|
Antivir Solution Pro auf dem PC Liste der Anhänge anzeigen (Anzahl: 2) Hallo! Seit heute Vormittag hatte ich auf einmal das Trojanerprogramm "Antivir Solution Pro" auf meinem PC. Seitdem habe ich im Internet gesucht, wie man es bekämpfen kann. Ich habe die Tipps aus diesem Forum (http://www.trojaner-board.de/88188-a...entfernen.html) befolgt: + Ich habe rkill.com ausgeführt (Dabei wurde ein Prozess von Antivir Solution Pro beendet. Den Namen weiß ich leider nicht mehr, aber es endete auf jeden Fall wieder auf das typische "tssd.exe") + Danach habe ich Malwarebytes ausgeführt und alle Laufwerke scannen lassen. Als Suchergebnis kam folgendes: Anhang 7664 Diese habe ich dann entfernen lassen, als Log-Datei wurde folgendes angezeigt: Code: Malwarebytes' Anti-Malware 1.46 |
bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
ComboFix Log: Code: ComboFix 10-07-19.05 - Maria 20.07.2010 16:00:58.1.4 - x86 |
bitte deinstaliere die ask toolbar. starte neu. Start programme, zubehör, editor, kopiere ein: Killall:: Rootkit:: c:\windows\system32\drivers\urngzxjk.sys Folder:: c:\users\Maria\AppData\Local\ivmbecfye Driver:: urngzxjk DDS:: uInternet Settings,ProxyServer = http=127.0.0.1:5643 uInternet Settings,ProxyOverride = <local> Datei speichern unter, typ, alle dateien, name: cfscript.txt speicherort, dort wo sich combofix.exe befindet. ziehe cfscript auf combofix, programm startet, log posten. Hast du ne ahnung wo oder wie du dir das eingefangen hast, wenn ja, schreib mir mal ne persönliche nachicht, ich hätte gern den link bzw den installer. |
Also bevor die LogDatei überhaupt angezeigt wird, will ComboFix meinen PC neustarten. Dabei wird eine "Warnung" angezeigt: "Current registery file not found: \Device\HarddiskVolume1\Boot\BCD Restore this file?" Muss ich da Ja oder Nein klicken? |
ja klicken bitte |
ok, danke! der neue CF Log: Code: ComboFix 10-07-19.05 - Maria 20.07.2010 18:01:09.2.4 - x86 |
rechtsklick auf den avira regenschirm, guard deaktiviren. öffne arbeitsplatz, dort c: da siehst du nen ordner, qoobox, rechtsklick, zu qoobox.zip oder rar hinzufügen. das archiv geht dann bitte an uns: http://www.trojaner-board.de/54791-a...ner-board.html danach avira scan: avira avira so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm. klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten. |
Zitat:
"! Konnte Qoobox.rar nicht erstellen. ! Zugriff verweigert" Zum Anklicken steht zur Auswahl + Schließen + Operation abbrechen + In die Ablage kopieren Was muss ich machen? :/ |
starte den pc mal in den abgesicherten modus, sollte beim pc start durch das betätigen von f8 möglich sein, dann abgesicherter modus mit netzwerk und dann erneut probieren. dann neustart avira guard aus, und das archiv hochladen |
Das Verzeichnis hatte ich schon hochgeladen. Jetzt noch der Avira Report: Code: Avira AntiVir Personal |
wie läuft er im moment? leere den java chache: Löschen des Caches von Java Runtime Environment (JRE) dateien sind angekommen, thx |
Habs gelöscht. Also im Moment läuft er ohne Probleme, alles geht wieder. Muss ich zur Sicherheit noch mal was durchlaufen lassen, damit ich ihn wieder uneingeschränkt nutzen kann? Weil bis jetzt hab ich noch nix wieder mit Passwörtern benutzt (vor allem Online Banking!) Aber vielen, vielen Dank schon mal!!!! :) |
|
Liste der Anhänge anzeigen (Anzahl: 2) |
ok das sieht gut aus. endere nun alle passwörter. reinige mit otcleanit: http://oldtimer.geekstogo.com/OTM.exe Klicke cleanup! dein pc wird evtl. neu starten programm löscht sich selbst, + die verwendeten tools nutze secunia um deine software aktuell zu halten: http://www.trojaner-board.de/83959-secunia-personal-software-inspector-psi.html |
Dann noch mal: Danke, danke, danke, danke!!! :) PS: Passwörter sind geändert, Clean up ausgeführt und Software-"Veraltungen" behoben. |
ok, und immer schön auf die meldungen von secunia achten, die sind wichtig. auch auf dein surfverhalten gib in zukunft acht |
Heute Vormittag schaltete sich bei meinem PC der Ton auf einmal von allein aus: der Lautstärkeregler in der Taskleiste war deaktiviert sowie auch der Lautstärkeregler im VLC-Videprogramm. Der PC stand jedoch allein da, sprich ich kann auch nicht ausversehen drauf geklickt haben. Ich hatte ne DVD geguckt, Ton lief normal und war auf einmal weg. Jetzt hab ich überlegt, ob vielleicht doch noch was von Dienstag übrig ist? Seit heute Mittag versuche ich auch Avira zu updaten, jedoch schlägt das Update immer wieder fehl nach ca. 1/4. Avira Update-Report: Code: Avira AntiVir Personal - Free Antivirus Updater EDIT: Das Update bei Avira hat jetzt funktioniert, jedoch hat es extrem lange für 4mb geladen (ist sonst ne Angelegenheit von Sekunden). |
das ist n neuer schädling... führe folgendes tool aus: http://ad13.geekstogo.com/MBRCheck.exe poste das ergebniss |
Liste der Anhänge anzeigen (Anzahl: 1) |
ok, starte das tool noch mal, dann drücke 2 und wenn die nächste auswahlmöglichkeit kommt drücke die 0 dann das tool beenden, pc neu starten. das tool erneut ausführen und neues ergebniss posten. |
|
ok, sorry hatte eins vergessen. hast du zu erst y für mehr optionen eingegeben? dann erscheint ne auswahl dann die 2 drücken, dann die 0 |
Jup, hatt ich gemacht. Y, dann 2, dann 0. Allerdings war danach noch mal ne Auswahlmöglichkeit gekommen. Der Log (von Vorgang vorm Neustart): Code: MBRCheck, version 1.1.1 |
also das ist das was da jetzt kam? dann noch mal 0 versuchen. |
Liste der Anhänge anzeigen (Anzahl: 1) |
bitte mit y bestätigen |
So, ich hab's mit "y" bestätigt, danach stand da "Done! Press Enter to exit...". Hab ich getan, danach neu gestartet u das Programm nochmals ausgeführt. Sieht wieder genauso aus wie vorher :/ Anhang 7766 |
hast du ne original windows cd zur hand? |
Öhh, müsst ich eigentlich. Hab den Laptop erst neu. Waren 4 CD's dabei: Microsoft Works (das ist es ja eh nicht), Application & Support Disc und 2x Recovery Disc Windows 7 Home Premium (eine für 32-bit Betriebssystem, die andere für 64-bit). Läufts darauf hinaus, dass dann alle Daten weg sind? :/ |
Beim Malewarebytes Durchlauf heute wurde nix angezeigt, dafür aber beim Avira Scan. Avira Report: Code: |
wenn du den pc startest, solltest du doch zwischen rettungskonsole (recovery konsole) und windows wählen können. wähle die recovery konsole. dort lässt du einen neuen mbr erstellen wie in diesem artikel beschrieben Tipparchiv - MBR unter Vista oder Windows 7 reparieren - WinTotal.de dann gibst du exit ein und lässt windows wieder starten. |
|
ok sind die symtome jetzt verschwunden? |
Kann ich noch nicht genau sagen. Dass der Ton von allein ausging, ist nur gestern 1x passiert. Dann hatte ja Avira den Trojaner gefunden und in Quarantäne verschoben. (Muss ich das aus der Quarantäne noch irgendwie rauslöschen?) Es wird zumindest bei keinem Programm (Malwarebytes, Avira, MBRcheck) mehr etwas angezeigt. Danke erst mal wieder! (Ich hoffe es taucht nicht noch etwas neues auf.. Sonst meld ich mich wieder) PS: Muss ich die Passwörter wieder alle ändern jetzt? |
erst mal das mit dem sound beobachten, sag morgen noch mal bescheid, die dateien kannst du aus der quarantäne löschen wenn du magst |
Hi! Die ganzen Tage jetzt war alles in Ordnung, aber als Avira heute früh alleine nen Suchlauf durchführte, wurde wieder ein Trojaner angezeigt. Avira hat ihn in Quarantäne geschoben und es "scheint" wieder alles in Ordnung zu sein. Avira Report (als es den Trojaner fand): Code: Code: Code: Malwarebytes' Anti-Malware 1.46 |
hmm das hatten wir doch schon entfernt. kannst du noch mal n neues combofix log erstellen? |
ComboFix Log: Code: ComboFix 10-07-24.06 - Maria 27.07.2010 14:51:16.3.4 - x86 |
da du immer wiederkehrende probleme hast, hast du denn schon mal über ein neuaufsetzen des systems nachgedacht? |
Ja, hab ich.. Kann ich denn dann vorher noch meine Daten auf meine externe Festplatte speichern? Oder besteht dann das Risiko, dass ich den Trojaner mit auf die Festplatte nehm? EDIT: sorry, hab den link grad erst gesehn. damit hat sich die frage ja dann erledigt. |
ja, zum absichern lese dir das durch http://www.trojaner-board.de/74052-s...-internet.html setze alles um. und zum surfen in zukunft sandboxiehttp://www.trojaner-board.de/71542-anleitung-sandboxie.html es ist weiterhin zu empfehlen, sich, wenn du mit dem programm auskommst, ne lizenz zu besorgen, die kostet 25 € und ist dein ganzes leben lang gültig, du kannst die weiterhin auf allen pcs in deinem haushalt einsetzen. dieses programm ist höchst sinnvoll. nehmen wir an, du surfst in der sandbox auf einer internet seite, die einen trojaner enthällt,, dieser gelangt in die sandbox, du kannst dir zu 99 % sicher sein, dass er dort nicht raus kommt, dass heißt, mit leeren der sandbox ist der trojaner nicht mehr auf dem pc. so hättest du dir dein problem höchst warscheinlich ersparrt. |
Also mein PC ist komplett neu installiert; alle aktualisierten Treiber installiert, Avira, Malwarebytes, Sandbox, Secunia PSI,... Sollte ich jetzt noch mal alle Passwörter ändern? |
ja das wäre günstig. und jetzt nur noch in der sandbox surfen. :-) |
Bin schon dabei (Sandbox). Also vielen dank noch mal!!! :) |
Eine letzte Frage hab ich noch: Und zwar wird der Avira-Suchlauf im Moment nie ganz abgeschlossen. Er steht bei 100%, durchsucht aber noch den Ordner "C:\Windows.old\ProgramData\Anwendungsdaten\..." in der Wiederholungsschleife. Kann ich das noch irgendwie beheben? Weil wenn ich auf "Beenden" klicke, breche ich den Suchlauf ja ab und er gilt sozusagen als "nicht unternommen". Soll ich noch ne Report-Datei dranhängen? |
hast du meine konfiguration übernommen? wenn nein, tuh das bitte. schau mal ob symbolischen verknüpfungen folgen, under konfiguration, scanner, aktiev ist, wenn ja, haken raus. hast du windows etwa nur einfach drüber instaliert, ohne zu formatieren, ist eig nicht so gut. |
Die Konfiguration hatte ich übernommen, aber der Haken bei "symbolische Verknüpfungen folgen" war noch drin. Also ich hab beim Neuaufsetzen des Systems alles so gemacht, wie's in den Links beschrieben war. (unter anderem auch: "Szenario 1: Vorbereitete Festplatte Ist Ihre Festplatte bereits partitioniert (z.B. vom Hersteller oder einer anderen, vorherigen Installation) und Sie möchten nichts ändern, so können Sie die Systempartition anklicken (unter Windows 7 und Windows Vista meist Datenträger 0 Partition 2) und über die erweiterten Einstellungen formatieren. Dabei gehen alle Daten auf der Partition verloren, worauf Sie auch eine Warnung aufmerksam macht, die Sie mit OK bestätigen. Die eigentliche Installation beginnt dann mit Klick auf Weiter.") |
ok, schau mal ob du jetzt scannen kannst, sollte gehen. |
Ja, der Suchlauf ging jetzt ohne Probleme. Mittlerweile überleg ich aber, ob die Formatierung doch nicht mitgemacht wurde. Eigentlich hab ich ja alles wie beschrieben gemacht, aber auf "C:\" gibts noch jeweils den Ordner "Windows.old" und "Windows.old.000" (ich hatte 2x neuinstalliert, da mit den Treibern was nicht gestimmt hatte). Kann man da im Nachhinein noch was machen oder soll ich noch mal den ganzen Prozess machen? |
ja das sieht für mich ebenso aus. es wäre schon günstiger das richtig zu formatiern auch aus platzgründen :-) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:41 Uhr. |
Copyright ©2000-2025, Trojaner-Board