|
Antivir Trojanermeldung Hallo, ich habe gerade einen Antivir Scan gemacht und habe anscheinend(laut Antivir) mehere Schädlinge auf meinem PC. Wäre über jede Hilfe dankbar! Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:31:33, on 12.01.2010 Platform: Unknown Windows (WinNT 6.01.3504) MSIE: Internet Explorer v8.00 (8.00.7600.16385) Boot mode: Normal Running processes: C:\Windows\system32\Dwm.exe C:\Windows\system32\taskhost.exe C:\Windows\Explorer.EXE C:\Program Files\iTunes\iTunesHelper.exe C:\Program Files\Steam\Steam.exe C:\Users\Niko\Warkeys\AutoWarkey\AutoHotkey\AutoHotkey.exe C:\Program Files\OpenOffice.org 3\program\soffice.exe C:\Program Files\OpenOffice.org 3\program\soffice.bin C:\Program Files\ICQ6.5\ICQ.exe C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Windows\system32\NOTEPAD.EXE C:\Windows\explorer.exe C:\Users\Niko\Downloads\HiJackThis.exe C:\Windows\system32\SearchFilterHost.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [asd] C:\Windows\system32\cmdd.exe O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [Steam] "C:\Program Files\Steam\Steam.exe" -silent O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST') O4 - Startup: My_AutoWarkey_Script.lnk = Niko\Warkeys\AutoWarkey\AutoHotkey\AutoHotkey.exe O4 - Startup: OpenOffice.org 3.1.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe O4 - Startup: Warkeys Update.lnk = Niko\Warkeys\AutoWarkey\AutoHotkey\AutoHotkey.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe O13 - Gopher Prefix: O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe -- End of file - 4401 bytes |
Hallo und Herzlich Willkommen! :) - Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe: - Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen 1. - Lade dir RSIT - http://filepony.de/download-rsit/: - an einen Ort deiner Wahl und führe die rsit.exe aus - wird "Hijackthis" auch von Rsit installiert und ausgeführt - RSIT erstellt 2 Logfiles (C:\rsit\log.txt und C:\rsit\info.txt) mit erweiterten Infos von deinem System - diese beide bitte komplett hier posten **Kannst Du das Log in Textdatei speichern und hier anhängen (auf "Erweitert" klicken) 2. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool ccleaner herunter installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein 3. → besuche die Seite von virustotal und die Datei/en aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren: → Tipps für die Suche nach Dateien Code: C:\Windows\system32\cmdd.exe→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox) → "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist → das Ergebnis wie Du es bekommst (NICHT AUSLASSEN!) da reinkoperen (inklusive Dateigröße und Name, MD5 und SHA1) Zitat:
Coverflow |
Hallo, Danke schonmal für die Antwort. Ich habe mir RSIT geladen und wollte es ausführen. Nur nachdem ich Hijackthis ausgeführt habe kommt eine Fehlermeldiung AuoIt Error: Line-1: Error: Variable used without being declared. Hat das was mit dem Programm oder meinem Rechner zu tun? |
Win7 ist noch "zu neu" ;) mach bitte zuerst mal weiter, RSIT auslassen |
Ccleaner Log: Code: 7-Zip 4.65 29.12.2009 Code: Datei cmd.exe empfangen 2010.01.12 11:05:59 (UTC) |
hi wir müssen nach folgende Datei suchen bzw prüfen lassen: Code: C:\Windows\system32\cmdd.exe |
Hi, ich habe den kompleten Windows Ordner von Windows 7 , sowie den kompletten ordner "system 32" selbst durchsucht und konnte die cmdd.exe leider nicht finden! Muss sie auf jeden Fall da sein, oder kann es sein dass sie einfach nicht da ist? |
hi 1. unter Autostart eingetragen: Code: O4 - HKLM\..\Run: [asd] C:\Windows\system32\cmdd.exe- oder "Programme-> Dateien durchsuchen-> im Startmenü schreibst Du "msconfig" rein - auch Ccleaner kann dabei helfen: starten-> Extras-> Autostart... berichte ob Du den Eintrag kennst? Ausserdem: 2. Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org
3. Alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner - mit "Accept bestätigen"-> dann wähle hier "My computer" aus und das Logergebnis speichern "Save as" dann posten Vor dem Scan Einstellungen im Internet Explorer: - "Extras→ Internetoptionen→ Sicherheit": - alles auf Standardstufe stellen - Active X erlauben |
Hi, anscheinend stell ich mich gerade ein bischen blöd an:confused:, aber unter "msconfig"-->"Systemstart" kann ich diesen Code nicht zum Autostart hinzufügen. Oder gibt es die Möglichkeit diese Verknüpfung manuell hinzuzufügen? Es gibt lediglich eine Anwedung die zurzeit beim Start nicht mit ausgeführt wird mitdem Namen: {2E3AE7E7-A9A8-0400-B628-049AC6A8A189} |
Malwarebytes Bericht: Code: Malwarebytes' Anti-Malware 1.44 |
Zitat:
poste erneut: Trend Micro HijackThis-Logfile - Keine offenen Fenster, solang bis HijackThis läuft!! |
Ich hab jetzt die Anwendung im Autostart aktiviert, und dann nocheinmal einen Log gemacht: Code: Logfile of Trend Micro HijackThis v2.0.2 |
Zitat:
1. Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked"klicken→ PC neu aufstarten): HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen Code: O4 - HKLM\..\Run: [asd] C:\Windows\system32\cmdd.exedann fahre bitte mit Punkt 3. - Kaspersky Online Scanner - fort 3. poste erneut: Trend Micro HijackThis-Logfile - Keine offenen Fenster, solang bis HijackThis läuft!! |
So jetzt hab ich den Kaspersky Scan gemacht: Code: KASPERSKY ONLINE SCANNER 7.0: scan report |
hi 1. Zitat:
C:\Users\xxxxx\AppData\Local\Temp--> lösche nur den Inhalt der Ordner, nicht die Ordner selbst 2. Öffne CCleaner
3. zur Nachkontrolle poste erneut: Trend Micro HijackThis-Logfile - Keine offenen Fenster, solang bis HijackThis läuft!! ► wie verhält sich den dein System? |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 02:00 Uhr. |
Copyright ©2000-2024, Trojaner-Board