| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojaner wird immer nach Systemstart gefunden - TR.Redol.CWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
24.11.2009, 13:32
| #16 |
 |  Trojaner wird immer nach Systemstart gefunden - TR.Redol.C RSIT Info: Code:
ATTFilter info.txt logfile of random's system information tool 1.06 2009-11-24 13:18:52
======Uninstall list======
-->MsiExec /X{6833245E-DD86-479A-882A-8360D62C8194}
Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 9.2 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A92000000001}
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE
Call of Duty 4: Modern Warfare-->"C:\Program Files\CSteam\steam.exe" steam://uninstall/7940
CCleaner-->"C:\Program Files\CCleaner\uninst.exe"
DivX Web Player-->C:\Program Files\DivX\DivXWebPlayerUninstall.exe /PLUGIN
FormatFactory 2.15-->C:\Program Files\FreeTime\FormatFactory\uninst.exe
GIMP 2.6.7-->"C:\Program Files\GIMP-2.0\setup\unins000.exe"
Green Charger-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\1050\INTEL3~1\IDriver.exe /M{73D7F26F-A650-49F3-9928-AD204673797C}
HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
Intel PROSet Wireless-->Intel PROSet Wireless
Internet Download Manager-->C:\Program Files\Internet Download Manager\Uninstall.exe
Java(TM) 6 Update 15-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216015FF}
JDownloader-->C:\Program Files\JDownloader\uninstall.exe
JMicron JMB38X Flash Media Controller-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{26604C7E-A313-4D12-867F-7C6E7820BE4C}\setup.exe" -l0x7 -removeonly
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Meeting Secretary-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\1050\INTEL3~1\IDriver.exe /M{B25D4EF9-CC92-4405-9353-BBD4C687BF7C}
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - deu\setup.exe
Microsoft .NET Framework 3.5 Language Pack SP1 - deu-->MsiExec.exe /I{052FDD78-A6EA-3187-8386-C82F4CA3A929}
Microsoft .NET Framework 3.5 SP1-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Mozilla Firefox (3.5.5)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
NVIDIA Drivers-->C:\Windows\system32\NVUNINST.EXE UninstallGUI
NVIDIA PhysX-->MsiExec.exe /X{6833245E-DD86-479A-882A-8360D62C8194}
Photo Gadget-->"C:\Program Files\XemiComputers\Photo Gadget\unins000.exe"
Program DJ-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\1050\INTEL3~1\IDriver.exe /M{EF2A95D9-C159-4779-A564-12E58D3CD8D7}
Realtek 8169 8168 8101E 8102E Ethernet Driver-->C:\Program Files\InstallShield Installation Information\{8833FFB6-5B0C-4764-81AA-06DFEED9A476}\setup.exe -runfromtemp -l0x0007 -removeonly
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -removeonly
Safety Guard-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\1050\INTEL3~1\IDriver.exe /M{5FCCE459-7CB3-48BB-AECD-F52DE8ADE23A}
Smart Watchdog-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\1050\INTEL3~1\IDriver.exe /M{7243A264-7401-445E-99E6-2CC334960047}
Steam-->MsiExec.exe /X{048298C9-A4D3-490B-9FF9-AB023A9238F3}
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
VC80CRTRedist - 8.0.50727.762-->MsiExec.exe /I{767CC44C-9BBC-438D-BAD3-FD4595DD148B}
VLC media player 1.0.3-->C:\Program Files\VideoLAN\VLC\uninstall.exe
WinRAR-->C:\Program Files\WinRAR\uninstall.exe
Wireless Switch-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\1050\INTEL3~1\IDriver.exe /M{23BDF7D8-C353-4BA8-8567-814F91332CEA}
Wow Video&Audio utility-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\1050\INTEL3~1\IDriver.exe /M{F408DA6B-DA75-4D95-B87D-49AFF0B4EBB0}
======Security center information======
AS: Windows Defender
======System event log======
Computer Name: michael-PC
Event Code: 7036
Message: Dienst "TPM-Basisdienste" befindet sich jetzt im Status "Beendet".
Record Number: 26979
Source Name: Service Control Manager
Time Written: 20091124121506.000000-000
Event Type: Informationen
User:
Computer Name: michael-PC
Event Code: 7036
Message: Dienst "Sicherheitscenter" befindet sich jetzt im Status "Ausgeführt".
Record Number: 26980
Source Name: Service Control Manager
Time Written: 20091124121507.000000-000
Event Type: Informationen
User:
Computer Name: michael-PC
Event Code: 537
Message: Auf diesem Computer konnte kein kompatibles TPM-Sicherheitsgerät (Trusted Platform Module) gefunden werden. TBS konnte nicht gestartet werden.
Record Number: 26981
Source Name: Microsoft-Windows-TBS
Time Written: 20091124121506.908579-000
Event Type: Informationen
User: NT-AUTORITÄT\LOKALER DIENST
Computer Name: michael-PC
Event Code: 7036
Message: Dienst "Startprogramm für Windows Media Center" befindet sich jetzt im Status "Beendet".
Record Number: 26982
Source Name: Service Control Manager
Time Written: 20091124121509.000000-000
Event Type: Informationen
User:
Computer Name: michael-PC
Event Code: 7036
Message: Dienst "Windows Update" befindet sich jetzt im Status "Ausgeführt".
Record Number: 26983
Source Name: Service Control Manager
Time Written: 20091124121514.000000-000
Event Type: Informationen
User:
=====Application event log=====
Computer Name: michael-PC
Event Code: 1
Message: Der Zertifikatdiensteclient wurde erfolgreich gestartet.
Record Number: 2386
Source Name: Microsoft-Windows-CertificateServicesClient
Time Written: 20091124121405.293179-000
Event Type: Informationen
User: michael-PC\michael
Computer Name: michael-PC
Event Code: 1
Message: Der Zertifikatdiensteclient wurde erfolgreich gestartet.
Record Number: 2387
Source Name: Microsoft-Windows-CertificateServicesClient
Time Written: 20091124121405.299179-000
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM
Computer Name: michael-PC
Event Code: 1
Message: Der Windows-Sicherheitscenterdienst wurde gestartet.
Record Number: 2388
Source Name: SecurityCenter
Time Written: 20091124121507.000000-000
Event Type: Informationen
User:
Computer Name: michael-PC
Event Code: 1001
Message: Die Leistungsindikatoren für den Dienst WmiApRpl (WmiApRpl) wurden entfernt. Die Daten enthalten die neuen Werte der Registrierungseinträge "Last Counter" und "Last Help".
Record Number: 2389
Source Name: Microsoft-Windows-LoadPerf
Time Written: 20091124121807.000000-000
Event Type: Informationen
User:
Computer Name: michael-PC
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst WmiApRpl (WmiApRpl) wurden erfolgreich geladen. Die Eintragsdaten im Datenbereich enthalten die neuen Indexwerte, die diesem Dienst zugeordnet sind.
Record Number: 2390
Source Name: Microsoft-Windows-LoadPerf
Time Written: 20091124121807.000000-000
Event Type: Informationen
User:
=====Security event log=====
Computer Name: michael-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.
Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
Record Number: 3327
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091124121850.481579-000
Event Type: Überwachung gescheitert
User:
Computer Name: michael-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.
Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
Record Number: 3328
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091124121850.528379-000
Event Type: Überwachung gescheitert
User:
Computer Name: michael-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.
Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
Record Number: 3329
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091124121850.559579-000
Event Type: Überwachung gescheitert
User:
Computer Name: michael-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.
Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
Record Number: 3330
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091124121850.590779-000
Event Type: Überwachung gescheitert
User:
Computer Name: michael-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.
Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
Record Number: 3331
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091124121850.621979-000
Event Type: Überwachung gescheitert
User:
======Environment variables======
"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\Intel\WiFi\bin\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 13, GenuineIntel
"PROCESSOR_REVISION"=0f0d
"NUMBER_OF_PROCESSORS"=2
"TRACE_FORMAT_SEARCH_PATH"=\\NTREL202.ntdev.corp.microsoft.com\4F18C3A5-CA09-4DBD-B6FC-219FDD4C6BE0\TraceFormat
"DFSTRACINGON"=FALSE
-----------------EOF-----------------
Muss ich jetzt noch was machen? |
|
25.11.2009, 12:59
| #17 |
| /// Helfer-Team    | Trojaner wird immer nach Systemstart gefunden - TR.Redol.C hi
__________________*+ Malwarebytes' Anti-Malware - kannst deinstallieren 1. Erstelle manuell einen Wiederherstellungspunkt: Aktivieren und Deaktivieren der Systemwiederherstellung 2. alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind,nicht löschbar. c:\windows\temp - anschließend den Papierkorb leeren 3. Öffne CCleaner
4.
5. Windows und die installierten Programme auf den neuesten Stand zu halten,sind Garanten für eine erhöhte Sicherheit! Java aktualisieren `Start→ Systemsteuereung→ Java→ Aktualisierung...(Update 17 schon fällig) danach deinstalliere: `Systemsteuerung → Software → Ändern/Entfernen...` Code:
ATTFilter Java(TM) 6 Update 15
6. Bitte unbedingt alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner - wähle hier "My computer" aus und das Logergebnis speichern "Save as" dann posten Vor dem Scan Einstellungen im Internet Explorer: - "Extras→ Internetoptionen→ Sicherheit": - alles auf Standardstufe stellen - Active X erlauben - alles auf Standardstufe stellen - Active X erlauben - speichere die Ergebnis als *.txt Datei und poste das Logfile des Scans |
|
25.11.2009, 18:49
| #18 |
| | Trojaner wird immer nach Systemstart gefunden - TR.Redol.C Hi,
__________________SuperAntiSpyware: Code:
ATTFilter SUPERAntiSpyware Scann-Protokoll
http://www.superantispyware.com
Generiert 11/25/2009 bei 04:45 PM
Version der Applikation : 4.31.1000
Version der Kern-Datenbank : 4310
Version der Spur-Datenbank : 2175
Scan Art : kompletter Scann
Totale Scann-Zeit : 00:25:10
Gescannte Speicherelemente : 663
Erfasste Speicher-Bedrohungen : 0
Gescannte Register-Elemente : 5419
Erfasste Register-Bedrohungen : 0
Gescannte Datei-Elemente : 21890
Erfasste Datei-Elemente : 0
 Ist es geschafft? |
|
26.11.2009, 09:45
| #19 |
| /// Helfer-Team | Trojaner wird immer nach Systemstart gefunden - TR.Redol.C hi sieht ja gut aus  - eventuell kannst Du noch dein Sytem mit mindestens 3 Onlinescanner prüfen/reinigen: - Vor dem Scan Einstellungen im Internet Explorer: Extras → Internetoptionen → Sicherheit → Stufe anpassen: alles auf Standardstufe stellen - Active X erlauben - Nicht gleichzeitig scannen! Nach jedem Scanvorgang starte dein System neu auf - speichere und poste das Logfile des Scans - die Ergebnisse als*.txt Datei speichern Code:
ATTFilter bitdefender emsisoft ESET Online Scanner f-secure |
|
27.11.2009, 15:06
| #20 |
| | Trojaner wird immer nach Systemstart gefunden - TR.Redol.C Emisoft: Code:
ATTFilter MalAware - Version 27.11.2009 08:51:07
Letztes Update: 27.11.2009 08:51:07
Scan Einstellungen:
Scan Methode: Schneller Scan
Objekte: Speicher, Traces
Säuberung: Aus
Scan Beginn: 27.11.2009 14:35:46
Gescannt
Dateien: 307
Traces: 46070
Cookies: 0
Prozesse: 63
Gefunden
Dateien: 0
Traces: 0
Cookies: 0
Prozesse: 0
Scan Ende: 27.11.2009 14:36:02
Scan Zeit: 00:00:15
Danke für deine Hilfe. hat mir sehr geholfen |
|
28.11.2009, 14:54
| #21 | |
| /// Helfer-Team | Trojaner wird immer nach Systemstart gefunden - TR.Redol.C hi Kannst du die Programme die wir verwendet haben und nicht brauchst entfernen, bis auf: Code:
ATTFilter HijackThis/Trend Micro
CCleaner
Ändere deine Passworte und Zugangsdaten! - von einem sauberen System aus Lesestoff:
Zitat:
|
|
| Themen zu Trojaner wird immer nach Systemstart gefunden - TR.Redol.C |
| antivir, c:\windows, datei, freue, gefunde, infizierte, infizierte datei, kurzem, löschen, namens, neu, nicht gefunden, programm, system, system 32, system32, systems, systemstart, tr.redol.c, troja, trojaner, windows, würde |
Linear-Darstellung
