Trojaner-Board - Hilfe brauch

Trojaner-Board (https://www.trojaner-board.de/)

- Antiviren-, Firewall- und andere Schutzprogramme (https://www.trojaner-board.de/antiviren-firewall-andere-schutzprogramme/)

- - Hilfe brauch (https://www.trojaner-board.de/16210-hilfe-brauch.html)

Huhu, guten Morgen,
mein Problem ist folgendes. Hab meinen PC diese Woche schon zum 2.x pattgemacht (LaufwerkC).Gestern hab ich dann nochmal alles neu gemacht, da er sich wieder nur von der CD aus starten lies.Alles neu aufgespielt, Virenscanner laufen lassen, Spybot laufen lassen, wieder alles voll. Hab 10 x laufen lassen zeigt mir immer wieder an wichtiger Registrierungsdatenbankeintrag. Hab alles Isolliert, jetzt ist er vierenfrei. Trotzdem lässt er sich wieder nur mit der CD starten u. wenn ich ein Programm installieren will zeigt er mir immer wieder diesen Eintrag(siehe unten) und fährt runter und startet neu. Was kann ich noch machen damit der Kasten wieder läuft?

Das Fenster das aufgeht, da steht : Wichtiger Registrierungsdatenbankeintrag.
Wenn ich was aufspielen will (z.B. Scanner, Drucker, Fotopr.) unsw. zeigt es dieses Fenster von Spybot an und wenn ich auf zulassen geh, läuft er weiter, wenn ich nichts mache fährt er runter. Hab ja diese Dateien alle isoliert, waren 5 Stück. Was kann ich tun?
Da Frau auch noch blond ist und keine Ahnung von solchen Sachen hat, na ja ihr wisst ja selbst wie das so ist.

Liebe grüße Taddybär

Lass mal hijackthis über dein System laufen und poste das Logfile.

@Taddybaer

Zitat:

er sich wieder nur von der CD aus starten lies.

kannst du Hardware-Problem ausschließen?

Zitat:

Das Fenster das aufgeht, da steht : Wichtiger Registrierungsdatenbankeintrag.

Wenn es kein HW-Problem ist, würde ich auf zu fleißiges Löschen der Registry-Einträge durch Spybot vermuten. Versuche mal die gelöschten Einträge wiederherzu stellen und den Ratschäg für big_surfer folgen.

Huhu,
ist ja lieb von Euch das Ihr mir helfen wollt, aber ich habe keine Ahnung von solchen Sachen.
Wo soll ich den Hijackthis herbekommen , der müßte auch noch in Deutsch sein da mein Englisch sehr flau ist.
Allso ich fang nochmal von vorne an.
Am Dienstag lies er sich plötzlich nicht mehr hochfahren, nur mit CD, mittwoch Laufwerk C plattgemacht, keine veränderung, Sonntag wieder patt gemacht und trotzdem läßt er sich ´morgens nur mit der CD starten. Wenn ich ihn überm Tag ausschalte und wieder neustarte geht er ohne CD.Er läuft auch wieder so schnell wie früher sonst hätte ich kein Problem.
Spybot drüberlaufen lassen , hat unmengen infizierter Dateien gefunden (Malware und so Zeug, unter anderem auch diese wichtigen Registrierdatenbank Einträge).
Die anderen Sachen sind alle weg, nur diese Dateien kamen immer wieder, habs 10x durchlaufen lassen bis endlich kam Virenfrei. Jetzt kommt eben immer das fenster mit dem Eintrag, Zulassen oder Ignorieren und merken. Da fährt er dann immer runter, allso fehlt was. Wenn ich die aber jetzt wiederherstelle, hab ich ja die Viren wieder drauf.Wie kann ich die wegbekommen?
Grüßle Taddybär :heulen: Vielleicht kann ich ihn :snyper:

Huhu,
ist das so richtig, hab keinen Plan.
Grüßle Taddybär
Logfile of HijackThis v1.99.1
Scan saved at 16:10:49, on 04.04.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\AVSched32.EXE
C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Media Manager\airsvcu.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Dokumente und Einstellungen\Angelika Knapp\Lokale Einstellungen\Temp\Temporäres Verzeichnis 9 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.antenne.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LifeScape Media Detector] D:\Programme\Picasa\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SpionFrei] "C:\Programme\SinEspias\no-spy.exe" /autorun
O4 - HKLM\..\Run: [AVSCHED32] D:\AVSched32.EXE /min
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Einführung zu Media Manager.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Media Manager\SPLASHA.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O23 - Service: License Management Service ESD - Unknown owner - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe

zahlt sich garnicht aus weiteranzuschauen...mach erstmal dein windows dicht und aktualisiere den browser! (WINDOWS UPDATE!) übrigens ist da eigentlich sonst nichts besonderes...

Platform: Windows XP (WinNT 5.01.2600) kein servicepack!
MSIE: Internet Explorer v6.00 (6.00.2600.0000) kein servicepack!
ALT + LÜCKENHAFT!

das kannst du wegmachen:
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)

Huhu,
so nun hab ich mal aufgeschrieben was da steht bei den Registrierungsdatenbankeinträgen, die Zahlen am Schluß sind immer anders vorne ist es immer der gleiche Eintrag.Das sind die Isollierten Dateien.
Data Source objekt exploit HKE_users/S-1-5-18 Software/ Microsoft Windows.
Vielleicht könnt Ihr damit was anfangen.
Grüßle Taddybär :headbang:

@Taddybaer
update erst mal dein system und IE,
danach escan laden
download
anleitung
EscanErgebnis
Teile uns das Ergebnis des eScan mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

es könnte sich um den hier
handeln
chaosman

Huhu,
versuch mal schnell was einzustellen was mir eben einer der Virenscanner angezeigt hat die anderen dauern zu lange da fährt er wieder runter und alles ist weg.
Es läßt sich nicht reinkopieren.
er hat 50 mittlere Viren gefunden.
der andere hat auch wieder welche gefundne, aber da er immer wieder runterfährt kann das Programm nie ganz durchlaufen.
Den ersten den er jetzt hat:
Possible Spayware Cookie Falag= Infected.
Ich werde ihn wahrscheinlich demnächst ganz platt machen.
Aber er hat eben in F da sind meine Bilder und Dateien 47 Vieren gefunden , wie kann ich die entfernen bevor ich si eauf meine externe Festplatte kopiere?
Grüßle Taddybär

Huhu,
jetzt gings endlich mal

Spyware Doctor Activit䴳report
Generated on 05.04.2005 11:31:09
Spyware Doctor Homepage

PC Tools Homepage

Technische Unterst��ng

Suchen (grunds䴺liche Information):

Suchergebnisse:

Suche starten:
05.04.2005 11:31:34
suche anhalten:
05.04.2005 12:00:55
durchsuchte Objekte:
144917
gefundene Objekte:
49
gefunden und ignoriert:
0
verwendete Werkzeuge:
General Scanner, Process Scanner, Hosts scanner, LSP Scanner, Registry Scanner, Cookie Scanner, Browser Defaults, Favorites and ZoneMap Scanner, Browser Scanner, Laufwerk Scanner

Standort
Risiko

Tracking Cookie(s)

Mittel

Common Components for 180search Assistant & Zango
D:\TEMP\msbb_gdf.dat
Info

TopRebrates or WebRebates
F:\Programme\Web_Rebates\Ap1150\topr1150.dat
Mittel

TopRebrates or WebRebates
F:\Programme\Web_Rebates\Da1150\1150sh.dat
Mittel

TopRebrates or WebRebates
F:\Programme\Web_Rebates\Sy1150\Html\foot1150c_rb.htm
Mittel

TopRebrates or WebRebates
F:\Programme\Web_Rebates\Sy1150\Html\foot1150c_ub.htm
Mittel

TopRebrates or WebRebates
F:\Programme\Web_Rebates\Sy1150\Html\f_popo1150c_rb.htm
Mittel

TopRebrates or WebRebates
F:\Programme\Web_Rebates\Sy1150\Html\f_popo1150c_ub.htm
Mittel

TopRebrates or WebRebates
F:\Programme\Web_Rebates\Sy1150\Html\f_spec1150c_rb.htm
Mittel

TopRebrates or WebRebates
F:\Programme\Web_Rebates\Sy1150\Html\f_spec1150c_ub.htm
Mittel

TopRebrates or WebRebates
F:\Programme\Web_Rebates\Sy1150\Html\popo1150a_r.htm
Mittel

TopRebrates or WebRebates
F:\Programme\Web_Rebates\Sy1150\Html\popo1150a_rb.htm
Mittel

TopRebrates or WebRebates
F:\Programme\Web_Rebates\Sy1150\Html\popo1150a_rbh.htm
Mittel

TopRebrates or WebRebates
F:\Programme\Web_Rebates\Sy1150\Html\popo1150a_u.htm
Mittel

TopRebrates or WebRebates
F:\Programme\Web_Rebates\Sy1150\Html\popo1150a_ub.htm
Mittel

TopRebrates or WebRebates
F:\Programme\Web_Rebates\Sy1150\Html\popo1150a_ubh.htm
Mittel

TopRebrates or WebRebates
F:\Programme\Web_Rebates\Sy1150\Html\popo1150c.htm
Mittel

TopRebrates or WebRebates
F:\Programme\Web_Rebates\Sy1150\Html\pref1150a.htm
Mittel

TopRebrates or WebRebates
F:\Programme\Web_Rebates\Sy1150\Html\pref1150c.htm
Mittel

TopRebrates or WebRebates
F:\Programme\Web_Rebates\Sy1150\Html\remv1150c.htm
Mittel

TopRebrates or WebRebates
F:\Programme\Web_Rebates\Sy1150\Html\scri1150a.htm
Mittel

TopRebrates or WebRebates
F:\Programme\Web_Rebates\Sy1150\Html\spec1150a_r.htm
Mittel

TopRebrates or WebRebates
F:\Programme\Web_Rebates\Sy1150\Html\spec1150a_rb.htm
Mittel

TopRebrates or WebRebates
F:\Programme\Web_Rebates\Sy1150\Html\spec1150a_rbh.htm
Mittel

TopRebrates or WebRebates
F:\Programme\Web_Rebates\Sy1150\Html\spec1150a_u.htm
Mittel

TopRebrates or WebRebates
F:\Programme\Web_Rebates\Sy1150\Html\spec1150a_ub.htm
Mittel

TopRebrates or WebRebates
F:\Programme\Web_Rebates\Sy1150\Html\spec1150a_ubh.htm
Mittel

TopRebrates or WebRebates
F:\Programme\Web_Rebates\Sy1150\Html\spec1150c.htm
Mittel

TopRebrates or WebRebates
F:\Programme\Web_Rebates\Sy1150\Images\topr_c_envelope.gif
Mittel

TopRebrates or WebRebates
F:\Programme\Web_Rebates\Sy1150\Images\topr_c_footer.gif
Mittel

TopRebrates or WebRebates
F:\Programme\Web_Rebates\Sy1150\Images\topr_c_hdr_autotrack_remove.gif
Mittel

TopRebrates or WebRebates
F:\Programme\Web_Rebates\Sy1150\Images\topr_c_hdr_settings.gif
Mittel

TopRebrates or WebRebates
F:\Programme\Web_Rebates\Sy1150\Images\topr_c_hdr_settings_toprebates.gif
Mittel

TopRebrates or WebRebates
F:\Programme\Web_Rebates\Sy1150\Images\topr_c_pop_circles.gif
Mittel

TopRebrates or WebRebates
F:\Programme\Web_Rebates\Sy1150\Images\topr_c_pop_circles_bg2.gif
Mittel

TopRebrates or WebRebates
F:\Programme\Web_Rebates\Sy1150\Images\topr_c_warning.gif
Mittel

TopRebrates or WebRebates
F:\Programme\Web_Rebates\Sy1150\Sy1150\1150_0.dat
Mittel

TopRebrates or WebRebates
F:\Programme\Web_Rebates\Sy1150\Sy1150\1150_2.dat
Mittel

TopRebrates or WebRebates
F:\Programme\Web_Rebates\Sy1150\Tp1150\foot1150c_rb.htm
Mittel

TopRebrates or WebRebates
F:\Programme\Web_Rebates\Sy1150\Tp1150\foot1150c_ub.htm
Mittel

TopRebrates or WebRebates
F:\Programme\Web_Rebates\Sy1150\Tp1150\f_popo1150c_rb.htm
Mittel

TopRebrates or WebRebates
F:\Programme\Web_Rebates\Sy1150\Tp1150\f_popo1150c_ub.htm
Mittel

TopRebrates or WebRebates
F:\Programme\Web_Rebates\Sy1150\Tp1150\f_spec1150c_rb.htm
Mittel

TopRebrates or WebRebates
F:\Programme\Web_Rebates\Sy1150\Tp1150\f_spec1150c_ub.htm
Mittel

TopRebrates or WebRebates
F:\Programme\Web_Rebates\Sy1150\Tp1150\popo1150c.htm
Mittel

TopRebrates or WebRebates
F:\Programme\Web_Rebates\Sy1150\Tp1150\pref1150c.htm
Mittel

TopRebrates or WebRebates
F:\Programme\Web_Rebates\Sy1150\Tp1150\remv1150c.htm
Mittel

TopRebrates or WebRebates
F:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
Mittel

TopRebrates or WebRebates
F:\Programme\Web_Rebates\Sy1150\Tp1150\spec1150c.htm
Mittel

Grüßle taddybär

Huhu,
hab schon wieder ein Problem,
hab heute mal ein wenig auf meinem PC aufgeräumt. Da ich ja C platt gemacht hatte hab ich wichtige Sachen in F verschoben. Nun hab ich fast alles wieder gelöscht und wahrscheinlich irgend etwas was ich nicht sollte.
Und zwar zeigt es mir an:
3dsmax6/Hardware Shaders ist beschädigt führen sie CHKDSK aus. Was ist das?
Hab aber alles schon aus dem Papierkorb gelöscht weil er ein paar mal übergelaufen ist.
Ist das wichtig?
Grüßle Taddybär

Huhu, guten Morgen,
nachdem gestern 31/2 Stunden das escan durchlief hat er zwei Trojaner gefunden und zwar Dropper. Nun weiß ich aber nicht wie ich die beseitigen kann, er sagt zwar Virus Aktion Taken und dann Virus Aktion no Taken.
Was soll ich davon halten, das wiederspricht sich doch.
Auf jedenfall läuft mein PC das erste mal seid einer Woche ohne Start von der CD, ich bin ganz erschocken., Kann es sein das es wieder ok ist.
Allso jezt ist es Mittag und er fährt nach wie vor runter, nur das Startproplem ist behoben. An was kann das liegen?
Grüßle Taddybär