| |
| |||||||
Log-Analyse und Auswertung: Hab mir was eingefangen (Ich glaub es sitzt im Arbeitsspeicher)Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
24.07.2007, 20:43
| #1 |
| |  Hab mir was eingefangen (Ich glaub es sitzt im Arbeitsspeicher) Hi, Vor ein paar Tagen hat mein Rechner angefangen zu spinnen. erst hat sich ein neuer Prozess angekündigt (svhost.exe), dann stelle sich meine Tastatur um, so das Buchstabe "A" ein kleines "t" oder ne 4 war. und so ein Mist. Ich hab Darauf hin versucht mein System zu retten, und ein paar neue Virenscanner versucht, (Avast4, NOD32) Außerdem eine neue Firewall (sytec oder so). Heute Nacht um halb einshat sich dann C:\ formatiert Eins der Virenprogramme hatte nach dem 5ten oder 6en scan festgestellt, das der Virus in meinem Arbeitsspeicher sitzt, und mir geraten einen Virenscan vor dem Booten zu machen. Hat wie gesagt alles nichts genutzt. Jetzt Heute Wieder XP neu installiert, und 5 Stunden Später fängt der scheiss von vorne an.  Ich bin mir ZIEMLICH sicher das der Grund der Prozess "scrcons32.exe" ist. hier mal das Log: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:34:43, on 24.07.2007 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe C:\WINDOWS\System32\wpabaln.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\*******\Desktop\HiJackThis202.exe O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: QFX Software KeyScrambler - {2B9F5787-88A5-4945-90E7-C4B18563BC5E} - C:\Programme\KeyScrambler\KeyScramblerIE.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\RunServices: [WMI Standard Event Consumer - Scripting] C:\WINDOWS\System32\wbem\scrcons32.exe O4 - HKLM\..\RunServices: [NiroFile Updated] NiroFile.exe O4 - HKCU\..\RunServices: [WMI Standard Event Consumer - Scripting] C:\WINDOWS\System32\wbem\scrcons32.exe O4 - HKCU\..\RunServices: [NiroFile Updated] NiroFile.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunServices: [WMI Standard Event Consumer - Scripting] C:\WINDOWS\System32\wbem\scrcons32.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunServices: [WMI Standard Event Consumer - Scripting] C:\WINDOWS\System32\wbem\scrcons32.exe (User 'Default user') O9 - Extra button: (no name) - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - C:\Programme\KeyScrambler\KeyScramblerIE.dll O9 - Extra 'Tools' menuitem: &KeyScrambler... - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - C:\Programme\KeyScrambler\KeyScramblerIE.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm -- End of file - 2906 bytes Geändert von Garry (24.07.2007 um 20:45 Uhr) Grund: Rechtschreibung |
|
24.07.2007, 20:52
| #2 | |
  |  Hab mir was eingefangen (Ich glaub es sitzt im Arbeitsspeicher) Hallo,
__________________Zitat:
 Schau dir dies an und handle danach : http://www.trojaner-board.de/12154-a...sicherung.html Irrlicht |
|
24.07.2007, 21:02
| #3 |
| | Hab mir was eingefangen (Ich glaub es sitzt im Arbeitsspeicher) Gibt es vllt eine Möglichkeit den Virus/Trojaner/Wurm zu bereinigen, ohne Neu aufzusetzen? Ich kann Partition D:\ unmöglich formatieren, da doch noch mehrere GB an Daten liegen. Und Leider hab ich keine Externe Platte um ein Backup davon zu machen. Ich glaube es geht auch nur um diese hier:
__________________O4 - HKLM\..\RunServices: [WMI Standard Event Consumer - Scripting] C:\WINDOWS\System32\wbem\scrcons32.exe O4 - HKLM\..\RunServices: [NiroFile Updated] NiroFile.exe O4 - HKCU\..\RunServices: [WMI Standard Event Consumer - Scripting] C:\WINDOWS\System32\wbem\scrcons32.exe O4 - HKCU\..\RunServices: [NiroFile Updated] NiroFile.exe |
|
24.07.2007, 21:23
| #4 | |
  | Hab mir was eingefangen (Ich glaub es sitzt im Arbeitsspeicher) Hallo Zitat:
 das mit dem Betriebssystem drauf.MFG |
|
24.07.2007, 21:28
| #5 | ||
| | Hab mir was eingefangen (Ich glaub es sitzt im Arbeitsspeicher) Hallo, dein Log ist unvollständig.So läßt sich keine einigermaßen klare Aussage treffen. Zitat:
 Dasselbe sollst du jetzt nochmal machen,diesmal aber richtig...  Wenn es dich zu sehr juckt,suche über Google nach Virustotal oder Jotti.Das sind Dateiprüfdienste die online arbeiten .dort stellst du deine exen zur Überprüfung rein.... Zitat:
Irrlicht |
|
24.07.2007, 21:29
| #6 |
| | Hab mir was eingefangen (Ich glaub es sitzt im Arbeitsspeicher) Schon. Nur habe ich vor wenigen Stunden erst C:\ Formatiert. Deswegen dachte ich, das sich das Teil auch auf meine andere Partion übertragen/festgesetzt hat. |
|
24.07.2007, 21:48
| #7 |
| /// Helfer-Team | Hab mir was eingefangen (Ich glaub es sitzt im Arbeitsspeicher) Hi, D: nach Neuinstallation vor Nutzung sorgfältig zu scannen ist zwar sinnvoll, aber bei dir liegt das Problem bestimmt daran, dass Du online gegangen bist ohne alle Updates installiert zu haben. Da reichen Sekunden bis Minuten aus und ein System kann komplett durchseucht sein. Servicepack 2 ist absolute Pflicht vorher, wenn dann die weiteren Updates noch fehlen, muss der erste Besuch zu http://www.windowsupdate.com/ gehen, um alle weiteren Updates zu installieren. Gruß, Karl |
|
24.07.2007, 22:58
| #8 |
| | Hab mir was eingefangen (Ich glaub es sitzt im Arbeitsspeicher) sooo.. ich glaub den bin ich los. Ich hab Spyware Doctor durchlaufen lassen, und der hat hat ihn gefunden, und geklöscht! Rbot!sd5 hies das scheiss teil, ich hoffe ich hab jetzt endlich wieder ruhe... Danke für eure Antworten Wenn noch was ist, meld ich mich hier wieder  MfG Garry~ |
|
25.07.2007, 07:07
| #9 | ||||
| | Hab mir was eingefangen (Ich glaub es sitzt im Arbeitsspeicher) Moin Zitat:
Zitat:
Zitat:
Zitat:
 .MFG |
|
| Themen zu Hab mir was eingefangen (Ich glaub es sitzt im Arbeitsspeicher) |
| adobe, avast, bho, booten, ctfmon.exe, desktop, einstellungen, explorer, firefox, firewall, google, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, mozilla, mozilla firefox, pdf, prozess, s-1-5-18, scan, software, svhost.exe, system, tastatur, trend micro, virus, windows, windows xp, wmi |
Linear-Darstellung
