|
Plagegeister aller Art und deren Bekämpfung: Trojaner wird immer nach Systemstart gefunden - TR.Redol.CWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
24.11.2009, 13:32 | #16 |
| Trojaner wird immer nach Systemstart gefunden - TR.Redol.C RSIT Info: Code:
ATTFilter info.txt logfile of random's system information tool 1.06 2009-11-24 13:18:52 ======Uninstall list====== -->MsiExec /X{6833245E-DD86-479A-882A-8360D62C8194} Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe Adobe Reader 9.2 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A92000000001} Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE Call of Duty 4: Modern Warfare-->"C:\Program Files\CSteam\steam.exe" steam://uninstall/7940 CCleaner-->"C:\Program Files\CCleaner\uninst.exe" DivX Web Player-->C:\Program Files\DivX\DivXWebPlayerUninstall.exe /PLUGIN FormatFactory 2.15-->C:\Program Files\FreeTime\FormatFactory\uninst.exe GIMP 2.6.7-->"C:\Program Files\GIMP-2.0\setup\unins000.exe" Green Charger-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\1050\INTEL3~1\IDriver.exe /M{73D7F26F-A650-49F3-9928-AD204673797C} HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT="" Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT="" Intel PROSet Wireless-->Intel PROSet Wireless Internet Download Manager-->C:\Program Files\Internet Download Manager\Uninstall.exe Java(TM) 6 Update 15-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216015FF} JDownloader-->C:\Program Files\JDownloader\uninstall.exe JMicron JMB38X Flash Media Controller-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{26604C7E-A313-4D12-867F-7C6E7820BE4C}\setup.exe" -l0x7 -removeonly Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe" Meeting Secretary-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\1050\INTEL3~1\IDriver.exe /M{B25D4EF9-CC92-4405-9353-BBD4C687BF7C} Microsoft .NET Framework 3.5 Language Pack SP1 - DEU-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - deu\setup.exe Microsoft .NET Framework 3.5 Language Pack SP1 - deu-->MsiExec.exe /I{052FDD78-A6EA-3187-8386-C82F4CA3A929} Microsoft .NET Framework 3.5 SP1-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d} Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7} Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475} Mozilla Firefox (3.5.5)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe NVIDIA Drivers-->C:\Windows\system32\NVUNINST.EXE UninstallGUI NVIDIA PhysX-->MsiExec.exe /X{6833245E-DD86-479A-882A-8360D62C8194} Photo Gadget-->"C:\Program Files\XemiComputers\Photo Gadget\unins000.exe" Program DJ-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\1050\INTEL3~1\IDriver.exe /M{EF2A95D9-C159-4779-A564-12E58D3CD8D7} Realtek 8169 8168 8101E 8102E Ethernet Driver-->C:\Program Files\InstallShield Installation Information\{8833FFB6-5B0C-4764-81AA-06DFEED9A476}\setup.exe -runfromtemp -l0x0007 -removeonly Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -removeonly Safety Guard-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\1050\INTEL3~1\IDriver.exe /M{5FCCE459-7CB3-48BB-AECD-F52DE8ADE23A} Smart Watchdog-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\1050\INTEL3~1\IDriver.exe /M{7243A264-7401-445E-99E6-2CC334960047} Steam-->MsiExec.exe /X{048298C9-A4D3-490B-9FF9-AB023A9238F3} Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT="" VC80CRTRedist - 8.0.50727.762-->MsiExec.exe /I{767CC44C-9BBC-438D-BAD3-FD4595DD148B} VLC media player 1.0.3-->C:\Program Files\VideoLAN\VLC\uninstall.exe WinRAR-->C:\Program Files\WinRAR\uninstall.exe Wireless Switch-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\1050\INTEL3~1\IDriver.exe /M{23BDF7D8-C353-4BA8-8567-814F91332CEA} Wow Video&Audio utility-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\1050\INTEL3~1\IDriver.exe /M{F408DA6B-DA75-4D95-B87D-49AFF0B4EBB0} ======Security center information====== AS: Windows Defender ======System event log====== Computer Name: michael-PC Event Code: 7036 Message: Dienst "TPM-Basisdienste" befindet sich jetzt im Status "Beendet". Record Number: 26979 Source Name: Service Control Manager Time Written: 20091124121506.000000-000 Event Type: Informationen User: Computer Name: michael-PC Event Code: 7036 Message: Dienst "Sicherheitscenter" befindet sich jetzt im Status "Ausgeführt". Record Number: 26980 Source Name: Service Control Manager Time Written: 20091124121507.000000-000 Event Type: Informationen User: Computer Name: michael-PC Event Code: 537 Message: Auf diesem Computer konnte kein kompatibles TPM-Sicherheitsgerät (Trusted Platform Module) gefunden werden. TBS konnte nicht gestartet werden. Record Number: 26981 Source Name: Microsoft-Windows-TBS Time Written: 20091124121506.908579-000 Event Type: Informationen User: NT-AUTORITÄT\LOKALER DIENST Computer Name: michael-PC Event Code: 7036 Message: Dienst "Startprogramm für Windows Media Center" befindet sich jetzt im Status "Beendet". Record Number: 26982 Source Name: Service Control Manager Time Written: 20091124121509.000000-000 Event Type: Informationen User: Computer Name: michael-PC Event Code: 7036 Message: Dienst "Windows Update" befindet sich jetzt im Status "Ausgeführt". Record Number: 26983 Source Name: Service Control Manager Time Written: 20091124121514.000000-000 Event Type: Informationen User: =====Application event log===== Computer Name: michael-PC Event Code: 1 Message: Der Zertifikatdiensteclient wurde erfolgreich gestartet. Record Number: 2386 Source Name: Microsoft-Windows-CertificateServicesClient Time Written: 20091124121405.293179-000 Event Type: Informationen User: michael-PC\michael Computer Name: michael-PC Event Code: 1 Message: Der Zertifikatdiensteclient wurde erfolgreich gestartet. Record Number: 2387 Source Name: Microsoft-Windows-CertificateServicesClient Time Written: 20091124121405.299179-000 Event Type: Informationen User: NT-AUTORITÄT\SYSTEM Computer Name: michael-PC Event Code: 1 Message: Der Windows-Sicherheitscenterdienst wurde gestartet. Record Number: 2388 Source Name: SecurityCenter Time Written: 20091124121507.000000-000 Event Type: Informationen User: Computer Name: michael-PC Event Code: 1001 Message: Die Leistungsindikatoren für den Dienst WmiApRpl (WmiApRpl) wurden entfernt. Die Daten enthalten die neuen Werte der Registrierungseinträge "Last Counter" und "Last Help". Record Number: 2389 Source Name: Microsoft-Windows-LoadPerf Time Written: 20091124121807.000000-000 Event Type: Informationen User: Computer Name: michael-PC Event Code: 1000 Message: Die Leistungsindikatoren für den Dienst WmiApRpl (WmiApRpl) wurden erfolgreich geladen. Die Eintragsdaten im Datenbereich enthalten die neuen Indexwerte, die diesem Dienst zugeordnet sind. Record Number: 2390 Source Name: Microsoft-Windows-LoadPerf Time Written: 20091124121807.000000-000 Event Type: Informationen User: =====Security event log===== Computer Name: michael-PC Event Code: 5038 Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen. Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys Record Number: 3327 Source Name: Microsoft-Windows-Security-Auditing Time Written: 20091124121850.481579-000 Event Type: Überwachung gescheitert User: Computer Name: michael-PC Event Code: 5038 Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen. Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys Record Number: 3328 Source Name: Microsoft-Windows-Security-Auditing Time Written: 20091124121850.528379-000 Event Type: Überwachung gescheitert User: Computer Name: michael-PC Event Code: 5038 Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen. Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys Record Number: 3329 Source Name: Microsoft-Windows-Security-Auditing Time Written: 20091124121850.559579-000 Event Type: Überwachung gescheitert User: Computer Name: michael-PC Event Code: 5038 Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen. Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys Record Number: 3330 Source Name: Microsoft-Windows-Security-Auditing Time Written: 20091124121850.590779-000 Event Type: Überwachung gescheitert User: Computer Name: michael-PC Event Code: 5038 Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen. Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys Record Number: 3331 Source Name: Microsoft-Windows-Security-Auditing Time Written: 20091124121850.621979-000 Event Type: Überwachung gescheitert User: ======Environment variables====== "ComSpec"=%SystemRoot%\system32\cmd.exe "FP_NO_HOST_CHECK"=NO "OS"=Windows_NT "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\Intel\WiFi\bin\ "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC "PROCESSOR_ARCHITECTURE"=x86 "TEMP"=%SystemRoot%\TEMP "TMP"=%SystemRoot%\TEMP "USERNAME"=SYSTEM "windir"=%SystemRoot% "PROCESSOR_LEVEL"=6 "PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 13, GenuineIntel "PROCESSOR_REVISION"=0f0d "NUMBER_OF_PROCESSORS"=2 "TRACE_FORMAT_SEARCH_PATH"=\\NTREL202.ntdev.corp.microsoft.com\4F18C3A5-CA09-4DBD-B6FC-219FDD4C6BE0\TraceFormat "DFSTRACINGON"=FALSE -----------------EOF----------------- Muss ich jetzt noch was machen? |
25.11.2009, 12:59 | #17 |
/// Helfer-Team | Trojaner wird immer nach Systemstart gefunden - TR.Redol.C hi
__________________*+ Malwarebytes' Anti-Malware - kannst deinstallieren 1. Erstelle manuell einen Wiederherstellungspunkt: Aktivieren und Deaktivieren der Systemwiederherstellung 2. alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind,nicht löschbar. c:\windows\temp - anschließend den Papierkorb leeren 3. Öffne CCleaner
4.
5. Windows und die installierten Programme auf den neuesten Stand zu halten,sind Garanten für eine erhöhte Sicherheit! Java aktualisieren `Start→ Systemsteuereung→ Java→ Aktualisierung...(Update 17 schon fällig) danach deinstalliere: `Systemsteuerung → Software → Ändern/Entfernen...` Code:
ATTFilter Java(TM) 6 Update 15 6. Bitte unbedingt alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner - wähle hier "My computer" aus und das Logergebnis speichern "Save as" dann posten Vor dem Scan Einstellungen im Internet Explorer: - "Extras→ Internetoptionen→ Sicherheit": - alles auf Standardstufe stellen - Active X erlauben - alles auf Standardstufe stellen - Active X erlauben - speichere die Ergebnis als *.txt Datei und poste das Logfile des Scans |
25.11.2009, 18:49 | #18 |
| Trojaner wird immer nach Systemstart gefunden - TR.Redol.C Hi,
__________________SuperAntiSpyware: Code:
ATTFilter SUPERAntiSpyware Scann-Protokoll http://www.superantispyware.com Generiert 11/25/2009 bei 04:45 PM Version der Applikation : 4.31.1000 Version der Kern-Datenbank : 4310 Version der Spur-Datenbank : 2175 Scan Art : kompletter Scann Totale Scann-Zeit : 00:25:10 Gescannte Speicherelemente : 663 Erfasste Speicher-Bedrohungen : 0 Gescannte Register-Elemente : 5419 Erfasste Register-Bedrohungen : 0 Gescannte Datei-Elemente : 21890 Erfasste Datei-Elemente : 0 Ist es geschafft? |
26.11.2009, 09:45 | #19 |
/// Helfer-Team | Trojaner wird immer nach Systemstart gefunden - TR.Redol.C hi sieht ja gut aus - eventuell kannst Du noch dein Sytem mit mindestens 3 Onlinescanner prüfen/reinigen: - Vor dem Scan Einstellungen im Internet Explorer: Extras → Internetoptionen → Sicherheit → Stufe anpassen: alles auf Standardstufe stellen - Active X erlauben - Nicht gleichzeitig scannen! Nach jedem Scanvorgang starte dein System neu auf - speichere und poste das Logfile des Scans - die Ergebnisse als*.txt Datei speichern Code:
ATTFilter bitdefender emsisoft ESET Online Scanner f-secure |
27.11.2009, 15:06 | #20 |
| Trojaner wird immer nach Systemstart gefunden - TR.Redol.C Emisoft: Code:
ATTFilter MalAware - Version 27.11.2009 08:51:07 Letztes Update: 27.11.2009 08:51:07 Scan Einstellungen: Scan Methode: Schneller Scan Objekte: Speicher, Traces Säuberung: Aus Scan Beginn: 27.11.2009 14:35:46 Gescannt Dateien: 307 Traces: 46070 Cookies: 0 Prozesse: 63 Gefunden Dateien: 0 Traces: 0 Cookies: 0 Prozesse: 0 Scan Ende: 27.11.2009 14:36:02 Scan Zeit: 00:00:15 Danke für deine Hilfe. hat mir sehr geholfen |
28.11.2009, 14:54 | #21 | |
/// Helfer-Team | Trojaner wird immer nach Systemstart gefunden - TR.Redol.C hi Kannst du die Programme die wir verwendet haben und nicht brauchst entfernen, bis auf: Code:
ATTFilter HijackThis/Trend Micro CCleaner Ändere deine Passworte und Zugangsdaten! - von einem sauberen System aus Lesestoff:
Zitat:
|
Themen zu Trojaner wird immer nach Systemstart gefunden - TR.Redol.C |
antivir, c:\windows, datei, freue, gefunde, infizierte, infizierte datei, kurzem, löschen, namens, neu, nicht gefunden, programm, system, system 32, system32, systems, systemstart, tr.redol.c, troja, trojaner, windows, würde |