|
Log-Analyse und Auswertung: Vista - Win32.Agent.fbx, Win32/Hiloti.grn!D, TR./Hiloti.D.2542Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
21.05.2011, 15:56 | #16 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Vista - Win32.Agent.fbx, Win32/Hiloti.grn!D, TR./Hiloti.D.2542 Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
21.05.2011, 16:06 | #17 |
| Vista - Win32.Agent.fbx, Win32/Hiloti.grn!D, TR./Hiloti.D.2542 Hi cosinus,
__________________eine wichtige Frage vorab: ich besitze keine extra Vista-CD! Auch scheint auf diesem HP-Laptop ein Backup zu erstellen nicht so ohne weiteres möglich. Da dieser "HP Backup und Recovery Manager" nirgends zu finden ist. Er scheint nicht installiert zu sein. -> Da ich bei der ComboFix-Anleitung bzgl. der Windows (Vista) Wiederherstellungskonsole verunsichert bin. Könnte da etwas schiefgehen? Geändert von pcFragender (21.05.2011 um 16:11 Uhr) Grund: zusatz infos |
21.05.2011, 16:14 | #18 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Vista - Win32.Agent.fbx, Win32/Hiloti.grn!D, TR./Hiloti.D.2542 Für Vista wird keine WHK installiert, nur bei XP.
__________________Wenn du ein Komplettbackup machen willst, kannst du zB Drivesnapshot benutzen, das Image, das dieses Tool erstellt, am besten auf eine externe Platte erstellen lassen.
__________________ |
21.05.2011, 17:53 | #19 |
| Vista - Win32.Agent.fbx, Win32/Hiloti.grn!D, TR./Hiloti.D.2542 Hi cosinus, während ich combofix habe laufen lassen: wurde 4x die Anzeige: "Der Registrierungseditor funktioniert nicht mehr. Das Programm wird auf Grund eines Problems nicht richtig ausgeführt. Das Programm wird geschlossen und Sie werden benachrichtigt, wenn eine Lösung verfügbar ist." Der Scan selber + Erstellung der log-Datei hat ca 45 min gedauert. !!!! Nun gibt es folgende Probleme: !!!! Ich kann so gut wie keine Programme mehr öffnen. Komme nicht zur Verwaltung, kein TaskManager ... Kann somit auch den Firefox oder IE nicht öffnen, um zum Board zu kommen und Dir die Log-Datei senden! Es kommt beim Öffnungsversuch dann folgende Meldung: "Es wurde versucht, einen Registrierungsschlüssel einem unzulässigen Vorgang zu unterziehen, der zum Löschen markiert wurde." Sollte ich versuchen den Laptop noch mal neu zu starten? Ich weiss nicht, ob mein USB-Stick funktionieren würde. Ich würde ihn allerdings ungerne benutzen. Wer weiss ob sich da was unschönes einnistet und meinen PC infiziert? Was mache ich denn nu? Bin ratlos und etwas verzweifelt ... Edit: Habe das System noch mal neugestartet!!! Jetzt geht alles wieder! Puh. Geändert von pcFragender (21.05.2011 um 18:10 Uhr) |
21.05.2011, 18:09 | #20 |
| Vista - Win32.Agent.fbx, Win32/Hiloti.grn!D, TR./Hiloti.D.2542 Und hier nun die combofix Log-Datei. |
23.05.2011, 08:28 | #21 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Vista - Win32.Agent.fbx, Win32/Hiloti.grn!D, TR./Hiloti.D.2542 Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
__________________ --> Vista - Win32.Agent.fbx, Win32/Hiloti.grn!D, TR./Hiloti.D.2542 |
23.05.2011, 18:51 | #23 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Vista - Win32.Agent.fbx, Win32/Hiloti.grn!D, TR./Hiloti.D.2542 Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt: ESET Online Scanner
__________________ Logfiles bitte immer in CODE-Tags posten |
23.05.2011, 23:53 | #24 |
| Vista - Win32.Agent.fbx, Win32/Hiloti.grn!D, TR./Hiloti.D.2542 Hi cosinus, anbei die 3 log-Files von Malwarebytes, SASW und ESET. -> Eset hat was festgestellt! |
24.05.2011, 11:27 | #25 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Vista - Win32.Agent.fbx, Win32/Hiloti.grn!D, TR./Hiloti.D.2542 SIeht aus als hätte ESET sich einen Fehlalarm gelöeistet. SOnst keine Funde. Rechner wieder im Lot?
__________________ Logfiles bitte immer in CODE-Tags posten |
24.05.2011, 14:53 | #26 |
| Vista - Win32.Agent.fbx, Win32/Hiloti.grn!D, TR./Hiloti.D.2542 Hi cosinus, ja, Rechner okay. Er hatte seit meinen Versuchen ab vergangenen Mittwoch auch keine offensichtlichen Auffälligkeiten mehr. Ich wollte halt auf absolut Nummer sicher gehen, ob sich tief im System noch etwas versteckt, da ich mich mit diesen Dingen nicht auskenne. Können wir davon ausgehen, dass nun alles in Ordnung ist? Hattest du noch etwas Verdächtiges gefunden? Und wenn ja, was war evtl. die Ursache? So könnte ich meiner Bekannten ein paar Hinweise für die Zukunft geben, worauf sie zu achten hat ... Würde es Sinn machen, von diesem System ein Image zu erstellen oder besser nicht? Und könnte es sein, dass die Partitionen E: und F: auch befallen sind? Auf E: liegt nämlich die HP Recovery (ist für den Notfall, über Booten alles neu aufzusetzen) Und letzte Frage: könnte der USB-Stick ihres Sohnes "infiziert" sein. Ich hatte bei einem Deiner Angaben gesehen, dass da was mit G:/autorun.exe steht. Es gibt so erstmal keine G: Partition. Ist es evtl. der USB-Stick? Nicht, dass all die Arbeit umsonst war, sobald der USB-Stick angesteckt wird! |
24.05.2011, 17:31 | #27 | |||||
/// Winkelfunktion /// TB-Süch-Tiger™ | Vista - Win32.Agent.fbx, Win32/Hiloti.grn!D, TR./Hiloti.D.2542Zitat:
Zitat:
Zitat:
Ein System kann verseucht sein - also das Betriebssystem - aber eine Partition als verseucht zu bezeichnen ist imho der falsche Ausdruck. Zitat:
Zitat:
Stell dir vor, du steckst einen fremden USB-Stick an. Du weißt nicht, dass er infiziert ist, rechnest damit auch nicht. Der Schädling auf dem infizierten USB-Stick sorgt dafür, dass der Schädling automatisch nach dem Einstecken startet, ohne dein Zutun, und schon haste den Salat - helfen würde hier mit viel Glück vllt noch der Virenscanner - sofern er den Schädling kennt - besser aber eingeschränkte Rechte (dann kann nichts am System verändert werden), am besten ist aber, dass garnichts erst automatisch startet. Für Windows XP: Um den zu deaktivieren hab ich mal die noautoplay.reg hochgeladen. Lad das mal auf dem Desktop herunter, führ die Datei aus und bestätige mit ja. Nach einem Neustart des Rechners ist die automatische Wiedergabe (von Datenträgern) auf allen Laufwerken deaktiviert, d.h. keine CD, kein Stick oder sonstwas startet nach dem Einstecken mehr automatisch. Für Windows Vista und 7: In der Systemsteuerung kann man für alle Datenträger die automatische Wiedergabe deaktivieren.
__________________ Logfiles bitte immer in CODE-Tags posten |
24.05.2011, 17:59 | #28 |
| Vista - Win32.Agent.fbx, Win32/Hiloti.grn!D, TR./Hiloti.D.2542 Hi cosinus, vielen Dank für Deine letzten ausführlichen Antworten! Ich gehe nun davon aus, dass du mich mit diesem Laptop "entlässt" und alles soweit okay ist. Ich möchte mich recht herzlich für Deine kompetente Unterstützung bedanken! Ich bin tief beeindruckt von Deinem Wissen, Tatkraft und Engagement!!!! Viele Grüße |
24.05.2011, 18:26 | #29 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Vista - Win32.Agent.fbx, Win32/Hiloti.grn!D, TR./Hiloti.D.2542 Dann wären wir durch! Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink: Mozilla und andere Browser => http://filepony.de/?q=Flash+Player Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Vista - Win32.Agent.fbx, Win32/Hiloti.grn!D, TR./Hiloti.D.2542 |
adobe, antivir, avira, dateien, dateien gelöscht, defender, desktop, diverse, emsisoft, jar_cache, löschen, malwarebytes, microsoft, namen, navipromo, neustart, ordner, programm, registry, software, suche, temp, trojaner, updates, verweise, vista, warnung, warum, windows, winlogon |