist aber sehr kurz! Das andere mache ich morgen! Aber danke sehr für die Hilfe! Code: Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net |
Gmer hat funktioniert!! Juchu! :) Hier ist das Logfile davon. Ähm. Es war zu groß. Ich hab es jetzt anghängt. viele Grüße! |
Arbeite bitte noch den Custom Scan von Larusso ab. :) |
Hi also hier ist das von OTL im Anhang. Vielleicht hab ich aber was falsch gemacht, ich hab nämlich den PC vom Internet getrennt. War das ok? oder soll ich es nochmal wiederholen?:confused: |
Hier ist nochmal das OTL.txt (plus Internetstecker, Firewall und Antivirus an, aber alle anderen Programme zu), ein neues Extras.txt konnte ich leider nicht erstellen. Wie soll ich weiter vorgehen? |
Starte Superantispyware und lass es laufen. Poste dessen Logfile hier her in deinen Thread :) |
Superantispyware hat sogar was gefunden und in die Quarantäne verschoben! Soll ich noch Schritt 4 aus der SASW-Anleitung durchführen (Restore oder Remove, abschließende Überprüfung)? viele Grüße! :) Code: SUPERAntiSpyware Scan Log |
Hi Angel21 könntest du mir noch bitte ein paar Fragen beantworten? :) - Ist jetzt der Trojaner von meinem Laptop runter? (könnte ich z. B. wieder online-Banking machen etc.?) -Besser alle Passwörter ändern, oder? - Ist die Sicherheitslücke jetzt wieder zu? Kann jetzt kein Virus mehr rein, wenn ich keine Filme mehr gucke, die es in Deutschland noch nicht gibt (schäm)? - Beim Hochfahren des PCs kommt immer noch dieses Fenster von Combofix: Code: "C:\ComboFix\CF21150.cfxxe" konnte nicht gefunden werden. Stellen Sie sicher, dass Sie den Namen korrekt eingegeben haben und wiederholen Sie den Vorgang. Klicken Sie auf "Start" und anschließend auf "Suchen", um eine Datei zu suchen. -> OK- Kann ich alle Analyse-und Antispyware-Programme wieder löschen (außer CCleaner und Malwarebytes, die wollte ich behalten)? - Soll ich noch bei Superantispyware Schritt 4 ausführen? - Kann ich Meldungen/Viren, die in der Quarantäne (z.B. bei Avira) sind löschen? Oder ist es dann nur in dem Verzeichnis gelöscht und eigentlich sind sie noch auf dem PC? Oder sind sie dann vom Computer runtergelöscht? (Ich hab sie immer drin gelassen bis jetzt, weil ich mir darüber nicht sicher war.) Auf alle Fälle: Vielen Dank für deine Hilfe! Das war sooo nett von dir, dass du dir so viel Zeit dafür genommen hast! Danke!! :) viele liebe Grüße! |
Mir sind noch lange nicht fertig ;)
|
oh oh und ich hab mich schon gefreut! :) aber ich hab das ESET jetzt scannen lassen. Leider hab ich es einmal unterbrochen. Der Trojaner-Fund ist also eher in der Mitte des Log. Beim zweiten, vollständigen Durchlauf, ist dann keiner mehr aufgetreten. Was ist der nächste Schritt? Viele Grüße! Code: ESETSmartInstaller@High as downloader log: |
Okeh, der steckte nur sicher abgeschlossen ind er Combofix Quarantäne. Lass nochmal malwarebytes laufen. Ziwschenfrage: wie geht es deinem rechner jetzt? |
Meinem Rechner geht es eigentlich schon seit Combofix besser, also er arbeitet schneller und braucht nicht mehr ewig bis er auf einen Button reagiert. Rechner und Internet waren heute vormittag ein bischen langsamer als gestern. Der PC war anscheinend angestrengt, weil der Ventilator hörbar war. Schlechte Tagesform? ;) Aber das kommt doch manchmal vor...? Ich würd sagen, es geht ihm besser. Ich häng noch das Log von Malwarebytes an, obwohl das Program nichts gefunden hat. Während des Scans hat sich aber der Avira Guard zweimal gemeldet mit TR/Proxy.Agent.bxz. Erst wurde der Zugriff verweigert und dann in die Quarantäne verschoben. Malwarebytes hat es aber nicht gemeldet. Code: Malwarebytes' Anti-Malware 1.42 |
Lass mal Avira laufen und poste dessen Ergebnis hier rein. |
Ich hab die Systemprüfung bei Avira jetzt durchgeführt. Es wurde noch was gefunden. Hier ist der Bericht: Code: |
In welchem Pfad kamen bei dem Malwarebytes Scan als Avira aufpopte denn die Trojaner-Meldungen? |
Der Pfad heisst: Code: C:\System Volume Information_\restore{9073CCAE-D115-4A0A-9F00-7FCD4B13A769}\RP268\A0034446.DLL |
Achso, wenn es in der System Volume liegt ist es praktisch egal..... Wie fühlt sich dein rechner an? :) |
Ah, ich hab nachgeforscht. In System Volume Information ist eine Art Sicherheitskopie von dem Trojaner. Kann es sein, dass er sich noch irgendwo versteckt? Dem Rechner geht es gut, glaub ich... Er hat bischen lang beim Hochfahren gebraucht. Ist das ein Anzeichen? Viele Grüße!:) |
Panda Active Scan Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation |
Das ist das Logfile vom Panda Active Scan. Ich hab den Scan ausversehen einmal abgebrochen.:o Da gab es zwei verdächtige Dateien, welche konnte ich leider nicht sehen. Beim zweiten Anlauf kam dann das unten raus, mit einem Verdächtigen und einem Infizierten. Mit dem Panda desinfiziert habe ich es nicht, da muss man sich registrieren. Code: ;*********************************************************************************************************************************************************************************** |
Fixen mit OTL
Code: :Reg
|
Hi hier ist das Dokument von OTL: Was war das denn für eine Datei? Code: All processes killed |
Dies war eine Adware Datei. Wie geht es deinem Rechner? Meldet Avira die Datein noch? Öffne Hijackthis.exe -> Open Misc Tool Section -> Open Uninstall Manager -> Save List -> Liste hier her. |
Hi hier ist die Uninstall List von HJT: Code: ActivClient 6.1 x86Code: C:\Qoobox\Quarantine\WINDOWS\system32\_acbsi21v_exe.zip als Trojanisches Pferd TR\Dldr.Agent.zgxeCode: |
Das liegt weiterhin brav unschädlich gemacht in der Quarantäne von Combofix. Wie geht es deinem System? Auffälligkeiten? Probleme? |
hmm manchmal geht der Ventilator stärker, aber sonst habe ich eigentlich nichts Auffälliges heute bemerkt. Meinst du es ist alles weg oder freu ich mich wieder zu früh?;) |
Ich denke die schädlichen Datein sind weg. Kümmern wir uns um deine Software: Deinstalliere alles bis auf Malwarebytes und HJT, welches wir verwand hatten bei der Bereinigung. Deinstalliere noch: Adobe Reader 9.1 - Deutsch Java (TM) 6 Update 7 Installiere: Java-Downloads für alle Betriebssysteme - Sun Microsystems & Adobe - Adobe Reader herunterladen - Alle Versionen - Neues normales Hijackthis Logfile - |
Hier ist das Log von HJT: Code: Logfile of Trend Micro HijackThis v2.0.2 |
Die Qoobox kannste löschen, das Zeug kannste aber ruhig in der Avira Quarantäne beibehalten, dort ist es nicht schädlich. Das HJT-Log schaut Okeh aus. Noch Probleme, oder Fragen? |
Probleme im Moment keine, aber ein paar Fragen hab ich schon noch! Ok, ich lass die Objekte in der Avira Quarantäne. Rein zum Verständnis, wenn ich Objekte aus einer Quarantäne lösche, sind die Objekte dann vom PC? Kann ich den CCleaner behalten, der ist praktisch um die Cookies etc zu löschen. Oder ist das nicht so gut? Wenn ich nichts Blödes tue mit dem Internet ;), kann kein Trojaner/Virus mehr rein? Ich wollte mir Kaspersky Internet Security drauftun, da muss ich ja Avira löschen, werden die Quarantäne-Objekte dann automatisch mitgelöscht? Da ist auch immer noch dieses komische Fenster beim Hochfahren des PCs. Kann ich das irgendwie loswerden? Code: "C:\ComboFix\CF21150.cfxxe" konnte nicht gefunden werden. Stellen Sie sicher, dass Sie den Namen korrekt eingegeben haben und wiederholen Sie den Vorgang. Klicken Sie auf "Start" und anschließend auf "Suchen", um eine Datei zu suchen. -> OK |
Zitat:
Zitat:
Zitat:
Zitat:
Start - Ausführen - combofix /u versuchen und alles bestätigen. |
Danke für die Antworten! Hm das mit dem Ausführen combofix\u funktioniert nicht. Da kommt ein Fenster mit "Combofix/u kann nicht gefunden werden. Klicken sie auf Start->Suchen um die Datei zu suchen." Der findet aber nichts. |
hast du auch das Leerzeichen beachtet? |
;) Habs nochmal versucht! Geht aber immer noch nicht. |
start ausführen --> combofix /uninstall (kopieren) OK Berichte bitte |
Hi Daniel das Ausführen ging immer noch nicht.""Combofix" konnte nicht gefunden werden!" Ich hab noch nen Ordner unter C:\ entdeckt, der Combofix heisst, und "an den Computer angeschlossene Laufwerke und Hardware anzeigt". (Seltsam) Aber der ist nicht gemeint oder? viele Grüße |
Bitte lösche dir vorhandene Combofix.exe (ich glaube die heißt smss.exe) und lade dir CF erneut ohne umbennen runter. Speicher die Combofix.exe auf dem Desktop (wichtig). Führe dann das comando erneut aus. |
Also...erst habe ich smss.exe nicht gefunden. Ich hab damals alles auf dem Desktop gespeichert. Das hatte sich von smss.exe in Combofix.exe umbenannt selbstständig und dieses Combofix.exe hatte ich ja dann deinstalliert. Also hab ich es nochmal runtergeladen als Combofix.exe und hab das mit dem Ausführen gemacht. Juchu es hat geklappt. Ich hab dann den Computer neustarten lassen und es kam wieder dieses Fenster!! Code: "C:\ComboFix\CF21150.cfxxe" konnte nicht gefunden werden. Stellen Sie sicher, dass Sie den Namen korrekt eingegeben haben und wiederholen Sie den Vorgang. Klicken Sie auf "Start" und anschließend auf "Suchen", um eine Datei zu suchen. -> OK |
Was soll ich denn jetzt tun???? Das Fenster kommt jedesmal beim Hochfahren und ich hab schon mehrmals das mit dem Ausführen probiert. Hab ihr noch eine Idee? |
Angel ??? Poste bitte mal ne HJT Logfile |
Hier ist das HJT Log. Ich hab auch vorher mit dem CCcleaner gesäubert und es hatte bei der Registry den komischen Combofix-Pfad als Fehler behoben. Das Fenster kommt aber immer noch beim Hochfahren. Was soll ich tun damit das Fenster nicht mehr kommt? viele Grüße Code: Logfile of Trend Micro HijackThis v2.0.2 |
Das Hijackthis Log sieht okeh aus. Mit dem Fenster werde ich mal erfragen. |
Das wäre lieb! Das Hochfahren dauert eh jetzt länger und nach dem Combofix-Fenster muss man dann nämlich auch noch warten bis man loslegen kann. |
Das Fenster ist zwar noch da, aber ich möchte mich noch bei dir bedanken für deine Hilfe, Mühe und Zeit, die du mit meinem Trojaner-Problem verbracht hast. Danke, Danke, Danke. Ich find es echt toll was du kannst! Vielen Dank auch an Larusso. Fröhliche Weihnachten! |
Scan mit SystemLook Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop. Download Mirror #1 - Download Mirror #2
|
Hi Angel21 sorry, dass ich so lange nicht geantwortet habe, ich war nicht da. Hier ist das, was bei SystemLook rausgekommen ist! Sagt dir das was? viele Grüße Code: SystemLook v1.0 by jpshortstuff (29.08.09) |
Start - Ausführen - "notepad" reinschreiben - bestätigen. Kopiere nun in das Textdokument den Text untenstehend von der Zitate-Box in dieses. Sichere es als fixme.reg auf Deinem Desktop. Setze den "Speichern als.." Typ so, dass es es "alle Datein" beinhaltet. Nachdem du das gespeichert hast, doppelklicke hierdrauf und erlaube dies mit der Registry zu arbeiten. Zitat:
Neustarte den PC und lösche die Regdatei. |
ähm...wie sieht das denn aus, wenn es in der Registry arbeitet. Hab das so gemacht wie du gesagt hast und nach dem Doppelklick kam das Fenster: Wollen sie die Informationen der Registry hinzufügen? -> Ja -> Die Informationen wurden der Registry hinzugefügt." Dann kam nichts weiter. Ich hab neugestartet und das Fenster war noch da. Dann hab ich das nochmal probiert, weil ich dachte vielleicht hab ich nen Fehler gemacht. Es geht aber trotzdem noch nicht. Hätte ich länger warten sollen? |
Kurz, welches Fenster? das von Combofix ? |
Ja, immer noch dieses komische combofix-fenster... :( |
Bist du mit Administrator- Rechten am PC angemeldet ? |
Ich glaub schon. Ich hab XP und kein Vista (wenn das wichtig ist) und eigentlich bin ich die einzige am PC - user01-? Hm hab leider nicht so das tiefgehende Computerwissen. Kann ich irgendwie rausfinden, ob ich der Adminestrator bin? |
Für das sind wir ja da. Vielleicht man ja noch das ein oder andere von uns dazu :D Start --> Systemsteuerung ---> Benutzerkonten Unter Oder ein Systemsteuerungssymbol auf Benutzerkonten klicken. Hier sollte sich der Benutzername des ComputerAdmins befinden. Bitte mit diesem Anmelden (solltest du es nicht sein). Poste bitte auch eine Hijackthis Logfile. |
jaaa, ich habs gefunden. und ich bin sogar der ComputerAdministrator. Lernen tu ich hier auf alle Fälle dazu! Danke für den Tip! Code: Logfile of Trend Micro HijackThis v2.0.2 |
Dateien mit OTM verschieben Bitte erstelle eine Sicherung Deiner Registry (falls noch nicht gemacht) nach dieser Anleitung. Falls noch nicht vorhanden, lade Dir OTM von OldTimer herunter.
schritt 2 starte bitte systemlook.exe und füge folgendes script ein Code: :regPoste mir bitte beide Logs und berichte |
Ok ich hab alles so gemacht. Es scheint aber kein Ergebnis zu geben. Seh ich das richtig? OTM: Code: All processes killedCode: SystemLook v1.0 by jpshortstuff (29.08.09) |
Juchu! Das Combofix-Fenster ist weg! Ich hab gleich 2mal neugestartet um sicherzugehen. Danke sehr! Ich hab noch ne kleine Frage: Wenn Avira Systemprüfung noch einen Trojaner findet und in Quarantäne schiebt, dann kann ich dem schon vertrauen, dass der weg ist und nicht noch mehr davon rumhängen? Ich muss nicht nochmal den ganzen Computer "auseinandernehmen" um noch weitere zu suchen...oder? Viele Grüße und vielen, vielen Dank euch beiden für die viele Hilfe!!! |
Was zeigt dein Avira wo an? Bitte Dateiname und Pfad. Oder am besten gleich ein komplettes Log. |
Sorry, ich glaub, ich hab überreagiert.:o Hab mir den Pfad genauer angeschaut und es ist im System Volume Information. Da hast du ja gesagt, das ist da harmlos. Puh! Sorry, dass ich dich erschreckt hab! So jetzt nerv ich euch erstmal nicht mehr! Aber trotzdem Herzlichen Dank nochmal!!!!!!!!:daumenhoc:dankeschoen: Code: |
Deaktivieren der Systemwiederherstellung:
|
Ok, hab ich gemacht! Jetzt ist wohl das Zeug im System Volume Information gelöscht worden? |
Japp. Wie geht es deinem rechner nun so allgemein? Treten noch Probleme oder Komplikationen auf? |
Also dem Rechner geht es eigentlich gut! Arbeitet wieder normal! Deine Trojaner-Behandlung scheint erfolgreich gewesen zu sein! Hm...Ich hab jetzt eigentlich nur noch folgendes Problem: Kann der Trojaner das Beschreiben und Abpsielen von DVDs (CDs gehen noch) zerstört haben oder liegt das an der Hardware? Das funktioniert nämlich nicht bei mir nicht mehr. |
Das glaube ich weniger, dass müsste dann an deiner Hardware liegen. Aber ich frage mal nach, was es hiermit auf sich hat. |
Starte Systemlook.exe und füge folgendes ein: Zitat:
|
Ok hab ich gemacht, das kam raus: Code: SystemLook v1.0 by jpshortstuff (29.08.09) |
Hallo! Erstmal großes Lob an Angel und Larusso, das ihr Chillie so sehr helft! Das ist wirklich sehr nett von euch! Ich habe ebenfalls ein Problem, und hoffe, dass ihr mir auch weiterhelfen könnt. Ich habe heute, als ich meinen PC angemacht hab, die Meldung erhalten, dass Security Tool erfolgreich installiert wurde oder etwas in der Art. Dann musste ich aber arbeiten und konnte mich nicht mehr darum kümmern. Und als ich dann nach Hause kam und meinen PC hochgefahren hab, war der Desktop komplett schwarz, und immer, wenn ich ein Programm öffnen möchte, zeigt er mir nun an, dass die entsprechende .exe von einem Wurm befallen wurde und meine nicht vorhandenen Kreditkarteninformationen senden möchte und verbietet mir, das Programm zu öffnen. Kann man das irgendwie wieder hinbiegen oder muss ich jetzt neu aufsetzen? |
Hi, kein Autorun für alle Laufwerke (NoDriveAutoRun), NoDrives=0 (keine Laufwerke ausblenden), der Wert für NoDriveTypeAutoRun (0x143) ist unsinnig, da er nur bis 0xff definiert ist...: Zitat:
Deaktivieren aller Laufwerke+Deaktivieren aller RAM-Datenträger+Deaktivieren der Wechseldatenträger, nur mit 0xff sind schon alle Arten von Laufwerken ausgeschaltet (autorun)... Siehst Du das DVD-Laufwerk oder ist es ausgeblendet im Explorer? Handelt es sich um zwei Laufwerke (CD und DVD) oder um ein Laufwerk? Lass im Gerätemanager mal nach neuer HW suchen, vielleicht findet er es dann wieder und aktualisiert die Treiber... Prüfe im Gerätemanager ob vor dem Laufwerk ein gelbes Fragezeigen eingeblendet ist (Treiberproblem)... Ev. hat es was mit dem wiederhergestelltem SATA-Treiber (ahcix86.sys) zu tun, hast Du eine entsprechende Treiber-CD für den Rechner? chris |
@Wachsgestalt Bitte einen eigenen Thread eröffnen mit: Malwarebytes Antimalware (MAM) Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Fullscan und alles bereinigen lassen! Log posten. RSIT Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. * Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/) * speichere es auf Deinem Desktop. * Starte mit Doppelklick die RSIT.exe. * Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. * Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. * In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". * Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. * Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. * Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. * Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. Gmer: http://www.trojaner-board.de/74908-a...t-scanner.html Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. chris |
Hi Chris4You Danke für deine Antwort! Du hast Recht eigentlich startet keine CD etc. automatisch. Laufwerk hab ich nur eines (Laptop), im Explorer heißt es "DVD-RAM Laufwerk (E)". Dass das Laufwerk nicht funktioniert hab ich gemerkt als ich versucht habe Bilder auf eine DVD zu brennen und es nicht ging. Bei einer CD ging es und auch CDs abspielen funktioniert, halt nicht mit Autorun, dann hab ich versucht eine DVD abzuspielen, ob es nur am DVD-Brenner liegt, ging auch nicht. Dass meine Camera auch nicht automatisch startet, wenn ich sie anschließe, ist mir jetzt auch klar geworden. Der Gerätemanager scheint keine neue Hardware gefunden zu haben. Ganz oben in der Liste steht so ein gelbes Fragezeichen bei "Andere Geräte - Unbekanntes Gerät". Es gibt aber auch noch Code: DVD/CD-ROM Laufwerke - TSST corp CDDVDW TS-L633L SCSI CdRom DeviceKann es sein, dass die aggressiven Antivirus-Programme den Treiber ausgeschaltet haben? Ich bin mir nämlich nicht bewusst, dass ich ihn ausgeschaltet habe und weiß auch gar nicht wie. Mist, jetzt ist das „Unbekannte Gerät verschwunden“... Ich hab nachgelesen, was ein Treiber überhaupt ist und da stand, vielleicht kann der Fehler mit einem Windows-Update behoben werden. Das Update wollte aber nicht, weil es einen „Fehler“ auf meinem Computer gibt. Ich hab dann eine CD reingetan (insgesamt hab ich 4) wo auf Englisch was draufstand („Application and Driver Recovery CD“) und versucht den Treiber für das Unbekannte Gerät zu finden. Irgendwie kam dann was mit „welches Infineon wollen sie und legen sie die Infineon-CD ein“. Das habe ich leider nicht mehr kapiert und hab abgebrochen. Hm ...ich hoffe das war nicht ein zu großer Fehler.:o Danach gab es nämlich kein „Unbekanntes Gerät“ mehr. Ich hab jetzt auch gesehen ich hab noch eine CD mit „Betriebssystem-CD: Enthält bereits installierte Software und Treiber“. Ist die besser für die Treibersuche? Könntest du mir vielleicht erklären bitte, wie ich den Treiber für das DVD-Laufwerk wieder installieren kann? Die Betriebssystem-CD startet nämlich auch nicht automatisch. Viele Grüße Chillie |
Hi, nein, eigentlich disabled Avira keinen Treiber... Gehe noch mal in den Gerätemanager auf das Laufwerk (Doppelklick) Zitat:
Sonst probiere es über die Homepage von Samsung (wenns denn ein Samsung Notebook ist): http://www.samsung.de/de/support/mai...pport_12152009 (dort dann "Büro")... Bin aber leider kein Treiber oder HW-Spezialist... Stellen wir erstmal die autorun-Reg.-Keys anderster ein: # Doppelklick auf die OTM.exe, um das Programm auszuführen. # Vista-User bitte per Rechtsklick und "Ausführen als Administrator" starten. # Einen Haken setzen bei "Unregister Dll's and Ocx's" # Kopiere den Inhalt der folgenden Codebox komplett in die OTM-Box mit dem gelben Titel (Paste Instructions for Items to be Moved) Code: :reg# Bitte alles aus dem Ergebnisfenster (Results) herauskopieren oder # den Inhalt der Datei C:\_OTM\MovedFiles\<datum_nr.>.log kopieren und das Ergebnis in Deine nächste Antwort posten. # Die Dateien und/oder Ordner werden nach C:\_OTM\MovedFiles\ verschoben. # Schließe OTM. Starte danach Systemlook.exe und füge folgendes ein: Code: :regWas machen die Logs? chris |
Also es liegt sicher nicht daran, dass etwas mechanisches kaputt ist, oder? Also auch auf der CD konnte keine passender Treiber für die Code: DVD/CD-ROM Laufwerke - TSST corp CDDVDW TS-L633L SCSI CdRom DeviceEs ist ein HP und auf deren Seite hab ich die Downloadlinks zu Treibern gefunden, weiß aber nicht wie der DVD-Treiber heisst. Das mit der Registry hab ich gemacht. Ist da eine Änderung zu sehen? OTM: Code: ========== REGISTRY ==========Code: SystemLook v1.0 by jpshortstuff (29.08.09) |
Hi, ja, das umsetzten hat geklappt... Frage doch mal hier im HW/Windows-Forum nach (http://www.trojaner-board.de/alles-rund-um-windows/ oder http://www.trojaner-board.de/netzwerk-und-hardware/), wie gesagt wurde von CF ein Treiber ersetzt/desinfiziert.... Wenn es ein Notebook ist, kannst Du das Laufwerk nicht entfernen? Rausnehmen, neu Booten dann wieder runterfahren, reinstecken und wieder booten.... (Wenn du das Risiko liebst, kannst Du auch das Laufwerk wenn du es ausgebaut hast, im Gerätemanager entfernen, wenn der Rechner dann mit eingestecktem Laufwerk bootet, sollte er das Laufwerk erkennen und die erforderlichen Treiber suchen bzw. anfordern... (ohne Gewähr :crazy:) chris |
Ok, aber es startet noch nichts automatisch was ich anschließe. Ich frag da mal nach und danke sehr, sehr, sehr nochmal an alle!!!!!:dankeschoen: :) Also das mit dem rausnehmen und rebooten etc....hm also das trau ich mir nicht zu. Ich wüsste nichtmal wie das geht ;) |
Hi, Hier noch mal ein OTL-Script (kennst Du ja schon)... # Doppelklick auf die OTM.exe, um das Programm auszuführen. # Vista-User bitte per Rechtsklick und "Ausführen als Administrator" starten. # Einen Haken setzen bei "Unregister Dll's and Ocx's" # Kopiere den Inhalt der folgenden Codebox komplett in die OTM-Box mit dem gelben Titel (Paste Instructions for Items to be Moved) Code: :regStarte Systemlook.exe und füge folgendes ein: Code: reg:chris |
Wird so das Autorun wieder aktiviert? OTM: Code: ========== REGISTRY ==========SystemLook: Code: SystemLook v1.0 by jpshortstuff (29.08.09) |
Hi, d.h. es gibt keine "generellen" Einschränkungen auf der Maschine, nur userspezifische... Was macht der Autorun? chris |
Also ich hab jetzt versucht USB oder Kamera anzustecken, und die haben noch nicht automatisch gestartet. |
Hi, Arggh, das kommt davon wenn man nicht aufpasst (Dank an Larusso!)... Der Befehl lautet ":reg" und nicht "reg:"! Also noch mal von vorne: Code: :regFixPolicies Lade das selbstentpackendes Archiv FixPolicies auf Deinen Desktop herunter:
Dann prüf noch mal... chris |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 18:37 Uhr. |
Copyright ©2000-2025, Trojaner-Board