|
Win32:trojan-gen Hallo an die Experten, im Vorfeld muss ich gestehen das ich ein absoluter Computerlaie bin und ich mit vorhandenen Themen mit meinem Wissen leider nur Bahnhof verstehe. Aber ich versuche genau zu beschreiben wo mein Problem liegt. Ich habe heute ein Suchlauf mit Avast gestartet und folgendes Protokoll erhalten: Dateiname(wenn benötigt kann ich gerne nachträglich posten) StatusWin32:trojan-gen Dateiname(wenn benötigt kann ich gerne nachträglich posten) Status:Win32:Webprefix(trj) Dateiname(wenn benötigt kann ich gerne nachträglich posten) Status: Win32:VB-MDB (Drp) Dateiname(wenn benötigt kann ich gerne nachträglich posten) Status:WMA:Wimap(Drp) Letzter Status 2 mal mit verschiedenen Dateinamen Tja, nun hab ich die schwere Befürchtung das diese Befunde nicht wirklich gut für meinen Rechner sind. Hab auch bereits schon über Malwarebytes einen Check machen lassen, nun weiß ich aber nicht ob dies für euch in erster Linie wichtig wäre. Ich hoffe ihr könnt mir helfen bei der weiteren Fehlerbehebung. Vielen Dank schon im vorraus!!! P.s.: Schlagt mich bitte nicht wenn ich euch nicht gleich verstehe, ich werde mein bestes geben! |
:hallo: Mein Name ist M-K-D-B und ich werde dir bei der Bereinigung deines Computers helfen. Bitte beachte folgende Hinweise:
Zitat:
Bitte lies dir folgende Themen sorgfältig durch:
Erstelle anschließend die gewünschten Logfiles. Ohne die entsprechenden Logfiles kann und wird dir hier niemand helfen. Vielen Dank für dein Verständnis. :) |
M-K_D-B, vielen Dank für die überaus schnelle Antwort. Avast Protokoll: C:\WINDOWS\system32\zindhg.exe Status: Win32:Trojan-gen C:\System Volume Information\_restore/783F689F-282B-4BA8-8513-369AFA86817C)\RP496\A0093015.exe Status: Win32:Webprefix(trj) C:\Programme\Gemeinsame Dateien\yrujg2wn\ginder86.exe Status: Win32:VB-MDB (Drp) C:\Dokumente und Einstellungen\xxxx\Eigene Dateien\Eigene Musik\old staff\Alben div Interpreten\Coldplay Status: WMA:Wimad (Drp) C:\Dokumente und Einstellungen\xxxx\Eigene Dateien\Eigene Musik\old staff\Alben div Interpreten\Rihanna Status: WMA:Wimad (Drp) Hier das Protokoll von Malwarebytes: Malwarebytes' Anti-Malware 1.50.1.1100 Malwarebytes : Free anti-malware, anti-virus and spyware removal download Datenbank Version: 6610 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 18.05.2011 19:34:39 mbam-log-2011-05-18 (19-34-39).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 140041 Laufzeit: 4 Minute(n), 12 Sekunde(n) Infizierte Speicherprozesse: 1 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: c:\dokumente und einstellungen\xxx\anwendungsdaten\microsoft\svcchost.exe (Trojan.Agent.Gen) -> 848 -> Unloaded process successfully. Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svcchost.exe (Trojan.Agent.Gen) -> Value: svcchost.exe -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\dokumente und einstellungen\xxx\anwendungsdaten\microsoft\svcchost.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully. c:\dokumente und einstellungen\xxx\Desktop\everest poker.exe (PUP.Casino) -> Not selected for removal. Ich hoffe das ist erstmal hilfreich für den Anfang! |
Hallo Noncosi, Zitat:
Schritt # 1: Registry mit ERUNT absichern Da wir in der Registry Änderungen vornehmen müssen, wirst Du die Registry vorher wie folgt sichern: Lade das Tool ERUNT von Lars Hederer herunter und installiere es. Starte die erunt.exe und erstelle damit eine Backup der Registry in den vorgegebenen Ordner. Unter Sicherungsoptionen bitte alle drei Möglichkeiten anhaken. Das Programm nicht in den Systemstart aufnehmen. Schritt # 2: Stoppen von Treibern mit Defogger Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.
Wenn wir die Bereinigung beendet haben, starte bitte defogger erneut und klicke den Re-enable Button. Schritt # 3: GMER Rootkitscan Bitte
Schritt # 4: Benutzerdefinierter Scan mit OTL Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code: activex
Schritt # 5: Fragen beantworten Bitte beantworte mir folgende Fragen:
Schritt # 6: Deine Rückmeldung Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
|
Puh, da brauch ich erstmal nen Bier...erstmal Respekt für soviel Durchblick, ich werd ihn wohl selbst mit Anleitung nie haben! Hier mein vorrankommen: Schritt 1: Erledigt Schritt 2: defogger_disable by jpshortstuff (23.02.10.1) Log created at 21:07 on 18/05/2011 (xxx) Checking for autostart values... HKCU\~\Run values retrieved. HKLM\~\Run values retrieved. Checking for services/drivers... Unable to read sptd.sys SPTD -> Disabled (Service running -> reboot required) -=E.O.F=- |
Schritt 3: Ich bin mit dem Laptop (auf dem das Problem vorliegt) über einen Router mit dem Hauptrechner verbunden, ohne diese Verbindung hab ich kein Internetzugang mehr...was nun? |
Hallo Noncosi, Zitat:
Lade dir GMER auf den Laptop, fahre wie in Schritt # 3 beschrieben fort und aktiviere anschließend die Internetverbindung wieder und poste das Logfile. |
Win32:trojan-gen Haha...vergiss einfach was ich schrieb, ich bin eine Frau da spricht man bzw. schreibt man manchmal schneller als man denkt...:crazy: Schritt 3: Erledigt GMER Logfile: Code: GMER 1.0.15.15627 - hxxp://www.gmer.netJetzt stell ich sicher noch eine von diesen unzähligen blöden Fragen aber das mit OTL hab ich noch nicht recht verstanden: Schritt 4: Was muss ich rein kopieren bei benutzerdefinierte Scans im Programm OTL? |
Hallo Noncosi, Zitat:
Zitat:
Darunter fügst du bitte alles ein, das sich in der folgenden Box befindet: Code: activexBefolge genau die Anweisungen meines letzten Posts. Dann sollte das funktionieren. :) |
OTL EXTRAS Logfile: Code: OTL Extras logfile created on: 18.05.2011 22:15:42 - Run 3 |
Hallo Noncosi, Es fehlt noch die Datei OTL.txt und die Beantwortung der gestellten Fragen, bevor ich weitere Analysen einleiten kann. :) |
OTL Logfile: Code: OTL logfile created on: 18.05.2011 22:15:42 - Run 3 |
Ist Schritt 4 jetzt fertig? Gott zu viele Zahlen und Buchstaben:crazy: |
Hallo Noncosi, Zitat:
Zitat:
Schritt # 5 (Fragen beantworten) noch. Dann machen wir morgen weiter. :) |
Schritt 5: Ich hab erstmal noch gar nix gemacht nachdem ich das Avast Protokoll gesehen habe, weder verschoben noch gelöscht. Gleich hier angemeldet... Ich habe keine Probleme mit dem Rechner-manchmal ist er ein wenig langsam und nach ca. 10 min, nachdem ich ihn angemacht habe kommt eine Fehlermeldung von Microsoft die ich aber gerade nicht wieder geben kann (fängt mit Runtime Error an, und lässt sich nur mit OK bestätigen). Kann ich denn momentan überhaupt bedenkenlos etwas mit dem Rechner anfangen? Ich meine Online- Banking und eben alles wo man wichtige Infos eingibt oder ist davon abzuraten? |
Sieht schlimmer aus als es ist. Ich seh da gar nichts!!! |
Hallo Noncosi, Zitat:
Sollte diese Fehlermeldung erneut auftreten, notiere sie dir und poste mir den genauen Wortlaut! Zitat:
Ich werte alle Informationen aus und melde mich morgen sobald wie möglich mit weiteren Anweisungen. :) Zitat:
|
Hier die Fehlermeldung: Gerade wieder gekommen... Microsoft Visual C Program C:\Programme\ASUS\ASUS Live Update\Liveupdt,exe Thia application has requested the Runtime to terminateit in unusual way. Please contact the applications support team for more informations. Scheint aber nach meiner unwissenden Meinung eher unwichtig zu sein... |
Ja dann auf jeden Fall schon mal herzlichsten Dank für die fachmännische Hilfe! |
Hallo Noncosi, Zitat:
Gute Nacht. |
Hehe...das wäre auch auch zu schön und davon ging ich nicht aus... |
Hallo Noncosi, Schritt # 1: Kontrolle mit VirusTotal Bitte lasse die Datei aus der Code-Box bei Virustotal überprüfen.
Zitat:
Warte bis unter Current status: Finished steht. Kopiere den Link aus deiner Adresszeile und poste ihn hier. Schritt # 2: Benutzerdefinierter Scan mit OTL
Code: C:\Programme\Gemeinsame Dateien /S
Schritt # 3: Fragen beantworten Bitte beantworte mir folgende Fragen: Deine Logfiles weisen Reste von P2P bzw. Filesharing Programmen auf: Zitat:
Diese Programme erlauben es Dir, Daten mit anderen Usern auszutauschen. Leider ist auch p2p oder Filesharing nicht ausgenommen, infizierte Dateien zu verteilen und ist auch ein Grund warum sich Malware so schnell verbreitet. Es ist also möglich, dass Du Dir eine Infizierte Datei herunter ladest. Du kannst niemals wissen, woher diese stammen. Daher sollte diese Art Software mit äußerster Vorsicht benutzt werden. Diesbezüglich sind die folgenden beiden Funde von Avast interessant: Zitat:
Ein ebenfalls wichtiger Punkt ist, dass das Verbreiten von Media und Entertainment Dateien in den meisten Ländern der Welt gegen Copyright Rechte verstößt. Natürlich gibt es auch einen legalen Weg zur Nutzung dieses Service. Zum Beispiel zum Downloaden von Linux oder Open Office. Denoch würde ich Dich ersuchen, diese Art von Software nicht weiterhin zu verwenden. Mit deiner Zustimmung könnte ich diese Reste entfernen, sofern du sie nicht mehr benötigst. Bitte berichte. Schritt # 4: Deine Rückmeldung Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
|
Win32:trojan-gen Schritt 1: hxxp://www.virustotal.com/file-scan/report.html?id=aaf659e3d38ad04848a9c3ed6250b30dc13acc8ac9f527a11f0c14e6ec8735b2-1305850209 Schritt 2:OTL Logfile: Code: OTL logfile created on: 20.05.2011 02:22:53 - Run 4Schritt 3: Da der Rechner von mir und meinem Freund benutzt wird habe ich ihn heute mal gefragt und er sagte mir das er entsprechende Programme vor langer Zeit benutzte (heute nicht mehr)- wann er sie deinstalliert hat kann ich nicht sagen aber die Dateien die höchstwarscheinlich nicht in Ordnung sind können NATÜRLICH gelöscht werden. Aber schon mal interessant wie schnell das geht und vor allem wodurch... Schritt 4: Hab ich hoffentlich in Schritt 1- 3 gepostet!:wtf: |
Hallo Noncosi, :) Überprüfe bitte zuerst, ob die genannten Programme noch über die Systemsteuerung -> Software zu entfernen sind (Schritt # 1). Sollten diese dort nicht mehr vorhanden sein, fahre bitte mit dem nächsten Schritt fort. Schritt # 1: Deinstallation von Programmen
Schritt # 2: Fix mit OTL
Code: :OTL
Schritt # 2: ComboFix ausführen Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Lade ComboFix von einem dieser Download-Spiegel herunter: BleepingComputer - ForoSpyware * Wichtig !! Speichere ComboFix auf dem Desktop
http://i94.photobucket.com/albums/l8...eWHKonsole.jpg Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen: http://i94.photobucket.com/albums/l8...nstalliert.jpg Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren. Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei. Schritt # 3: Systemscan mit OTL
Schritt # 4: Deine Rückmeldung Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
|
Schritt 1: Es ist keines der genannten Programme mehr in der Software zu finden...somit auch nichts zu deinstallieren |
Schritt 2: All processes killed ========== OTL ========== HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyOverride| /E : value set successfully! Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ccApp deleted successfully. Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\MsnMsgr deleted successfully. C:\Programme\eMule0.50a-Installer.exe moved successfully. C:\Programme\LimeWire\lib folder moved successfully. C:\Programme\LimeWire folder moved successfully. C:\Programme\Azureus\plugins\azupdater folder moved successfully. C:\Programme\Azureus\plugins\azplugins folder moved successfully. C:\Programme\Azureus\plugins folder moved successfully. C:\Programme\Azureus folder moved successfully. C:\Programme\eMule\Temp folder moved successfully. C:\Programme\eMule\Incoming folder moved successfully. C:\Programme\eMule folder moved successfully. ========== FILES ========== C:\Programme\Gemeinsame Dateien\yrujg2wn folder moved successfully. File\Folder C:\WINDOWS\System32\zindhg.exe not found. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\LimeWire\xml\data folder moved successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\LimeWire\xml folder moved successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\LimeWire\certificate folder moved successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\LimeWire\promotion folder moved successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\LimeWire\.NetworkShare\Incomplete folder moved successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\LimeWire\.NetworkShare folder moved successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\LimeWire\.AppSpecialShare folder moved successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\LimeWire\themes\windows_theme folder moved successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\LimeWire\themes folder moved successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\LimeWire folder moved successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Azureus\active folder moved successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Azureus\torrents folder moved successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Azureus\shares folder moved successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Azureus\plugins folder moved successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Azureus\tmp folder moved successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Azureus\logs\save folder moved successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Azureus\logs folder moved successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Azureus folder moved successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Uniblue\RegistryBooster\backup folder moved successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Uniblue\RegistryBooster\_temp folder moved successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Uniblue\RegistryBooster\history folder moved successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Uniblue\RegistryBooster folder moved successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Uniblue folder moved successfully. File/Folder C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Eigene Musik\old staff\Alben div Interpreten\Coldplay not found. File/Folder C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Eigene Musik\old staff\Alben div Interpreten\Rihanna not found. ========== REGISTRY ========== Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\Programme\ LimeWire\LimeWire.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\Programme\ Gemeinsame Dateien\yrujg2wn\ginder86.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\WINDOWS\Sy stem32\zindhg.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\Programme\ eMule\emule.exe deleted successfully. ========== COMMANDS ========== [EMPTYTEMP] User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 32768 bytes ->Flash cache emptied: 75 bytes User: All Users User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: LocalService ->Temp folder emptied: 82513 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->FireFox cache emptied: 2882342 bytes User: xxx ->Temp folder emptied: 857777 bytes ->Temporary Internet Files folder emptied: 6554545 bytes ->Java cache emptied: 102092 bytes ->FireFox cache emptied: 75577824 bytes ->Google Chrome cache emptied: 819568 bytes ->Flash cache emptied: 1947727 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 19569 bytes %systemroot%\System32 .tmp files removed: 2951 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 20480 bytes RecycleBin emptied: 420813164 bytes Total Files Cleaned = 486,00 mb OTL by OldTimer - Version 3.2.22.3 log created on 05212011_021817 Files\Folders moved on Reboot... File\Folder C:\WINDOWS\temp\_avast5_\Webshlock.txt not found! Registry entries deleted on Reboot... |
Schritt 2: Combofix Logfile: Code: ComboFix 11-05-19.02 - xxx 21.05.2011 2:50.1.2 - FAT32x86 |
Schritt 3:OTL Logfile: Code: OTL logfile created on: 21.05.2011 03:06:03 - Run 5 |
Übrigens, seit dem wir das hier machen ist mein anderer (fester) Rechner komplett abgekackt heißt soviel wie: Er fährt gar nicht mehr hoch und zeigt mir den Bildschirm: Windows normal starten, abgesicherter Modus usw. kennst du ja sicher, allerdings reagiert der Rechner überhaupt nicht mehr egal was ich drücke und macht dabei folgende Geräusche: Ich versuche mal eben das Geräusch zu immitieren: dödö, dödö,dödö,dödööööö,dödö,dödö,dödö,dödöööö, das macht er ca. 10 min lang danach hat man das Gefühl ohhh jetzt will er hochfahren das heißt: drrrrrrr und dann macht er gar kein Geräusch mehr für ca. 5 min. bis das ganze Spiel wieder von vorne anfängt Just for Info (Ich glaub der is im Arsch) Gute Nacht |
Hallo Noncosi, Zitat:
Grundsätzlich können wir uns pro geöffnetem Thema immer nur um einen Rechner kümmern. Sonst wirds zu unübersichtlich. Das Problem mit deinem Desktop-Rechner hört sich aber eher nach einem Hardware Problem an. Solltest du Hilfe benötigen, kannst du gerne im Bereich Netzwerk und Hardware ein eigenes Thema dafür aufmachen. Eventuell hat dort jemand eine Lösung für dich parat. Leider kenne ich mich mit solchen Dingen zu wenig aus, als dass ich dir hierbei helfen könnte, tut mir Leid. Auf deinem mit Malware befallenen Rechner sieht es allerdings schon ganz gut aus. :daumenhoc Bitte arbeite weiter so gut mit mir zusammen. Wir habens bald geschafft. :) Schritt # 1: Störende Programme
Schritt # 2: Fix mit OTL
Code: :OTL
Schritt # 3: Kontrollscan mit Malwarebytes' Anti-Malware (MBAM)
Schritt # 4: ESET Online Scanner Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.
Code: "%ProgramFiles%\Eset\Eset Online Scanner\log.txt"Schritt # 5: aswMBR.exe ausführen Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit. Schritt # 6: Durchführung einer Sicherheitskontrolle Downloade Dir bitte SecurityCheck
Schritt # 7: Deine Rückmeldung Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
|
Schritt 1: Hoffentlich erfolgreich erledigt Schritt 2: All processes killed ========== OTL ========== Prefs.js: "hxxp://search.babylon.com/?babsrc=SP_ss&mntrId=c4641de1000000000000001cbf15ccfe&tlver=1.4.19.19&instlRef=sst&ss=1&affID=17395&q=" removed from keyword.URL Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions\ deleted successfully. Registry key HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\ deleted successfully. ========== COMMANDS ========== [EMPTYTEMP] User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: All Users User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 32902 bytes ->FireFox cache emptied: 0 bytes User: xxx ->Temp folder emptied: 655055 bytes ->Temporary Internet Files folder emptied: 296066 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 94140620 bytes ->Google Chrome cache emptied: 0 bytes ->Flash cache emptied: 679 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 0 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 91,00 mb OTL by OldTimer - Version 3.2.22.3 log created on 05222011_034405 Files\Folders moved on Reboot... File\Folder C:\WINDOWS\temp\_avast5_\Webshlock.txt not found! Registry entries deleted on Reboot... |
Puh Schritt 3 dauert sehr lange...bin sehr müde und hoffe den rest morgen reporten zu können...Gute Nacht |
Hmmm...nun...Schritt3 ist doch noch zum Ende gekommen... Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 6637 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 22.05.2011 04:33:07 mbam-log-2011-05-22 (04-33-07).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 198815 Laufzeit: 33 Minute(n), 28 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\dokumente und einstellungen\xxx\Desktop\everest poker.exe (PUP.Casino) -> Quarantined and deleted successfully. |
Schritt 4: ESETSmartInstaller@High as downloader log: all ok # version=7 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6427 # api_version=3.0.2 # EOSSerial=da4c356222098c499780108cf6ac6140 # end=finished # remove_checked=false # archives_checked=false # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2011-05-23 12:57:41 # local_time=2011-05-23 02:57:41 (+0100, Westeuropäische Sommerzeit) # country="Germany" # lang=1033 # osver=5.1.2600 NT Service Pack 3 # compatibility_mode=770 16774141 100 100 21548466 82820146 0 0 # compatibility_mode=8192 67108863 100 0 0 0 0 0 # scanned=62734 # found=5 # cleaned=0 # scan_time=1990 C:\WINDOWS\temp\_avast_\unp92040733.tmp Win32/Adware.Toolbar.Shopper application (unable to clean) 00000000000000000000000000000000 I C:\WINDOWS\temp\_avast_\unp92178573.tmp Win32/Adware.Toolbar.Shopper application (unable to clean) 00000000000000000000000000000000 I C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Eigene Musik\old staff\Alben div Interpreten\Rihanna - Good Girl Gone Bad Reloaded (2008)\08-rihanna-sell_me_candy.mp3 a variant of WMA/TrojanDownloader.GetCodec.gen trojan (unable to clean) 00000000000000000000000000000000 I C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Eigene Musik\old staff\Alben div Interpreten\Coldplay - Viva La Vida or Death And All His Friends\03 - Coldplay - Lost!.mp3 a variant of WMA/TrojanDownloader.GetCodec.gen trojan (unable to clean) 00000000000000000000000000000000 I C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\OpenCandy\E164F21E73B64421A264EE246EB02366\registrybooster(9).exe a variant of Win32/RegistryBooster application (unable to clean) 00000000000000000000000000000000 I |
Schritt 5 : aswMBR version 0.9.5.256 Copyright(c) 2011 AVAST Software Run date: 2011-05-23 03:07:45 ----------------------------- 03:07:45.421 OS Version: Windows 5.1.2600 Service Pack 3 03:07:45.421 Number of processors: 2 586 0xF0D 03:07:45.421 ComputerName: xxx UserName: 03:07:46.140 Initialize success 03:07:50.375 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-e 03:07:50.375 Disk 0 Vendor: ST9120822AS 3.ALC Size: 114473MB BusType: 3 03:07:52.453 Disk 0 MBR read successfully 03:07:52.453 Disk 0 MBR scan 03:07:52.453 Disk 0 unknown MBR code 03:07:54.453 Disk 0 scanning sectors +234436545 03:07:54.515 Disk 0 scanning C:\WINDOWS\system32\drivers 03:07:59.265 Service scanning 03:08:00.687 Disk 0 trace - called modules: 03:08:00.765 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll sfsync02.sys atapi.sys pciide.sys PCIIDEX.SYS 03:08:00.765 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8a5c4ab8] 03:08:00.765 3 CLASSPNP.SYS[ba0e8fd7] -> nt!IofCallDriver -> \Device\00000076[0x8a6d53a8] 03:08:00.765 5 ACPI.sys[b9f7e620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP1T0L0-e[0x8a5bd368] 03:08:00.765 \Driver\atapi[0x8a6cb450] -> IRP_MJ_INTERNAL_DEVICE_CONTROL -> sfsync02.sys[0xba338d60] 03:08:00.953 Scan finished successfully 03:08:20.046 Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\xxx\Desktop\MBR.dat" 03:08:20.046 The log file has been saved successfully to "C:\Dokumente und Einstellungen\xxx\Desktop\aswMBR.txt" |
Schritt 6: Results of screen317's Security Check version 0.99.11 Windows XP Service Pack 3 Internet Explorer 8 `````````````````````````````` Antivirus/Firewall Check: avast! Free Antivirus ESET Online Scanner v3 ``````````````````````````````` Anti-malware/Other Utilities Check: Malwarebytes' Anti-Malware Adobe Flash Player 10.2.153.1 Adobe Reader X (10.0.1) - Deutsch Mozilla Firefox (3.6.17) Firefox Out of Date! ```````````````````````````````` Process Check: objlist.exe by Laurent Alwil Software Avast5 AvastSvc.exe Alwil Software Avast5 avastUI.exe ``````````End of Log```````````` |
So das sollte ich für heute geschafft haben... findest du das das bis hier her ganz gut verläuft? bzw. wie hoch kann man die Infizierung einschätzen? Morgen Nacht hab ich sicher wieder 5000 neue Schritte im Postfach....Grins! Da freu ich mich ja jetzt schon drauf... Gute Nacht |
Hallo Noncosi, Zitat:
Zitat:
Zitat:
Zwei deiner MP3 Dateien sind mit einem Trojaner infiziert: Zitat:
Schritt # 1: Fix mit OTL
Code: :OTL
Schritt # 2: Fragen beantworten Bitte beantworte mir folgende Fragen:
Schritt # 3: Deine Rückmeldung Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
|
Schritt 1: All processes killed ========== OTL ========== ========== FILES ========== File/Folder C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Eigene Musik\old staff\Alben div Interpreten\Rihanna - Good Girl Gone Bad Reloaded (2008)\08-rihanna-sell_me_candy.mp3 not found. File/Folder C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Eigene Musik\old staff\Alben div Interpreten\Coldplay - Viva La Vida or Death And All His Friends\03 - Coldplay - Lost!.mp3 not found. ========== COMMANDS ========== [EMPTYTEMP] User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: All Users User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->FireFox cache emptied: 0 bytes User: Matthias Förster ->Temp folder emptied: 698429 bytes ->Temporary Internet Files folder emptied: 486258 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 92679297 bytes ->Google Chrome cache emptied: 0 bytes ->Flash cache emptied: 775 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 1388544 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 91,00 mb OTL by OldTimer - Version 3.2.22.3 log created on 05242011_020853 Files\Folders moved on Reboot... File\Folder C:\WINDOWS\temp\_avast5_\Webshlock.txt not found! Registry entries deleted on Reboot... Schritt 2: Der Rechner lief bisher eigentlich immer gut bis auf bereits beschriebene Fehlermeldung nach dem Hochfahren des Rechners. Ansonsten gibts nichts zu meckern. P.s.: Na heute hast du mich zur Abwechslung ja mal mit unzähligen Zahlen und Buchstaben posten verschont! |
Hallo Noncosi, Zitat:
Vergewissere dich, dass die folgenden beiden Dateien nicht mehr vorhanden sind: Zitat:
Wenn du keine Probleme mehr hast, dann sind wir hier fertig. Dein Rechner ist sauber. :daumenhoc Zum Schluss müssen wir noch ein paar abschließende Schritte unternehmen, um deinen Pc aufzuräumen und abzusichern. Schritt # 1: ComboFix deinstallieren Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren. Windows-Taste + R drücken. Kopiere nun folgende Zeile in die Kommandozeile und klicke OK. Code: Combofix /UninstallDamit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch aus dieser die Schädlinge verschwinden. Nun die eben deaktivierten Programme wieder aktivieren. Schritt # 2: Systembereinigung mit OTL Als Nächstes müssen wir alle Programme, die zur Malwarebeseitigung notwendig waren, entfernen:
Schritt # 3: Programme deinstallieren/löschen
Schritt # 4: ESET Online Scanner
Schritt # 5: Windows Update aktivieren Sehen wir nach ob die Updates für Windows sich automatisch downloaden. Das ist der beste Weg um all die Sicherheits- Patches und Fixes zu erhalten.
Schritt # 6: Schutz vor weiteren Infektionen Damit du in Zukunft vor ähnlichen Infektionen geschützt bist, empfehle ich dir noch ein paar nützliche Programme inklusive ein paar Tipps.
Schritt # 7: Deine Rückmeldung Bitte gib mir kurz Bescheid, wenn alles erledigt ist und du keine Fragen mehr hast, damit ich das Thema aus meinen Abos löschen kann. |
Hallo M-K-D-B, erst einmal möchte ich mich herzlich für deine Hilfe bedanken, alleine hätte ich das nie geschafft! Vielen Dank! Ich habe noch einmal geschaut ob genannte Musikdateien noch gelistet wurden-war so- und habe diese dann wie du meintest in den Papierkorb geschoben und gelöscht. Besagte Programme habe ich gelöscht und mir Spyblaster runtergeladen sowie Eset weiterhin auf dem Rechner behalten. Abschließend hab ich noch eine Frage: Über die Fehlermeldung (wie bereits schon mal gepostet) beim Hochfahren des Rechners brauch ich mir keine Gedanken machen? Und wegen meinem anderen Rechner empfiehlst du mir die Abteilung Hardware? Ich danke dir nochmal sehr für die tolle und verständliche Unterstützung! |
Vom Eset Online Scanner bekomme ich übrigens noch folgende Virusfunde: Win32/RegistryBooster application sowie WMA/TrojanDownloader.GetCodex.gen trojan Was mach ich damit? |
Hallo Noncosi, Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
|
ESETSmartInstaller@High as downloader log: all ok # version=7 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6427 # api_version=3.0.2 # EOSSerial=da4c356222098c499780108cf6ac6140 # end=finished # remove_checked=false # archives_checked=false # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2011-05-25 05:15:57 # local_time=2011-05-25 07:15:57 (+0100, Westeuropäische Sommerzeit) # country="Germany" # lang=1033 # osver=5.1.2600 NT Service Pack 3 # compatibility_mode=770 16774141 100 100 21780473 83052153 0 0 # compatibility_mode=8192 67108863 100 0 0 0 0 0 # scanned=54331 # found=2 # cleaned=0 # scan_time=1478 C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Eigene Musik\old staff\Alben div Interpreten\Coldplay - Viva La Vida or Death And All His Friends\03 - Coldplay - Lost!.mp3 a variant of WMA/TrojanDownloader.GetCodec.gen trojan (unable to clean) 00000000000000000000000000000000 I C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\OpenCandy\E164F21E73B64421A264EE246EB02366\registrybooster(9).exe a variant of Win32/RegistryBooster application (unable to clean) 00000000000000000000000000000000 I ESETSmartInstaller@High as downloader log: all ok # version=7 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6427 # api_version=3.0.2 # EOSSerial=da4c356222098c499780108cf6ac6140 # end=finished # remove_checked=false # archives_checked=false # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2011-05-25 07:18:30 # local_time=2011-05-25 09:18:30 (+0100, Westeuropäische Sommerzeit) # country="Germany" # lang=1033 # osver=5.1.2600 NT Service Pack 3 # compatibility_mode=770 16774141 100 100 1320080 83059420 0 0 # compatibility_mode=8192 67108863 100 0 0 0 0 0 # scanned=54694 # found=2 # cleaned=0 # scan_time=1564 C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Eigene Musik\old staff\Alben div Interpreten\Coldplay - Viva La Vida or Death And All His Friends\03 - Coldplay - Lost!.mp3 a variant of WMA/TrojanDownloader.GetCodec.gen trojan (unable to clean) 00000000000000000000000000000000 I C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\OpenCandy\E164F21E73B64421A264EE246EB02366\registrybooster(9).exe a variant of Win32/RegistryBooster application (unable to clean) 00000000000000000000000000000000 I |
Hallo Noncosi, irgendwas verstehe ich nicht Recht, da du ja folgendes geschrieben hast: Zitat:
Versuchen wir mal folgendes: Schritt # 1: Batch Datei ausführen Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code: @echo off
Schritt # 2: Deine Rückmeldung Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
|
Hallo, ich bin noch aktiv nur hab ich momentan sehr wenig Zeit...ich denke ich werds die Tage erst schaffen genannte Schritte zu bearbeiten P.s.: Es kann durchaus sein das ich den Suchlauf gestartet habe bevor ich genannte Dateien gelöscht habe... |
Hallo Noncosi, es genügt auch, wenn du die beiden genannten Dateien manuell löscht. Bitte gib mir kurz Bescheid, wenn alles erledigt ist und du keine Fragen mehr hast, damit ich das Thema aus meinen Abos löschen kann. Vielen Dank. :) |
Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke mir bitte eine PM. Jeder andere bitte hier klicken und einen eigenen Thread erstellen. |
Vielen Dank für deine SUPER SUPER Hilfe! Mein Rechner war die Tage aufgrund falscher Konfiguration der Internetverbindung komplett abgeschmiert, daher keine Antwort... Alles Gute |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:55 Uhr. |
Copyright ©2000-2024, Trojaner-Board