|
Laptop öffnet ständig nicht installiertes Viren programm Hallo, ich habe seit heute nachmittag das Problem das ich egal was ich öffenen will... zb. Taskmanager. Zeigt er mir an das es infiziert ist und schließt es gleich wieder. Dann öffnet er einen Virenscanner "Antivirus software alert" oder so heißt das. Wenn ich dann das irgendwo anklicke will er das ich das bezahle. Habe Momentan Avira Antivir drauf... das zeigt mir dauernd an das irgendwas an Virus drauf ist. Das alles hat heut nachmittag angefangen, als ich von meinem Vodafone UMTS Stick auf uns Hausinternes Internet gewechselt habe oder andersrum, hat er mir alles auf Proxy umgestellt. Seit dem kommt hier ständig ne Meldung. Bitte helft mir so schnell wie möglich. |
wenn du meldungen hast, dann sag nicht "irgndwas" sondern gib uns vernünftige auskünfte, also genaue meldungen von avira zb. Systemscan mit OTL download otl: http://filepony.de/download-otl/ Doppelklick auf die OTL.exe (user von Windows 7 und Vista: Rechtsklick als Administrator ausführen) 1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output 2. Hake an "scan all users" 3. Unter "Extra Registry wähle: "Use Safelist" "LOP Check" "Purity Check" 4. Kopiere in die Textbox: netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL explorer.exe iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT 5. Klicke "Scan" 6. 2 reporte werden erstellt: OTL.Txt Extras.Txt wenn das nicht läuft, versuchs im abgesicherten modus, bei pc start mit f8 zu erreichen und dann abgesicherter modus wählen |
hab die datei runtergeladen kann sie aber nicht öffenen... zeigt mir an wäre infiziert. |
ich hab gesagt im abgesicherten modus starten und es dort versuchen, falls es im normalen nicht klappt :-) |
habe das jetzt mit dem OTL gemacht. habe beide dateien als Anhang hinzugefügt. Die OTL als .zip, da sie zu groß war um als txt hochgeladen zu werden. Hoffe du kannst mir helfen. |
kein anhang zu sehen. versuchs bitte noch mal, du kannst beide logs in das archiv packen :-) |
Das ist bei mir im benutzerkontroll zentrum zeigt es mir als anhang an.. habe es jetzt hier nochmal angehängt... |
• Starte bitte die OTL.exe • Kopiere nun das Folgende in die Textbox. :OTL DRV - (NwlnkFwd) -- C:\Windows\System32\DRIVERS\nwlnkfwd.sys File not found DRV - (NwlnkFlt) -- C:\Windows\System32\DRIVERS\nwlnkflt.sys File not found DRV - (IpInIp) -- C:\Windows\System32\DRIVERS\ipinip.sys File not found DRV - (DVDHlp) -- C:\Windows\System32\drivers\DVDHlp.sys File not found DRV - (dsltestSp5) -- C:\Windows\System32\Drivers\dsltestSp5.sys File not found DRV - (AF15BDA) -- C:\Windows\System32\DRIVERS\AF15BDA.sys File not found IE - HKU\S-1-5-21-4090666783-246753001-823937588-1000\..\URLSearchHook: - Reg Error: Key error. File not found O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found O4 - HKU\S-1-5-21-4090666783-246753001-823937588-1000..\Run: [Lvebiejlejc] C:\Users\Anna\AppData\Local\Temp\tt7ut2q.exe () O4 - HKU\S-1-5-21-4090666783-246753001-823937588-1000..\Run: [LvebiejlkdQ] C:\Users\Anna\AppData\Local\Temp\fkcive17.exe () O4 - HKU\S-1-5-21-4090666783-246753001-823937588-1000..\Run: [Lvebiejlpe] C:\Users\Anna\AppData\Local\Temp\csrss.exe () O4 - HKU\S-1-5-21-4090666783-246753001-823937588-1000..\Run: [Lvebiejlqb] C:\Users\Anna\AppData\Local\Temp\winamp.exe () O4 - HKU\S-1-5-21-4090666783-246753001-823937588-1000..\Run: [Lvebiejlqf] C:\Users\Anna\AppData\Local\Temp\user.exe () O4 - HKU\S-1-5-21-4090666783-246753001-823937588-1000..\Run: [Lvebiejlrf] C:\Users\Anna\AppData\Local\Temp\smss.exe () O4 - HKU\S-1-5-21-4090666783-246753001-823937588-1000..\Run: [mcfudhyn] C:\Users\Anna\AppData\Local\Temp\bydbhwusw\ewcscrpusbs.exe () O4 - HKU\S-1-5-21-4090666783-246753001-823937588-1000..\Run: [uPc+nfbhfngnzZCxl] C:\Users\Anna\AppData\Local\Temp\hizmoxh.DLL () O4 - HKU\S-1-5-21-4090666783-246753001-823937588-1000..\Run: [uPc+nfbhfngrhbCxl] C:\Users\Anna\AppData\Local\Temp\zgxt9bp.DLL () O4 - HKU\S-1-5-21-4090666783-246753001-823937588-1000..\Run: [uqrdqkhr] C:\Users\Anna\AppData\Local\Temp\ctvjngujc\prhofqnusbs.exe () O20 - HKLM Winlogon: TaskMan - (C:\Users\Anna\AppData\Roaming\bowcav.exe) - C:\Users\Anna\AppData\Roaming\bowcav.exe () O20 - HKU\S-1-5-21-4090666783-246753001-823937588-1000 Winlogon: Shell - (C:\RECYCLER\S-1-5-21-2107273910-4176474404-202616158-8444\mwau.exe) - C:\RECYCLER\S-1-5-21- [2011.01.11 16:07:46 | 000,217,088 | ---- | C] (KLite Codec Pack) -- C:\Windows\Egytea.exe [2011.01.12 22:57:03 | 000,000,282 | -H-- | M] () -- C:\Windows\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job [2011.01.12 19:23:58 | 000,000,000 | -H-- | M] () -- C:\Windows\tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job [2011.01.12 13:19:05 | 000,090,112 | RHS- | M] () -- C:\Users\Anna\AppData\Roaming\bowcav.exe [2011.01.11 16:07:38 | 000,217,088 | ---- | M] (KLite Codec Pack) -- C:\Windows\Egytea.exe [2011.01.12 17:37:25 | 000,000,000 | -H-- | C] () -- C:\Users\Anna\AppData\Roaming\kegj1iEJbH.txt [2011.01.12 17:36:21 | 000,000,000 | -H-- | C] () -- C:\Users\Anna\AppData\Roaming\k7c8HKm7fJ.txt :Files C:\Users\Anna\AppData\Roaming\Bociti\ehak C:\Users\Anna\AppData\Local\Temp\bydbhwusw C:\Users\Anna\AppData\Local\Temp\ctvjngujc :Commands [purity] [EMPTYFLASH] [emptytemp] [Reboot] • Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren. pc sollte im normal modus starten. öffne, auch wenn nicht verwendet, internetexplorer, extras, internet optionen, verbindung, lanverbindung. dort bei proxy server, eintrag löschen, keinen proxy verwenden auswählen, übernehmen /ok. öffne computer,, c: dann _OTL dort rechtsklick auf moved files wähle zu moved files.rar oder zip hinzufügen. lade das archiv in unserem upload channel hoch. http://www.trojaner-board.de/54791-a...ner-board.html |
Habe es Hochgeladen und heir ist der auszug von der Textdatei :) All processes killed ========== OTL ========== Service NwlnkFwd stopped successfully! Service NwlnkFwd deleted successfully! File C:\Windows\System32\DRIVERS\nwlnkfwd.sys File not found not found. Service NwlnkFlt stopped successfully! Service NwlnkFlt deleted successfully! File C:\Windows\System32\DRIVERS\nwlnkflt.sys File not found not found. Service IpInIp stopped successfully! Service IpInIp deleted successfully! File C:\Windows\System32\DRIVERS\ipinip.sys File not found not found. Service DVDHlp stopped successfully! Service DVDHlp deleted successfully! File C:\Windows\System32\drivers\DVDHlp.sys File not found not found. Service dsltestSp5 stopped successfully! Service dsltestSp5 deleted successfully! File C:\Windows\System32\Drivers\dsltestSp5.sys File not found not found. Service AF15BDA stopped successfully! Service AF15BDA deleted successfully! File C:\Windows\System32\DRIVERS\AF15BDA.sys File not found not found. Registry key HKEY_USERS\S-1-5-21-4090666783-246753001-823937588-1000\Software\Microsoft\Internet Explorer\URLSearchHooks\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found. Registry value HKEY_USERS\S-1-5-21-4090666783-246753001-823937588-1000\Software\Microsoft\Windows\CurrentVersion\Run\\{2E9C398C-8059-AFF8-6A34-1B69DE9F684D} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2E9C398C-8059-AFF8-6A34-1B69DE9F684D}\ not found. C:\Users\Anna\AppData\Roaming\Bociti\ehak.exe moved successfully. Registry value HKEY_USERS\S-1-5-21-4090666783-246753001-823937588-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Lvebiejlejc deleted successfully. C:\Users\Anna\AppData\Local\Temp\tt7ut2q.exe moved successfully. Registry value HKEY_USERS\S-1-5-21-4090666783-246753001-823937588-1000\Software\Microsoft\Windows\CurrentVersion\Run\\LvebiejlkdQ deleted successfully. C:\Users\Anna\AppData\Local\Temp\fkcive17.exe moved successfully. Registry value HKEY_USERS\S-1-5-21-4090666783-246753001-823937588-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Lvebiejlpe deleted successfully. C:\Users\Anna\AppData\Local\Temp\csrss.exe moved successfully. Registry value HKEY_USERS\S-1-5-21-4090666783-246753001-823937588-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Lvebiejlqb deleted successfully. C:\Users\Anna\AppData\Local\Temp\winamp.exe moved successfully. Registry value HKEY_USERS\S-1-5-21-4090666783-246753001-823937588-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Lvebiejlqf deleted successfully. C:\Users\Anna\AppData\Local\Temp\user.exe moved successfully. Registry value HKEY_USERS\S-1-5-21-4090666783-246753001-823937588-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Lvebiejlrf deleted successfully. C:\Users\Anna\AppData\Local\Temp\smss.exe moved successfully. Registry value HKEY_USERS\S-1-5-21-4090666783-246753001-823937588-1000\Software\Microsoft\Windows\CurrentVersion\Run\\mcfudhyn deleted successfully. C:\Users\Anna\AppData\Local\Temp\bydbhwusw\ewcscrpusbs.exe moved successfully. Registry value HKEY_USERS\S-1-5-21-4090666783-246753001-823937588-1000\Software\Microsoft\Windows\CurrentVersion\Run\\uPc+nfbhfngnzZCxl deleted successfully. C:\Users\Anna\AppData\Local\Temp\hizmoxh.DLL moved successfully. Registry value HKEY_USERS\S-1-5-21-4090666783-246753001-823937588-1000\Software\Microsoft\Windows\CurrentVersion\Run\\uPc+nfbhfngrhbCxl deleted successfully. C:\Users\Anna\AppData\Local\Temp\zgxt9bp.DLL moved successfully. Registry value HKEY_USERS\S-1-5-21-4090666783-246753001-823937588-1000\Software\Microsoft\Windows\CurrentVersion\Run\\uqrdqkhr deleted successfully. C:\Users\Anna\AppData\Local\Temp\ctvjngujc\prhofqnusbs.exe moved successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\TaskMan:C:\Users\Anna\AppData\Roaming\bowcav.exe deleted successfully. C:\Users\Anna\AppData\Roaming\bowcav.exe moved successfully. Registry value HKEY_USERS\S-1-5-21-4090666783-246753001-823937588-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\RECYCLER\S-1-5-21-2107273910-4176474404-202616158-8444\mwau.exe deleted successfully. File C:\RECYCLER\S-1-5-21- not found. C:\Windows\Egytea.exe moved successfully. C:\Windows\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job moved successfully. C:\Windows\Tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job moved successfully. File C:\Users\Anna\AppData\Roaming\bowcav.exe not found. File C:\Windows\Egytea.exe not found. C:\Users\Anna\AppData\Roaming\kegj1iEJbH.txt moved successfully. C:\Users\Anna\AppData\Roaming\k7c8HKm7fJ.txt moved successfully. ========== FILES ========== File\Folder C:\Users\Anna\AppData\Roaming\Bociti\ehak not found. C:\Users\Anna\AppData\Local\Temp\bydbhwusw folder moved successfully. C:\Users\Anna\AppData\Local\Temp\ctvjngujc folder moved successfully. ========== COMMANDS ========== [EMPTYFLASH] User: All Users User: Anna ->Flash cache emptied: 8408214 bytes User: Default User: Default User User: Public Total Flash Files Cleaned = 8,00 mb [EMPTYTEMP] User: All Users User: Anna ->Temp folder emptied: 53974521 bytes ->Temporary Internet Files folder emptied: 970866033 bytes ->Java cache emptied: 15886545 bytes ->FireFox cache emptied: 60718850 bytes ->Google Chrome cache emptied: 451305567 bytes ->Apple Safari cache emptied: 5257216 bytes ->Opera cache emptied: 16299395 bytes ->Flash cache emptied: 0 bytes User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Public %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 54616829 bytes RecycleBin emptied: 568086 bytes Total Files Cleaned = 1.554,00 mb OTL by OldTimer - Version 3.2.20.1 log created on 01132011_162645 Files\Folders moved on Reboot... Registry entries deleted on Reboot... |
machst du onlinebanking /einkäufe? |
jap... wieso? jetzt ist es weg... danke viel mals... weißt du auch was das für ein virus war? |
ja, du hattest nicht nur ein fake antivirus, du hattest einen zbot trojaner, der hat es insbesondere auf deine bank und sonstigen daten abgesehen. deswegen: unbedingt sofort die bank anrufen, online banking muss gesperrt werden. falls du hast, nen sauberen pc nutzen, passwörter endern. da solche trojaner hintertüren öffnen können, kannst du von diesem system aus kein banking oder keine einkäufe mehr machen, bis es neu aufgesetzt wurde. deswegen: Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de deaktiviere autorun, und fange an deine daten zu sichern. danach wirst du das system neu aufsetzen müssen und ich zeige dir, wie du es richtig absicherst. |
das mit den banken dürfte sich schwer tun... haben 3 Konten laufen über online banking...ich muss aber täglich auf banking zu greifen. habe keinen anderen PC... bin bei so vielen angemeldet da weiß ich gar net wo ich über all passwörter ändern muss... wo soll ich denn meine daten sichern? hab nix anderes und neu aufsetzten? hab ich momentan auch keine gelegenheit dazu... gibt es keinen anderen weg? :( |
klar. du kannst die gefahr eingehen, dass irgendjemand alle 3 konten leer räumt und du dann einen langen kampf mit der bank austragen musst um dein geld zurück zu bekommen. oder du lässt jetzt sofort die konten sperren, oder denkst du ich sag das aus langerweile.... außerdem, wo liegt die schwierigkeit 3 banken anzurufen... alle haben notfall nummern und das ist in ner halben stunde erledigt. also solltest du mal das risiko aufrechnen, 3 geplünderte konten vorzufinden, oder die mühen sie sperren zu lassen. über backups macht man sich halt mal früher gedanken, was würdest du zb tun, wenn mal deine festplatte kaputt ist, ne daten rettung kostet einige hundert €, also, sollte man über den kauf einer externen festplatte nachdenken, oder du musst eben alles brennen. also wichtige dokumente etc, dass muss alles von c: runter befor wir anfangen. |
okay hab mir grad mal die externe vom kumpel geborgt... mach da jetzt alles drauf... habe hier eine Reinstllations DVD für Vista... kann ich die nehmen um mein System neu aufzusetzten? |
genau. aber sag mir vorher bescheid, dann gebe ich dir genaue anweisungen. und wie gesagt unbedingt das onlinebanking sperren, es gibt bei einigen banken schwierigkeiten das geld zurückzubekommen also gehe kein risiko ein, ich würds nicht tun, wenns mein geld währe. |
hab grad versucht bei meiner bank anzurufen. Da ist leider keiner mehr da :( und nun? Edit: Von meiner Freundin der Vater, weil is ja der Laptop meiner Freundin, Will das am WE selbst machen weil er das auch beruflich oder so macht. ich versuch nochmal bei der bank anzurufen und an sonsten melde ich mich bei dir wieder wenn wir den laptop nach dem WE wieder haben. |
es gibt bei jeder bank notfall nummern. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 19:12 Uhr. |
Copyright ©2000-2025, Trojaner-Board