|
xp security center Hallo und Gruß an alle Fachleute ! Bitte im Vorfeld zu entschuldigen, wenn ich mich nicht 100% regelkonform ausdrücke - ich bin (systemtechnisch und Forenerfahrung) absoluter LAIE ! Habe mir auf meinen Asus EeePC, WinXP SP3, eine Menge unerwünschter "Gäste" eingefangen. Bis zum Befall hatte ich ausschliesslich das Microsoft Security Center als Schutz installiert. Vor rund zwei Wochen ist dann nach Hochfahren des Rechners das Taskleistensymbol des Microsoft Security Centers verschwunden und das, fast gleich aussehende, Symbol des XP Security 2011 erschienen. Habe dann den Rechner schnell runtergefahren - mit dem Ergebnis, das ich mir eine Bootsektor Beschädigung eingefangen habe und der Rechner nicht mehr startete. Nur ein blinkender Cursor - sonst nichts. Das Trojaner Board kannte ich noch nicht - also selber versucht... Erster Schritt: Durch endloses probieren fand ich heraus, das der Asus nach ziehen des Akkus nach Start wieder hochfuhr. Kasperskys TDSSKILLER mit anderem Rechner auf SD Karte gezogen(anderes Laufwerk habe ich nicht am EeePC) und den Bootsektor repariert. Dann habe ich die Infos zum Problem und deren Lösung im Netz (und hier!) gefunden und folgende Schritte vorgenommen: RKILL ausgeführt OTH : alle Prozesse gestoppt Malwarebytes (14 Tage Vollversion, läuft noch 7 Tage...) komplett scannen lassen, auch Flash-Scan, und den Echtzeitschutz eingeschaltet. Avira installiert und scannen lassen. Beide Prg. haben VIELE infizierte Dateien gefunden und in Quarantäne verschoben. Die o.a. Prozedur habe ich mehrfach wiederholt und es wurden auch immer wieder vereinzelt Schädlinge gefunden. Da in einigen Threats von unauffordertem posten von Log-Files abgeraten wurde, hänge ich hier noch keine an. Im Moment SCHEINT der Rechner sauber - ABER ein wichtiger Punkt funktioniert noch immer nicht - das Windows Update. Die Meldung "Automatische Updates sind deaktiviert" erscheint und läßt sich nicht ändern. Manuelles Update ist auch unmöglich, es gibt die Meldung "die gewünschte Seite kann nicht angezeigt werden" Fehler Nr. 0x80070474. Bevor ich den Malwarebytes Echtzeitschutz aktiviert hatte, führte der Versuch , die IE8 Einstellungen zu ändern, zum erneuten Systemabsturz und beschädigtem Bootsektor. Ich hoffe, das mein laienhaftes Auftreten bis hierher nicht zum Ausschluß von Hilfe führt - bitte helft mir...!!! Ich bedanke mich bereits im Vorfeld für jede Unterstützung und Anleitung zur Problemlösung !!! Danke !!! |
Zitat:
|
Hallo Arne ! Vielen Dank für Deine Mitteilung ! Nachfolgend die Lofiles von Avira, Malwarebytes und OTL. Habe noch ein weiteren Fehler vergessen zu posten: Mein(zuvor) benutzer Router mit DSL Modem Netgear DGN1000B war mit einem Open DNS Acount(wg.Jugendschutz) seit dem Angriff mit merkwürdigen Effekten behaftet - so wechselte der WLAN kanal selbstständig(obwohl FEST eingestellt) und WLAN schaltete sich selbstständig ab. Ich habe einen Hardreset am Router durchgeführt und ihn dann abgeklemmt; nutze nub mein altes Telekom Equipment... Nun die Logs: |
Das wird ja ne Klickorgie. Pack bitte ALLE Logs in eine ZIP und lad diese hier hoch |
Ok, gezippt hatte ich bisher noch nicht...sorry. Hier nochmal alle Logs (und zwei neue von heute) als zip: |
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. |
Hallo Arne ! Habe die Virenprogramme (und alle Prozesse mit OTH) beendet, OTL gestartet, den Text in die Box kopiert und FIX gedrückt. Im Anhang der Logfile. Gruß, Ulrich |
Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten. http://www.trojaner-board.de/attachm...rnen-start.png Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen: Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop. Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern ) http://www.trojaner-board.de/images/icons/icon4.gif Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif |
Habe den Scan mit TDSS gemacht und den Log angehängt. Kein Fund... Habe zuvor noch einen Komplettscan aller Datein mit AntiVir gemacht; dort gab es einen Fund. Habe den Bericht auch mit angehängt. Sonst alles wie gehabt; Rechner läuft, aber kein Update von Windows möglich... Gruß, Ulrich |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Combofix ausgeführt, Wiederherstellungskonsole installiert, Hier der Logfile: Combofix Logfile: Code: ComboFix 11-06-13.04 - EeePC 1 14.06.2011 12:05:40.1.2 - x86 |
Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code: Firefox::4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. http://users.pandora.be/bluepatchy/m...s/CFScript.gif 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann! |
Hallp Arne, Combofix Script ausgeführt - hier das Log: Combofix Logfile: Code: ComboFix 11-06-13.04 - EeePC 1 14.06.2011 20:31:04.2.2 - x86Gruß, Ulrich Nachtrag: Habe gerade festgestellt, das Windows Update wieder funktioniert. Darf ich die (zahlreichen) noch nicht installierten Updates schon installieren ? |
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
Hallo Arne, hier die Logs: GMER GMER Logfile: Code: GMER 1.0.15.15640 - hxxp://www.gmer.netOSAM: OSAM Logfile: Code: Report of OSAM: Autorun Manager v5.0.11926.0If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru MBRcheck: MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows XP Home Edition Windows Information: Service Pack 3 (build 2600) Logical Drives Mask: 0x0000000c Kernel Drivers (total 115): 0x804D7000 \WINDOWS\system32\ntkrnlpa.exe 0x806E6000 \WINDOWS\system32\hal.dll 0xF7A88000 \WINDOWS\system32\KDCOM.DLL 0xF7998000 \WINDOWS\system32\BOOTVID.dll 0xF7458000 ACPI.sys 0xF7A8A000 \WINDOWS\system32\DRIVERS\WMILIB.SYS 0xF7447000 pci.sys 0xF7588000 isapnp.sys 0xF799C000 compbatt.sys 0xF79A0000 \WINDOWS\system32\DRIVERS\BATTC.SYS 0xF7598000 MountMgr.sys 0xF7428000 ftdisk.sys 0xF7808000 PartMgr.sys 0xF79A4000 ACPIEC.sys 0xF7B50000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS 0xF75A8000 VolSnap.sys 0xF734E000 iaStor.sys 0xF75B8000 disk.sys 0xF75C8000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS 0xF732E000 fltMgr.sys 0xF731C000 sr.sys 0xF75D8000 PxHelp20.sys 0xF7305000 KSecDD.sys 0xF7278000 Ntfs.sys 0xF724B000 NDIS.sys 0xF7231000 Mup.sys 0xF76F8000 \SystemRoot\system32\DRIVERS\intelppm.sys 0xF626C000 \SystemRoot\system32\DRIVERS\igxpmp32.sys 0xF6258000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS 0xF6230000 \SystemRoot\system32\DRIVERS\HDAudBus.sys 0xF60BA000 \SystemRoot\system32\DRIVERS\athw.sys 0xF7708000 \SystemRoot\system32\DRIVERS\l1c51x86.sys 0xF7838000 \SystemRoot\system32\DRIVERS\usbuhci.sys 0xF6096000 \SystemRoot\system32\DRIVERS\USBPORT.SYS 0xF7840000 \SystemRoot\system32\DRIVERS\usbehci.sys 0xF7718000 \SystemRoot\system32\DRIVERS\i8042prt.sys 0xF7848000 \SystemRoot\system32\DRIVERS\kbdclass.sys 0xF6064000 \SystemRoot\system32\DRIVERS\SynTP.sys 0xF7AA4000 \SystemRoot\system32\DRIVERS\USBD.SYS 0xF7728000 \SystemRoot\system32\DRIVERS\WDFLDR.SYS 0xF5FE8000 \SystemRoot\System32\Drivers\wdf01000.sys 0xF7850000 \SystemRoot\system32\DRIVERS\mouclass.sys 0xF7A74000 \SystemRoot\system32\DRIVERS\CmBatt.sys 0xF7A78000 \SystemRoot\system32\DRIVERS\ASUSACPI.sys 0xF7C31000 \SystemRoot\system32\DRIVERS\audstub.sys 0xF7738000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0xF7A7C000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0xF5FD1000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0xF7748000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0xF7758000 \SystemRoot\system32\DRIVERS\raspptp.sys 0xF7858000 \SystemRoot\system32\DRIVERS\TDI.SYS 0xF5FC0000 \SystemRoot\system32\DRIVERS\psched.sys 0xF7768000 \SystemRoot\system32\DRIVERS\msgpc.sys 0xF7860000 \SystemRoot\system32\DRIVERS\ptilink.sys 0xF7868000 \SystemRoot\system32\DRIVERS\raspti.sys 0xF7778000 \SystemRoot\system32\DRIVERS\termdd.sys 0xF7AA6000 \SystemRoot\system32\DRIVERS\swenum.sys 0xF5F9D000 \SystemRoot\system32\DRIVERS\ks.sys 0xF5F3F000 \SystemRoot\system32\DRIVERS\update.sys 0xF720D000 \SystemRoot\system32\DRIVERS\mssmbios.sys 0xF7788000 \SystemRoot\System32\Drivers\NDProxy.SYS 0xA79F1000 \SystemRoot\system32\DRIVERS\usbhub.sys 0xA6C17000 \SystemRoot\system32\drivers\RtkHDAud.sys 0xA6BF3000 \SystemRoot\system32\drivers\portcls.sys 0xA79E1000 \SystemRoot\system32\drivers\drmk.sys 0xA7125000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0xA4B77000 \SystemRoot\System32\Drivers\Null.SYS 0xA7123000 \SystemRoot\System32\Drivers\Beep.SYS 0xF7990000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS 0xF7818000 \SystemRoot\System32\drivers\vga.sys 0xF7AA8000 \SystemRoot\System32\Drivers\mnmdd.SYS 0xF7AAA000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0xF7820000 \SystemRoot\System32\Drivers\Msfs.SYS 0xF7828000 \SystemRoot\System32\Drivers\Npfs.SYS 0xA9EE8000 \SystemRoot\system32\DRIVERS\rasacd.sys 0xA38AC000 \SystemRoot\system32\DRIVERS\ipsec.sys 0xA3853000 \SystemRoot\system32\DRIVERS\tcpip.sys 0xA382B000 \SystemRoot\system32\DRIVERS\netbt.sys 0xA3805000 \SystemRoot\system32\DRIVERS\ipnat.sys 0xA37E3000 \SystemRoot\System32\drivers\afd.sys 0xA936B000 \SystemRoot\system32\DRIVERS\netbios.sys 0xA9097000 \SystemRoot\system32\DRIVERS\ssmdrv.sys 0xA37B8000 \SystemRoot\system32\DRIVERS\rdbss.sys 0xA3748000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0xA933B000 \SystemRoot\System32\Drivers\Fips.SYS 0xA3722000 \SystemRoot\system32\DRIVERS\avipbb.sys 0xA93D8000 \SystemRoot\system32\DRIVERS\hidusb.sys 0xA931B000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS 0xA93D4000 \SystemRoot\system32\DRIVERS\mouhid.sys 0xF7AB4000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys 0xF7AB6000 \SystemRoot\system32\drivers\AsUpIO.sys 0xA3648000 \SystemRoot\System32\Drivers\dump_iaStor.sys 0xBF800000 \SystemRoot\System32\win32k.sys 0xA39F1000 \SystemRoot\System32\drivers\Dxapi.sys 0xA8088000 \SystemRoot\System32\watchdog.sys 0xBF000000 \SystemRoot\System32\drivers\dxg.sys 0xF7B99000 \SystemRoot\System32\drivers\dxgthk.sys 0xBF024000 \SystemRoot\System32\igxpgd32.dll 0xBF012000 \SystemRoot\System32\igxprd32.dll 0xBF04F000 \SystemRoot\System32\igxpdv32.DLL 0xA77A8000 \SystemRoot\system32\DRIVERS\wanarp.sys 0xBF1E7000 \SystemRoot\System32\igxpdx32.DLL 0xBF47A000 \SystemRoot\System32\ATMFD.DLL 0xA3633000 \SystemRoot\system32\DRIVERS\avgntflt.sys 0xF5F37000 \??\C:\WINDOWS\system32\drivers\mbam.sys 0xA9C42000 \SystemRoot\system32\DRIVERS\fssfltr_tdi.sys 0xA76C8000 \SystemRoot\system32\DRIVERS\ndisuio.sys 0xA3566000 \SystemRoot\system32\DRIVERS\mrxdav.sys 0xA346E000 \SystemRoot\system32\DRIVERS\srv.sys 0xA32F8000 \SystemRoot\system32\drivers\wdmaud.sys 0xA8797000 \SystemRoot\system32\drivers\sysaudio.sys 0xA2E2F000 \SystemRoot\System32\Drivers\HTTP.sys 0xA2CAF000 \SystemRoot\system32\DRIVERS\ipfltdrv.sys 0xA2BFC000 \SystemRoot\system32\drivers\kmixer.sys 0x7C910000 \WINDOWS\system32\ntdll.dll Processes (total 36): 0 System Idle Process 4 System 432 C:\WINDOWS\system32\smss.exe 480 csrss.exe 712 C:\WINDOWS\system32\winlogon.exe 756 C:\WINDOWS\system32\services.exe 768 C:\WINDOWS\system32\lsass.exe 952 C:\WINDOWS\system32\svchost.exe 1016 svchost.exe 1056 C:\WINDOWS\system32\svchost.exe 1168 svchost.exe 1240 svchost.exe 1424 C:\WINDOWS\system32\spoolsv.exe 1476 C:\Programme\Avira\AntiVir Desktop\sched.exe 1516 svchost.exe 1572 C:\Programme\Avira\AntiVir Desktop\avguard.exe 1740 C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe 1840 C:\Programme\Avira\AntiVir Desktop\avshadow.exe 1904 C:\WINDOWS\system32\svchost.exe 624 alg.exe 1828 C:\WINDOWS\explorer.exe 2044 C:\WINDOWS\system32\igfxtray.exe 1628 C:\WINDOWS\system32\igfxsrvc.exe 588 C:\WINDOWS\system32\hkcmd.exe 968 C:\Programme\EeePC\ACPI\AsAcpiSvr.exe 1248 C:\Programme\EeePC\ACPI\AsEPCMon.exe 1152 C:\Programme\EeePC\ACPI\AsTray.exe 1148 C:\Programme\Synaptics\SynTP\SynTPEnh.exe 1132 C:\Programme\ASUS\LiveUpdate\LiveUpdate.exe 1352 C:\WINDOWS\system32\igfxext.exe 2052 C:\WINDOWS\RTHDCPL.EXE 2072 C:\Programme\Avira\AntiVir Desktop\avgnt.exe 2092 C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe 2180 C:\WINDOWS\system32\ctfmon.exe 2308 C:\Programme\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe 3516 C:\Dokumente und Einstellungen\EeePC 1\Desktop\MBRCheck.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS) \\.\D: --> \\.\PhysicalDrive0 at offset 0x00000012`03ebfe00 (NTFS) PhysicalDrive0 Model Number: ST9160314AS, Rev: 0002SDM1 Size Device Name MBR Status -------------------------------------------- 149 GB \\.\PhysicalDrive0 Windows XP MBR code detected SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A Done! Gruß, Ulrich |
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt: ESET Online Scanner
|
Hallo Arne, noch mal die Frage vorab: darf ich schon ein Windows Update fahren ?? Gruß, Ulrich |
Wieso jetzt? Mach erst die KOntrollscans! |
ok Arne, hier die Logs: SUPERAntiSpyware Scan Log hxxp://www.superantispyware.com Generated 06/15/2011 at 08:21 PM Application Version : 4.54.1000 Core Rules Database Version : 7269 Trace Rules Database Version: 5081 Scan type : Complete Scan Total Scan Time : 01:02:10 Memory items scanned : 420 Memory threats detected : 0 Registry items scanned : 5918 Registry threats detected : 0 File items scanned : 53527 File threats detected : 102 Adware.Tracking Cookie C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@zanox-affiliate[1].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\system@imrworldwide[2].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\system@ru4[1].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\system@tracking.quisma[1].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\system@fastclick[2].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@harrenmedianetwork[2].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@ads.creative-serving[2].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@content.yieldmanager[3].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@unitymedia[2].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\system@ad3.adfarm1.adition[1].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@ad4.adfarm1.adition[1].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@microsoftsto.112.2o7[2].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@mediaplex[1].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@track.adform[1].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\system@myroitracking[1].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@ad.dyntracker[1].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@ad1.adfarm1.adition[1].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@ad.ad-srv[2].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@adxpose[1].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@eas.apm.emediate[2].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@banners.victor[2].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\system@ad.yieldmanager[2].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\system@ad.dyntracker[2].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\system@traffictrack[1].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@track.effiliation[3].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@server.cpmstar[2].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@cdn5.specificclick[2].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@ads.inextmedia[1].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\system@serving-sys[2].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@adbrite[2].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\system@doubleclick[1].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@media6degrees[2].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\system@click.fastpartner[1].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@adviva[2].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\system@zanox-affiliate[1].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@ad.adition[1].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@m1.mediasrv[2].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\system@adfarm1.adition[1].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@apmebf[1].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@paypal.112.2o7[1].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@bs.serving-sys[1].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@adfarm1.adition[1].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@invitemedia[2].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@ad.adnet[1].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@adserver.traffictrack[1].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@stats.paypal[2].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@adtech[1].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@tracking.mlsat02[2].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@ads.adk2[1].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@fastclick[2].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\system@adxpose[1].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\system@apmebf[1].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@rotator.adjuggler[2].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@tradedoubler[2].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@serving-sys[2].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@adserving.versaneeds[2].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\system@zanox[1].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@ad.yieldmanager[2].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@atdmt[2].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@ad.adc-serv[1].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@content.yieldmanager[2].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@ad3.adfarm1.adition[1].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\system@bizzclick[1].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\system@trafficengine[1].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@www.etracker[1].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@www.matrix-media[2].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@tracking.mindshare[1].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@tracking.quisma[2].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@xm.xtendmedia[1].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@ads.mikinimedia[2].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@traffictrack[1].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\system@tracking.mindshare[1].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@zanox[1].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\system@xml.trafficengine[1].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\system@content.yieldmanager[3].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@doubleclick[1].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@revsci[2].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@specificclick[1].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@ad.adserver01[2].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\system@clicksor[2].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\system@unitymedia[2].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@ad.zanox[1].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@ads.mitfahrzentrale[1].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\system@content.yieldmanager[2].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@ads.addynamix[1].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@msnportal.112.2o7[1].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@track.effiliation[1].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@webmasterplan[2].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\eeepc_1@fidelity.rotator.hadj7.adjuggler[1].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\system@ad.zanox[1].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\system@media6degrees[2].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\system@invitemedia[1].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\system@atdmt[1].txt C:\Dokumente und Einstellungen\EeePC 1\Cookies\system@smartadserver[1].txt cdn5.specificclick.net [ C:\Dokumente und Einstellungen\EeePC 1\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\GL7PGYN5 ] hottraffic.nl [ C:\Dokumente und Einstellungen\EeePC 1\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\GL7PGYN5 ] media.jaludo.com [ C:\Dokumente und Einstellungen\EeePC 1\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\GL7PGYN5 ] www.adservercentral.info [ C:\Dokumente und Einstellungen\EeePC 1\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\GL7PGYN5 ] www.ardmediathek.de [ C:\Dokumente und Einstellungen\EeePC 1\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\GL7PGYN5 ] Trojan.Agent/Gen-FraudBot C:\SYSTEM VOLUME INFORMATION\_RESTORE{31977D89-4CE6-4C66-8D8E-4A9FA1DDE700}\RP300\A0036956.EXE Trojan.Agent/Gen-FakeAV C:\SYSTEM VOLUME INFORMATION\_RESTORE{31977D89-4CE6-4C66-8D8E-4A9FA1DDE700}\RP301\A0038219.EXE C:\_OTL\MOVEDFILES\06132011_131350\C_DOKUMENTE UND EINSTELLUNGEN\EEEPC 1\L4ILHPOE4BQE4HS87QY1.EXE Malwarebytes' Anti-Malware 1.51.0.1200 www.malwarebytes.org Datenbank Version: 6863 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 15.06.2011 21:09:47 mbam-log-2011-06-15 (21-09-47).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 209629 Laufzeit: 28 Minute(n), 2 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) ESETSmartInstaller@High as CAB hook log: OnlineScanner.ocx - registred OK # version=7 # iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339) # OnlineScanner.ocx=1.0.0.6526 # api_version=3.0.2 # EOSSerial=9d501c33d733a142ae58772484631a10 # end=finished # remove_checked=false # archives_checked=true # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2011-06-15 10:37:21 # local_time=2011-06-16 12:37:21 (+0100, Westeuropäische Sommerzeit) # country="Germany" # lang=1033 # osver=5.1.2600 NT Service Pack 3 # compatibility_mode=1797 16775141 100 93 352117 44709874 76761 0 # compatibility_mode=8192 67108863 100 0 348 348 0 0 # scanned=53703 # found=3 # cleaned=0 # scan_time=4391 C:\System Volume Information\_restore{31977D89-4CE6-4C66-8D8E-4A9FA1DDE700}\RP303\A0039833.exe Win32/AutoRun.VB.AGL worm (unable to clean) 00000000000000000000000000000000 I C:\WINDOWS\system32\userluser.exe probably a variant of Win32/Spy.Agent.TMVGCX trojan (unable to clean) 00000000000000000000000000000000 I C:\_OTL\MovedFiles\06132011_131350\C_Dokumente und Einstellungen\EeePC 1\peays.exe a variant of Win32/TrojanDropper.Agent.PIV trojan (unable to clean) 00000000000000000000000000000000 I Gruß, Ulrich |
Bitte mal den Avenger anwenden: 1.) Lade Dir von hier Avenger: Swandog46's Public Anti-Malware Tools (Download, linksseitig) 2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen: http://mitglied.lycos.de/efunction/tb123/avenger.png 3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code: files to delete:5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. 8.) Die Datei c:\avenger\backup.zip bei File-Upload.net - Ihr kostenloser File Hoster! hochladen und hier verlinken |
ok, hier der Log und der Link(hoffe, ich habe alles richtig gemacht): Logfile of The Avenger Version 2.0, (c) by Swandog46 hxxp://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! File "C:\WINDOWS\system32\userluser.exe" deleted successfully. Completed script processing. ******************* Finished! Terminate. hxxp://www.file-upload.net/download-3513097/backup.zip.html Gruß, Ulrich |
So, der Übrrest sollte auch weg sein. Rechner wieder soweit im Lot? |
Guten Morgen Arne, ja, scheint alles wieder in Ordnung. Was ich früher (glaube ich..) nicht hatte, ist ein kleines Pop-up Fenster, das links unten auf dem Desktop über dem Start-Button ganz kurz erscheint(nichts zu erkennen), wenn die Programmtasksymbole rechts unten sich alle gerade nach und nach geöffnet haben. Habe aber noch alle installierten Scan-Prg. drauf; vielleicht liegs daran...? Liebe Grüße, Ulrich |
Dann wären wir durch! :abklatsch: Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt. Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken. Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast) Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink: Mozilla und andere Browser => http://filepony.de/?q=Flash+Player Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind. Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
Hallo Arne, vielen,vielen Dank für Deine Hilfe !! Habe alles Deine Update-Tips befolgt und durchgeführt. Scheint alles einwandfrei. Das zuvor erwähnte kurze Pop-Up nach dem Hochfahren erscheint allerdings immer noch - ich hoffe mal, da steckt nicht "böses" dahinter. Das Trojaner-Board ist eine tolle Einrichtung, die Unterstützung verdient; eine Spende ist unterwegs :applaus: Ein schönes Wochenende und weiterhin viel Erfolg wünscht euch allen Ulrich |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:08 Uhr. |
Copyright ©2000-2025, Trojaner-Board
