Zitat:

Zitat von Redwulf

Wenn ja, lass es laufen und lasse alle Einträge löschen die es möglicherweise findet. Ich brauche jetzt eine Zeit um nach Hause zu kommen, logge mich dann wieder ein um nachzuschauen....melde mich dann bei dir. Wir müssen uns dann nochmal deine Netzwerkeinstellungen ansehen

Bis später

habe recht herzlichen dank.....super, wie hier usern geholfen wird.
kommt direkt in meine favouriten liste

Bin wieder da....Tasse Kaffe und ne Zigi und weiter gehts. Gibts was Neues?
Übrigens, bei mir wars genauso, ich bin auch nicht mehr online gekommen. Mein IE 7 ging gar nicht mehr auf, musste auch mit Laptop und Stick arbeiten. Wir haben deinem Laptop jetzt erst mal die Gelegenheit genommen ins Internet zu schlüpfen. Ich habe daraufhin den IE 7 neu installiert.

Download hier: h**p://www.microsoft.com/germany/windows/downloads/ie/getitnow.mspx

Aber soweit sind wir erst noch nicht. Poste mal das Log von Malwarebyte hier und CHECKE deine DNS Einstellungen nochmals. Ist es auf "automatisch beziehen stehengeblieben?

Zitat:

Zitat von Redwulf

Bin wieder da....Tasse Kaffe und ne Zigi und weiter gehts. Gibts was Neues?
Übrigens, bei mir wars genauso, ich bin auch nicht mehr online gekommen. Mein IE 7 ging gar nicht mehr auf, musste auch mit Laptop und Stick arbeiten. Wir haben deinem Laptop jetzt erst mal die Gelegenheit genommen ins Internet zu schlüpfen. Ich habe daraufhin den IE 7 neu installiert.

Download hier: h**p://www.microsoft.com/germany/windows/downloads/ie/getitnow.mspx

Aber soweit sind wir erst noch nicht. Poste mal das Log von Malwarebyte hier und CHECKE deine DNS Einstellungen nochmals. Ist es auf "automatisch beziehen stehengeblieben?

mit dem kaffee hast du mich auf eine fantastische idee gebracht, denn ich brauche unbedingt welchen....die zigi brennt sowieo schon

nach dem neustart vorhin, waren die DNS einträge wieder normal, sprich auf "automatisch beziehen".

habe dann wie gesagt MBAM installiert und der rennt immernoch durch mein system wie ne rakete aber immernoch bei 8 files. in 1stunde und 33 mins.

etwas komisch mit dem IE7, da ich bevor ich MBAM gestartet habe, den IE7 zum testen mal öffnen wollte....er ging wieder an ?!?!?!..seltsam, echt..!

nochmals vieeelen vielen dank !!!!

Hast du zwischendurch mal rebootet? Kann sein, ich hab immer einen Adressfehler bekommen und dann ging gar nichts mehr. Aber warten wir mal ab was dein MB File sagt...

Zitat:

Zitat von Redwulf

Hast du zwischendurch mal rebootet? Kann sein, ich hab immer einen Adressfehler bekommen und dann ging gar nichts mehr. Aber warten wir mal ab was dein MB File sagt...

einen reboot hat er bis jetzt nicht gemacht ABER nun hab ich diese meldung vor mir zu stehen:

Windows-Hostprozess (Rundll32) funktioniert nicht mehr....
blablaa programm schließen

habe schiss auf schließen zurücken, weil ich denke, dass sich dann MBAM auch schließt, wobei er ja immernoch sucht....ist nicht stecken geblieben oder so....aber diese meldung, sagt die was aus ?

rundll32.dll befindet sich im Ordner C:\Windows\System32

Die Datei kann das Verhalten anderer Programme ändern oder diese gezielt manipulieren. Also keine Bange lass einfach laufen und ignoriere die Meldung. Lass MB seine Arbeit zu Ende bringen, es geht nichts kaputt

Mist zu schnell auf antworten gedrückt:
Zusatz:
Rundll32 ist eine ausführbare Programmdateien im Verzeichnis System32 des Windows-Ordners. Mit Hilfe von rundll32 können bestimmte Funktionen aus den Programmbibliotheken (DLL - Dynamic Link Library) von Microsoft- Windows ausgeführt werden. Das Betriebssystem selbst nutzt diese Funktionen, wenn beispielsweise Windows heruntergefahren werden soll, u.a.

Ist wie ein Anlasser im Auto, dann läuft der Motor. Windows bedient sich dieser dll um entsprechende Windows Funktionen auszuführen. Ist meines Wissens nach nicht von Microsoft.

Zitat:

Zitat von Redwulf

rundll32.dll befindet sich im Ordner C:\Windows\System32

Die Datei kann das Verhalten anderer Programme ändern oder diese gezielt manipulieren. Also keine Bange lass einfach laufen und ignoriere die Meldung. Lass MB seine Arbeit zu Ende bringen, es geht nichts kaputt

ok, wunderbar....
ich geh dann mal kurz zum bäcker hier unten und hol mir mein espresso ab

Soooooooooooo....


MBAM ist zu ende und hat es gefunden:


Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1749
Windows 6.0.6001 Service Pack 1

17.02.2009 08:05:37
mbam-log-2009-02-17 (08-05-18).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 253441
Laufzeit: 2 hour(s), 18 minute(s), 50 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 2
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 4
Infizierte Dateien: 26

Infizierte Speicherprozesse:
C:\Program Files\POL\POL.exe (Keylogger.Ardamax) -> No action taken.

Infizierte Speichermodule:
C:\Program Files\POL\POL.006 (Keylogger.Ardamax) -> No action taken.
C:\Program Files\POL\POL.007 (Keylogger.Ardamax) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\freshplay (Trojan.DNSChanger) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\freshplay (Trojan.DNSChanger) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\freshplay (Trojan.DNSChanger) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\pol agent (Keylogger.Ardamax) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_CLASSES_ROOT\regfile\shell\open\command\ (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> No action taken.

Infizierte Verzeichnisse:
C:\Program Files\POL (Keylogger.Ardamax) -> No action taken.
C:\Users\Sinora™\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\freshplay (Trojan.DNSChanger) -> No action taken.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\freshplay (Trojan.DNSChanger) -> No action taken.
C:\Program Files\freshplay (Trojan.DNSChanger) -> No action taken.

Infizierte Dateien:
C:\Program Files\POL\POL.exe (Keylogger.Ardamax) -> No action taken.
C:\Program Files\freshplay\Uninstall.exe (Trojan.FakeAlert) -> No action taken.
C:\Program Files\POL\AKV.exe (Keylogger.Ardamax) -> No action taken.
C:\Users\Sinora™\AppData\Local\codecsetup6394.exe (Trojan.FakeAlert) -> No action taken.
C:\Users\Sinora™\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\9CD4MVAE\CodecSetup_ver1.1[1].exe (Trojan.FakeAlert) -> No action taken.
C:\Program Files\POL\akv.cfg (Keylogger.Ardamax) -> No action taken.
C:\Program Files\POL\key.bin (Keylogger.Ardamax) -> No action taken.
C:\Program Files\POL\menu.gif (Keylogger.Ardamax) -> No action taken.
C:\Program Files\POL\POL.001 (Keylogger.Ardamax) -> No action taken.
C:\Program Files\POL\POL.002 (Keylogger.Ardamax) -> No action taken.
C:\Program Files\POL\POL.003 (Keylogger.Ardamax) -> No action taken.
C:\Program Files\POL\POL.004 (Keylogger.Ardamax) -> No action taken.
C:\Program Files\POL\POL.005 (Keylogger.Ardamax) -> No action taken.
C:\Program Files\POL\POL.006 (Keylogger.Ardamax) -> No action taken.
C:\Program Files\POL\POL.007 (Keylogger.Ardamax) -> No action taken.
C:\Program Files\POL\POL.009 (Keylogger.Ardamax) -> No action taken.
C:\Program Files\POL\POL.chm (Keylogger.Ardamax) -> No action taken.
C:\Program Files\POL\qs.html (Keylogger.Ardamax) -> No action taken.
C:\Program Files\POL\tray.gif (Keylogger.Ardamax) -> No action taken.
C:\Program Files\POL\Uninstall.exe (Keylogger.Ardamax) -> No action taken.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\freshplay\Uninstall.lnk (Trojan.DNSChanger) -> No action taken.
C:\autorun.inf (Trojan.Agent) -> No action taken.
C:\RECYCLER\S-1-2-93-100029513-100013229-100007108-7768.com (Trojan.Agent) -> No action taken.
C:\Program Files\Mozilla Firefox\components\iamfamous.dll (Trojan.Agent) -> No action taken.
C:\Windows\System32\gaopdxhhppncbk.dll (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\gaopdxrombxdux.sys (Trojan.Agent) -> No action taken.


Der ARDAMAX Keylogger ist BEWUSST installiert und hat mir seit 5 monaten NIE probleme bereitet, da er von der offiziellen website erworben worden ist.

aber der rest, der hat's in sich, ne ??
so, nun alle löschen ??

so, nun aber ans eingemachte

jetzt den CCleaner hinterher, aber bitte nach Vorschrift
Dann erst gehts weiter...Lass MB seine Arbeit zu Ende tun vorher

Hallo Redwulf, hallo isabella,

ward ja richtig fleißig heute Nacht :aplaus:

Wir sollten jetzt aber noch nach Rootkits suchen. Malwarebytes hat einen Datei (die wichtigste) vom Trojan.Agent nicht gefunden!
Also mal bitte Gmer runterladen und laufen lassen - Logfile posten.

Grüße
45cl3p1u5

Guten Morgen

wir sind grad dabei, lass jetzt Cclener laufen und mal sehen was sie dann reportet, dann gehts weiter mit Gmer.... Hab übrigens noch einen Poster per PM hier, die hat anscheinend ein richtiges problem. Malwarebyte und GMER laufen bei ihr nicht. kannst du da mal nen Blick reinwerfen?

h**p://www.trojaner-board.de/70079-trojaner-fakealert-legt-meinen-pc-lahm.html

Weil da weiss ich ehrlich gesagt nicht weiter, gleiche symptome

hii,

so, MBAM ist fertig und hat laut eigenen angaben alles vernichtet.
nun öffnete sich auch kaspersky ganz von alleine und wollte eine installation ausführen, aber näääh, nicht jetze

soll ich den CCleaner im abgesicherten modus laufen lassen oder im normalen modus ??

Lass im normalen Modus, die Hälfte ist geschafft, solange bereinigen lassen bis das keine Fehler mehr angezeigt werden

Zitat:

Zitat von Redwulf

Lass im normalen Modus, die Hälfte ist geschafft, solange bereinigen lassen bis das keine Fehler mehr angezeigt werden

so meine herren,

habe CCleaner rennen lassen und solange alles gelöscht, bis nun nichts mehr kam, genauso mit der registry...auch da ist nichts mehr zu finden.

und nun ?? bin ich geheilt ????

nun Gmer - siehe vorheriger Post