|
Trojan.BHO gefunden => Systemzustand? Hallo, auf einem PC (Vista SP1, Avira Premium Security Suite) wurde vor ca. 1 Woche festgestellt, dass der Virenscanner nicht mehr arbeitete. In der Taskleiste war das Avira-Symbol verschwunden. Beim manuellen Start des Scanners kam folgende Meldung: <The application module "C:\Program Files\Avira\AntiVir Desktop\ccwkrlib.dll" cannot be found or has been modified or destroyed. The AVGNT.EXE cannot be started. Please check your installation.> Ich habe dann zunächst mit der Avira-CD den Virenscanner noch mal installiert (vorher aber nicht deinstalliert!). Er lief dann auch wieder. Danach hat Malwarebytes' Anti-Malware bei einem Scan an drei Stellen den "Trojan.BHO" gefunden und entfernt (siehe "mbam-log-2010-11-09 (18-00-03).txt"). Komisch war dann allerdings folgendes: Ich habe die angeblich infizierte und deshalb gelöschte Datei "toolbaru.dll" testweise wiederhergestellt und noch mal im Explorer über das Kontextmenü mit Malwarebytes' Anti-Malware geprüft. Jetzt wurde kein Virus angezeigt! Meine Frage is nun, ob ich den PC wieder als "sauber" betrachten kann. Ich habe deshalb mit OTL einen Scan ausgeführt und die beiden Logfiles (siehe "OTL.Txt", "Extras.Txt") erstellt. Kann jemand die Logfiles prüfen? Und warum war der Avira-Scanner defekt? Der "Trojan.BHO" ist doch schon älter, da hätte er vom Avira-Scanner doch längst erkannt werden können, oder? Im Voraus schon mal vielen Dank! Viele Grüße Rudi60 |
Hallo und Herzlich Willkommen! :) Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]: Zitat:
Die vermutliche Ursache für dein Problem mit Avira, könnte die aktive Abwesenheit von ein zweites Antivirenprogramm, Symantec (Reste) sein...? 1. - Lade dir Random's System Information Tool (RSIT) von random/random herunter - an einen Ort deiner Wahl und führe die rsit.exe aus - wird "Hijackthis" auch von Rsit installiert und ausgeführt - RSIT erstellt 2 Logfiles (C:\rsit\log.txt und C:\rsit\info.txt) mit erweiterten Infos von deinem System - diese beide bitte komplett hier posten **Kannst Du das Log in Textdatei speichern und hier anhängen (auf "Erweitert" klicken) 2. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool "Ccleaner" herunter → "Download"→ " Download from FileHippo.com" installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein Zitat:
Coverflow |
Hallo Coverflow, danke für Deine schnelle Antwort. Ich kann die gewünschten Infos leider nicht so spontan zur Verfügung stellen, da es sich um den PC eines Bekannten handelt, und da muss ich dann erst immer hinfahren. Ich denke, dass es in den nächsten Tagen klappt. Viele Grüße Rudi60 |
Hallo Coverflow, sorry, aus beruflichen Gründen hat es mit den Dateien etwas gedauert. Jetzt habe ich sie erstellt. Die RSIT-Dateien wie gewünscht als Anhang. Und hier die Liste der installierten Programme aus CCleaner. Code: Activation Assistant for the 2007 Microsoft Office suites Microsoft Corporation 22.08.2007 13,5MB Viele Grüße Rudi60 |
Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen 1. Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked" klicken→ PC neu aufstarten): HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen Code: R3 - URLSearchHook: (no name) - - (no file)Code: LiveUpdate 3.2 (Symantec Corporation) Symantec Norton Antivirus vollständig zu deinstallieren - gehe auf der Symantec-Webseite und suche nach den speziellen Deinstallations-Tools, mit denen die letzten Reste (auch) entfernt werden sollten:► Norton Removal Tool (für alle Produkte ab 2003 bis 2008) von hier herunterladen oder hier: Norton Removal Tool für alle Produkte ab 2003 bis 2010 / wintotal.de 3. Alte Java Versionen wegen Anfälligkeit sollte entfernt werden: `Systemsteuerung → Software → Ändern/Entfernen...` Code: Java(TM) 6 Update 2den Java-Cache leeren - wie unter Punkt 7. u. 8. beschrieben *klick über Systemsteuerung -> Java... 5. alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind,nicht löschbar. c:\windows\temp - anschließend den Papierkorb leeren 6. reinige dein System mit Ccleaner:
7. >>Du sollst nicht die Antivirus-Sicherheitssoftware installieren, sondern dein System nur online scannen<< Auch auf USB-Sticks, selbstgebrannten Datenträgern, externen Festplatten und anderen Datenträgern können Viren transportiert werden. Man muss daher durch regelmäßige Prüfungen auf Schäden, die durch Malware ("Worm.Win32.Autorun") verursacht worden sein können, überwacht werden. Hierfür sind ser gut geegnet und empfohlen, die auf dem Speichermedium gesicherten Daten, mit Hilfe des kostenlosen Online Scanners zu prüfen. Schließe jetzt alle externe Datenträgeran (USB Sticks etc) Deinen Rechner an, dabei die Hochstell-Taste [Shift-Taste] gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. (So verhindest Du die Ausführung der AUTORUN-Funktion) - Man kann die AUTORUN-Funktion aber auch generell abschalten.► [Sicherheit] Autorun Funktion für mehr Sicherheit auf allen Laufwerken deaktivieren /Avira Support Forum Führe dann einen Komplett-Systemcheck mit Nod32 durch - folgendes bitte anhaken > "Remove found threads" und "Scan archives" - die Scanergebnis als *.txt Dateien speichern) - meistens "C:\Programme\Eset\EsetOnlineScanner\log.txt" - "Link:-> ESET Online Scanner Vor dem Scan Einstellungen im Internet Explorer: - "Extras→ Internetoptionen→ Sicherheit": - alles auf Standardstufe stellen - Active X erlauben 8. poste erneut - nach der vorgenommenen Reinigungsaktion: TrendMicro™ HijackThis™ -Logfile - Keine offenen Fenster, solang bis HijackThis läuft!! |
Hallo Coverflow, die Maßnahmen werde ich erst in 1-2w machen können, weil es wie gesagt nicht mein PC ist. Frage zu Deinem Post in Pkt 7 (Online Scan): Muss ich den Scan mit dem Internet Explorer machen oder geht auch Firefox? Ich weiß nicht, ob der IE auf dem aktuellsten Stand ist. Wenn Firefox auch geht: Muss ich da bei den Sicherheitseinstellungen was beachten? (Ein Menü "Internetoptionen" gibt es da nicht?) Viele Grüße Rudi60 |
Zitat:
- um den Scan zu starten: wenn du danach gefragt wirst (den Text in der Informationsleiste ) - "ActiveX-Steuerelement" installieren lassen Ausserdem Java muss aktiviert sein Einstellung für den IE, gehe bitte wie folgt vor: Zitat:
|
Hallo Coverflow, ich habe jetzt die von Dir vorgeschlagenen Maßnahmen durchgeführt. Alles hat geklappt. Nur der Scan mit dem Online-Scanner ging nicht, weil er beim Runterladen der Signaturen nach 5% abgebrochen hat (Meldung "Ist ein Proxy eingerichtet?"). Da wusste ich nicht weiter. Muss ein Proxy eingerichtet sein? Im Anhang noch das Log-file des Scans mit HijackThis. Wäre schön, wenn Du dazu noch mal ein Feedback geben könntest. Viele Grüße Rudi60 |
- Hast Du dein Avira deaktiviert (für den Scanvorgang mit Eset/Nod32)? - verwendest Du im Internet Explorer einen Proxy?: http://www.rrze.uni-erlangen.de/dien...8.shtml#name12 über das Menü Extras-> Internetoptionen-> Verbindungen-> den Unterpunkt LAN-Einstellungen - Pluggins/Addons deaktiviert? - Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked" klicken→ PC neu aufstarten): HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen Code: O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 06:58 Uhr. |
Copyright ©2000-2025, Trojaner-Board