|
Trojaner , P1kAIMiG2Kb7Fz.exe", Desktop Schwarz, Programme und Dokumente weg Hallo Leute, ich hab mir gerstern einen Trojaner eingefangen. In diesem tollen Forum hab ich schon viel gelesen und hab den Ratschlag befolgt, ein eigenes Thema zu eröffnen. Angefangen hat alles mit den Meldungen: Festplatten beschädigt, Neustarten,..., Symbole auf Desktop waren weg, keine Programme unter: Start--alle Programme,... Bevor ich auf dieses Forum gestossen bin, habe ich versucht mit einer Systemwiederherstellung alles rückgängig zu machen. Leider ohne Erfolg. Durch das tool "unhide" ist das Problem mit den Symbolen und Programmen behoben. Ich weis aber nicht, ob der Schädling dadurch auch entfernt wurde. Werde lieber, lt. Anweisung diverse Date (txt) posten. Ist noch Handlungsbedarf? Für eure Hilfe bedanke ich mich schon mal im Voraus. Gerald |
Hallo und :hallo: Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! Danach OTL-Custom: CustomScan mit OTL Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code: netsvcs
|
Trojaner , P1kAIMiG2Kb7Fz.exe", Desktop Schwarz, Programme und Dokumente weg Hallo, OTL hab ich schon gemacht, GMER läuft gerade noch (immer noch). Leider kann ich die OTL nich posten, da ich mit Laptop online bin und der PC leider noch "scannt" und ich die Logfile alle als zip anfügen wollte. Werde so schnell wie möglich posten. Gruß Gerald Hi, GMER läuft immer noch. (Stand = C:\i386\...) Kann man mit dem PC bedenkenlos weiter arbeiten? Meine Frau braucht den PC (ist die Buchhaltung,.... drauf) (sie ist selstständig). Ich weis nicht, ob ich heut abend von euch noch eine Antwort bzgl. auswertung der Logfile bekomme und was noch zu tun ist. Für eine Antwort bin ich euch dabkbar. Gruß Gerald P.S.: gibt es evtl eine Alternative? Hier die logfile's im Anhang: Ich habe mir gestern noch die Software: adaware und spybot aufgespielt. Sind die Programme ausreichend (als Schutz) oder gibt es etwas besseres (freeware)? Gruß Gerald Hier die OTL.TxT mit deinem Inhalt: im Anhang |
Hallo, wie soll ich jetzt weitermachen?:kaffee: Kann ich den Trojaner mit einem Scanner ausfindig machen und löschen?:kloppen: Danke für die Ratschläge. Gruß Gerald |
Ähm, hast du gestern per Edit die Logs nachträglich in dein Posting eingetragen? Ich meine die waren da noch nicht, als ich dein Posting gestern betrachtet habe, deswegen hab ich auf eine neue Antwort von dir gewartet. Zitat:
Zitat:
1. Malwarebytes wurde nicht aktualisiert vor dem Scannen, ob extra nochmal der Hinweis von mir kam 2. Du solltest einen Vollscan machen und keinen Quickscan. 3. No Action taken => du hast die Funde nicht entfernt, dabei steht auch in der Anleitung zu Malwarebytes, dass diese entfernt werden müssen Was ist mit meiner Frage ob es noch mehr Logs von Malwarebytes gibt? Oder führst du das Tool zum ersten Mal aus? |
Hi, ja hab aus versehen via Editieren geantwortet, bzw. die logs nachgereicht. SORRY ! 1) Hatte Malwarebytes als "aktuellste Version" rundergeladen und dachte man bräuchte keine aktuallisierung. Werde es direkt aktuallisieren. Wie mache ich das manuell? 2) Wird dann ausgeführt. 3) Also, nach dem Voll-Scann, die Funde entfernen und dann nochmal scannen und die Lodfile posten? Habe zum ersten mal mit dem Tool gearbeitet , bzw. etwas mit Viren, Würmer, Trojaner,... zu tun gehabt. Entschuldige die "blöden" Fragen, dies ist alles Neuland für mich. Aber danke für dein Verständnis und deine Mühe. Gerald |
Lies doch einfach mal die Anleitung zu Malwarebytes dann erübrigen sich jede Nachfragerei! |
Scan läuft noch und wird auch noch eine weile laufen. Was kannst Du, für einen guten Schutz empfehlen? Gerald |
Zitat:
Der Virenscanner - egal welcher - kann und wird niemals 100% Schutz bieten können. Neue/unbekannte Schädlinge können immer durch die Lappen gehen. Bleib bei dem Scanner oder nimm Microsoft Security Essentials. Abgesehen davon nutzen verschiedene Virenscanner unterschiedliche Signaturen und Techniken, das führt dazu, dass zB Scanner1 Schädling X entdeckt, aber Schädling Y übersieht. Scanner2 erkennt Schädling Y, dafür aber Schädling X nicht... Wichtiger ist, dass du dich an Regeln hälst. Der beste Virenscanner bringt nichts, wenn du dich falsch verhälst und fahrlässig/unvorsichtig bist. Airbag und Sicherheitsgurt im Auto sind ja auch keine Gründe dafür auf die Verkehrsregeln zu pfeifen. Halte Dich am besten grob an diese Regeln:
Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar? |
Hi, danke für die Tipps. Heute Nacht dauerte mir das Scannen zu lange und ich war auch sehr müde. Deshalb habe ich erst heute Morgen nach dem Ergeniss geschaut und die Funde gelöscht. Die Logfiles (unter dem Reiter Logdateien) kann ich leider nicht richtig öffnen. Mit welchem Programm kann ich die Logfiles auslesen, damit ich Sie posten kann? Gerald |
Zitat:
Einfach per Doppelklick! Wenn eine Fehlermeldung kommt diese dann auch posten, mit "ich kann nicht öffnen" kann ich nichts anfangen. |
Jetzt hab ich es! Ich hatte mal für meine Homepage-Logs ein Programm zu auslesen installiert. Die logs wurden dann nmit diesem Programm geöffnet. Mit dem Editor kann man jetzt etwas mit den logs anfangen. Siehe: Malwarebytes' Anti-Malware 1.51.1.1800 www.malwarebytes.org Datenbank Version: 7680 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 09.09.2011 06:43:19 mbam-log-2011-09-09 (06-43-19).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 315196 Laufzeit: 1 Stunde(n), 23 Minute(n), 58 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 3 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\dokumente und einstellungen\administrator\lokale einstellungen\Temp\121.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully. c:\WINDOWS\system32\ALZALZ.BIN (Spyware.Passwords) -> Quarantined and deleted successfully. c:\WINDOWS\system32\ALZZip.BIN (Spyware.Passwords) -> Quarantined and deleted successfully. Ist jetzt mein PC sauber, oder muß ich noch etwas tun? Gruß Gerald |
Waren das jetzt alle Logs von Malwarebytes? |
Ja, da ich zum ersten mal Malwarebytes ausgeführt habe. Ich habe jedoch nochmal den PC gescannt. Hier die Log: Malwarebytes' Anti-Malware 1.51.1.1800 www.malwarebytes.org Datenbank Version: 7688 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 10.09.2011 11:05:08 mbam-log-2011-09-10 (11-05-08).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 315455 Laufzeit: 1 Stunde(n), 41 Minute(n), 19 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Vielen Dank nochmal für die tolle Unterstützung. Gruß Gerald |
Führ bitte auch ESET aus, danach sehen wir weiter: ESET Online Scanner
|
Hatte heut Mittag den ESET-Scanner gestartet. Leider musste ich den Scann nach 3,5 Std. abbrechen, da meine Frau dringent am PC etwas erledigen musste. Jetzt wollte ich Ihn wieder starten, doch ich bekomme die Meldung: "Updates funktionieren nicht. Ist ein Proxy eingerichtet?". Ich habe kein Proxy eingerichtet. Wie kann ich den Scann neu starten? (Ich hatte auch schon das Installierte Programm "ESET" auf C:\ deinstalliert. Hat auch nichts gebracht.) Gruß Gerald |
hab den CCleaner laufen lassen und das Problem gelöst.:daumenhoc Hier die LOG: ESETSmartInstaller@High as CAB hook log: OnlineScanner.ocx - registred OK esets_scanner_update returned -1 esets_gle=1 esets_scanner_update returned -1 esets_gle=41217 esets_scanner_update returned -1 esets_gle=41217 ESETSmartInstaller@High as downloader log: Can not open internetESETSmartInstaller@High as downloader log: Can not open internetesets_scanner_update returned -1 esets_gle=1 esets_scanner_update returned -1 esets_gle=1 ESETSmartInstaller@High as downloader log: all ok # version=7 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6541 # api_version=3.0.2 # EOSSerial=f586d9e8da934d4a813076f0a7fcefd1 # end=finished # remove_checked=false # archives_checked=true # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2011-09-12 01:32:45 # local_time=2011-09-12 03:32:45 (+0100, Westeuropäische Sommerzeit) # country="Germany" # lang=1031 # osver=5.1.2600 NT Service Pack 3 # compatibility_mode=1797 16775141 100 100 233727 90677758 0 0 # compatibility_mode=8192 67108863 100 0 6726 6726 0 0 # scanned=141273 # found=8 # cleaned=0 # scan_time=13575 C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\miaC3.tmp\data\OFFLINE\D038292B\DBD9B16A\Launcher.exe Win32/RegistryBooster Anwendung (Säubern nicht möglich) 00000000000000000000000000000000 I C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\miaC3.tmp\data\OFFLINE\D038292B\DBD9B16A\rbmonitor.exe Win32/RegistryBooster Anwendung (Säubern nicht möglich) 00000000000000000000000000000000 I C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\miaC3.tmp\data\OFFLINE\D038292B\DBD9B16A\rbnotifier.exe Win32/RegistryBooster Anwendung (Säubern nicht möglich) 00000000000000000000000000000000 I C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\miaC3.tmp\data\OFFLINE\D038292B\DBD9B16A\rb_move_serial.exe Win32/RegistryBooster Anwendung (Säubern nicht möglich) 00000000000000000000000000000000 I C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\miaC3.tmp\data\OFFLINE\D038292B\DBD9B16A\rb_ubm.exe Win32/RegistryBooster Anwendung (Säubern nicht möglich) 00000000000000000000000000000000 I C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\miaC3.tmp\data\OFFLINE\D038292B\DBD9B16A\registrybooster.exe Win32/RegistryBooster Anwendung (Säubern nicht möglich) 00000000000000000000000000000000 I C:\Programme\Lexware\premium\2010\Steuererklärung\vPStart.exe möglicherweise unbekannter Virus NewHeur_PE Virus (Säubern nicht möglich) 00000000000000000000000000000000 I C:\Programme\Lexware\premium\2010\Steuererklärung\vPStartHSO.exe möglicherweise unbekannter Virus NewHeur_PE Virus (Säubern nicht möglich) 00000000000000000000000000000000 I Gruß Gerald |
Zitat:
|
Lexware ist das Buchhalter-Programm von meiner Frau. Ist natürlich per Update jetzt auf 2011. Programm ist eigentlich vertauenswürdig. Bei Fragen, kann ich auch Lexware direkt fragen. Gruß Gerald |
Darum gehts mir nicht, ich wollte wissen wo ihr das her habt, um einschätzen zu können ob es ein Fehlalarm ist oder eher nicht. |
Von einer DVD, vom Hersteller (Orginal). |
Dann ist ist mit ziemlicher Sicherheit ein Fehlalarm. Mach bitte ein neues OTL-Log: CustomScan mit OTL Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code: netsvcs
|
Hier, die Log im Anhang, da Sie zu groß ist. |
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. |
OTL-LOG: All processes killed ========== OTL ========== Error: No service named 5087391drv was found to stop! Service\Driver key 5087391drv not found. Error: No service named 30637787 was found to stop! Service\Driver key 30637787 not found. Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}\ deleted successfully. C:\Programme\ConduitEngine\prxConduitEngine.dll moved successfully. Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{40c3cc16-7269-4b32-9531-17f2950fb06f}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{40c3cc16-7269-4b32-9531-17f2950fb06f}\ deleted successfully. C:\Programme\Winload\prxtbWin0.dll moved successfully. Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9030D464-4C02-4ABF-8ECC-5164760863C6}\ deleted successfully. C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll moved successfully. Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c}\ deleted successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{30F9B915-B755-4826-820B-08FBA6BD249D} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}\ not found. File C:\Programme\ConduitEngine\prxConduitEngine.dll not found. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{40c3cc16-7269-4b32-9531-17f2950fb06f} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{40c3cc16-7269-4b32-9531-17f2950fb06f}\ not found. File C:\Programme\Winload\prxtbWin0.dll not found. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{4180A6C9-26D0-4A15-A2CD-A24E3178E386} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4180A6C9-26D0-4A15-A2CD-A24E3178E386}\ not found. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c}\ not found. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully. Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{40C3CC16-7269-4B32-9531-17F2950FB06F} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{40C3CC16-7269-4B32-9531-17F2950FB06F}\ not found. File C:\Programme\Winload\prxtbWin0.dll not found. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully! C:\AUTOEXEC.BAT moved successfully. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{38b886b1-a90f-11df-9ff5-000e7f6baec7}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{38b886b1-a90f-11df-9ff5-000e7f6baec7}\ not found. File F:\pccompanion\Startme.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{38b886b1-a90f-11df-9ff5-000e7f6baec7}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{38b886b1-a90f-11df-9ff5-000e7f6baec7}\ not found. File F:\pccompanion\Startme.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bb87f0d2-b72e-11df-a010-000e7f6baec7}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{bb87f0d2-b72e-11df-a010-000e7f6baec7}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bb87f0d2-b72e-11df-a010-000e7f6baec7}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{bb87f0d2-b72e-11df-a010-000e7f6baec7}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bb87f0d2-b72e-11df-a010-000e7f6baec7}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{bb87f0d2-b72e-11df-a010-000e7f6baec7}\ not found. File C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Start.hta not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d514ae64-8f8c-11df-9fc6-000e7f6baec7}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{d514ae64-8f8c-11df-9fc6-000e7f6baec7}\ not found. File F:\pccompanion\Startme.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d514ae64-8f8c-11df-9fc6-000e7f6baec7}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{d514ae64-8f8c-11df-9fc6-000e7f6baec7}\ not found. File F:\pccompanion\Startme.exe not found. ========== COMMANDS ========== [EMPTYTEMP] User: Administrator ->Temp folder emptied: 285072685 bytes ->Temporary Internet Files folder emptied: 5883431 bytes ->Java cache emptied: 6385602 bytes ->Flash cache emptied: 1073 bytes User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 32969 bytes User: LocalService ->Temp folder emptied: 82132 bytes ->Temporary Internet Files folder emptied: 33566 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 919001 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 1238762 bytes %systemroot%\System32 .tmp files removed: 2951 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 8599267 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 294,00 mb C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully OTL by OldTimer - Version 3.2.27.0 log created on 09132011_204109 Files\Folders moved on Reboot... C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\WCESLog.log moved successfully. C:\WINDOWS\temp\Perflib_Perfdata_238.dat moved successfully. Registry entries deleted on Reboot... Gruß Gerald |
Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten. http://www.trojaner-board.de/attachm...rnen-start.png Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen: Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop. Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern ) http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif |
Hallo Arne, hab Kaspersky ausgeführt und Dateien gelöscht. Danach wurde PC neu gestartet und der Log war weg. Ist er irgendwo gespeichert worden? Habe dann Malewarebyts gestartet und den Log jetzt gepostet. LOG: Malwarebytes' Anti-Malware 1.51.2.1300 www.malwarebytes.org Datenbank Version: 7716 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 14.09.2011 20:09:30 mbam-log-2011-09-14 (20-09-30).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 299779 Laufzeit: 52 Minute(n), 17 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Gruß Gerald |
Das Log wird direkt auf C: gespeichert wenn ich mich recht entsinne. |
:daumenhoc Hast recht. Habe 2 Dateien gefunden. Welche die Richtige ist, weisich nicht genau. Ich glaube die Log von 18:55 Uhr ist die Richtige. Habe alle zwei in der Anlage. Gruß Gerald |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Hallo Arne, hier der Log: Combofix Logfile: Code: ComboFix 11-09-14.02 - Administrator 14.09.2011 23:30:25.1.2 - x86 |
Zitat:
Wenn die Datei schon ausgewertet sein sollte, bitte eine weitere Auswertung starten. |
Hi Arne, hier der Link: hxxp://www.virustotal.com/file-scan/reanalysis.html?id=a4ad76b1c1c910e38bd09debd52d9b5d9b37d717cb3e68ae720b82d107ceb0dd-1316090260 Im System32 gibt es 2 solcher Einträge ( GKSui18 und GKSui20 ) Gruß Gerald |
Die Datei ist ok. Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM! Downloade dir bitte  aswMBR.exe und speichere die Datei auf deinem Desktop.
Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none). |
Hallo Arne, hatte viel zu tun, darum erst jetzt die LOGS (im Anhang). Frage: Kann ich eigentlich momentan "richtig" mit meinem PC arbeiten? |
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt: ESET Online Scanner
|
Hi Arne, hier schon mal die ersten log's. ESET wird nachgereicht. Wie du sehen kannst hat Malwarebytes nicht gefunden, aber SuperAntiSpy (Lexwaredatei). Habe den Fund noch nicht gelöscht, da ich nicht weis, ob es wirklich ein Trojaner ist. Malewarebytes: Malwarebytes' Anti-Malware 1.51.2.1300 www.malwarebytes.org Datenbank Version: 7756 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 21.09.2011 00:08:36 mbam-log-2011-09-21 (00-08-35).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|J:\|) Durchsuchte Objekte: 320747 Laufzeit: 1 Stunde(n), 49 Minute(n), 0 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) SuperAnti Spy: SUPERAntiSpyware Scan Log hxxp://www.superantispyware.com Generated 09/21/2011 at 02:49 AM Application Version : 5.0.1118 Core Rules Database Version : 7714 Trace Rules Database Version: 5526 Scan type : Complete Scan Total Scan Time : 02:14:06 Operating System Information Windows XP Professional 32-bit, Service Pack 3 (Build 5.01.2600) Administrator Memory items scanned : 710 Memory threats detected : 0 Registry items scanned : 43178 Registry threats detected : 0 File items scanned : 139303 File threats detected : 1 Trojan.Agent/Gen-Koobface[Bonkers] C:\PROGRAMME\LEXWARE\PREMIUM\2010\STEUERERKLäRUNG\TRANSFERSERVEREST.EXE Gruß Gerald P.S.: Hab mal eine Frage direkt an Dich. Kennst Du ein Programm, mit dem ich meine Weblogs analysieren kann? Online hab ich noch nichts vernünftiges gefunden. |
Der Fund ich Lexware ist ein Fehlalarm. Was für Weblogs meinst du da? |
Guten Morgen Arne, der ESET-LOG: ESETSmartInstaller@High as CAB hook log: OnlineScanner.ocx - registred OK # version=7 # BROWSER.EXE=6, 12, 0, 15 # OnlineScanner.ocx=1.0.0.6528 # api_version=3.0.2 # EOSSerial=f586d9e8da934d4a813076f0a7fcefd1 # end=finished # remove_checked=false # archives_checked=true # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2011-09-22 01:00:29 # local_time=2011-09-22 03:00:29 (+0100, Westeuropäische Sommerzeit) # country="Germany" # lang=1033 # osver=5.1.2600 NT Service Pack 3 # compatibility_mode=1797 16775141 100 100 307637 91537704 42857 0 # compatibility_mode=8192 67108863 100 0 866672 866672 0 0 # scanned=142888 # found=0 # cleaned=0 # scan_time=15694 Mit Weblogs habe ich die Logfiles von meinem Provider gemeint. Da bei T-Online die Statistik meiner Homepage ( www.pure-holzdesign.de ) sehr mager ausfällt und er die Statistik nochmal als Logfile anbietet, bräuchte ich ein Programm, um die Logs zu analysieren/auszuwerten. Danke für alles im Voraus. Gruß Gerald |
Zitat:
Rechner soweit wieder im Lot? |
Hi Arne, PC ist o.k.. Kannst Du mir ein anderes Antivieren-Programm empfehlen (freeware)? Ich hab das Gefühl, das Antivir mein PC verlangsamt (z.B. beim Systemstart). Wo kann/sollte ich einen neuen Stang aufmachen (Bereich)? Gruß Gerald Vielen Dank nochmal für deine tolle Hilfe!!!:applaus: |
Zitat:
Der Virenscanner - egal welcher - kann und wird niemals 100% Schutz bieten können. Neue/unbekannte Schädlinge können immer durch die Lappen gehen. Bleib bei dem Scanner oder nimm Microsoft Security Essentials. Abgesehen davon nutzen verschiedene Virenscanner unterschiedliche Signaturen und Techniken, das führt dazu, dass zB Scanner1 Schädling X entdeckt, aber Schädling Y übersieht. Scanner2 erkennt Schädling Y, dafür aber Schädling X nicht... Wichtiger ist, dass du dich an Regeln hälst. Der beste Virenscanner bringt nichts, wenn du dich falsch verhälst und fahrlässig/unvorsichtig bist. Airbag und Sicherheitsgurt im Auto sind ja auch keine Gründe dafür auf die Verkehrsregeln zu pfeifen. Halte Dich am besten grob an diese Regeln:
Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar? Zitat:
Du nutzt ja Windows und suchst eine Software für die Auswertung. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 22:48 Uhr. |
Copyright ©2000-2025, Trojaner-Board
