|
Trojaner: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ Hi, mir ist es jetzt auch passiert - ich habe mir einen Trojaner eingefangen :( Symptome waren a) Firefox stürzt beim Start ab - IE funktioniert, bleibt aber auch öfter "hängen" b) Windows Update funktioniert nicht (benutze Windows 7) c) Lenovo Update funktioniert nicht d) MS Security Essentials kann die neusten Virendefinitionen nicht downloaden Was ich dann gemacht habe a) McAffee Stinger benutzt: 2 Trojaner identifiziert und entfernt b) BitDefender benutzt: 1 Trojaner identifiziert (Backdoor.Bot.128189) und entfernt Symptome waren immer noch da. Dann bin ich auf dieses Forum gestossen und habe a) 4 x Malewarebytes laufen lassen. Es wurde immer wieder der gleiche Trojaner (sah zumindest für mich so aus) identifiziert und entfernt - beim letzten Mal war das Logfile aber sauber b) OLT laufen lassen Die Logfiles sind im Anhang. Ich kann den OLT nicht interpretieren - Hilfe! Bin ich den Trojaner jetzt los??? Danke!!! caecilia |
Hi, Achtung: Falls noch nicht erfolgt, von einem sauberen Rechner aus SOFORT alle Passwörter ändern (Ebay etc.). Die werden mit "abgefischt". Der Banker ist noch da: O36 - AppCertDlls: Dismtray - (C:\Windows\system32\charicli.dll) - C:\Windows\System32\charicli.dll () Datei hochladen: http://www.trojaner-board.de/54791-a...ner-board.html Folge den Anweisungen dort und lade die Datei: Code: C:\Windows\System32\charicli.dllIch möchte was probieren, Cureit sollte Ihn finden, falls nicht werden wir ihn mit OTL "ausheben"... Cureit: http://www.trojaner-board.de/59299-a...eb-cureit.html Nach Beendigung des Scans findes Du das Log unter %USERPROFILE%\DoctorWeb\CureIt.log. Bevor du irgendwelche Aktionen unternimmst, kopiere bitte den Inhalt des Logs und poste ihn. Die Log Datei ist sehr groß, ca. über 5MB Text. Benutzt einfach die Suche nach "infiziert" und kopiert betreffende Teile heraus, bevor Du sie postet. chris |
Hi Chris, super-vielen Dank für deine Nachricht! Dachte mir schon, dass es das noch nicht gewesen ist - mist. Werde gleich noch die Passwörter ändern und mich dann wieder melden. Danke!!! caecilia |
Hi, lade die Datei wie beschrieben bei uns hoch... Dann Dr. Web/Cureit laufen lassen... chris |
Ok, habe die Datei hochgeladen und lasse jetzt Dr. Web laufen. Der Scan hat auch bereits etwas gefunden - soll ich das dann gleich entfernen? Danke & LG |
Hi Chris, du hattest recht, genau in dieser "charicli.dll" Datei - lasse die jetzt desinfizieren und den Scan weiterlaufen. caecila |
Hi, gut, es ist lt. virustotal.com der einzigste scanner der das teil kennt... tzzz... Poste wie beschrieben das Log von Dr. Web (nur die Zeilen mit "infiziert") und erstelle und poste ein neues OTL-Log... chris |
Hi Chris, Quickscan von Dr. Web ist durchgelaufen, jetzt laeuft der Komplettscan - der dauert ewig, bitte nicht weggehen!!! caecilia |
Hi, und was sagt der gute Dr. Web? Poste danach bitte auch noch ein neues OTL-Log... chris |
Hi Chris, Dr. Web laeuft immer noch. Ist das normal, dass es so lange dauert? Der Scan laeuft jetzt ca. 9 h und wie es aussieht, braucht er noch mal 9 h. Er hat aber den "charicli.dll" gefunden und noch drei andere Sachen (java downloader?). Fuerchte ich werde das logfile erst morgen frueh posten koennen - bist Du morgen evtl. auch online??? Waere super... Vielen, vielen Dank! caecilia |
Hi, gegen Abend oder Nachmittag vielleicht... Du könntest offline gehen und dann Deinen eigenen Scanner/Guard abschalten, so wird wahrscheinlich alles zweimal gescannt, erst prüft der eine dann der andere Scanner die Datei... Java wird zur Zeit gerne verseucht bzw. liegt die Malware im deployment-cache... Den würde ich dann auch ganz löschen, nach ende des scanns: Deployment-Cache löschen: Folge den Anweisungen auf dieser Seite Virus im Cache-Verzeichnis von Java Runtime Environment (JRE) gefunden und dann dem Abschnitt "Lösung"... Allerdings sind 18h Laufzeit ungewöhnlich... chris |
Hi Chris, bin jetzt offline, allerdings kann ich meinen Virenscanner nicht unterbrechen, da der Dr. Web im erweiterten Schutzmodus arbeitet. Dr. Web arbeitet nur mit 26 kb/s. Liegt vermutlich an meinem eigenen Virenscanner, mist... Werde das dann mit dem Cache gleich nach dem Scan machen. Danke! Melde mich dann morgen mit den logs! LG caecila |
Hi, ok, bis heute Abend... Ich sollte jetzt auch Schluß machen.... chris |
Hi Chris, endlich ist der Komplettscan von Dr. Web durch. Hier die Teile vom log zu "infiziert": [Speicherscannen] Speichervorgang: C:\Windows\System32\svchost.exe:1036 infiziert mit BackDoor.Tdss.565 – beseitigt Master Boot Record HDD1 infiziert mit BackDoor.Tdss.4005 C:\Windows\system32\charicli.dll infiziert mit BackDoor.Spy.649 – gelöscht "Hier musste ich dann einen Neustart machen, um den "Master Boot Record HDD1 infiziert mit BackDoor.Tdss.4005" zu entfernen. Das, was jetzt kommt, interpretiere ich so, dass es entfernt wurde, ja?" Master Boot Record HDD1 - OK Active OS/2 or WinNT Boot Sector HDD1 - OK OS/2 or WinNT Boot Sector HDD1 - OK "Dann der Komplettscan" >C:\Documents and Settings\XXX\AppData\Local\Application Data\Temp\jar_cache2340189119492130117.tmp/cale/calecalea.class infiziert mit Java.Downloader.93 C:\Documents and Settings\XXX\AppData\Local\Application Data\Temp\jar_cache2340189119492130117.tmp - Archiv enthält infizierte Objekte – verschoben >C:\Documents and Settings\XXX\AppData\Local\Application Data\Temp\jar_cache933845442483268437.tmp/JavaUpdater.class infiziert mit Java.Downloader.106 C:\Documents and Settings\XXX\AppData\Local\Application Data\Temp\jar_cache933845442483268437.tmp - Archiv enthält infizierte Objekte – verschoben C:\Documents and Settings\XXX\Desktop\charicli.dll infiziert mit BackDoor.Spy.649 – gelöscht >C:\Documents and Settings\XXX\DoctorWeb\Quarantine\jar_cache2340189119492130117.tmp/cale/calecalea.class infiziert mit Java.Downloader.93 C:\Documents and Settings\XXX\DoctorWeb\Quarantine\jar_cache2340189119492130117.tmp - Archiv enthält infizierte Objekte – verschoben >C:\Documents and Settings\XXX\DoctorWeb\Quarantine\jar_cache933845442483268437.tmp/JavaUpdater.class infiziert mit Java.Downloader.106 C:\Documents and Settings\XXX\DoctorWeb\Quarantine\jar_cache933845442483268437.tmp - Archiv enthält infizierte Objekte – verschoben ============================================================================= Gesamtsitzungsstatistik ============================================================================= Gescannt: 1287175 Infiziert: 5 Modifikationen: 0 Verdächtig: 0 Adware: 0 Dialer: 0 Scherzprogramme: 0 Riskware: 0 Hacktools: 0 Desinfiziert: 0 Gelöscht: 1 Umbenannt: 0 Verschoben: 4 Ignoriert: 0 Geschwindigkeit:: 35 Kb/s Dauer:: 14:32:19 ============================================================================= Hat also nicht 19 h, sondern 14,5 h gedauert :) Als ich die Internetverbindung unterbrochen habe, ging es schneller. Ich habe jetzt noch die 4 Objekte im DoctorWeb\Quarantine. Die müssen noch gelöscht werden, ja? Ich hatte die empfohlenen Einstellungen für Dr. Web genutzt. Wie lösche ich die Dinger jetzt? Habe dann Deinen Rat befolgt und den Java Cache manuell gelehrt. Dann noch mal OLT laufen lassen, die Files sind anbei. Was machen wir jetzt? Danke & LG, caecilia |
Hi, JAVA Deine Javasoftware ist veraltet! Download Java-Downloads für alle Betriebssysteme Schliesse alle Programme auch Deinen Webbrowser Über "Start -> Einstellungen -> Systemsteuerung -> Software entferne alle älteren Versionen von Java Runtime Environment (JRE of J2SE) Auch auf C:\Programme\Java entfernen! Nachdem alles entfernt wurde --->Rechner neu starten Installiere jetzt vom Desktop aus die neue Version! OTL:
Code: :OTL
System Reparieren: Lade Dir "Advanced Windowscare Professional" von folgender Adresse: Advanced SystemCare Free Download Review for Windows XP/Vista/7 | IObit Installieren auf Deutsch, Yahoo-Toolbar etc. abwählen. Erstelle einen Systemwiederherstellungspunkt (Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen) oder lasse ihn automatisch erstellen. Lasse dann das gesamte System scannen und Bereinigen sowie Immunisieren. Damit werden einige Einträge wieder gerade gebogen, die von Trojaneren/Viren verbogen worden sind... Die Quarantäne von Cureit sollte sich unter C:\Dokumente und Einstellungen\<DeinBenutzername>\DoctorWeb befinden und kann gelöscht werden... chris |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 06:42 Uhr. |
Copyright ©2000-2024, Trojaner-Board