Trojaner?

bekomme immer bei system start diese meldung
C:/Windows/System32/1027/winped.exe restart

diese meldung bleibt nur kurze zeit, in der zeit sehe ich auch keine desktop icons
Desktop ist koplett leer!

wenn die meldung weg ist sehe ich alle icons auf dem Desktop wieder

hatt jemmand eine ahnung was das für eine Meldung ist ?



mfg lolpe

Hallo und

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien (sofern diese noch existieren) bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen. Du kannst auch einfach den Ergebnislink posten:

Code: Alles auswählenAufklappen

ATTFilter

C:\Windows\System32\1027\winped.exe
         

Danach bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!!
Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

ja also auf dem desktop fehlt nichts
von welchen programen auf der liste soll ich ein logfile posten

Ich habe auf meine Festplatte verdächtige Dateien die da noch nicht waren endeckt. Die sehen alle heller als Normale Dateien aus wie z. B. wenn ich Rechtsklick auf einen ordner mache und bei eigenschaften versteckt drücke
ich nene mal einen ordner (System Volume Information )ich habe versucht ihn zu öffnen und es kamm ein meldumg das auf C./ System Volume Information nicht zugegriffen werden kann.

Ich habe auch alle Dateien versucht auf virustotal zu scanen keine der Daten war Infitiert es gab nur ein Problem dateien mit 0 kb konnte ich nicht scannen.

Hier die logs von Malwarebytes und Random system information tool

Es ist normal, dass Du in den ordner System Volume Information nicht reinsehen darfst. Da sind u.a. die Dateien für die Wiederherstellungspunkte drin.

Hast Du mit Malwarebytes die Funde nicht gelöscht? Im Log steht nämlch, dass Malwarebytes nichts gelöscht hat.

Bitte mal den Avenger anwenden

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.


Danach:

1.) Lade Dir von hier Avenger als gehweg.exe => File-Upload.net - gehweg.exe auf den Desktop

2.) Doppelklick die Datei "gehweg.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code: Alles auswählenAufklappen

ATTFilter

registry values to delete:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | Adobe Reader Speed Launcher
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | MSCFG32
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | avgntt
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run | mscfg32
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run | winped


files to delete:
C:\WINDOWS\system32\1037\winped.exe

folders to delete:
C:\WINDOWS\system32\wincfg32
         

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Erstelle ein frisches HijackThis Logfile und poste es auch.

Zitat:

was meinst du mit hintergrund wächter deaktieviren?
Und externe Datenträger raus stöpseln?

Du kannst bei Rückfragen bzgl. des Strangs genauso gut wieder hierrein posten, eine PN ist nicht nötig.

Hintergrundwächter deaktivieren = Echtzeitvirenscanner deaktivieren, müsstest Du über das Symbol des Virenscanners bei der Uhrzeit machen können oder im Hauptmenü irgendwo im Programm.

Externe Datenträger abstöpseln bedeutet, dass Du keine USB-Sticks, ext. Platten oder so vorher entfernst wenn Du den Avenger ausführst.

ok werd ich mal machen danke für die Antwort !

[

Zitat:

Hast Du mit Malwarebytes die Funde nicht gelöscht? Im Log steht nämlch, dass Malwarebytes nichts gelöscht hat.

ja habe ich!



hab diese Frage übersehen

Ich habe die folgende Regisrty eingefügt

registry values to delete:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | Adobe Reader Speed Launcher
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | MSCFG32
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | avgntt
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run | mscfg32
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run | winped

und auf Execute geklickt beim ersten mal hat es nicht funktioniert aber beim zweiten mal dann habe ich aber gemerkte das folgende Registry Einträge vergesen habe einzufügen:

files to delete:
C:\WINDOWS\system32\1037\winped.exe

folders to delete:
C:\WINDOWS\system32\wincfg32

die abrage mit rebbot now habe ich mit nein beantwortet !

weil ich diese: vergesen habe

files to delete:
C:\WINDOWS\system32\1037\winped.exe

folders to delete:
C:\WINDOWS\system32\wincfg32

werde den Vorgang mit den Vergessen Einträge widerholen und posten!
Ich poste mal Trozdem das logfile mit dem vegessen Registry einträgen

So hier das 2 logfile ich hoffe dass ich alles richtig gemacht habe

und habe fogendes in avanger eingefügt

registry values to delete:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | Adobe Reader Speed Launcher
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | MSCFG32
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | avgntt
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run | mscfg32
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run | winped


files to delete:
C:\WINDOWS\system32\1037\winped.exe

folders to delete:
C:\WINDOWS\system32\wincfg32

ZU den Vorerigen Thread wo Ich den Odrner (System
Volume Information) Erwähne!!

Ich habe noch eine kleine Liste vorbereitet die ich auch gleich poste wo Fremde bzw aufällige Datein, Ordner aufgelistet sind die die ich auch eigentlich außer den Odner (System
Volume Information) noch nenen wollte nur aber keine Zeit hatte

Die Liste mache ich nun da ich jetzt zeit habe und alle
Dateien die mir Fremd erscheinen nennen möchte
vielleicht erleichert sie einige Probleme!

Hier Auffällige Dateien mit jeweils Dateinamen, Dateitypen, Dateigröße
und Ordener die auf meiner Festplatte sind außer den Ordner (System
Volume Information) den ich ja bereits gennant habe

AUTOEXEC
Stapelverarbeitungsdatei für MS-DOS
0 KB

boot
Konfigurationseinstellungen
1 KB

bootfont.bin
BIN-Datei
5 KB

CONFIG
Systemdatei
0 KB


hiberfil
Systemdatei
458.164 KB

IO
Systemdatei
0 KB


MSDOS
Systemdatei
0 KB

NTDETECT
Anwendung für MS-DOS
47 KB

ntldr
Systemdatei
246 KB

pagefile
Systemdatei
688.128 KB

winped
Datei
0 KG


Recycler
Dateiordner
85 Byte

Config.Msi
Dateiordner
0 Byte

Zeit für einen Durchlauf mit Combofix:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Zitat:

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Ich vertsehe das mit dem Ausühren nicht ganz?
Kompetenzler?

Habe ich jetzt eigentlich ein Trojaner, Virus... auf mein System oder was ist das genau?

Hast du auch vieleicht eine Antwort auf die Liste die ich gemacht habe?

Das heißt, dass Du Combofix nur dann ausführen solltest, wenn ein Kompetenzler (ja auch meine Wenigkeit ist ein Kompetenzler ) Dich dazu audfgefordert hat. Ja und Du hast Schädlinge auf Deinen Rechner, aus Spaß lass ich keinen an Combofix ran!