|
conhost.exe (Crypt.XPACK.Gen) Hallo Trojaner-Board Team, ich habe mir vorab bereits den Thread http://www.trojaner-board.de/95681-b...gomeo-usw.html durchgelesen, welcher auch die Symptome beschreibt, wie sie bei mir auch vorliegen. Ich habe vor lauter Panik den Temp Ordner in dem sich der Trojaner befand gelöscht und das System 2 Tage zurückgesetzt. Nachdem ich dies gemacht hatte, verschwand die conhost.exe wieder aus dem Taskmanger und erscheint auch nicht mehr. Die Internetseiten kann ich auch alle wieder besuchen, ohne das die Fehlermeldung: Bad Request Your browser sent a request that this server could not understand. Request header field is missing ':' separator. erschient. Ich bin mir nun sehr Unsicher, ob ich den PC wieder Besorgnisslos benutzen kann. In der Anlage habe ich alle erforderlichen Logs und Berichte angefügt. PS auf meinem Desktop befindet sich eine txt. Datei mit diversen kompletten Angaben zu Visa und Masterkarten. Besteht Gefahr für diese Daten? Anlage: # Log von MBAM # defogger_disable.log ( falls vorhanden ) # Gmer.txt ( falls vorhanden ) # OTL.txt # Extras.txt # avira_ergeignisse.txt Anhang 13665 |
Zitat:
Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! |
Guten Morgen cosinus, Danke dass du mir bei meinem Problem behilflich bist. Nach vorheriger Aktualiseriung von Malewarebytes habe ich den Vollscan Suchlauf gestartet. Diesmal ohne weitere Funde. Den ersten Malewarebytes Suchlauf habe ich in meiner Ausgangsnachricht gepostet. Mehr Berichte habe ich nicht bzw. habe ich noch nie ausgeführt. Vollständiger Suchlauf: Zitat:
|
Zitat:
Warum werden diese Adobe Adressen auf deinem Rechner gesperrt? |
Anonymität und die Sicherheit meiner Daten sind mir im Internet sehr wichtig. Mehr dazu unter: Adobe spioniert Nutzer aus: hxxp://www.ratschlag24.com/index.php/adobe-spioniert-nutzer-aus-so-schuetzen-sie-sich/ Falls von Interesse, ich arbeite Hauptberuflich aus Mediengestalter. |
Zitat:
=> Adobe - Produktaktivierungszentrale : Antworten auf hufig gestellte Fragen (FAQ) Zitat:
|
Nachtrag: ich versteh aber nicht so ganz, warum du auch noch alle anderen Adressen sperrst. Wie willst du jemals Adobesoftware aktivieren, wenn du die entsprechenden Adressen auf den localhost erdest? :balla: |
Habe die Einträge erst weit nach der Lizensierung angelegt. Falls Besorgniss um illegale Software besteht kann ich dir gerne den orginalen Kaufbeleg + Rechnung bereitstellen. Ansonsten kann ich mir die Nachfragen nicht erklären oder habe ich den roten Faden verloren und dass trägt zur Lösung des Problems bei? |
Nee, ist nur eine Diskussion am Rande ;) Natürlich werden manche illegalen Versionen auch mit diesen Hosts-Einträgen "geschützt" aber diesen Verdacht hatte ich bei dir nicht ;) Es ging mir bei der Randdiskussion darüber, dass man a) dem Hersteller zwar überhaupt nicht über dem Weg traut aber b) unbedingt dessen Softwareprodukte verwenden will, wo dann durch Tricks Schnüffelgeschichten mehr oder weniger zuverlässig (fragwürdig?) unterbunden werden. Das ist ein wenig "wasch mich aber mach mich nicht nass" Mentalität ;) Nur so als Anregung, ich hör jetzt auch auf, weil es natürlich nicht immer eine adäquate Alternative gibt und man mit den Unzulänglichkeiten halt eben klarkommen muss. Ich seh mir jetzt dein Log weiter an :) |
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. |
Alles nach deinen Ausführungen erledigt. Nach Ende des Fixes fand ein Reboot statt. Zitat:
|
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Zitat:
|
Nicht so wild. Also, noch mal zur Absicherung damit nix schief geht. Zuerst soll ich mit den CCleaner ladern und ausführen und danach dann Combofix starten und ausführen? |
Genau so ist es ;) |
Liste der Anhänge anzeigen (Anzahl: 1) Problem: Combofix meckert rum das AntiVir läuft, dabei läuft es doch gar nicht oder? Siehe Bild im Anhang mit Taskmanager. Conhost.exe ist auch wieder aktiv. Eigentlich dürfte AntiVir ja auch gar nicht laufen, weil wir ja alles aus dem Autostart rausgenommen haben und ich nichts gestartet habe. Wie soll ich verfahren? Combofix starten? Anhang 13705 |
Ja CF einfach starten ;) |
Combofix Logfile: Code: ComboFix 11-02-16.05 - Jonas 17.02.2011 17:31:57.1.4 - x86 |
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
GMER Logfile: Code: GMER 1.0.15.15530 - hxxp://www.gmer.netOSAM Logfile: Code: Report of OSAM: Autorun Manager v5.0.11926.0If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru Zitat:
|
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
Nach deinen Anweisungen und nach jeweiligen Updates die geforderten Kontrolllogs. Zitat:
Zitat:
Habe eben nebenbei auch meinen Laptop mal mit Malewarebytez durchlaufen lassen. Leider wurden dort auch einiges gefunden. Aber dafür sollte ich dann der Übersichtlichkeit halber ein neuen Thread erstellen oder? |
Sieht gut aus. Was hast du denn jetzt noch mit der conhost? Das ist ein legitimer Prozess bzw. eine legitime Datei (Windows Console Host) |
Ich habe nix, alles prima ;) Wenn wir dann soweit durch sind dann bedanke ich mich recht herzlich für deine Mühe und für dein Engagement dich mit meinem Problem zu beschäftigen. Wie oben bereits erwähnt werd ich dann auch noch mit meinem Laptop ein wenig Hilfe benötigen. Aber dafür melde ich mich dann Morgen in aller Ruhe. Wünsche dir dann noch einen schönen Abend. Gruß Jonas. Achso, wie bekomme ich Antivir wieder in den Autostart nachdem du es rausgenommen hast bei einer dieser vielen Aktionen ^^ Weil im Moment lädt null komma nix beim starten. |
Analog nur umgekehrt wie du es deaktiviert hast? :confused: |
Wenn ich mich recht erinnere, wurde die Autostartdatei im gleichem Atemzug wie die host-Datei gelöscht. Ich habe da nichts gemacht, das passierte durch die Eingabe des von dir vorgegebenen Befehls. Oder seh ich das jetzt falsch? |
Nein, Virenscannereinträge hab ich nicht in den OTL-Fixes. Schonmal über msconfig nachgesehen? Laufen alle Dienste von Antivir, nachgesehen über services.msc? |
Liste der Anhänge anzeigen (Anzahl: 2) Anhang 13723 Anhang 13724 Unter den Systemstart existierten früher Einträge von Avira, die gibt es jetzt nicht mehr. Unten rechts wurde mir auch immer das Avira Symbol eingeblendet in der Taskleiste, das gibt jetzt auch nicht mehr. Unter Dienste ist es gestartet, also sollte eigentlich alles ok sein oder? |
Öffne doch mal das Menü Virenscanner und vergewissere dich da nochmal. Ein laufender aktiver Regenschirm ist nur ein optisches nice2have ;) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:38 Uhr. |
Copyright ©2000-2024, Trojaner-Board