|
Werbe Pop up´s durch Trojaner/Viren Hallo, Ich habe mir Viren eingefangen und habe jetzt eine Werbe - weiterleitung.... Wenn ich bei google was z.B. suche bekomme ich anstatt die Seite die ich gesucht habe, z.B. so eine Seite: hxxp://weight-loss-diet.com/result.php?Keywords=doubleclick.net+trojaner-board&r=c43c6677c9bfea1e828a8c3273d2d4824fd2d4d9f77e5120fee97ea3b68fa85b7936d470875825722d6af25a23303a5d&Submit=Go Oder noch andere Seiten Hier noch ma ein paar Logdateien von Malwarebytes´Antimalware : Code: Malwarebytes' Anti-Malware 1.46Code: Malwarebytes' Anti-Malware 1.46Code: Malwarebytes' Anti-Malware 1.46Code: Malwarebytes' Anti-Malware 1.46Code: Malwarebytes' Anti-Malware 1.46Code: Malwarebytes' Anti-Malware 1.46Code: Malwarebytes' Anti-Malware 1.46Hoffentlich könnt ihr mir dabei helfen diesen Übeltäter zu entfernen ! Und noch was ich mache gerade noch einen Vollständigen Suchlauf mit Malwarebytes.. und dann noch einen Vollständigen mit Avira 2010 ! |
Hi, nun ja, Ie 6.0 ist nun nicht wirklich modern, oder? Stelle Avira wie folgt für den Suchlauf ein: http://www.trojaner-board.de/54192-a...tellungen.html Führe einen Systemscan durch und poste das Ergebnis! Danach bitte OTL und GMER: OTL Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop
Gmer: http://www.trojaner-board.de/74908-a...t-scanner.html Den Downloadlink findest Du links oben (GMER - Rootkit Detector and Remover), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. chris |
Ok bin jetzt dabei ! Edit : das ist die Einstellung von version 9 ! ? Ich habe aber 10 |
Hi, für Avira 10 ähnliche Einstellungen benutzen, wie Makrovirenheuristik an, AHeAD an und auf Stufe hoch etc. Wichtig: Nicht alles gefundene löschen sondern in Quarantäne verschieben lassen, da diese Einstellungen zu Fehlalarmen neigen.. Bitte das OTL-Log und GMER posten... Aktuell kann sich bereits ein Rootkit auf Deinem Rechner befinden, wenn der Dropper erfolg hatte... chris |
Hier der Avira report : Code: |
ich kann nicht die OTL Logs einfügen kommt seitenfehler !! EDIT: Hier die OTL Logs : [CODE]OTL logfile created on: 08.09.2010 15:13:27 - Run 1 OTL by OldTimer - Version 3.2.11.0 Folder = C:\Dokumente und Einstellungen\Ayhan\Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.5512) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 55,00% Memory free 2,00 Gb Paging File | 1,00 Gb Available in Paging File | 70,00% Paging File free Paging file location(s): C:\pagefile.sys 672 1344 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 87,89 Gb Total Space | 52,83 Gb Free Space | 60,11% Space Free | Partition Type: NTFS D: Drive not present or media not loaded E: Drive not present or media not loaded Drive F: | 144,94 Gb Total Space | 144,79 Gb Free Space | 99,90% Space Free | Partition Type: NTFS G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: AYHAN-UWBPIOYXR Current User Name: Ayhan Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Processes (SafeList) ========== PRC - C:\Dokumente und Einstellungen\Ayhan\Desktop\OTL.exe (OldTimer Tools) PRC - C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe (TuneUp Software) PRC - C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe (TuneUp Software) PRC - C:\Programme\DivX\DivX Update\DivXUpdate.exe () PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) PRC - C:\Programme\Mozilla Firefox\plugin-container.exe (Mozilla Corporation) PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) PRC - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation) PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) PRC - c:\Programme\Avira\AntiVir Desktop\avcenter.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - C:\Programme\Microsoft ActiveSync\wcescomm.exe (Microsoft Corporation) PRC - C:\Programme\Microsoft ActiveSync\rapimgr.exe (Microsoft Corporation) PRC - C:\WINDOWS\system32\cc32\webtmr.exe (Salfeld Computer) PRC - C:\WINDOWS\tray\wintmr.exe (Salfeld Computer) PRC - C:\WINDOWS\system32\cchservice.exe (Salfeld Computer) ========== Modules (SafeList) ========== MOD - C:\Dokumente und Einstellungen\Ayhan\Desktop\OTL.exe (OldTimer Tools) MOD - C:\WINDOWS\system32\wdrvtask.dll (Salfeld Computer) MOD - C:\WINDOWS\system32\wdrvhook.dll (Salfeld Computer) MOD - C:\WINDOWS\system32\wsock32.dll (Microsoft Corporation) MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV - (HidServ) -- C:\WINDOWS\System32\hidserv.dll File not found SRV - (TuneUp.Defrag) -- C:\Programme\TuneUp Utilities 2010\TuneUpDefragService.exe (TuneUp Software) SRV - (TuneUp.UtilitiesSvc) -- C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe (TuneUp Software) SRV - (UxTuneUp) -- C:\WINDOWS\system32\uxtuneup.dll (TuneUp Software) SRV - (ksupmgr) -- C:\WINDOWS\system32\ksupmgr.exe (Salfeld Computer) SRV - (MBAMService) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation) SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (aspnet_state) -- C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\aspnet_state.exe (Microsoft Corporation) SRV - (WPFFontCache_v0400) -- C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe (Microsoft Corporation) SRV - (clr_optimization_v4.0.30319_32) -- C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe (Microsoft Corporation) SRV - (NetTcpPortSharing) -- C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe (Microsoft Corporation) SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) ========== Driver Services (SafeList) ========== DRV - (nvport) -- C:\WINDOWS\System32\Drivers\nvport.sys File not found DRV - (MBAMProtector) -- C:\WINDOWS\system32\drivers\mbam.sys (Malwarebytes Corporation) DRV - (sptd) -- C:\WINDOWS\system32\drivers\sptd.sys (Duplex Secure Ltd.) DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH) DRV - (TuneUpUtilitiesDrv) -- C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys (TuneUp Software) DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH) DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH) DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH) DRV - (USBModem) -- C:\WINDOWS\system32\drivers\lgusbmodem.sys (LG Electronics Inc.) DRV - (UsbDiag) -- C:\WINDOWS\system32\drivers\lgusbdiag.sys (LG Electronics Inc.) DRV - (usbbus) -- C:\WINDOWS\system32\drivers\lgusbbus.sys (LG Electronics Inc.) DRV - (UsbserFilt) -- C:\WINDOWS\system32\drivers\usbser_lowerfltj.sys (Windows (R) Codename Longhorn DDK provider) DRV - (nmwcdc) -- C:\WINDOWS\system32\drivers\ccdcmbo.sys (Nokia) DRV - (nmwcd) -- C:\WINDOWS\system32\drivers\ccdcmb.sys (Nokia) DRV - (gameenum) -- C:\WINDOWS\system32\drivers\gameenum.sys (Microsoft Corporation) DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider) DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.Sys (Realtek Semiconductor Corp.) DRV - (pfc) -- C:\WINDOWS\system32\drivers\pfc.sys (Padus, Inc.) DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation) DRV - (nvnetbus) -- C:\WINDOWS\system32\drivers\nvnetbus.sys (NVIDIA Corporation) DRV - (NVENETFD) -- C:\WINDOWS\system32\drivers\NVENETFD.sys (NVIDIA Corporation) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = local IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 85.214.25.180:3128 ========== FireFox ========== FF - prefs.js..browser.search.defaultenginename: "Google" FF - prefs.js..browser.search.defaultthis.engineName: "softonic-de3 Customized Web Search" FF - prefs.js..browser.search.defaulturl: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2431245&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.selectedEngine: "softonic-de3 Customized Web Search" FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/firefox" FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.2.2 FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..extensions.enabledItems: firefox@tvunetworks.com:2 FF - prefs.js..extensions.enabledItems: 5 FF - prefs.js..extensions.enabledItems: 3 FF - prefs.js..extensions.enabledItems: 1 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21 FF - HKLM\software\mozilla\Firefox\extensions\\smartwebprinting@hp.com: C:\Programme\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 [2010.05.27 19:19:38 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.08.14 21:55:15 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.09.05 21:16:05 | 000,000,000 | ---D | M] [2010.08.06 21:53:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ayhan\Anwendungsdaten\Mozilla\Extensions [2010.09.07 22:02:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ayhan\Anwendungsdaten\Mozilla\Firefox\Profiles\qvvsicqd.default\extensions [2010.08.06 21:53:55 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Ayhan\Anwendungsdaten\Mozilla\Firefox\Profiles\qvvsicqd.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2010.08.14 16:24:25 | 000,000,000 | ---D | M] (iMacros for Firefox) -- C:\Dokumente und Einstellungen\Ayhan\Anwendungsdaten\Mozilla\Firefox\Profiles\qvvsicqd.default\extensions\{81BF1D23-5F17-408D-AC6B-BD6DF7CAF670} [2010.08.28 21:33:40 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\Ayhan\Anwendungsdaten\Mozilla\Firefox\Profiles\qvvsicqd.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} [2010.08.06 21:58:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ayhan\Anwendungsdaten\Mozilla\Firefox\Profiles\qvvsicqd.default\extensions\firefox@tvunetworks.com [2010.08.06 21:58:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ayhan\Anwendungsdaten\Mozilla\Firefox\Profiles\qvvsicqd.default\extensions\illimitux@illimitux.net [2010.09.07 22:02:49 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions [2010.08.20 20:09:11 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} [2010.07.17 05:00:04 | 000,423,656 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll [2010.08.14 19:04:18 | 000,159,744 | ---- | M] (Apple Inc.) -- C:\Programme\Mozilla Firefox\plugins\npqtplugin9.dll [2010.07.23 02:48:56 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2010.07.23 02:48:56 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2010.07.23 02:48:56 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2010.07.23 02:48:56 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2010.07.23 02:48:56 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2010.09.07 21:00:13 | 000,000,255 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: 127.0.0.1 ad.de.doubleclick.net O1 - Hosts: 127.0.0.1 hxxp://bbbmississippi.org/ O1 - Hosts: 127.0.0.1 hxxp://weight-loss-diet.com O1 - Hosts: 127.0.0.1 hxxp://www.bitefight.de/ O1 - Hosts: 127.0.0.1 hxxp://quellsuper.net/ O1 - Hosts: 127.0.0.1 hxxp://adcolo.com/ad/ad.php?hash=15567 O2 - BHO: (HP Print Enhancer) - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Digital Imaging\smart web printing\hpswp_printenhancer.dll (Hewlett-Packard Co.) O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation) O2 - BHO: (HP Smart BHO Class) - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Programme\HP\Digital Imaging\smart web printing\hpswp_BHO.dll (Hewlett-Packard Co.) O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [ChicoSys] C:\WINDOWS\system32\cc32\webtmr.exe (Salfeld Computer) O4 - HKLM..\Run: [DivXUpdate] C:\Programme\DivX\DivX Update\DivXUpdate.exe () O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation) O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe () O4 - HKLM..\Run: [SkyTel] C:\WINDOWS\SkyTel.exe (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O4 - HKCU..\Run: [CCWinTray] C:\WINDOWS\tray\wintmr.exe (Salfeld Computer) O4 - HKCU..\Run: [H/PC Connection Agent] C:\Programme\Microsoft ActiveSync\wcescomm.exe (Microsoft Corporation) O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Privacy present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCommonGroups = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSetTaskbar = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoControlPanel = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSaveSettings = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFind = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableClock = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableChangePassword = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableLockWorkstation = 0 O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Dokumente und Einstellungen\Ayhan\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm () O9 - Extra Button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll (Microsoft Corporation) O9 - Extra 'Tools' menuitem : Mobilen Favoriten erstellen... - {2EAF5BB2 |
Hi, die versteckten Prozesse gehören zur Kindersicherunge ;o9 Zitat:
Teile, falls notwendig, die Logs in mehrer Posts auf... chris Ps.: Sehe gerade es ist nicht so lange her.. http://www.trojaner-board.de/89829-trojaner-fund.html |
Zitat:
Ich kann den Rest irgendwie nicht posten !!! Soll ich es auf hochladen ? |
Hi, was ist das für ein Proxy:85.214.25.180:3128? Strato? Lade die Files hoch (OTL-Log): File-Upload.net - Ihr kostenloser File Hoster!, hochladen und den Link (mit Löschlink) als "PrivateMail" an mich... Fix für OTL:
Code: :Commands
Cureit: http://www.trojaner-board.de/59299-a...eb-cureit.html Nach Beendigung des Scans findes Du das Log unter %USERPROFILE%\DoctorWeb\CureIt.log. Bevor du irgendwelche Aktionen unternimmst, kopiere bitte den Inhalt des Logs und poste ihn. Die Log Datei ist sehr groß, ca. über 5MB Text. Benutzt einfach die Suche nach "infiziert" und kopiert betreffende Teile heraus, bevor Du sie postet. chris |
Zitat:
|
Soll ich jetzt den Fix einfügen, nachdem ich dir die logs geschickt habe ? Wie überhaupt welche Box die ganz unten ? Vielen Dank für Antworten ! |
Hi, Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code: C:\WINDOWS\System32\dllcin64.exe
Fix für OTL:
Code:
http://www.trojaner-board.de/59299-a...eb-cureit.html Nach Beendigung des Scans findes Du das Log unter %USERPROFILE%\DoctorWeb\CureIt.log. Bevor du irgendwelche Aktionen unternimmst, kopiere bitte den Inhalt des Logs und poste ihn. Die Log Datei ist sehr groß, ca. über 5MB Text. Benutzt einfach die Suche nach "infiziert" und kopiert betreffende Teile heraus, bevor Du sie postet. chris |
hier erstmal die Virustotal logs : Code: Antivirus Version Last Update ResultCode: Antivirus Version Last Update Result |
Hier der andere LOG : Code: All processes killed |
Wenn ich DrWeb stoppen will gehe ich auf das viereck und dann müsste es stoppen damit ich es richtig einstellen kann ! Bei mir verschwindet danach das Fenster wieder ?? P.S : Bin immer noch im Abgesichertem Modus (mit Netzwerkverbindung) EDIT : Geht doch wieder hab den Schutzmodus ausgeschaltet !! EDIT2: Sche*** als ich DrWeb ausgeführt hatte und er die vollständige suche machte hat sich auf einmal firefox mit so einem komischen link geöffnet... war so ein schwarzer player zu sehn und als ich dies wegklicken wollte hatte sich mein Pc neugestartet :schrei::koch: Ich glaube das hat irgendwas mit JAVA zu tun P.S bin wieder im abgesichertem Modus mit netzwerken. Ich starte gerade DrWeb |
Hi, Habe gerade beim Suchen von DrWeb eine Meldung bekommen :confused: Eine Windows Datei ist beschädigt oder so, führen sie chkdsk aus. :headbang: Das habe ich gemacht jetzt steht da... das,dass nur im schreibgeschützen Modus geht, dazu muss ich chkdsk /F eingeben habe ich gemacht, jetzt wird das im nächsten Windows Start gemacht. Hoffentlich ist es nicht die gleiche datei die schonmal bei mir beschädigt war, bei der mein Pc sich immer wieder selber neugestartet hat, also als ich mein pc gestartet hatte ist nach der Willkommensseite von Xp gleich wieder die Anmeldeseite gekommen. Kannst du mir bitte weiterhelfen. Vielen Dank EDIT : Das war glaub ich die userinit.exe |
Hi, lass auf jeden Fall Dr. Web durchlaufen... Öffnen sich nur Seiten mit Firefox oder auch IE...? Wir werden noch den MBR prüfen lassen, oder gleich CF losslassen... Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet! Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß! Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen. chris Ps.: Im Falle der beschädigten Systemdatei: Rechner vom Netz trennen (Internetstecker ziehen), dann: 1.) Start->ausführen cmd eingeben 2.) sfc /scannow eingeben 3.) XP-CD bereithalten, falls fehlerhafte Dateien gefunden werden (bei OEM-Rechnern befindet sich i. a. ein entsprechendes Verzeichnis bereits auf der Festplatte) 4.) warten... |
Zitat:
Und kann/wird jetzt meine userinit.exe beschädigt sein ?? |
Hi, dann läuft noch was mit... Anweisung für die beschädigte Systemdatei s. letzten post von mir.. chris |
Zitat:
|
Hi, s. oben: Ps.: Im Falle der beschädigten Systemdatei: Rechner vom Netz trennen (Internetstecker ziehen), dann: 1.) Start->ausführen cmd eingeben 2.) sfc /scannow eingeben 3.) XP-CD bereithalten, falls fehlerhafte Dateien gefunden werden (bei OEM-Rechnern befindet sich i. a. ein entsprechendes Verzeichnis bereits auf der Festplatte) 4.) warten... chris |
Ok Vielen Dank Ich warte aber erstmal bis der DrWeb fertig ist. Edit: Kann das wirklich Stunden dauern ? |
ENDLICH Hier das Log von Dr.Web Code: Speichervorgang: C:\WINDOWS\System32\svchost.exe:1188;;BackDoor.Tdss.565;Beseitigt.;Ich habe mein Pc jetzt normal gestartet und jetzt kam eine Fehlermeldung: webtmr.exe ist beschädigt oder nicht lesbar Und irgendwas im Verzeichnis C:\programme\internet explorer ist beschädigt. Mein Internet Explorer geht auch nicht mehr ! |
Chkdsk wurde auch gelöscht !! Ich kann glaube ich die Dateien die gelöscht wurden sind wiederherstellen.... Ich zufällig einen Pfad gefunden : C:\found.000 mit mehreren Verzeichnissen : dir0000.chk, dir0001.chk, dir0002.chk ....... bis ..... dir0043.chk Kannst du mir vielleicht helfen sie wiederherzustellen ? Wenn ja, soll ich die Dateien uploaden und in einem Winrar Archiv packen ? |
Von Aira hab ich auch noch ein Report : Code: Entschuldigung fürs spammen habe aber später keine Zeit wollte es einfach loswerden ! |
Und hier der Combofix - log : Code: ComboFix 10-09-08.03 - Ayhan 09.09.2010 20:08:59.2.1 - x86 |
Hi, TDSS... Die found-Dateien enthalten normalerweise codefragmente und sind nicht so einfach wiederherstellbar... webtmr.exe gehört zur "Salfeld-Kindersicherung" einfach neu installieren, wie den Internetexplorer. Weiterhin hattest Du einen Backdoor auf dem Rechner, Neuaufsetzen ist jetzt eigentlich angesagt! Nochmal auf TDSS prüfen: TDSS-Killer Download und Anweisung unter: http://www.trojaner-board.de/82358-tdsskiller-google-umleitungen-tdss-tdl3-alureon-rootkit-entfernen.html#post640150 Entpacke alle Dateien! Start.bat erstellen: Start->alle Programme->Zubehör->Editor und kopiere folgenden Text rein: Code: @ECHO OFF
Wenn TDSSKiller fertig ist poste den Inhalt der report.txt. Da nicht sicher ist ob alles erwischt wurde, MAM updaten und Fullscann, alles bereinigen lass und LOg posten. Danach ein neues OLT-Log mit Customscann:
Code: netsvcs
chris |
Hi, es gibt eine neue Version des TDSSKillers, daher wie folgt vorgehen: Aufruf über den Explorer durch Doppelklick. Nach dem Start erscheint ein Fenster, dort dann "Start Scan". Wenn der Scan fertig ist bitte "Report" anwählen. Es öffnet sich ein Fenster, den Text abkopieren und hier posten... chris |
Hi, Code: Nochmal auf TDSS prüfen:Als ich di Bat Datei ausführen wollte, kam eine Fehlermeldung : h**p://img836.imageshack.us/f/unbenanntwj.jpg/ EDIT : Soll ich einfach so vorgehen : Die "TDSSKiller.exe" ausführen und start scan ? |
Hi, ja, starten Scann starten und dann Report auswählen, alles abkopieren und hier posten... chris Ps: Bin erst wieder Abends online... |
Ok Hier mein Log: Code: 2010/09/10 14:18:45.0781 TDSS rootkit removing tool 2.4.2.1 Sep 7 2010 14:43:44Code: Ps: Bin erst wieder Abends online... |
MAM hat nichts gefunden ! |
Hi, dann hat CF wohl tatsächlich alles erwischt... chris |
Zitat:
Nicht ganz : Code: |
Hi, C:\Qoobox\Quarantine ist die Quarantäne von CF, die anderen sind in der Systemwiederherstellung, daher: Systemwiederherstellung löschen BSI-Faltblattt (https://www.bsi.bund.de/cln_134/ContentBSI/Publikationen/Faltblaetter/F24VirenundCo.html) und dort unter Viren entfernen Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt: Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung -> anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten; Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder). Einen ersten Restorepunkt setzten: Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen chris |
ok habe ich ! und jetzt ?? |
Hier noch der OTL - Log : In deinen Privatnarichten ** |
Hi, lass nach einem Update noch mal Avira los... chris |
Avira update und dann fullscan ?? Und noch was, ich kann nicht mehr chkdsk ausführen. chkdsk.exe wurde gelöscht ! wie bekomme ich es wieder ? |
Ok habe Avira losgelassen, hat aber nichts gefunden !! Und was ist jetzt mit chkdsk ?? |
Hi, wer hat chkdsk gelöscht? Downloaddetails: Windows XP-Patch: Update für NTFS chkdsk.exe chris |
chkdsk hat ja das Problem mit "found.000" verursacht, sich danach aber selbst gelöscht ! Kannst du mir das nicht einfach geben die chkdsk.exe, wenn du Xp Service Pack 3 hast ^^ ?? Oder kann ich sie einfach installieren, in dem ich Service Pack 3 neuinstalliere ?? |
Muss ich Service Pack 3 neuinstallieren ?? |
Hi, sfc /scannow 1.) Start->ausführen cmd eingeben 2.) sfc /scannow eingeben 3.) XP-CD bereithalten, falls fehlerhafte Dateien gefunden werden (bei OEM-Rechnern befindet sich i. a. ein entsprechendes Verzeichnis bereits auf der Festplatte) 4.) warten... Lade SystemLook von einem der folgenden Links und speichere das Tool auf dem Desktop. http://jpshortstuff.247fixes.com/SystemLook.exe - http://images.malwareremoval.com/jps...SystemLook.exe
Code: :filefind
Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert. -> UserGuide: http://jpshortstuff.247fixes.com/SystemLook.html chris |
Zitat:
Hallo chris ! Das mit scannow habe ich ausgeführt und System look auch. Hier der Log von Systemlook : Code: SystemLook 04.09.10 by jpshortstuff |
Mein Avira hat eben gerade noch ein paar Viren gefunden !! Code: Code: |
Hi, irgendwie habe ich das Gefühl, Du lädt Dir die Dinger schneller nach als ich sie beseitigen kann... Kopiere die Datei C:\WINDOWS\LastGood\system32\dllcache\chkdsk.exe in das Verzeichnis c:\windows\system32.... Lass sie aber vorher bei Virustotal überprüfen... Stelle Avira wie folgt ein: http://www.trojaner-board.de/54192-a...tellungen.html Führe einen Systemscan durch und poste das Ergebnis! Lade/installiere Dir Threadfire auf den Rechner... [url]http://www.threatfire.com/de/download/[/ulr] Combofix Ev. alte vorhandenen Combofix entfernen: Start->Ausführen, dann combofix /uninstall reinschreiben und OK drücken... Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet! Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß! Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen. chris |
Combofix ................ Code: ComboFix 10-09-17.04 - Ayhan 19.09.2010 18:01:34.3.1 - x86Und was ist jetzt mit ThreatFire ??? Hab es Installiert !! |
Und..... Was soll ich jetzt mit Threatfire machen, habe es schon installiert !! (es ist die ganze Zeit aktiv!) |
Hi, Threadfire ist ein verhaltensbaiserter Scanner der die ganz Zeit mitläuft und versucht bestimmte "Muster" zu erkennen (z. B. versteckte Treiberinstallationen etc.). Dann schlägt er Alarm und bringt eine Meldung hoch ... Dann ist allerdings wieder die Brain.exe gefragt... Exterm mistrauisch sollte man sein, wenn man Surft und dabei sowas hochkommt ;o)... Weierhin solltest Du Dir einen Guest-Account einrichten mit dem Du surfst, statt mit Adminrechten... chris |
also ist alles weiterhin schon mal so OK ! Wenn ja, bedanke ich mich recht herzlich für deine Hilfe ;):dankeschoen: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 08:45 Uhr. |
Copyright ©2000-2025, Trojaner-Board