| |
| |||||||
Log-Analyse und Auswertung: Updates gehen nicht mehr, Hijackthis, Spybot etc gehen nichtWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
31.08.2009, 19:26
| #1 |
| |  Updates gehen nicht mehr, Hijackthis, Spybot etc gehen nicht Mooin. Ich habe seit kurzem ein Problem beim updaten und Internetverbindungen die von bestimmten Programmen ausgehen. Ein Clicker Trojaner hat sich durch meinen AVG geschummelt. --> AVG deinstalliert und Bitdefender IS 2010 installiert, weil Lizenz ausgelaufen... Sodele... nun kann ich aber weder für Bitdefender Updates ziehen, es wird mir immer ein Fehler ausgegeben (invalid server or proxy settings), noch kann sich irgendein anderes Programm ins Netz einwählen. Ich kann weder den Internet Explorer neu installieren (weil das installprogramm ja automatisch ins internet geht), noch für spybot search & destroy updates ziehen etc pp. Kurzum: Alle Programme die irgendwas aus dem Netz updaten werden durch irgendwas geblockt. Programme wie HijackThis oder Spybot lassen sich zwar downloaden und installieren. Gehen aber entweder garnicht, oder das Hauptfenster kann nicht geöffnet werden... weiss da jemand rat? danke schonmal im voraus |
|
31.08.2009, 20:21
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Updates gehen nicht mehr, Hijackthis, Spybot etc gehen nicht__________________
__________________ |
|
01.09.2009, 11:52
| #3 |
| | Updates gehen nicht mehr, Hijackthis, Spybot etc gehen nicht ja super klasse. das hat funktioniert.
__________________hier nun mein LOG: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:51:29, on 01.09.2009 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Unable to get Internet Explorer version! Boot mode: Normal Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Program Files\BitDefender\BitDefender 2010\bdagent.exe C:\Windows\Explorer.EXE C:\Windows\System32\wpcumi.exe C:\Program Files\Java\jre6\bin\jusched.exe C:\Windows\ehome\ehtray.exe C:\Program Files\X10Receiver.NET\X10Receiver.NET.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Program Files\BitDefender\BitDefender 2010\seccenter.exe C:\Program Files\Logitech\SetPoint\SetPoint.exe C:\Program Files\ObjectDock\ObjectDock.exe C:\Program Files\Virtual Desktops\Virtual Desktops.exe C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe C:\Windows\ehome\ehmsas.exe C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe C:\Windows\system32\taskeng.exe C:\Program Files\Browser & IM\Trillian\trillian.exe C:\Program Files\Skype\Phone\Skype.exe C:\Program Files\Skype\Plugin Manager\skypePM.exe C:\program files\audio\winamp\winamp.exe C:\Program Files\Audio\CD Art Display\CAD.exe C:\Program Files\Audio\Last.fm\LastFM.exe C:\Program Files\Browser & IM\Mozilla Firefox\firefox.exe C:\Windows\System32\mobsync.exe C:\Users\Ranarion\Downloads\pruefung.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.***.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.mi***soft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.mi***soft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.mi***soft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.mi***soft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: (no name) - CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Program Files\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file) O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2010\IEToolbar.dll O4 - HKLM\..\Run: [H2O] C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe O4 - HKLM\..\Run: [WPCUMI] C:\Windows\system32\WpcUmi.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2010\bdagent.exe" O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2010\IEShow.exe" O4 - HKLM\..\RunOnce: [B Register C:\Program Files\Video\DivX\DivX Plus DirectShow Filters\DivXDecH264.ax] "C:\Windows\system32\rundll32.exe" "C:\Program Files\Video\DivX\DivX Plus DirectShow Filters\DivXDecH264.ax",DllRegisterServer O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe O4 - HKCU\..\Run: [X10Receiver.NET] C:\Program Files\X10Receiver.NET\X10Receiver.NET.exe -dontshow O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O4 - Startup: Object Dock (2).lnk = C:\Program Files\ObjectDock\ObjectDock.exe O4 - Startup: Object Dock.lnk = C:\Program Files\ObjectDock\ObjectDock.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200 O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\Browser & IM\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\Browser & IM\ICQ6.5\ICQ.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O13 - Gopher Prefix: O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pa***software.com/activescan/cabs/as2stubie.cab O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://do***oad.bitdefender.com/resources/scanner/sources/de/scan8/oscan8.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fp***nload2.macromedia.com/get/flashplayer/current/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{33C1F737-455B-4616-BB55-FDC4860A3E5B}: NameServer = 85.255.112.87,85.255.112.195 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.87,85.255.112.195 O17 - HKLM\System\CS1\Services\Tcpip\..\{33C1F737-455B-4616-BB55-FDC4860A3E5B}: NameServer = 85.255.112.87,85.255.112.195 O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 85.255.112.87,85.255.112.195 O17 - HKLM\System\CS4\Services\Tcpip\..\{33C1F737-455B-4616-BB55-FDC4860A3E5B}: NameServer = 85.255.112.87,85.255.112.195 O17 - HKLM\System\CS5\Services\Tcpip\Parameters: NameServer = 85.255.112.87,85.255.112.195 O17 - HKLM\System\CS5\Services\Tcpip\..\{33C1F737-455B-4616-BB55-FDC4860A3E5B}: NameServer = 85.255.112.87,85.255.112.195 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.87,85.255.112.195 O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe O23 - Service: BitDefender Arrakis Server (Arrakis3) - BitDefender S.R.L. BitDefender AntiVirus | Virenscanner | AntiSpam | Firewall Software| Data Security - C:\Program Files\Common Files\BitDefender\BitDefender Arrakis Server\bin\arrakis3.exe O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\LogiShrd\Bluetooth\LBTServ.exe O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender S.R.L. - C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Burn & Mount\Alcohol 120\StarWind\StarWindServiceAE.exe O23 - Service: Virtual CD v9 Management Service (VC9SecS) - H+H Software GmbH - C:\Program Files\Burn & Mount\Virtual CD v9\System\vc9secs.exe O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2010\vsserv.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 11598 bytes |
|
02.09.2009, 09:53
| #4 |
  | Updates gehen nicht mehr, Hijackthis, Spybot etc gehen nicht Guten Morgen ZoSar Ich antworte hier erst mal vorweg und hoffe meinem Vorredner nicht ins Gehege zu kommen. Zuerst solltest du dies zur Kenntnis nehmen: Dein System ist kompromitiert und zwar vermutlich von einem Trojan.DNSChanger mit entsprechendem Rootkit.<--  Erklärung Rootkit: Der Begriff beschreibt ein kleines Tool, das sich in ein Betriebssystem eingräbt und dort als Deckmantel für weitere Programme dient. In einem Rootkit können sich Viren ebenso verstecken wie ausgefeilte Spionagetools. Das Perfide: Während diese Programme sonst von jedem Virenscanner früher oder später erkannt würden, fallen sie dem System dank der Tarnung durch das Rootkit nicht mehr auf. Wenn diese Tarnung fällt, ist der Virus verwundbar... Dein gesamter Datenverkehr wird auf einen ukrainischen Server umgeleitet. Diese Einträge hier sind mir gut bekannt: Code:
ATTFilter O17 - HKLM\System\CCS\Services\Tcpip\..\{33C1F737-455B-4616-BB55-FDC4860A3E5B}: NameServer = 85.255.112.87,85.255.112.195
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.87,85.255.112.195
O17 - HKLM\System\CS1\Services\Tcpip\..\{33C1F737-455B-4616-BB55-FDC4860A3E5B}: NameServer = 85.255.112.87,85.255.112.195
O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 85.255.112.87,85.255.112.195
O17 - HKLM\System\CS4\Services\Tcpip\..\{33C1F737-455B-4616-BB55-FDC4860A3E5B}: NameServer = 85.255.112.87,85.255.112.195
O17 - HKLM\System\CS5\Services\Tcpip\Parameters: NameServer = 85.255.112.87,85.255.112.195
O17 - HKLM\System\CS5\Services\Tcpip\..\{33C1F737-455B-4616-BB55-FDC4860A3E5B}: NameServer = 85.255.112.87,85.255.112.195
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.87,85.255.112.195
Code:
ATTFilter organisation: ORG-UL25-RIPE
org-name: UkrTeleGroup Ltd.
org-type: LIR
address: UkrTeleGroup Ltd.
65029 Odessa
Ukraine
phone: +3804++++++++ edit
fax-no: +3804++++++++ edit
mnt-ref: UKRTELE-MNT
mnt-ref: RIPE-NCC-HM-MNT
mnt-by: RIPE-NCC-HM-MNT
source: RIPE # Filtered
Hinweis: kompromitierte Systeme sollten neu aufgesetzt und abgesichert werden http://www.trojaner-board.de/51262-a...sicherung.html Um den Virus zu entfernen, um sicher Backups zu machen oder obigen Hinweis aus diversen Gründen zu ignorieren, befolge folgende Schritte: Natürlich alles unter dem Hinweis das die ganze Sache auch schiefgehen kann und du um ein Neuaufsetzen nicht herumkommen wirst. Lade dir folgende Software herunter und installiere diese, bitte unternehme nichts auf eigene Faust sondern folge den folgenden Anweisungen. VORWEG: Die Reihenfolge sollte unbedingt eingehalten werden..... Code:
ATTFilter Download von CCleaner Anleitung: CCleaner <----dl Link in der Erklärung...LESEN!!! Download von Avenger Download von Malwarebytes Anleitung: Malwarebytes Anti-Malware <--- dl Linkin der Erklärung LESEN !!! Download von Gmer Download von MBR.exe Lies dir die Anweisungen zu Malwarebytes und CCleaner aufmerksam durch und befolge die Schritte genau, ggf. drucke sie dir aus. Checken wir das Ganze erst mal von Anfang an. Da es sich vermutlich um einen DNS Changer handelt, müssen wir zunächst die DNS Einträge deiner Internetverbindung überprüfen. Gehe wie folgt vor: Code:
ATTFilter Geh bitte auf START
Systemsteuerung
Netzwerk- und Internetverbindungen
Netzwerkverbindungen
Hierauf dann einen Rechtsklick und Eigenschaften anklicken.
Hier ist dann deine aktive Netzwerkverbindung ins Internet gelistet.
Hierauf auch einen Rechtsklick und Eigenschaften aufrufen.
In die Netzwerkkontrolle gelangst du so Code:
ATTFilter - Windows-Taste + “R” drücken
- Eingabe des Befehles “%windir%/system32/ncpa.cpl“
- Enter drücken oder “OK” bestätigen
drücke hier einmal mit der linken Maustaste drauf und dann auf Eigenschaften. Schau in den Eintrag DNS Server . Ist der Eintrag DNS Server automatisch beziehen aktiviert oder siehst du darunter IP Nummern eingetragen? Dein System sollte die DNS eigentlich automatisch beziehen. Falls dies nicht der Fall ist, indiziert dies einen Befall mit einem DNS Changer.. Punkt 1. Bitte deaktiviere deine Systemwiederherstellung: Systemsteuerung/System/ Reiter Systemwiederherstellung. Nimm das Häkchen aus der Box. Beantworte die Frage mit Ja, somit werden alle deine Wiederherstellungspunkte auch gelöscht. Diese sind in deinem Fall sowieso unbrauchbar.. Für Vista Punkt 2. Mache alle Dateien deines System so sichtbar. ( Ordneroption - versteckte und Systemdateien anzeigen ) Für Vista User Punkt 3. Dann wirst du CCleaner aktivieren und wie beschrieben vorgehen und zwar so lange bis das keine Fehler mehr angezeigt werden. Punkt 4. Aktiviere MBR.exe Lass es laufen und poste das Logfile hier. Punkt 5. Hiernach einen Malwarebytes Scan ( Full Scan ) und das Logfile hier posten....( wenns nicht läuft benenne die MBAM.exe um in Hups.exe und versuchs dann. Einige Viren verhindern die Ausführung von AV Programmen. Lasse zum Abschluß alle Funde löschen Gehts immer noch nicht, gehe zu Punkt 6. Punkt 6. Hiernach öffnest du GMER und lässt bei diesem Programm ebenfalls einen Scan durchführen, poste das Logfile hier. Wenn es funktioniert, dann bitte ausführen und die Logfile posten bzw. bei - Ihr kostenloser File Hoster! uploaden und Link posten. Falls es nicht läuft: Auch hier verhindern einige Viren, dass GMER laufen kann. Benenne die exe dann einfach in Huppala.exe um Weiteres kommt dann nach diesem Logfile ...
__________________ Quidquid agis prudenter agas et respice finem Was auch immer du tust, tu es klug und bedenke die Folgen --------------------------------------------------------------------------------- Wenn ich nach 24 Stunden nicht antworte, bitte kurze PM |
|
03.09.2009, 02:51
| #5 | |||||
| | Updates gehen nicht mehr, Hijackthis, Spybot etc gehen nicht soooooo, endlich geschafft Also meine Programme können auf jeden fall schon wieder aufs netz zugreifen... aber nach der reihe: als allererstes erstmal vieeeeeelen lieben dank für die sehr detallierte beschreibung... wow... der hammer, da fühlt man sich auf dem board doch direkt willkommen... so nun zum wesentlichen: CCleaner zeigt beim normalen Scan nichts mehr an, bei der Registry immer zwei einträge: Zitat:
Die erste Avenger Log zeigte folgendes: Zitat:
Malwarebytes Log: Zitat:
GMER hat meines Erachtens aber auch nur 2 Fehler gefunden (findet er auch immernoch). Ganz am Anfang des Tests vor dem eigentlichen Scan. Das waren auch die einzigen beiden Roten Pfade nach dem kompletten Scan: Zitat:
Zitat:
Ich hoffe das hilft Euch weiter... |
|
03.09.2009, 03:05
| #6 |
| | Updates gehen nicht mehr, Hijackthis, Spybot etc gehen nicht Au weiha Ich hab aber nicht gesagt dass du den Avenger auch benutzen solltest. Code:
ATTFilter ....herunter und installiere diese, bitte unternehme nichts auf eigene Faust sondern folge den folgenden Anweisungen
Malwarebytes hat einiges erwischt, aber eben nicht alles. Ich denke die rootkits sind noch immer vorhanden. Zur Zeit habe ich Nachtdiesnt und kann dir von hier leider nicht helfen. Ich mache das wenn ich wieder zu Hause bin.. Die CCleaner Mecker bezüglich IExplorer ist ok so, da du IE nicht mehr installiert hast. Ich hoffe, dass du bei der Arbeit mit dem Rechner die Punkte 1 und 2 auch befolgt hast, ansonsten können wir nochmals von vorne beginnen. Also wenn ich zu Hause bin werde ich mich noch mal an den Rechner setzten und dann ein kleines Script für dich schreiben welches du dann mit dem Avenger einsetzen wirst. Falls du noch Zeit hast würde ich gerne nochmals GMER versuchen. Bitte benenne GMER vorher in HUPS.exe um und versuchs dann nochmal. Einige Viren versuchen die Ausführung solcher Programme wie GMER zu unterbinden. Bitte poste das GMER Log Vollständig hier, ich muss die Einträge sehen. Falls es nicht mehr geht versuche ich es mit den Infos die du bisher geliefert hast. Aber bitte unternehme nichts mehr im Voraus Bis später....
__________________ --> Updates gehen nicht mehr, Hijackthis, Spybot etc gehen nicht Geändert von Redwulf (03.09.2009 um 03:22 Uhr) |
|
03.09.2009, 12:18
| #7 |
| | Updates gehen nicht mehr, Hijackthis, Spybot etc gehen nicht Weiter gehts, sorry ich war heute morgen einfach zu müde. Öffne jetzt nochmal den Avenger Du siehst jetzt ein weißen Scriptfeld.  Kopiere jetzt den Inhalt der Codebox mit Strg +C Code:
ATTFilter Drivers to delete:
MSIVXserv.sys
Files to delete:
C:\WINDOWS\system32\drivers\MSIVXfopdjuxwrbptqmepwtooxisttuvixvln.sys
C:\Windows\System32\Drivers\VDRV9000.SYS
Achte darauf, dass der Inhalt der Codebox mit dem Scriptfeld übereinstimmt. Es kommt beim Kopieren des Codebox Inhaltes manchmal zu einer Lücke zwischen den Buchstaben. Falls dies so ist, korrigiere das bevor du auf EXECUTE drückst. Der Avenger wird im Rahmen seiner Arbeit mehrmals booten, teilweise siehst du auch nur einen schwarzen Bildschirm. Das muss so sein, da das rootkit nur beseitigt werden kann bevor Windows komplett bootet. Also nicht erschrecken.. Selten, aber möglich bootet Windows Vista in einen Bluescreen. Auch dann kein Grund zur Sorge. Nach Abschluß dieser Sache bekommst du ein Logfile angezeigt. Poste es bitte hier. Zu diesem Zeitpunkt ist auch möglich, dass sich dein Antivirenprogramm mit Virenfunden meldet. Lasse diese Viren dann LÖSCHEN, anschließend löscht du die Quarantäne. Anschließend wirst du das Programm Blacklight ausführen. Reporte das Ergebnis hier. Weiter geht es dann wieder mit MalwareBytes. Vollziehe einen kompletten Scan, nachdem du ein update getätigigt hast. Auch hier lässt du eventuelle Funde komplett löschen. Quarantäne ebenfalls. Poste das Ergebnis hier. Jetzt setzt du nochmals CCleaner ein und zeigst mir ein dann ein frisches Hijack this Log. Dann gehts ans Aufräumen....
__________________ Quidquid agis prudenter agas et respice finem Was auch immer du tust, tu es klug und bedenke die Folgen --------------------------------------------------------------------------------- Wenn ich nach 24 Stunden nicht antworte, bitte kurze PM |
|
04.09.2009, 00:45
| #8 | |||||
| | Updates gehen nicht mehr, Hijackthis, Spybot etc gehen nicht sodele, dann nochmal von vorn. Sowohl der Ip4, als auch der ip6 TCP/IP stehen beide auf automatischer DNS. Punkt 1: is eh egal, weil ich über die Dienste den Volumenschatten und die Volumenschattenkopie auf deaktiviert gesetzt habe. Punkt 2: is gemacht. Punkt 3: Jap, wie gesagt, es werden nur die beiden IE-Fehler ausgegeben. Punkt 4: Zitat:
Zitat:
Punkt 6: GMER hat (umbenannt in huppsala.exe und als administrator ausgeführt) WIEDER einen bluescreen herbeigeführt (und zwar nach ca. 6 Stunden scannen). Der Bluescreen hiess (in etwa, den genauen wortlaut konte ich mir so schnell nicht merken): Zitat:
So, dann zu deinem letzten Post: Avenger hat beim ersten ausführen keine textdatei erzeugt, als ich den gleichen code erneut eingegeben habe und nochmal auf execute gedrückt habe kam folgendes: Zitat:
Blackligt hat nichts gefunden und Malwarebytes danach auch nicht mehr. (habe beide logdateien leider nicht mehr, durch einen absturz meines browsers, druch MEINEN fehler....) Mein frisches HiJackthis, findest du nun hier: Zitat:
Ich danke dir auf jeden Fall schonmal tausend mal bis hierher. Bin jetzt das Wochenende über mit meiner Band unterwegs und komme am Montag wieder. beste Grüße und dir ein schönes Wochenende ZoSar |
|
04.09.2009, 15:07
| #9 |
| | Updates gehen nicht mehr, Hijackthis, Spybot etc gehen nicht Ich hoffe du hattest auch ein angenehmes Wochenende. Aber gehen wir mal weiter in deinem Fall: Das Verhalten von GMER macht mich etwas nachdenklich. Es ist jedoch auch erklärlich damit, das ggf. ein Treiber von GMER nicht kompatibel mit deinem PC ist. Das passiert manchmal und ist auch nicht unbedingt Grund zur Sorge. Dennoch möchte ich 100%-ig ausschließen, dass sich noch etwas hinter einem rootkit verbirgt. Deshalb versuchen wir jetzt ein alternatives Programm. Ich weiss, wir haben Blacklight benutzt, ich weiss jedoch nicht wie aktuell dieses Programm die Bedrohungen erkennt. Ausserdem werden in letzter Zeit so viele Varianten eines Viruses auf den Markt geworfen, dass ich in dieser Hinsicht sicher gehen möchte... Bitte lade dir hier: Avira-AntiRootkit Tool: by Sunny auf den Desktop. Das Tool entpacken und installieren über die *setup.exe* Danach das Programm starten und auf *"Start Scan"* klicken Nach dem Scan auf *"View Report"* klicken, den Text aus dem Editor kopieren (Strg+A -> Strg+C) und im Forum einfügen (Strg+V) Beispiel:  Gehe zu Sophos und lade dir ihren Rootkitescanner herunter. Du bekommst eine Installationsdatei sarsfx.exe. Starte diese, akzeptiere die Lizenz und lass das Programm installieren, ändere den Pfad C:\SOPHTEMP nicht. Gehe mit dem Explorer in diesen Ordner und starte sargui.exe, schließe danach alle anderen Programme. Lass unter Area alles angehalt und starte den Scan mit "Start scan". Der Scan dauert einige Zeit, wenn er fertig ist poppt ein Fenster auf mit einer Zusammenfassung, klicke dort "Ok". Beende den Sophos Rootkitscanner, dieser Scan dient nur der Analyse. Starte den Explorer und gib in der Adresszeile "%temp%" ein (ohne Anführungsstriche), dort gibt es eine Datei sarscan.log, deren Inhalt bitte posten. Und jetzt etwas Wichtiges, dass solltest du auf jeden Fall beherzigen: Alle anderen Scanner gegen Viren, Spyware, usw müssen deaktiviert sein keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen) Bitte poste die Ergebnisse vollständig... NICHTS am Rechner vornehmen. Bewege keine Maus oder lass irgendwelche Anwendungen im Hintergrund laufen. Wenn dieser Report dann negativ sein sollte werden wir erst mal aufräumen...
__________________ Quidquid agis prudenter agas et respice finem Was auch immer du tust, tu es klug und bedenke die Folgen --------------------------------------------------------------------------------- Wenn ich nach 24 Stunden nicht antworte, bitte kurze PM Geändert von Redwulf (04.09.2009 um 15:37 Uhr) |
|
07.09.2009, 07:02
| #10 | |
| | Updates gehen nicht mehr, Hijackthis, Spybot etc gehen nicht Na das hoffe ich bei deinem Wochenende doch auch  öhm. Der Download von deinem link ging leider nicht, in der RAR war nur eine Datei und das war keine setup datei die auch nur (gepackt) 65kb groß war. "avirarkd.exe" Beim ausführen gab es dann den Fehler das ich das Programm installieren müsse. Kurz geschaut und hier runtergeladen http://www.ch*p.de/downloads/Avira-AntiRootkit-Tool_31144435.html Installiert und ausgeführt. Gegen Ende warnte mich Bitdefender, dass die Datei (das Programm) ein Virus sein könne. Ich habe den Zugriff allerdings erlaubt und nicht verboten. Hier die Logdatei von Avira: Zitat:
Sophos schlug mir vor sich auf den Pfad: C:\Program Files\Sophos\Sophos Anti-Rootkit zu installieren und nicht in C:\SOPHTEMP Da ich denke, dass das mit einem Programmupdate zu tun hat, habe ich den vorgeschlagenen Pfad (C:\Program Files\Sophos\Sophos Anti-Rootkit) nicht geändert. So far so good. So aaaalles beendet, Netzwerkverbindungen unterbrochen, Maus ausgeschaltet, Browser beendet, Bitdefender (da es sich nicht stoppen ließ [Bitdefender kan nicht angehalten werden, von Natur aus...]) fix deinstalliert, Scan gestartet und schlafen gegangen. |
|
07.09.2009, 07:03
| #11 | |
| | Updates gehen nicht mehr, Hijackthis, Spybot etc gehen nicht Post 2/2 der erste Post befindet sich direkt darunter :-) Logfile: Zitat:
Ich hoffe da ist nun nichts mehr zu finden jetzt heisst es  und wenn du willst geb ich dir einen aus :-)dankööö |
|
08.09.2009, 08:43
| #12 |
| | Updates gehen nicht mehr, Hijackthis, Spybot etc gehen nicht So far so good....wie wir immer so sagen Es scheint, das der rootkit durch deine vorangegangene Aktion gekillt ist. Nun sollten wir aber noch aufräumen. Ich schlage vor du benutzt jetzt nochmals den CCleaner und danach einen Malwarebytes ( natürlich nachdem du ein update gemacht hast. ) Bitte poste hiernach nochmals einen frischen HiJack this Log. Und dann simmer schon fast fertig
__________________ Quidquid agis prudenter agas et respice finem Was auch immer du tust, tu es klug und bedenke die Folgen --------------------------------------------------------------------------------- Wenn ich nach 24 Stunden nicht antworte, bitte kurze PM |
|
08.09.2009, 11:35
| #13 | ||
| | Updates gehen nicht mehr, Hijackthis, Spybot etc gehen nicht MalwareLog: Zitat:
HijackThis Log: Zitat:
 |
|
08.09.2009, 17:48
| #14 |
| | Updates gehen nicht mehr, Hijackthis, Spybot etc gehen nicht Naja, gar nicht schlecht bis jetzt. Dennoch ich möchte das du dir diese files suchst und zu Virustotal.com hochlädst um sie checken zu lassen. Das Ergebnis postest du bitte hier Code:
ATTFilter C:\Program Files\Virtual Desktops\Virtual Desktops.exe
C:\Program Files\X10Receiver.NET\X10Receiver.NET.exe
C:\Program Files\ObjectDock\ObjectDock.exe
Du hast 2 Funde im Pfad unkenntlich gemacht, warum dass denn?
__________________ Quidquid agis prudenter agas et respice finem Was auch immer du tust, tu es klug und bedenke die Folgen --------------------------------------------------------------------------------- Wenn ich nach 24 Stunden nicht antworte, bitte kurze PM |
|
08.09.2009, 22:48
| #15 |
| | Updates gehen nicht mehr, Hijackthis, Spybot etc gehen nicht das waren 2 mir bekannte programme, die ich nicht öffentlich machen wollte. Die drei Sachen die dir Sorgen machen sind auch absolut unbedenklich. Das eine ist eine Objektleiste ála Apple, das andere ist der Treiber meiner Fernbedienung und das letzte sind multiple Desktops zum switchen. Juhuuuuuuu, heisst das, das ich tatsächlcih wieder Virenfrei durch di Welt surfe?  DAAAAAAAAAAAAAAAAAAAAAANKE!!!!! |
|
| Themen zu Updates gehen nicht mehr, Hijackthis, Spybot etc gehen nicht |
| alle programme, automatisch, avg, bestimmte, bitdefender, defender, downloaden, explorer, fehler, gen, hijack, hijackthis, internet explorer, lizenz, neu, nicht mehr, problem, programme, proxy, server, spybot, trojaner, update, updaten, updates, verbindungen |
Linear-Darstellung
