|
Log-Analyse und Auswertung: verseucht ? nach Probleme mit Wjh und sshanas21.dll etc.Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
19.08.2011, 11:58 | #1 |
| verseucht ? nach Probleme mit Wjh und sshanas21.dll etc. Hallo liebe Forumsgemeinde . Nachdem ich die Tage Probleme hatte mit "Wjh", "Wleskea" und dann "sshnas21.dll nicht gefunden" hatte und mich weit eingelesen habe um das Problem zu lösen wollte ich einmal das Expertenwissen in Anspruch nehmen. Habe dazu ein Hijack Log und Malwarebytes Log. Direkt schonmal danke :-) *edit* hoffe das geht i.O. Habe die Log Files leider nurnoch als txt Datei auf dem Rechner meiner Freundin, da ich den infizierten Rechner vorerst nichtmehr nutzen möchte. Nicht dass Daten ausgespäht werden *edit2* Jetzt lese ich auch noch das HiJack Logfiles unerwünscht sind. Leider konnte ich mir nur dieses und Malwarebytes von einem sicheren System besorgen. Möchte nun ungerne den Rechner wieder mit dem Netz verbinden um andere Programme zu laden und auswerten zu lassen. Bin da nun ein wenig ängstlich nachdem ich gelesen habe, was die alles anrichten... Hoffe es geht trotzdem einmal so. Hier direkt ein paar Fragen von mir, wenn ich das System neu aufsetzen möchte. Wie kann ich meine externe Festplatte überprüfen wo schon Daten drauf sind? Nicht dass die Schädlinge schon länger drauf sind und beim kopieren der Musik etc. sind die mitkopiert worden. Ich habe 3 Partitionen (C D und E) wobei E eine HP_Recovery Partition ist. Sollte ich aber lieber von der damals erstellten Recovery-CD aus booten oder kann ich das ganze per Recovery Manager machen? Falls ich von CD boote und ALLE Patritionen lösche, wird dann auch der Recovery Manager wieder erstellt oder bleibt er verschollen? Wenn ich alle Partitionen formatiere, habe ich ja hinterher nurnoch eine große Platte... Erinnere ich mich richtig, dass beim Erstinstallieren von Widows gefragt wird, wie ich die Festplatte teilen will? Ich habe auf dem infizierten System noch Dateien die ich sehr gerne behalten möchte. Es handelt sich um Musik,Bilder und Filmdateien. Alles legal(nur kurz erwähnt!). Ich habe gelesen ich sollte dazu Ubuntu nehmen? Geht es evt. auch anders? Zurzeit nutze ich Avira als Free-Version und ZoneAlarm. Sollte ich vorsichtshalber in Zukunft noch andere Programme nutzen, damit das ganze sicherer ist? Natürlich auf jedenfall in regelmäßigen Abständen Backup DVD´s erstellen. Danke und nun die Files... HiJackthis Logfile: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 09:54:12, on 17.08.2011 Platform: Windows Vista SP2 (WinNT 6.00.1906) MSIE: Internet Explorer v7.00 (7.00.6002.18005) Boot mode: Normal Running processes: C:\Windows\system32\Dwm.exe C:\Windows\system32\taskeng.exe C:\Windows\Explorer.EXE C:\Program Files\Synaptics\SynTP\SynTPStart.exe C:\Program Files\Hp\QuickPlay\QPService.exe C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe C:\Program Files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe C:\Program Files\Windows Defender\MSASCui.exe C:\Program Files\Hp\HP Software Update\hpwuSchd2.exe C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Windows\WindowsMobile\wmdSync.exe C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\Program Files\Canon\MyPrinter\BJMYPRT.EXE C:\Windows\System32\rundll32.exe C:\Windows\System32\rundll32.exe D:\Programme\ZoneAlarm\zlclient.exe C:\Program Files\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe C:\Program Files\Common Files\Java\Java Update\jusched.exe D:\Programme\pdf24\pdf24.exe C:\Program Files\DivX\DivX Update\DivXUpdate.exe D:\Programme\iTunes\iTunesHelper.exe C:\Windows\ehome\ehtray.exe D:\Programme\ICQ7.5\ICQ.exe C:\Program Files\Western Digital\WD SmartWare\WD Drive Manager\WDDMStatus.exe C:\Windows\ehome\ehmsas.exe C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe C:\Program Files\Synaptics\SynTP\SynTPHelper.exe C:\Program Files\CheckPoint\ZAForceField\ForceField.exe D:\Programme\iTunes\iTunes.exe C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceHelper.exe C:\Program Files\Common Files\Apple\Apple Application Support\distnoted.exe C:\Windows\system32\wuauclt.exe D:\Internet-Programme\Mozilla Firefox\firefox.exe D:\Internet-Programme\Mozilla Firefox\plugin-container.exe C:\Users\Julian\Desktop\download\HiJackThis204.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = studiVZ | Bist Du schon drin? R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HP - United States | Laptop Computers, Desktops, Printers, Servers and more R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HP - United States | Laptop Computers, Desktops, Printers, Servers and more R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 127.0.0.1:8008 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: (no name) - - (no file) R3 - URLSearchHook: (no name) - {EEE6C35D-6118-11DC-9C72-001320C79847} - (no file) R3 - URLSearchHook: ZoneAlarm-Sicherheit Toolbar - {fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - C:\Program Files\ZoneAlarm-Sicherheit\tbZone.dll F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,D:\Progr amme\MPK keylogger\MPK.exe O1 - Hosts: # Copyright (c) 1993-2006 Microsoft Corp. O1 - Hosts: ::1 localhost O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file) O2 - BHO: ZoneAlarm Security Engine Registrar - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Program Files\CheckPoint\ZAForceField\TrustChecker\bin\Tru stCheckerIEPlugin.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: ZoneAlarm-Sicherheit Toolbar - {fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - C:\Program Files\ZoneAlarm-Sicherheit\tbZone.dll O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file) O3 - Toolbar: ZoneAlarm-Sicherheit Toolbar - {fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - C:\Program Files\ZoneAlarm-Sicherheit\tbZone.dll O3 - Toolbar: ZoneAlarm Security Engine - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Program Files\CheckPoint\ZAForceField\TrustChecker\bin\Tru stCheckerIEPlugin.dll O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe" O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start O4 - HKLM\..\Run: [OnScreenDisplay] C:\Program Files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe O4 - HKLM\..\Run: [UCam_Menu] "C:\Program Files\CyberLink\YouCam\MUITransfer\MUIStartMenu.ex e" "C:\Program Files\CyberLink\YouCam" update "Software\CyberLink\YouCam\1.0" O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [HP Health Check Scheduler] [ProgramFilesFolder]Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe O4 - HKLM\..\Run: [WAWifiMessage] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [NBKeyScan] "D:\Programme\Nero 8\NERO 8\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe O4 - HKLM\..\Run: [Windows Mobile-based device management] %windir%\WindowsMobile\wmdSync.exe O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Programme\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [ISW] "C:\Program Files\CheckPoint\ZAForceField\ForceField.exe" /icon="hidden" O4 - HKLM\..\Run: [NUSB3MON] "C:\Program Files\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [PDFPrint] D:\Programme\pdf24\pdf24.exe O4 - HKLM\..\Run: [DivXUpdate] "C:\Program Files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [Display Driver] C:\Users\Julian\AppData\Local\Temp\AtiDisplayDrive r.exe O4 - HKCU\..\Run: [ICQ] "D:\Programme\ICQ7.5\ICQ.exe" silent loginmode=4 O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\Windows\system32\Adobe\Shockwave 11\SwHelper_1150596.exe -Update -1150596 -"Mozilla/5.0_(Windows_NT_6.0;_rv:5.0)_Gecko/20100101_Firefox/5.0" -"hxxp://www8.agame.com/games/shockwave/s/slipstream_slider/5_slipstream_slider_spielen_com/slipstream_slider_spielen_com.html" O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O4 - Global Startup: WDDMStatus.lnk = C:\Program Files\Western Digital\WD SmartWare\WD Drive Manager\WDDMStatus.exe O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200 O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Save YouTube Video as MP3 - res://C:\Program Files\Common Files\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: ICQ7.5 - {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - D:\Programme\ICQ7.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ7.5 - {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - D:\Programme\ICQ7.5\ICQ.exe O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - hxxp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - hxxp://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: Com4Qlb - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4Qlb.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqWmiEx.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: ZoneAlarm Toolbar IswSvc (IswSvc) - Check Point Software Technologies - C:\Program Files\CheckPoint\ZAForceField\IswSvc.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: NMSAccessU - Unknown owner - D:\Programme\CDBurnerXP\NMSAccessU.exe O23 - Service: QuickPlay Background Capture Service (QBCS) (QPCapSvc) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\QPCapSvc.exe O23 - Service: QuickPlay Task Scheduler (QTS) (QPSched) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\QPSched.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - D:\Programme\Spybot - Search & Destroy\SDWinSec.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe O23 - Service: WDDMService - WDC - C:\Program Files\Western Digital\WD SmartWare\WD Drive Manager\WDDMService.exe O23 - Service: WD File Management Engine (WDFME) - Unknown owner - C:\Program Files\Western Digital\WD SmartWare\Front Parlor\WDFME\WDFME.exe O23 - Service: WD File Management Shadow Engine (WDSC) - Unknown owner - C:\Program Files\Western Digital\WD SmartWare\Front Parlor\WDSC.exe O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe -- End of file - 13850 bytes und das Log von Malwarebytes: Datenbank Version: 7484 Code:
ATTFilter Windows 6.0.6002 Service Pack 2 Internet Explorer 7.0.6002.18005 17.08.2011 15:26:06 mbam-log-2011-08-17 (15-25-55).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|) Durchsuchte Objekte: 552195 Laufzeit: 3 Stunde(n), 22 Minute(n), 7 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 7 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 9 Infizierte Dateien: 12 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\8DDYX0ZBPZ (Trojan.FakeAlert.SA) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\KYQ8ZBOAXR (Trojan.FakeAlert.SA) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\NtWqIVLZEWZU (Trojan.FakeAlert) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\W32xgl2 (Backdoor.Bot) -> No action taken. HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Internet Settings\Zones\ (Hijack.Zones) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Refog Software (Refog.Keylogger) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\W32xgl2 (Backdoor.Bot) -> No action taken. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Refog.Keylogger) -> Bad: (c:\windows\system32\userinit.exe,D:\Programme\MPK keylogger\MPK.exe) Good: (Userinit.exe) -> No action taken. Infizierte Verzeichnisse: c:\program files\dwm32 (Trojan.Agent) -> No action taken. c:\program files\dwm32\Records (Trojan.Agent) -> No action taken. c:\program files\dwm32\screenshots (Trojan.Agent) -> No action taken. c:\programdata\MPK (Refog.Keylogger) -> No action taken. c:\programdata\MPK\1 (Refog.Keylogger) -> No action taken. c:\programdata\MPK\CPDA (Refog.Keylogger) -> No action taken. c:\programdata\MPK\CPDM (Refog.Keylogger) -> No action taken. c:\programdata\MPK\refog free keylogger (Refog.Keylogger) -> No action taken. c:\program files\win32Gl (Backdoor.Bot) -> No action taken. Infizierte Dateien: c:\Users\Julian\AppData\Roaming\addon.dat (Malware.Trace) -> No action taken. c:\program files\dwm32\taskbaricon.ico (Trojan.Agent) -> No action taken. c:\programdata\MPK\M0000 (Refog.Keylogger) -> No action taken. c:\programdata\MPK\refog free keylogger.lnk (Refog.Keylogger) -> No action taken. c:\programdata\MPK\S0000 (Refog.Keylogger) -> No action taken. c:\programdata\MPK\1\D0000 (Refog.Keylogger) -> No action taken. c:\programdata\MPK\1\S0000 (Refog.Keylogger) -> No action taken. c:\programdata\MPK\CPDM\cpfm.bin (Refog.Keylogger) -> No action taken. c:\programdata\MPK\refog free keylogger\ refog free keylogger im internet.lnk (Refog.Keylogger) -> No action taken. c:\programdata\MPK\refog free keylogger\jetzt bestellen!.lnk (Refog.Keylogger) -> No action taken. c:\programdata\MPK\refog free keylogger\rabatt holen!.lnk (Refog.Keylogger) -> No action taken. c:\programdata\MPK\refog free keylogger\refog free keylogger.lnk (Refog.Keylogger) -> No action taken. Geändert von Julian2504 (19.08.2011 um 12:05 Uhr) |
19.08.2011, 20:37 | #2 | |||||
/// Winkelfunktion /// TB-Süch-Tiger™ | verseucht ? nach Probleme mit Wjh und sshanas21.dll etc.Zitat:
Zitat:
Noch besser: Mit echter Windows-Installations-DVD ein "normales" Windows installieren, ohne dieses Recovery-Gedöns, das Windows mit schwachsinnigen Ballast zumüllt. Zitat:
Im Setup kannst du Partitionen löschen, neu anlegen und formatieren. Zitat:
Zitat:
__________________ |
20.08.2011, 17:23 | #3 |
| verseucht ? nach Probleme mit Wjh und sshanas21.dll etc. Danke Arne für deine Hilfe
__________________Auf Ubuntu bin ich gestoßen, da ich eine bebilderte Anleitung gefunden habe. Wäre eventuell dann ganz Hilfreich. Leider war bei meinem HP Laptop damals keine Ori. Windows CD bei. Man konnte sich nur direkt bei Erstinbetriebsname diese Wiederherstllungs DVD´s (3 Stück) machen. Dies habe ich natürlic getan. Auf der externen Festplatte sind NUR Musik,Bild und Filmdateien. Keinerlei Programme. Auch die Daten, welche ich vom infizierten System behalten will sind rein solche Dateien. Also keine ausführbaren, oder? Evt. packe ich die Dateien vom infizierten System erstmal seperat auf einen Stick damit ich, falls die ext. Festplatte sauber ist, sie nicht direkt verseuche... Oh ich nutze die Avira/ZoneAlarm Kombi schon Jahre und bisher ohne Probleme. Wollte aber wie früher nun wieder zu GDate wechseln. Empfehlenswert doch laut Test von einer anderen Computer Seite... Bis auf Anti-Viren Programm und Firewall, kann ich weitere Programme nutzen um nicht nochmal Opfer von so einer Plage zu werden? Evt. zwischendurch Malewarebytes laufen lassen oder andere Programme? Vielen Dank |
20.08.2011, 19:38 | #4 |
| verseucht ? nach Probleme mit Wjh und sshanas21.dll etc. Eins habe ich noch :-) Nachdem ich mich nun noch weiter eingelesen habe, komme ich immer mehr zur Erkänntnis, dass ich keine seperate firewall von ZoneAlarm oder GData oder sonwas was brauche, da ich über einen Router reingehe. Ist ein Linksys WRT54 mit geänderter Software. Damals hatte ein Freund "DD-WRT v24 (05/24/08) mini" aufgespielt da ich immer Probleme mit der Verbindung hatte. Dadurch konnte er das ganze so einstellen, dass besser oder stärker gesendet wird. So habe ich es noch in Erinnerung. Wenns da Probleme geben könnte sagt bitte bescheid :-( Abgesichert über WPA2 Personal in TKIP soweit ich sehe und laaaangem Passwort ohne System sprich alles durchnander an Buchstaben,Sonderzeichen etc etc....^^ Statt Avira werde ich dann wohl nun auf Avast umsteigen oder doch lieber eine "Kauf Software" ? Desweiteren wurde mir grad empfohlen das aktuelle "c't Security" mit bootfähiger DVD... zu holen. Das Antiviren-Notfallsystems Desinfec't wäre ja dann praktisch um meine externe Festplatte überprüfen zu könen bzw. die USB Sticks, oder? Das Livesystem c't Bankix kann ich dann doch genau nutzen um meine Daten vom infizierten System zu kopieren wie es bei Ubuntu der Fall wäre, oder? Und dabei wäre eine Jahres Lizent für den Scanner: ESET NOD32... Nur kenne ich diesen garnicht |
21.08.2011, 15:14 | #5 | ||
/// Winkelfunktion /// TB-Süch-Tiger™ | verseucht ? nach Probleme mit Wjh und sshanas21.dll etc.Zitat:
Die Vertrauensbrecher c't Editorial über Internet Security Suites und warum sie idR nichts taugen Oberthal online: Personal Firewalls: Sinnvoll oder sinnfrei? personal firewalls ? Wiki ? ubuntuusers.de NT-Dienste sicher konfigurieren und abschalten (Windows 2000/XP) - www.ntsvcfg.de Dann wirst Du feststellen, dass es einfach nur unnötig ist, sich das System mit einer weiteren "Schutzkomponente" zu verhunzen... Und die Frage - welcher Virenscanner oder ob die installierten Programme reichen - taucht ständig auf. Der Virenscanner - egal welcher - kann und wird niemals 100% Schutz bieten können. Neue/unbekannte Schädlinge können immer durch die Lappen gehen. Bleib bei dem Scanner oder nimm Microsoft Security Essentials. Abgesehen davon nutzen verschiedene Virenscanner unterschiedliche Signaturen und Techniken, das führt dazu, dass zB Scanner1 Schädling X entdeckt, aber Schädling Y übersieht. Scanner2 erkennt Schädling Y, dafür aber Schädling X nicht... Wichtiger ist, dass du dich an Regeln hälst. Der beste Virenscanner bringt nichts, wenn du dich falsch verhälst und fahrlässig/unvorsichtig bist. Airbag und Sicherheitsgurt im Auto sind ja auch keine Gründe dafür auf die Verkehrsregeln zu pfeifen. Halte Dich am besten grob an diese Regeln:
Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar? Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
21.08.2011, 16:38 | #6 |
| verseucht ? nach Probleme mit Wjh und sshanas21.dll etc. Danke Aber dieses Programm Desinfec't kann ich dafür nutzen meinen USB Stick mit den Musik,Bild und Filmdateien, welche ich über Ubuntu erstmal auf einen Stick geladen habe, zu prüfen. Dort steht was von "Auch eine Neuauflage des bootfähigen Antiviren-Notfallsystems Desinfec't befindet sich auf der DVD, mit dem sie im Verdachtsfall bis zu vier Virenscanner auf die Jagd nach verdächtigen Dateien schicken können." Wie ich das ganze nutze, steht hoffentlich dort bei. Ich hatte frühe einmal böse Erfahrungen mit 2 Anti-Viren Scannern... Gleichzeitig laufen lassen und dann ging rein nichts mehr.... Schöner Mist gewesen... Achso,,, und das hier "eine 1-Jahres-Lizenz des flinken und zuverlässigen Virenscanners ESET NOD32, die Sie sogar mit der in Kürze erscheinenden Version 5 nutzen können." Kenne ich garnicht. Taugt er was im ggensatz zu antivir, von dem ich nun gerne weg möchte nachdem, was ich gelesen habe... Oder lieber Avast? Du sprichst das automatisch Wiedergeben von Laufwerken an. Sobald ich ein Stick oder ext. Festplatte anschließe kommt erstmal dieses kleine Fenster, wie bzw. mit was ich es öffnen möchte. Dieses Feature ausschalten dass ich seperat über den Arbeitsplatz auf die Festplatte zugreifen muss? Mit den eingeschränkten Rechten muss ich mich erstmal einlesen. Erstmal muss ich mal versuchen was darüber zu finden, wie ich das ganze System nun neu aufsetze. Sobald ich ja über die Recovery DVD´s boote, und Windows neu installiere, muss ich ja erstmal alle Updates runterladen, damit alles auf dem aktuellsten Stand ist... Nur wie, dass es auch sicher ist. Da google ich grad ein wenig zu rum... Oder hast du einen guten Tipp für mich? Kannst du/ihr vllt ein paar Worte über die Situation mit meinem Router verlieren? Vielen Lieben Dank !! |
21.08.2011, 17:28 | #7 | ||
/// Winkelfunktion /// TB-Süch-Tiger™ | verseucht ? nach Probleme mit Wjh und sshanas21.dll etc.Zitat:
Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
21.08.2011, 18:13 | #8 |
| verseucht ? nach Probleme mit Wjh und sshanas21.dll etc. Okey gelesen War nur eine Frage da ich ESET garnicht kenne. Wegen der Router Sache...Das as ich ein paar Postings vorher geschrieben habe mit den Einistellungen und der geänderten Software. Wichtiger sind mir eig. meine Fragen über dein letzten Beitrag Danke *edit* Leider verstehe ich irgendwie nicht den Unterschied, wieso ich meine Daten(Musik,Bild,Film) auf dem infizierten System per Livesystem kopieren soll. Infiziert können die Dateien ja schon sein. Wo ist der Unterschied, wenn ich sie dann per bsp.Ubuntu kopiere |
21.08.2011, 18:18 | #9 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | verseucht ? nach Probleme mit Wjh und sshanas21.dll etc.Zitat:
Was ist denn besser? Ein Backup von einem sauberen Live-System oder von einem sehr wahrscheinlich infizierten Windows?
__________________ Logfiles bitte immer in CODE-Tags posten |
21.08.2011, 21:43 | #10 | |
| verseucht ? nach Probleme mit Wjh und sshanas21.dll etc. Klar, das stimmt. Aber es ist doch auch möglich, dass die Musik,Bild und Filmdateien bereits infiziert sind oder? Zum Image erstellen ein Tipp, evt. ein kostenfreies? Image dann erstellen, nachdem alle wichtigen Programme installiert habe? Desweiten bekomme ich viele Musik Sachen in gepackter Version. Dazu suche ich noch eine verlässliche Möglichkeit, wie ich diese gepackten Daten VOR dem entpacken am besten prüfe bevor ich sie einfach öffne und etpacke... Zitat:
|
22.08.2011, 09:11 | #11 | ||
/// Winkelfunktion /// TB-Süch-Tiger™ | verseucht ? nach Probleme mit Wjh und sshanas21.dll etc.Zitat:
Zitat:
Ich weiß nicht was du mit "Musiksachen" meinst, aber den Virenscanner unbedingt auf reine Musikdateien losgehen zu lassen, halte ich für unnötig bis sinnfrei. Abgesehen davon beherrscht eigentlich jeder OnAccessScanner auch das Scannen von ZIP- oder anderen Archiven.
__________________ Logfiles bitte immer in CODE-Tags posten |
24.08.2011, 18:35 | #12 |
| verseucht ? nach Probleme mit Wjh und sshanas21.dll etc. Okey, ich denke wenn die Sachen "gepackt" sind, dann dürfte sich ja nicht einfach was installieren bevor ich das ganze entpackt habe. Mit Musiksachen, meine ich Samples die ich gepackt zum downloaden erhalte. Würde sie halt vor dem entpacken gerne Prüfen. Auch wenn es "nicht ausführbare Dateien" sind, könnten Sie doch verseucht sein Werde nun loslegen über Ubuntu meine restlichen Daten zu speichern, dann Windows neu aufsetzen und dann, meine vom infizerten System gespeicherten Dateien mit Desinfec´t zu prüfen. Sinnvolle Reihenfolge, wie ich vorgehe wenn ich WIndows neu aufsetze? 2. Dein Link zu NT-Dienste sicher konfigurieren und abschalten (Windows 2000/XP) - www.ntsvcfg.de ...geht nicht mehr. 3. definitiv sicher, dass mein System verseucht ist und werde um eine neuaufsetzung nicht drumrum kommen? Geändert von Julian2504 (24.08.2011 um 18:49 Uhr) |
25.08.2011, 21:24 | #13 |
| verseucht ? nach Probleme mit Wjh und sshanas21.dll etc. Darf ich nochmal um deinen Rat bitten ? |
25.08.2011, 21:49 | #14 | |||||
/// Winkelfunktion /// TB-Süch-Tiger™ | verseucht ? nach Probleme mit Wjh und sshanas21.dll etc.Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu verseucht ? nach Probleme mit Wjh und sshanas21.dll etc. |
antivir, antivir guard, ausgespäht, avira, bho, bonjour, booten, canon, cdburnerxp, checkpoint, desktop, festplatte, firefox, frage, google, hijack, hijack.zones, hijackthis, internet, internet explorer, launch, mozilla, mp3, musik, neu aufsetzen, nicht gefunden, plug-in, rundll, safer networking, security, software, spielen, system, system neu, system neu aufsetzen, trojan.fakealert.sa, usb, usb 3.0, vista, windows |