|
Auf Larusso's Einladung hin ....
(https://www.trojaner-board.de/75873-larussos-einladung-hin.html)
Auf Larusso's Einladung hin .... Hallo Larusso ( und oder andere Helfer ) vorab ein paar Auffälligkeiten nach den ersten Hilfsaktionen 1.Seit diesen Aktionen habe ich auf meinem Desktop einen Verweis zu einem Dateiorder "Backup" , da sind einige kleine Datein drin , Name ist Datum + irgendwelche Zahlenfolgen. Aber das beunruhigt mich noch nicht, aber 2. Seit den Aktionen habe ich, schon bei den verschiedenen Neustarts gestern auch beim Hochfahren heute die Anfrage meiner Firewall "Generic Host Process for WIN 32 möchte als Server fungieren". Habe das bisher immer abgelehnt, sicherheitshalber 3. Die Firewall hat auch heute wieder wegen dieser komischen (vermeintlichen ? )Hewlett-Packard Datei gemeckert. Zugriff habe ich verweigert. 4. Habe mal schnell Google aufgerufen. Änderung der Safesearchstufe hat funktioniert ( das hat es aber seit meinem ersten Posting auch ab und zu , so wie nach Lust und Laune ) 5. und das ist etwas komisch. Malwarebytes hing eine ganze Weile auf einem Pfad c.\dolumente und einstellungen\........\temporary internetfiles\content.ie5 Habe das mal überprüft. Ich habe in dem angegebenen Order nur einen Unterordner "Temp" ( damit könnte ich noch leben ) aber darin keinen weiteren Ordner content.ie5. Aber Malwarebytes hat dort schätzungsweise mehrere hundert Datein gescannt. Bin - wie gewohnt - etwas ratlos Mir kam noch was dazwischen. Logfile aus Malwarebytes kommt hoffentlich gleich, läuft relativ lange ( s.o. ) |
:hallo: Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg. Solltest Du Dich für eine Bereinigung entscheiden, arbeite bitte folgendes ab. Poste bitte alle Logfiles in Code-Tags. Klicke antworten --> # danach [code]text[/code] So sollte das dann hier aussehen nach dem antworten: Code: deine Logfileschritt 1 Navigiere zu C:\RSIT und lösche die log.txt und info.txt Doppelklick auf die RSIT.exe Poste beide Logfiles |
so jetzt noch das log file Malwarebytes' Anti-Malware 1.39 Datenbank Version: 2527 Windows 5.1.2600 Service Pack 3 29.07.2009 23:02:21 mbam-log-2009-07-29 (23-02-21).txt Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|E:\|F:\|) Durchsuchte Objekte: 167004 Laufzeit: 1 hour(s), 55 minute(s), 43 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\programme\DivX\divx converter\pS2Xx.ddc (Backdoor.Bot) -> Quarantined and deleted successfully. c:\Patch.cmd (Trojan.Agent) -> Quarantined and deleted successfully. Jetzt will ich nur noch schlafen , bin müde. Gute Nacht Eric |
huch eine Minute zu spät ok rsit lass ich auch nochmal laufen und malwarebytes poste ich dann noch im richtigen Format aber bitte erst morgen |
Code: Malwarebytes' Anti-Malware 1.39 |
Code: Logfile of random's system information tool 1.06 (written by random/random) |
Code: info.txt logfile of random's system information tool 1.06 2009-07-30 20:06:31 |
Zitat:
Definiere einfach eine Standardregel in Deiner Firewall zu "generic host process. So ist jz auch nichts zu finden. Zitat:
und bitte noch folgendes: Kaspersky - Onlinescanner Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware. ---> hier herunterladen => Kaspersky Online Scanner => Hinweise zu älteren Versionen beachten! => Voraussetzung: Internet Explorer 6.0 oder höher => die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter => Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken => Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als => Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten => Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen. |
Also der Backup-Ordner liegt c:\Dokumente und Einstellungen\Name\Desktop irgendwo habe ich was gelesen dass hijack this ja auch irgendwelche backups erstellt , eine Programmbibliothek ist drin, mit 3,7 MB , der Rest soweit sehr klein Den Kaspersky-Scanner lade ich dann mal. Was hat das mit dem Verzeichnis zu bedeuten, in dem Malwarebytes ewig gescannt hat, das ich in dem Pfad gar nicht finde ?? Und Einstellungen speichern in Google ging gestern, heute wieder nicht ( trotz Positivmeldung ) auch nach akzeptieren dieser HP Datei. Das mit dem Generic Host Process. Heisst das, ich sollte all die Scans nochmal machen nachdem ich das geändert habe ? Danke vorab und "Pfiati" :) Eric |
Schau ma se moi den BackUp Ordner au :D Start --> ausführen --> notepad (reinschreiben) Kopiere nun folgenden Text in das leere Textdokument. Code: cd \Bei Dateityp bitte alle Dateien auswählen. Speichere die iwas.bat auf dem Desktop --> doppelklick --> inhalt des file.txt posten Das Verzeichnis sind temporäre internet Dateien, um das kümmern wir uns noch. |
Hallo, entschuldigung, dass ich mich so lange nicht meldete, war übers Wochenende nicht da. Also beides hat, wie zu erwarten, nicht funktioniert. Ich bin scheinbar zu allem zu blöd. Kaspersky download geht nicht wegen falscher Sicherheitsstufe Internet und/oder fehlenden Administratorrechten. Über Systemsteuerung konnte ich die Sicherheitssturfe nicht ändern. Wenn ich es auf mittel setze und dann überprüfen will, ist sofort wieder mittelhoch drin. Das ich keine Administratorrechte haben soll, ist mir schleierhaft. Kann ich das überprüfen und ändern ?? Beim Ausführen der iwas.bat Datei öffnet sich nur ein leerer file-Editor und eine cmd.exe. Irgendwo da steht "Die Syntax für den Dateinamen, Verzeichnisnamen oder die Datenträgerbezeichung ist falsch." Bin total frustriert und verzweifelt. Eric |
hy mein fehler :o Ist die iwas.bat noch am Desktop? dann bitte rechtsklick --> bearbeiten Lösche den Inhalt und kopiere folgendes hinein. Code: cd \schritt 2 Rootkit-Suche Was sind Rootkits? Einige Scans auf Dateien, Prozesse u2nd Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):
Nun das Logfile in Code-Tags posten. |
Also nach eine Modifikation meiner Firewall hab ich den Kaspersky nochmal versucht herunterzuladen. Hat funktioniert. Hier das log-file. Code: ------------------------------------------------------------------------------- |
und das mit dem Ordner funktioniert natürlich auch , wenn ich meinen Fehler ausbügle ( Ordner heißt "backups" und nicht backup, hatte ich die ganze Zeit falsch geschrieben). Zusammen mit deiner Änderung läuft das, und log-file sieht so aus. Code: C:\Dokumente und Einstellungen\Eric Goerke\Desktop\backups\backup-20090728-203714-261 |
Code: GMER 1.0.15.15011 [8nm2pkw4.exe] - http://www.gmer.netCheck Point Software ist ja der Hersteller von Zonealarm. Na das glaube ich jetzt aber weniger, dass die mit ihrem Produkt auch gleich noch Malware verhöckern ( damit das System was zu tun hat, regelmäßig anschlägt und damit der User vom Nutzen des Produktes ständig überzeugt wird ? ). Verwirrt und ungläubig Eric |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:47 Uhr. |
Copyright ©2000-2025, Trojaner-Board