Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: C:\Windows\System 32\rtlb.exe von Trojan Remover erkannt und weitere Probleme.

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 28.11.2009, 21:38   #1
Robin-1712
 
C:\Windows\System 32\rtlb.exe von Trojan Remover erkannt und weitere Probleme. - Standard

C:\Windows\System 32\rtlb.exe von Trojan Remover erkannt und weitere Probleme.



Hallo zusammen!

Ich habe seit einigen Tagen mehrere Probleme mit meinem Laptop.
Und zwar kamen zunächst in Sekunden-Abständen Viren-Meldungen von AntiVir für Dateien aus dem Windows-Temp Ordner. Diese waren immer in verschiedenen Ordnern, welcher sich anscheinend nach dem Löschen selber neu erstellt hat (jeweils mit einem anderen Namen (immer 4 Buchstaben)).
Dieses Problem habe ich mittlerweile mit mehreren Anti-Virus und -Malware Programmen in den Griff bekommen.

Ein weiteres Problem ist, dass der Prozess iexplore.exe beim Systemstart zwei mal im Taskmanager aufgelistet ist (ich nutze jedoch ausschließlich Firefox). Wenn ich den Prozess schließe, kommt er nach einiger Zeit wieder. Das merke ich immer dann, wenn ich plötzlich eine Stimme höre (nehme an aus irgendeinem vom Internet Explorer geöffneten Video, es hört sich nämlich nach einer Art Werbung an).
Lösungsvorschläge aus anderen Threads haben bei mir leider nicht funktioniert.
Nachdem ich eben den Trojan Remover installiert und geöffnen habe, zeigt mir dieser beim Scan an, dass die Datei chrome.exe vom Internet Explorer geöffnet wird. Demnach habe ich die Empfohlene "Behandlung" durchgeführt.
Hoffe, dieses Problem ist damit erledigt.

Was mir nun Sorgen bereitet ist, dass Trojan Remover mir meldet, dass die Datei rtlb.exe (in C:\Windows\system32\rtlb.exe) als "Debugger" für Userinit.exe festgelegt ist.
Ich weiß nicht was ich als weiteres Vorgehen auswählen soll, denn irgendwelche System-Dateien möchte ich ungern einfach löschen. Soll ich die Warnung deswegen aber einfach ignorieren?

Ich hoffe Ihr könnt mir weiterhelfen.

Anbei noch eine HijackThis Log-Datei (vielleicht entdeckt Ihr darin auch noch irgendwas interessantes).

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:27:52, on 28.11.2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
P:\TuneUpUtilities\TuneUpUtilitiesApp32.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Program Files\UltraMon\UltraMon.exe
C:\Program Files\UltraMon\UltraMonTaskbar.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\ctfmon.exe
C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE
P:\iTunes\iTunes.exe
P:\HijackThis\HijackThis.exe
P:\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files\Mozilla Firefox\firefox.exe
P:\Trojan Remover\Rmvtrjan.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - P:\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [SBCSTray] P:\CounterSpy\SBCSTray.exe
O4 - HKLM\..\Run: [TrojanScanner] P:\Trojan Remover\Trjscan.exe /boot
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE')
O4 - Startup: Microsoft Office Outlook 2007.lnk = C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE
O4 - Global Startup: UltraMon.lnk = ?
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - P:\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - P:\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - h**p://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - P:\CounterSpy\SBCSSvc.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - P:\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - P:\Spyware Doctor\pctsSvc.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: TeamViewer 4 (TeamViewer4) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version4\TeamViewer_Service.exe
O23 - Service: @P:\TuneUpUtilities\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - P:\TuneUpUtilities\TuneUpDefragService.exe
O23 - Service: @%SystemRoot%\System32\TUProgSt.exe,-1 (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\Windows\System32\TUProgSt.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - P:\TuneUpUtilities\TuneUpUtilitiesService32.exe

--
End of file - 5830 bytes

Vielen Dank schonmal für Eure Hilfe!






EDIT: Jetzt ist auch der Scan von Malwarebytes`Anti-Malware abgeschlossen.

Hier die Log-Datei:

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3251
Windows 6.0.6002 Service Pack 2

28.11.2009 21:39:43
mbam-log-2009-11-28 (21-39-29).txt

Scan-Methode: Vollständiger Scan (C:\|G:\|P:\|S:\|)
Durchsuchte Objekte: 284356
Laufzeit: 1 hour(s), 59 minute(s), 49 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 10
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\TypeLib\{497dddb6-6eee-4561-9621-b77dc82c1f84} (Rogue.Ascentive) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{4e980492-027b-47f1-a7ab-ab086dacbb9e} (Rogue.Ascentive) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{5ead8321-fcbb-4c3f-888c-ac373d366c3f} (Rogue.Ascentive) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{31f3cf6e-a71a-4daa-852b-39ac230940b4} (Rogue.Ascentive) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safari.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navigator.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\opera.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Cerberus (Backdoor.Trace) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\Windows\System32\SysRestore.dll (Rogue.Ascentive) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Windows\System32\SysRestore.dll (Rogue.Ascentive) -> No action taken.








EDIT: Auswertung der Datei rtlb.exe von VirusTotal:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.43 2009.11.28 Trojan.Win32.Inject!IK
AhnLab-V3 5.0.0.2 2009.11.28 -
AntiVir 7.9.1.79 2009.11.27 -
Antiy-AVL 2.0.3.7 2009.11.27 -
Authentium 5.2.0.5 2009.11.28 -
Avast 4.8.1351.0 2009.11.28 -
AVG 8.5.0.426 2009.11.28 -
BitDefender 7.2 2009.11.28 Trojan.Generic.CJ.AFGE
CAT-QuickHeal 10.00 2009.11.28 -
ClamAV 0.94.1 2009.11.28 -
Comodo 3069 2009.11.28 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.0.12182 2009.11.28 -
eSafe 7.0.17.0 2009.11.26 -
eTrust-Vet 35.1.7146 2009.11.27 -
F-Prot 4.5.1.85 2009.11.28 -
F-Secure 9.0.15370.0 2009.11.24 Suspicious:W32/Malware!Gemini
Fortinet 4.0.14.0 2009.11.28 W32/Inject.ALTA!tr
GData 19 2009.11.28 Trojan.Generic.CJ.AFGE
Ikarus T3.1.1.74.0 2009.11.28 Trojan.Win32.Inject
Jiangmin 11.0.800 2009.11.28 -
K7AntiVirus 7.10.906 2009.11.27 -
Kaspersky 7.0.0.125 2009.11.28 Trojan.Win32.Inject.alta
McAfee 5816 2009.11.28 -
McAfee+Artemis 5816 2009.11.28 Artemis!E00306F161BF
McAfee-GW-Edition 6.8.5 2009.11.28 -
Microsoft 1.5302 2009.11.28 TrojanSpy:Win32/Bebloh.A
NOD32 4645 2009.11.28 a variant of Win32/Kryptik.AVN
Norman 6.03.02 2009.11.27 -
nProtect 2009.1.8.0 2009.11.28 -
Panda 10.0.2.2 2009.11.28 Suspicious file
PCTools 7.0.3.5 2009.11.28 -
Prevx 3.0 2009.11.28 High Risk Cloaked Malware
Rising 22.23.05.04 2009.11.28 -
Sophos 4.48.0 2009.11.28 -
Sunbelt 3.2.1858.2 2009.11.28 Trojan.Win32.Bredolab.Gen.1 (v)
Symantec 1.4.4.12 2009.11.28 -
TheHacker 6.5.0.2.081 2009.11.28 -
TrendMicro 9.100.0.1001 2009.11.28 -
VBA32 3.12.12.0 2009.11.28 -
ViRobot 2009.11.28.2060 2009.11.28 -
VirusBuster 5.0.21.0 2009.11.28 -
weitere Informationen
File size: 74752 bytes
MD5...: e00306f161bf133b35a1dc8687b9be82
SHA1..: 0bc7b730a8e95e0dbecda612ed68742559dac5f8
SHA256: d44e672e2bc7b7f75fd6a402da2761f397fd57f3a3c1a351fe37df692c35694c
ssdeep: 1536:cpTWUOxmsTgBF5rHGLUGI/e7zQXwr1MK1FwdmJq:HUOfgBjm4ze/Qi1FFq
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1127
timedatestamp.....: 0x41cc2e15 (Fri Dec 24 14:56:21 2004)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3000 0x3000 4.98 21c05d94b6b02183040e9e73a86ec4b6
.data 0x4000 0x29000 0xe600 6.27 381808024982e8b1e4733bfbe46ed57d
.rdata 0x2d000 0x1000 0x400 4.22 f5389ef1b048742ba2489eb8c67e3fa8
.rsrc 0x2e000 0x1000 0x600 2.99 16e2d2588720f5379a62aaaca9430756

( 4 imports )
> ADVAPI32.DLL: CloseServiceHandle, RegOpenKeyW, AdjustTokenPrivileges, RegEnumValueW
> KERNEL32.DLL: GetModuleHandleA, LoadLibraryA, VirtualAlloc, WaitForSingleObject, VirtualAlloc, GetCommandLineW, LocalAlloc, ExitProcess
> USER32.DLL: CharNextW, GetWindowLongW, GetWindowRect, PostMessageW, CreateDialogParamW, EndDialog
> GDI32.DLL: GetObjectW, StretchBlt, LineTo, CreateBitmap, GetTextExtentPoint32W, GetTextMetricsW, CreateCompatibleBitmap

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
<a href='h**p://info.prevx.com/aboutprogramtext.asp?PX5=07ECA3AA00907C81240B01794466060050684C18' target='_blank'>h**p://info.prevx.com/aboutprogramtext.asp?PX5=07ECA3AA00907C81240B01794466060050684C18</a>
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

Geändert von Robin-1712 (28.11.2009 um 22:00 Uhr)

Alt 29.11.2009, 16:02   #2
kira
/// Helfer-Team
 
C:\Windows\System 32\rtlb.exe von Trojan Remover erkannt und weitere Probleme. - Standard

C:\Windows\System 32\rtlb.exe von Trojan Remover erkannt und weitere Probleme.



Hallo und Herzlich Willkommen!

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
stelle bitte zuerst mal das "TrojanScanner" ab

2.
- Lade dir RSIT - 3.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool
CCleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

4.
Mach bitte einen Rechtsklick auf die im folgenden genannten Dateien (mit der Maus), schau dir an, was unter Eigenschaften steht, kopiere diese Angaben (Datei Version, Beschreibung der Datei, Copyright bei wem? FirmenName) hier in deinen Thread von diesen Anwendungen (bebilderte Anleitung *hier*:
Zitat:
C:\Windows\system32\rtlb.exe
Zitat:
Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]
gruß
Coverflow
__________________


Alt 29.11.2009, 20:43   #3
Robin-1712
 
C:\Windows\System 32\rtlb.exe von Trojan Remover erkannt und weitere Probleme. - Standard

C:\Windows\System 32\rtlb.exe von Trojan Remover erkannt und weitere Probleme.



Zitat:
Zitat von Coverflow Beitrag anzeigen
die im folgenden genannten Dateien
Meinst du die Datei "rtlb.exe"? Im Anhang ist eine Zip-Datei mit den Eigenschaften davon, sowie die anderen von Dir gewünschten "Auswertungen" meines PCs.

Danke für Deine Hilfe schonmal.
__________________

Alt 30.11.2009, 14:16   #4
kira
/// Helfer-Team
 
C:\Windows\System 32\rtlb.exe von Trojan Remover erkannt und weitere Probleme. - Standard

C:\Windows\System 32\rtlb.exe von Trojan Remover erkannt und weitere Probleme.



hi

1.
Messenger Plus! Live...so bekommt man "kostenlos" Adware
Zitat:
Der *Messenger Plus* enthält einige Komponenten, die deinen Rechner ausspionieren (Trojaner) deshalb wird von diesem Programm abgeraten. - finanziert sich über eine Adware -Komponente

Bei der Deinstallation *achte aber darauf, ob da etwas beim Deinstallieren mit da steht, wie "Partner/Sponsorenprogramme entfernen"!*

Wenn du unbedingt möchtest (es ist besser ein Spy- und Adware freies Messenger Tool einzusetzen - wie Trillian,kann man in der Basisversion von Trillian die Instant Messenger ICQ, AIM, Yahoo! Messenger, Windows Live Messenger (MSN) und IRC vereinen) oder Miranda ),kannst du nochmal installieren,aber alles genau durchlesen, und Partnerprogrammen,Sponsoren etc musst du abwählen!
Immer die benutzerdefinierte Installation wählen, nicht die Standardinstallation, weil dann oft Sachen mitinstalliert werden, die man nicht braucht oder nicht möchte.

2.
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked"klicken→ PC neu aufstarten):
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen
Code:
ATTFilter
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: ZoneAlarm Spy Blocker Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O23 - Service: ASKService - Unknown owner - C:\Program Files\AskBarDis\bar\bin\AskService.exe
         
3.
Absolut übertreiben, ich würde bis auf Spybot - Search & Destroy und ev. noch Ad-Aware, alle (wenn nicht bezahlte Versionen) deinstallieren:
Code:
ATTFilter
- CleanUp! - solltest damit auch nur vorsichtig umgehen!;)
- Panda ActiveScan 2.0 <- kannst deinstallieren, da bei Bedarf wird automatisch erneut installiert
- RegCure Registry Cleaner...
Ich rate von solchen Programmen ab, die in die Windows-Systemdatenbank Registry eingreifen. Benutze lieber nur den CCleaner um dein Computer zu reinigen
- Sophos Anti-Rootkit 1.5.0 <- auch kann runter
- SpyHunter
- Spyware Doctor <- Falls nicht Kaufversion, würde ich deinstallieren
- Sunbelt CounterSpy
- Trojan Remover 6.8.1 <- die Datei "rtlb.exe" - befindet sich in der Quarantäne?, also (noch) nicht deinstallieren!
         
► Ein wenig `Zusätzinfo` noch, warum sollte man nicht mit installationen übertreiben:
Das Installieren von `zuviel` Software beeinträchtigt die Systemleistung und Sicherheit, verlangsamt den Start-Vorgang enorm und belastet den Arbeitsspeicher (weil laufen ja die Programme nebeneinander gleichzeitig, die viel Performance fressen, aber wenig Qualität bringen). Im Laufe der Zeit wird der rechner durch zu viel unnötigen Ballast immer langsamer, und unsicherer. Um so mehr Programme installiert sind, um so häufiger treten Probleme auf, die dann unter Umständen nur schwer lösen können. Dazu kommt noch, das einige Programme große Sicherheitsrisiken mit sich bringen, denn jede Software hat Ihre Lücken

auch noch wenn nicht genug wäre, Zone Alarm + Toolbar...
also ehrlich gesagt habe das Gefühl, dass Du dein Rechner absichtlich kaputt scannen willst...

4.
poste erneut:
Trend Micro HijackThis-Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!
- Berichte auch, was hast Du belassen und/oder deinstalliert ...

Geändert von kira (30.11.2009 um 14:22 Uhr)

Alt 30.11.2009, 15:46   #5
Robin-1712
 
C:\Windows\System 32\rtlb.exe von Trojan Remover erkannt und weitere Probleme. - Standard

C:\Windows\System 32\rtlb.exe von Trojan Remover erkannt und weitere Probleme.



Zitat:
Zitat von Coverflow Beitrag anzeigen
2.
Schliesse alle Programme einschliesslich Internet Explorer
Also das Problem mit dem IE hab ich scheinbar in den Griff bekommen. Der Prozess ist im Taskmanager seitdem ich mit Trojan Remover die "Behandlung" durchgeführt habe nicht mehr aufgelistet gewesen und auch "die Stimmen" habe ich nicht mehr gehört.

Zitat:
Zitat von Coverflow Beitrag anzeigen
Messenger Plus! Live...so bekommt man "kostenlos" Adware [...]
Immer die benutzerdefinierte Installation wählen
Das Programm fand ich bisher eigentlich immer gut und würde es ungern deinstallieren. Es ist mir aber auch noch nicht negativ aufgefallen oder so...
Wie "schlimm" ist es denn?


Zitat:
Zitat von Coverflow Beitrag anzeigen
also ehrlich gesagt habe das Gefühl, dass Du dein Rechner absichtlich kaputt scannen willst...
Das glaub ich Dir gerne :P Nachdem mir die ständigen iexplore.exe Prozesse aufgefallen sind habe ich mit allen möglichen Programmen versucht, dieses Problem zu beseitigen (wie ja mittlerweile auch gelungen).

Habe Deiner Empfehlung nach nun

-CleanUp!
- Panda ActiveScan 2.0
- RegCure Registry Cleaner...
- Sophos Anti-Rootkit 1.5.0
- SpyHunter
- Spyware Doctor
- Sunbelt CounterSpy

deinstalliert.

Drauf geblieben ist bei der "Reinigung":

-Spybot - Search & Destroy
-Ad-Aware
-Zone Alarm
-Trojan Remover
-Ccleaner
-HijackThis

Mir ist eben durch Zufall aufgefallen, dass in meiner Firefox-Chronic als zuletzt geöffnete Seite

h**p://ad.de.doubleclick.net/adi/amzn.de.dp.ce/[...]

aufgelistet war. Diese Seite habe ich jedoch nie geöffnen.
Ab und zu öffnet sich außerdem der Tab/ die Seiten

h**p://popunder.paypopup.com/close.php

Woran könnte das liegen? Gibt es dagegen ein Programm (wieso blockt der Pop-Up Blocker diese Seiten nicht?).

Achso und nahezu bei jeder 4. Seite die ich öffne öffnet sich ein zweites Firefox-Fenster gleich mit...geöffnet wird darin die Seite

h**p://de.partypoker.com/td/interactive/td_de.htm

Das geht mir tierisch auf die Nerven. Hoffe Du/Ihr könnt mir auch hierbei helfen.

Im Anhang nochmal ein neuer HijackThis-Log.

Vielen Dank nochmals, Coverflow ;-)


Alt 30.11.2009, 23:52   #6
Robin-1712
 
C:\Windows\System 32\rtlb.exe von Trojan Remover erkannt und weitere Probleme. - Standard

C:\Windows\System 32\rtlb.exe von Trojan Remover erkannt und weitere Probleme.



Nachdem ich meinen PC neu starten wollte, begrüßte mich lediglich ein Bluescreen :-O
Auch im Abgesicherten Modus kam ich nciht weiter. Habe mir eine Vista-DVD besorgt und damit mein System repariert, bzw. wiederergestellt an einem funktionierenden Punkt.
Jetzt läuft alles wieder aber wie es jetzt Virentechnishc aussieht weiß ich nicht. Ich weiß nicht wie weit der Systemwiederherstellungspunkt zurück liegt. Aber könnte in etwa eine Woche sein.

Anbei also nochmal ein aktueller HijackThis-Log.
----------------
Now playing: Dopewalka - Rueckenwind
via FoxyTunes

Alt 01.12.2009, 08:47   #7
kira
/// Helfer-Team
 
C:\Windows\System 32\rtlb.exe von Trojan Remover erkannt und weitere Probleme. - Standard

C:\Windows\System 32\rtlb.exe von Trojan Remover erkannt und weitere Probleme.



hi

Ok, wenn Du ohne "Messenger Plus! Live" nicht "leben kannst", dinstallieren erneut installieren, aber
Zitat:
Wer diesen Messenger downloaden möchte, der sei jedoch vorgewarnt. Beim akzeptieren aller Fragen wird Ad-Aware, Spybot oder ein anderes Tool Alarm schlagen, denn während der Installation wird mal eben nachgefragt, ob man das Sponsor-Programm auch haben möchte.
dient der Unterstützung des Entwicklers. Wer sich für: "Ich möchte Messenger Plus! nicht unterstützen, Installation ohne Sponsor" entscheidet, dem entstehen keine Nachteile, das Programm wird dann aber ohne die lästige Werbe-Software installiert!
Messenger Plus! finanziert sich über eine Adware-Komponente, die Sie jedoch von der Installation ausschließen können.
1.
Punkt 2. und 3. bitte nochmals:-> http://www.trojaner-board.de/79845-c...tml#post483862

ausserdem:

2.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
  • - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
    - starte gmer.exe
    - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
    - bitte nichts am Pc machen während der Scan läuft!
    - "Show all" soll nicht angehakt sein! dann klicke auf "Scan", um das Tool zu starten
    - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
    - mit "Ok" wird Gmer (Anleitung - http://www.trojaner-board.de/74908-a...t-scanner.html) beendet.
    - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren
- oder das Log bei File-Upload.net/kostenlos hochladen und den Link mir hier posten.

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

Ansonsten die Ergebnisse, nicht als "ZIP" bitte anhängen!:
** Kannst auch, die einzelnen Ergebnisse in Textdatei speichern und hier anhängen (auf "Erweitert" klicken)
oder:
Zitat:
Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]

Geändert von kira (01.12.2009 um 08:53 Uhr)

Alt 04.12.2009, 23:13   #8
Robin-1712
 
C:\Windows\System 32\rtlb.exe von Trojan Remover erkannt und weitere Probleme. - Standard

C:\Windows\System 32\rtlb.exe von Trojan Remover erkannt und weitere Probleme.



Hi,

ich hatte die letzten Tage leider keine Zeit, deswegen erst jetzt meine Antwort auf deinen Post.
Ich bin alle Punkte die Du gepostet hast (nochmal) durchgegangen.
Anbei sind also alle logs die Du brauchst ;-)
Danke für´s Auswerten!

Alt 04.12.2009, 23:54   #9
Robin-1712
 
C:\Windows\System 32\rtlb.exe von Trojan Remover erkannt und weitere Probleme. - Standard

C:\Windows\System 32\rtlb.exe von Trojan Remover erkannt und weitere Probleme.



und hier die 5. Datei

Alt 05.12.2009, 01:26   #10
kira
/// Helfer-Team
 
C:\Windows\System 32\rtlb.exe von Trojan Remover erkannt und weitere Probleme. - Standard

C:\Windows\System 32\rtlb.exe von Trojan Remover erkannt und weitere Probleme.



hi

sieht sauber aus (bis auf...Messenger Plus! Live)
sonst noch Probleme?

Alt 05.12.2009, 13:16   #11
Robin-1712
 
C:\Windows\System 32\rtlb.exe von Trojan Remover erkannt und weitere Probleme. - Standard

C:\Windows\System 32\rtlb.exe von Trojan Remover erkannt und weitere Probleme.



Also ab und zu lassen sich iTunes und Firefox nicht schließen (Fenster zar geschlossen, aber Prozesse laufen weiter). Dann fährt auch der Pc nicht runter. Habe im Internet gelesen dass könnte an ZoneAlarm liegen?!
Bin aber schonmal froh, das der Rest ansonsten i.O. ist :-) Danke schön!

Alt 06.12.2009, 10:31   #12
kira
/// Helfer-Team
 
C:\Windows\System 32\rtlb.exe von Trojan Remover erkannt und weitere Probleme. - Standard

C:\Windows\System 32\rtlb.exe von Trojan Remover erkannt und weitere Probleme.



hi

ich persönlich möchte ZA auf keinen Fall auf meinem Rechner haben
Macht oft Probleme und meckert ohne Grund auch
ich würde schon deinstallieren und die Windows eigene FW einschalten...Du Wirst Sehen und dich wundern, wie flott dein System wieder läuft

Alt 06.12.2009, 11:48   #13
Robin-1712
 
C:\Windows\System 32\rtlb.exe von Trojan Remover erkannt und weitere Probleme. - Standard

C:\Windows\System 32\rtlb.exe von Trojan Remover erkannt und weitere Probleme.



Hi

ZA ist runter :P mal nen reboot abwarten wie´s dann läuft!

Danke für Deine Hilfe!

Antwort

Themen zu C:\Windows\System 32\rtlb.exe von Trojan Remover erkannt und weitere Probleme.
ad-aware, antivir, antivir guard, artemis, avira, backdoor.trace, behandlung, bho, desktop, firefox, google, hijack, hijackthis, iexplore.exe, ignorieren, internet, internet explorer, log-datei, malwarebytes' anti-malware, mozilla, opera.exe, plug-in, prozess, registrierungsschlüssel, rogue.ascentive, scan, security, security.hijack, software, stimme, system, system 32, taskmanager, tuneup.defrag, tuprogst.exe, userinit.exe, version., vista, werbung, windows




Ähnliche Themen: C:\Windows\System 32\rtlb.exe von Trojan Remover erkannt und weitere Probleme.


  1. Windows 8.1 Netzwerk Probleme und kein Gerät wird erkannt.
    Alles rund um Windows - 09.03.2016 (21)
  2. Windows 7 SP1 x64 - Freez und Bluescreen // oft bei Firefox 34.0 // System Platte bei Boot ab und zu nicht erkannt
    Alles rund um Windows - 23.12.2014 (17)
  3. Adware/Graftor.151675.8 von Avira gefunden und in Quarantäne verschoben (Windows 8), Probleme verschwunden, weitere Schritte?
    Log-Analyse und Auswertung - 15.10.2014 (9)
  4. Windows 7: Trojan.ADH2,BHO und weitere Trojaner, Adware und PUPs
    Log-Analyse und Auswertung - 24.05.2014 (15)
  5. Bootkit Remover hat ein Problem erkannt, wie gehts jetzt weiter?
    Log-Analyse und Auswertung - 22.11.2013 (26)
  6. Windows 7: Trojan.Gen in Quarantäne und eventuell weitere Viren und Trojaner
    Log-Analyse und Auswertung - 23.09.2013 (19)
  7. Trojan.Dropped.PE4 Windows\Installer\{5440c0cf-6c4c-51f3-4500-c3c0d724cfcf0\n und weitere
    Plagegeister aller Art und deren Bekämpfung - 02.08.2012 (14)
  8. Trojaner Remover zeigt Trojan.Spy.Banker und ROOTKIT.AGENT
    Plagegeister aller Art und deren Bekämpfung - 25.07.2012 (1)
  9. Trojan Remover und Hitman Pro?
    Antiviren-, Firewall- und andere Schutzprogramme - 10.09.2011 (5)
  10. Windows Recovery Trojaner und weitere Probleme
    Log-Analyse und Auswertung - 01.06.2011 (3)
  11. Loaris Trojan Remover REINGEFALLEN!
    Plagegeister aller Art und deren Bekämpfung - 20.12.2010 (1)
  12. Antivir 2009 und Virus Remover 2008 Riesen Probleme
    Plagegeister aller Art und deren Bekämpfung - 07.01.2009 (0)
  13. Antivir 2009 und Virus Remover 2008 Riesen Probleme
    Mülltonne - 07.01.2009 (0)
  14. Email-Worm.Bagle.of/Trojan.Toosrrr.SRR und weitere/System verweigert ua auch HijackTh
    Plagegeister aller Art und deren Bekämpfung - 03.09.2008 (13)
  15. Trojan.Dropper erkannt & gelöscht - System trotzdem langsam
    Log-Analyse und Auswertung - 10.02.2007 (4)
  16. Trojan Remover 2.0 (für alle Virentypen)
    Antiviren-, Firewall- und andere Schutzprogramme - 08.12.2006 (7)
  17. Trojan-spy.html.smitfraud remover
    Log-Analyse und Auswertung - 16.06.2005 (33)

Zum Thema C:\Windows\System 32\rtlb.exe von Trojan Remover erkannt und weitere Probleme. - Hallo zusammen! Ich habe seit einigen Tagen mehrere Probleme mit meinem Laptop. Und zwar kamen zunächst in Sekunden-Abständen Viren-Meldungen von AntiVir für Dateien aus dem Windows-Temp Ordner. Diese waren immer - C:\Windows\System 32\rtlb.exe von Trojan Remover erkannt und weitere Probleme....
Archiv
Du betrachtest: C:\Windows\System 32\rtlb.exe von Trojan Remover erkannt und weitere Probleme. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.