![]() |
|
Log-Analyse und Auswertung: Frisches System - Altes ProblemWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
![]() | #1 |
![]() | ![]() Frisches System - Altes Problem Hallo! Vorgestern habe ich einen sehr zähen Trojaner auf meinem PC gefunden. Malwarebyte konnte Ihn anscheinend nicht entfernen. Daraufhin habe ich meine wichtigen Dateien gesichert und den PC durchformatiert und neu aufgesetzt. Auf der frischen Installation habe ich dann sofort probiert den Antivir zu installieren, was aber nicht ging. Es kam immer eine Meldung dass die CRC Summe verändert wurde und so die Installation nicht abgeschlossen werden konnte. Meldungen ähnlicher Art kamen auch bei anderen Antivirusprogrammen. Ich habe daraufhin mal den temporären Installationsordner und den Windows/Temp Ordner vollständig gelöscht, im abgesicherten Modus neugestartet und versucht Antivir zu installieren, was dann auch klappte. Ich lies dann sofort einen Scan laufen wo bereits einige als Trojaner identifizierte Dateien in Quarantäne verschoben wurden. Beim weiteren Neustart im normalen Modus kam dann die Meldung dass etwas an der Windows Lizenz nicht stimmen würde und so Win gestartet werden konnte. Die Online Verifizierung schlug auch fehl (btw.: Ich hab ein Original Windows!!) Beim neuerlichen Reboot war diese Meldung wieder weg, aber beim Antivir kam eine Meldung alá "avcenter.exe cannot be found has been modified or destroyed". Der Scanner funktioniert lustigerweise noch. (zumindest sieht es so aus) und dieser findet im win/temp ordner immer wieder neue Trojaner, sowie in der Usernit.exe als auch in der Logonui.exe (oder so ähnlich) Es lassen sich nun überhaupt keine Programme mehr installieren (z.B Filezilla, ...) Meine Vermutung ist dass der Virus auch in den Backup Dateien ist, und das frische System wieder infiziert hat. Ich bräuchte bitte nun dringend Hilfe was ich jetzt noch machen könnte, ich bin am Ende mit meinem Latein! Hier noch noch mein Log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:21:11, on 11.02.2009 Platform: Windows Vista (WinNT 6.00.1904) MSIE: Internet Explorer v7.00 (7.00.6000.16386) Boot mode: Normal Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Windows\RtHDVCpl.exe C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Program Files\Logitech\SetPoint\SetPoint.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Trillian\trillian.exe C:\Program Files\Skype\Phone\Skype.exe C:\Program Files\Skype\Plugin Manager\skypePM.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avscan.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe C:\Windows\system32\SearchFilterHost.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O13 - Gopher Prefix: O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe -- End of file - 4222 bytes Mfg Draaguul ![]() *EDIT*: Seit ein paar Minuten kommt folgende Meldung wenn ich den Taskmanager aufrufe: Fehler - Sicherheitsoptionen Geändert von draaguul (11.02.2009 um 14:48 Uhr) |
Themen zu Frisches System - Altes Problem |
abgesicherten modus, antivir, aufrufe, avg, avira, bho, browser, dringend, fehler, firefox, helper, hijack, hijackthis, immer wieder, installation, internet, internet explorer, keine programme, mein log, mozilla, problem, rundll, scan, senden, sicherheitsoptionen, software, stimme, system, taskmanager, trojaner, verifizierung, vista, wieder weg, windows lizenz, windows sidebar |