|
Schritt 1: Hoffentlich erfolgreich erledigt Schritt 2: All processes killed ========== OTL ========== Prefs.js: "hxxp://search.babylon.com/?babsrc=SP_ss&mntrId=c4641de1000000000000001cbf15ccfe&tlver=1.4.19.19&instlRef=sst&ss=1&affID=17395&q=" removed from keyword.URL Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions\ deleted successfully. Registry key HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\ deleted successfully. ========== COMMANDS ========== [EMPTYTEMP] User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: All Users User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 32902 bytes ->FireFox cache emptied: 0 bytes User: xxx ->Temp folder emptied: 655055 bytes ->Temporary Internet Files folder emptied: 296066 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 94140620 bytes ->Google Chrome cache emptied: 0 bytes ->Flash cache emptied: 679 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 0 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 91,00 mb OTL by OldTimer - Version 3.2.22.3 log created on 05222011_034405 Files\Folders moved on Reboot... File\Folder C:\WINDOWS\temp\_avast5_\Webshlock.txt not found! Registry entries deleted on Reboot... |
Puh Schritt 3 dauert sehr lange...bin sehr müde und hoffe den rest morgen reporten zu können...Gute Nacht |
Hmmm...nun...Schritt3 ist doch noch zum Ende gekommen... Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 6637 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 22.05.2011 04:33:07 mbam-log-2011-05-22 (04-33-07).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 198815 Laufzeit: 33 Minute(n), 28 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\dokumente und einstellungen\xxx\Desktop\everest poker.exe (PUP.Casino) -> Quarantined and deleted successfully. |
Schritt 4: ESETSmartInstaller@High as downloader log: all ok # version=7 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6427 # api_version=3.0.2 # EOSSerial=da4c356222098c499780108cf6ac6140 # end=finished # remove_checked=false # archives_checked=false # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2011-05-23 12:57:41 # local_time=2011-05-23 02:57:41 (+0100, Westeuropäische Sommerzeit) # country="Germany" # lang=1033 # osver=5.1.2600 NT Service Pack 3 # compatibility_mode=770 16774141 100 100 21548466 82820146 0 0 # compatibility_mode=8192 67108863 100 0 0 0 0 0 # scanned=62734 # found=5 # cleaned=0 # scan_time=1990 C:\WINDOWS\temp\_avast_\unp92040733.tmp Win32/Adware.Toolbar.Shopper application (unable to clean) 00000000000000000000000000000000 I C:\WINDOWS\temp\_avast_\unp92178573.tmp Win32/Adware.Toolbar.Shopper application (unable to clean) 00000000000000000000000000000000 I C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Eigene Musik\old staff\Alben div Interpreten\Rihanna - Good Girl Gone Bad Reloaded (2008)\08-rihanna-sell_me_candy.mp3 a variant of WMA/TrojanDownloader.GetCodec.gen trojan (unable to clean) 00000000000000000000000000000000 I C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Eigene Musik\old staff\Alben div Interpreten\Coldplay - Viva La Vida or Death And All His Friends\03 - Coldplay - Lost!.mp3 a variant of WMA/TrojanDownloader.GetCodec.gen trojan (unable to clean) 00000000000000000000000000000000 I C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\OpenCandy\E164F21E73B64421A264EE246EB02366\registrybooster(9).exe a variant of Win32/RegistryBooster application (unable to clean) 00000000000000000000000000000000 I |
Schritt 5 : aswMBR version 0.9.5.256 Copyright(c) 2011 AVAST Software Run date: 2011-05-23 03:07:45 ----------------------------- 03:07:45.421 OS Version: Windows 5.1.2600 Service Pack 3 03:07:45.421 Number of processors: 2 586 0xF0D 03:07:45.421 ComputerName: xxx UserName: 03:07:46.140 Initialize success 03:07:50.375 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-e 03:07:50.375 Disk 0 Vendor: ST9120822AS 3.ALC Size: 114473MB BusType: 3 03:07:52.453 Disk 0 MBR read successfully 03:07:52.453 Disk 0 MBR scan 03:07:52.453 Disk 0 unknown MBR code 03:07:54.453 Disk 0 scanning sectors +234436545 03:07:54.515 Disk 0 scanning C:\WINDOWS\system32\drivers 03:07:59.265 Service scanning 03:08:00.687 Disk 0 trace - called modules: 03:08:00.765 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll sfsync02.sys atapi.sys pciide.sys PCIIDEX.SYS 03:08:00.765 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8a5c4ab8] 03:08:00.765 3 CLASSPNP.SYS[ba0e8fd7] -> nt!IofCallDriver -> \Device\00000076[0x8a6d53a8] 03:08:00.765 5 ACPI.sys[b9f7e620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP1T0L0-e[0x8a5bd368] 03:08:00.765 \Driver\atapi[0x8a6cb450] -> IRP_MJ_INTERNAL_DEVICE_CONTROL -> sfsync02.sys[0xba338d60] 03:08:00.953 Scan finished successfully 03:08:20.046 Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\xxx\Desktop\MBR.dat" 03:08:20.046 The log file has been saved successfully to "C:\Dokumente und Einstellungen\xxx\Desktop\aswMBR.txt" |
Schritt 6: Results of screen317's Security Check version 0.99.11 Windows XP Service Pack 3 Internet Explorer 8 `````````````````````````````` Antivirus/Firewall Check: avast! Free Antivirus ESET Online Scanner v3 ``````````````````````````````` Anti-malware/Other Utilities Check: Malwarebytes' Anti-Malware Adobe Flash Player 10.2.153.1 Adobe Reader X (10.0.1) - Deutsch Mozilla Firefox (3.6.17) Firefox Out of Date! ```````````````````````````````` Process Check: objlist.exe by Laurent Alwil Software Avast5 AvastSvc.exe Alwil Software Avast5 avastUI.exe ``````````End of Log```````````` |
So das sollte ich für heute geschafft haben... findest du das das bis hier her ganz gut verläuft? bzw. wie hoch kann man die Infizierung einschätzen? Morgen Nacht hab ich sicher wieder 5000 neue Schritte im Postfach....Grins! Da freu ich mich ja jetzt schon drauf... Gute Nacht |
Hallo Noncosi, Zitat:
Zitat:
Zitat:
Zwei deiner MP3 Dateien sind mit einem Trojaner infiziert: Zitat:
Schritt # 1: Fix mit OTL
Code: :OTL
Schritt # 2: Fragen beantworten Bitte beantworte mir folgende Fragen:
Schritt # 3: Deine Rückmeldung Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
|
Schritt 1: All processes killed ========== OTL ========== ========== FILES ========== File/Folder C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Eigene Musik\old staff\Alben div Interpreten\Rihanna - Good Girl Gone Bad Reloaded (2008)\08-rihanna-sell_me_candy.mp3 not found. File/Folder C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Eigene Musik\old staff\Alben div Interpreten\Coldplay - Viva La Vida or Death And All His Friends\03 - Coldplay - Lost!.mp3 not found. ========== COMMANDS ========== [EMPTYTEMP] User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: All Users User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->FireFox cache emptied: 0 bytes User: Matthias Förster ->Temp folder emptied: 698429 bytes ->Temporary Internet Files folder emptied: 486258 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 92679297 bytes ->Google Chrome cache emptied: 0 bytes ->Flash cache emptied: 775 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 1388544 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 91,00 mb OTL by OldTimer - Version 3.2.22.3 log created on 05242011_020853 Files\Folders moved on Reboot... File\Folder C:\WINDOWS\temp\_avast5_\Webshlock.txt not found! Registry entries deleted on Reboot... Schritt 2: Der Rechner lief bisher eigentlich immer gut bis auf bereits beschriebene Fehlermeldung nach dem Hochfahren des Rechners. Ansonsten gibts nichts zu meckern. P.s.: Na heute hast du mich zur Abwechslung ja mal mit unzähligen Zahlen und Buchstaben posten verschont! |
Hallo Noncosi, Zitat:
Vergewissere dich, dass die folgenden beiden Dateien nicht mehr vorhanden sind: Zitat:
Wenn du keine Probleme mehr hast, dann sind wir hier fertig. Dein Rechner ist sauber. :daumenhoc Zum Schluss müssen wir noch ein paar abschließende Schritte unternehmen, um deinen Pc aufzuräumen und abzusichern. Schritt # 1: ComboFix deinstallieren Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren. Windows-Taste + R drücken. Kopiere nun folgende Zeile in die Kommandozeile und klicke OK. Code: Combofix /UninstallDamit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch aus dieser die Schädlinge verschwinden. Nun die eben deaktivierten Programme wieder aktivieren. Schritt # 2: Systembereinigung mit OTL Als Nächstes müssen wir alle Programme, die zur Malwarebeseitigung notwendig waren, entfernen:
Schritt # 3: Programme deinstallieren/löschen
Schritt # 4: ESET Online Scanner
Schritt # 5: Windows Update aktivieren Sehen wir nach ob die Updates für Windows sich automatisch downloaden. Das ist der beste Weg um all die Sicherheits- Patches und Fixes zu erhalten.
Schritt # 6: Schutz vor weiteren Infektionen Damit du in Zukunft vor ähnlichen Infektionen geschützt bist, empfehle ich dir noch ein paar nützliche Programme inklusive ein paar Tipps.
Schritt # 7: Deine Rückmeldung Bitte gib mir kurz Bescheid, wenn alles erledigt ist und du keine Fragen mehr hast, damit ich das Thema aus meinen Abos löschen kann. |
Hallo M-K-D-B, erst einmal möchte ich mich herzlich für deine Hilfe bedanken, alleine hätte ich das nie geschafft! Vielen Dank! Ich habe noch einmal geschaut ob genannte Musikdateien noch gelistet wurden-war so- und habe diese dann wie du meintest in den Papierkorb geschoben und gelöscht. Besagte Programme habe ich gelöscht und mir Spyblaster runtergeladen sowie Eset weiterhin auf dem Rechner behalten. Abschließend hab ich noch eine Frage: Über die Fehlermeldung (wie bereits schon mal gepostet) beim Hochfahren des Rechners brauch ich mir keine Gedanken machen? Und wegen meinem anderen Rechner empfiehlst du mir die Abteilung Hardware? Ich danke dir nochmal sehr für die tolle und verständliche Unterstützung! |
Vom Eset Online Scanner bekomme ich übrigens noch folgende Virusfunde: Win32/RegistryBooster application sowie WMA/TrojanDownloader.GetCodex.gen trojan Was mach ich damit? |
Hallo Noncosi, Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
|
ESETSmartInstaller@High as downloader log: all ok # version=7 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6427 # api_version=3.0.2 # EOSSerial=da4c356222098c499780108cf6ac6140 # end=finished # remove_checked=false # archives_checked=false # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2011-05-25 05:15:57 # local_time=2011-05-25 07:15:57 (+0100, Westeuropäische Sommerzeit) # country="Germany" # lang=1033 # osver=5.1.2600 NT Service Pack 3 # compatibility_mode=770 16774141 100 100 21780473 83052153 0 0 # compatibility_mode=8192 67108863 100 0 0 0 0 0 # scanned=54331 # found=2 # cleaned=0 # scan_time=1478 C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Eigene Musik\old staff\Alben div Interpreten\Coldplay - Viva La Vida or Death And All His Friends\03 - Coldplay - Lost!.mp3 a variant of WMA/TrojanDownloader.GetCodec.gen trojan (unable to clean) 00000000000000000000000000000000 I C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\OpenCandy\E164F21E73B64421A264EE246EB02366\registrybooster(9).exe a variant of Win32/RegistryBooster application (unable to clean) 00000000000000000000000000000000 I ESETSmartInstaller@High as downloader log: all ok # version=7 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6427 # api_version=3.0.2 # EOSSerial=da4c356222098c499780108cf6ac6140 # end=finished # remove_checked=false # archives_checked=false # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2011-05-25 07:18:30 # local_time=2011-05-25 09:18:30 (+0100, Westeuropäische Sommerzeit) # country="Germany" # lang=1033 # osver=5.1.2600 NT Service Pack 3 # compatibility_mode=770 16774141 100 100 1320080 83059420 0 0 # compatibility_mode=8192 67108863 100 0 0 0 0 0 # scanned=54694 # found=2 # cleaned=0 # scan_time=1564 C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Eigene Musik\old staff\Alben div Interpreten\Coldplay - Viva La Vida or Death And All His Friends\03 - Coldplay - Lost!.mp3 a variant of WMA/TrojanDownloader.GetCodec.gen trojan (unable to clean) 00000000000000000000000000000000 I C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\OpenCandy\E164F21E73B64421A264EE246EB02366\registrybooster(9).exe a variant of Win32/RegistryBooster application (unable to clean) 00000000000000000000000000000000 I |
Hallo Noncosi, irgendwas verstehe ich nicht Recht, da du ja folgendes geschrieben hast: Zitat:
Versuchen wir mal folgendes: Schritt # 1: Batch Datei ausführen Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code: @echo off
Schritt # 2: Deine Rückmeldung Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:30 Uhr. |
Copyright ©2000-2024, Trojaner-Board