Hallo, GMER führt unmittelbar nach ausführen zu einem Shut down mit direktem Neustart unter winXP SP3. Das Programm selbst ist nur eine Winzigkeit lang sichtbar.

wlan getrennt, virenscanner abgeschaltet. Programm von Desktop gestartet als admin. Was läuft da verkehrt?

Grüße
Michael

Das ist einfach so bei GMER. Es führt auf manchen Systemen zu Abstürzen.
Ist ja auch kein Wunder, denn GMER ist ein sehr systemnahes Tool, anders kann man nicht rootkits aufspüren

Hallo Arne,

gibt's denn 'ne Alternative?

Gruß,
Michael

Wenn du analysieren willst, musst du halt eben auf GMER erstmal verzichten
Hast du schon Malwarebytes und ESET ausgeführt?
Ich lass GMER lieber zum Schluss ausführen wenn ich einen Überblick üder das System bekommen habe

Malwarebytes lief Sonntag 7 Std. lang. Ohne Ergebnis. Das Problem war, das Mwb vorher schon diesen gamelab virus fand. Den habe ich dann , entgegen eures Rates, gelöscht. Dann bin ich erst auf diese Seite gestoßen und wollte nun zur Absicherung GMER laufen lassen. Das ging dann nicht. Z.Zt. läuft gerade ESET und hat schon 4 infizierte Dateien gefunden. diese werden ja von Eset gelöscht werden. Falls es danach noch Probleme gibt, fange ich ein neues Thema an. Vielen Dank bis dahin.
Besten Gruß,
Michael

Hallo ,

ESET Online Scanner findet Java/Exploit.CVE-2012-0507.CD Trojaner im Verzeichnis eines Benutzerkontos. Der Benutzer wird sich erstmal nicht anmelden.
Habe weiter nichts unternommen.
OTL.txt angehängt.
Extras.txt wurde nicht erstellt bei Run 2. Habe daher diese von Run 1 angehängt.

Wie soll ich weiter vorgehen?
Danke schon mal -
Besten Gruß
Michael

Trotzdem bitte alle Logs von Malwarebytes posten!!
Die Logs enthalten ein paar mehr Infos als nur Fund oder kein Fund.

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

OK

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.07.15.06

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Administrator :: *** [Administrator]

Schutz: Deaktiviert

15.07.2012 09:05:55
mbam-log-2012-07-15 (09-05-55).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 402034
Laufzeit: 7 Stunde(n), 51 Minute(n), 34 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Habe durch eset nun einen trojaner gefunden und im anderen Thread einen Thema eröffnet.
Besten Gruß
Michael

eben war das letzte log. nun das erste

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.23.06

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Administrator :: *** [Administrator]

Schutz: Aktiviert

24.06.2012 09:26:25
mbam-log-2012-06-24 (09-26-25).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 368721
Laufzeit: 4 Stunde(n), 17 Minute(n), 40 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 5
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\SoftonicDownloader_fuer_powerstrip.exe (PUP.OfferBundler.ST) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\FinalMediaPlayer2011Setup.exe (PUP.BundleOffers.IIQ) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\qkhal.exe (Trojan.Lameshield) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KLV0RV6Q\soft4[1].exe (Trojan.Lameshield) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\ADLSoft_UnCompressor.exe (PUP.Adware.InstallCore) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

Vermüllte Software von Softonic scheint gerade stark in Mode zu sein!

Finger weg von Softonic!!

Softonic ist eine Toolbar- und Adwareschleuder! Finger weg! Software lädt man sich mit oberster Priorität direkt vom Hersteller und nicht von solchen Toolbarklitschen wie Softonic! Im Notfall würde natürlich chip.de gehen

Was soll das mit dem neuen Thema?!
Ich werde beide zusammenführen!

Und poste auch bitte das ESET-Log!

ok, habe verstanden, hier das eset log:

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=8ec7206763acd447963165145b428af7
# end=stopped
# remove_checked=true
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-06-23 09:25:12
# local_time=2012-06-23 11:25:12 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=5891 16776533 42 93 1898 8220989 0 0
# compatibility_mode=8192 67108863 100 0 220 220 0 0
# scanned=784
# found=0
# cleaned=0
# scan_time=276
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=8ec7206763acd447963165145b428af7
# end=finished
# remove_checked=true
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-07-18 09:11:34
# local_time=2012-07-18 11:11:34 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=5891 16776869 42 92 23690 10372129 0 0
# compatibility_mode=8192 67108863 100 0 2151360 2151360 0 0
# scanned=161297
# found=5
# cleaned=5
# scan_time=8313
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\registrybooster.exe	Win32/RegistryBooster Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert)	00000000000000000000000000000000	C
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\SoftonicDownloader64308.exe	Variante von Win32/SoftonicDownloader.A Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert)	00000000000000000000000000000000	C
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\is357113909\ezLookerSilent_DDD_FTT_BG_BD_BVD.exe	möglicherweise Variante von Win32/Adware.HLQFYSH Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert)	00000000000000000000000000000000	C
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\is357113909\MyBabylonTB.exe	Win32/Toolbar.Babylon Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert)	00000000000000000000000000000000	C
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1Q91SXPD\main[1]	Win32/LockScreen.AHO Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert)	00000000000000000000000000000000	C
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=8ec7206763acd447963165145b428af7
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-07-19 12:30:09
# local_time=2012-07-19 02:30:09 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=5891 16776869 42 92 41532 10422424 0 0
# compatibility_mode=8192 67108863 100 0 2201655 2201655 0 0
# scanned=161735
# found=1
# cleaned=0
# scan_time=13133
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\2\6e0c5882-6b170cb0	Variante von Java/Exploit.CVE-2012-0507.CD Trojaner (Säubern nicht möglich)	00000000000000000000000000000000	I
         

Gruß,
Michael

Code: Alles auswählenAufklappen

ATTFilter

C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\registrybooster.exe
         

Finger weg von Registry-Cleanern!!

Die Registry ist das Hirn des Systems. Funktioniert das Hirn nicht, funktioniert der Rest nicht mehr wirklich.
Wir lesen oft genug von Hilfesuchenden, dass deren System nach der Nutzung von Registry Cleanern nicht mehr startet.

• Wie soll der Cleaner zu 100% wissen ob der Eintrag benötigt wird oder nicht ?
• Es ist vollkommen egal ob ein paar verwaiste Registry Einträge am System sind oder nicht.
• Auch die dauernd angepriesene Beschleunigung des Systems ist nur bedingt wahr. Du würdest es nicht merken.

Ein sogenanntes False Positive von einem Cleaner kann auch dein System unbootbar machen.
Zerstörst Du die Registry, zerstörst Du Windows.


adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop. ( falls vorhanden: alte adwCleaner löschen und neu runterladen!)

• Starte die adwcleaner.exe mit einem Doppelklick. Wenn du Vista oder Win7 hast bitte per Rechtsklick => Als Administrator ausführen!
• Klicke auf Search.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.