|
trojaner gefunden und eventuell nicht richtig beseitigt... vielleicht kann jemand es überprüfen ? hallo habe folgendes problem es gab einen trojaner auf meiner externen festplatte (irgendwo unter "sound volumen") dieser wurde von superantispyware gefunden und auch gelöscht. zudem hat malewarebytes noch etwas gefunden, bin der meinung es war ein keylogger oder so etwas, es wurde aber auch gelöscht. da der trojaner wohl schon länger da war und ich schoneinmal der meinung war in beseitigt zu haben ( was wohl doch nicht geklappt hat ) wurde die "externe" nun heute komplett formatiert. habe allerdings das gefühl das meine internet verbindung langsamer geworden ist und zudem desöfteren verbindungsabbrüche hat, daher bin ich nicht sicher ob das system wirklich richtig bereinigt wurde. benutze noch xp... welches erst vor ein paar tagen komplett neu aufgesetzt wurde aber nur da die alte festplatte ihren geist aufgegeben hatte. der rechner wurde wahrscheinlich nun durch den anschluß der externen infiziert. wäre schön wenn jemand mit ahnung mal einen blick drauf werfen könnte... hier ist eine aktuelle highjackthis logfile, denke aber das dort nichts zu sehen ist... aber vielleicht ja doch ? Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 22:51:02, on 01.02.2012 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Microsoft Security Client\Antimalware\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Windows7FirewallControl\Windows7FirewallService.exe C:\Programme\CDBurnerXP\NMSAccessU.exe C:\Programme\OO Software\Defrag\oodag.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\OO Software\Defrag\oodtray.exe C:\Programme\Microsoft Security Client\msseces.exe C:\WINDOWS\system32\hkcmd.exe C:\Programme\Windows7FirewallControl\Windows7FirewallControl.exe C:\Programme\Mozilla Firefox\firefox.exe C:\PROGRA~1\MICROS~3\Office12\OUTLOOK.EXE C:\WINDOWS\system32\ctfmon.exe C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis204.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [OODefragTray] C:\Programme\OO Software\Defrag\oodtray.exe O4 - HKLM\..\Run: [MSC] "C:\Programme\Microsoft Security Client\msseces.exe" -hide -runkey O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Windows7FirewallControl] C:\Programme\Windows7FirewallControl\Windows7FirewallControl.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user') O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000 O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1327682894578 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.DLL O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: SAS Core Service (!SASCORE) - SUPERAntiSpyware.com - C:\Programme\SUPERAntiSpyware\SASCORE.EXE O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: MBAMService - Malwarebytes Corporation - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe O23 - Service: NMSAccess - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe O23 - Service: O&O Defrag (OODefragAgent) - O&O Software GmbH - C:\Programme\OO Software\Defrag\oodag.exe O23 - Service: Windows7FirewallService - Sphinx Software - C:\Programme\Windows7FirewallControl\Windows7FirewallService.exe -- End of file - 6112 bytes was könnte man noch tun um den rechner zu überprüfen ? habe nun mit malwarebytes, superantispyware, spybot und dem eset online scan das system durchsucht - alles negativ ! bin aber irgendwie immer noch skeptisch |
Hallo und Herzlich Willkommen! :) Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]: Zitat:
Für Vista und Win7: Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen Auf der angewählten Anwendung einen Rechtsklick (rechte Maustaste) und "Als Administrator ausführen" wählen! 1. deaktivieren/abschalten: Zitat:
gehe auf Start -> Ausführen -> "Services.msc" -> (reinschreiben ohne ""-> OK" - Rechtsklick auf besagten Dienst...-> Beenden oder Rchtsklick "Eigenschaften"-> "Dienststatus"-> "Beenden" auswählen 2. Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked" klicken→ PC neu aufstarten): HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen Code: O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')Um festzustellen, ob veraltete oder schädliche Software unter Programme installiert sind, ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool CCleaner herunter → Download installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ Sprache → Deutsch auswählen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein 4. Bitte Versteckte - und Systemdateien sichtbar machen den Link hier anklicken: System-Dateien und -Ordner unter XP und Vista sichtbar machen Am Ende unserer Arbeit, kannst wieder rückgängig machen! 4. reinige dein System mit Ccleaner:
5. Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
8. poste erneut - nach der vorgenommenen Reinigungsaktion: TrendMicro™ HijackThis™ -Logfile - Keine offenen Fenster, solang bis HijackThis läuft!! Zitat:
kira |
hallo so habe nun alle logs beisammen war nicht sicher ob die externe hdd angeschlossen sein muss, daher wurde das ganze 2x gemacht - also einmal mit und einmal ohne externe hdd ! hier erst einmal eine übersicht der logfiles - die logs ohne hdd 1# hijackthis - 1 bevor dem fixen (ohne externe hdd) 2# install (ohne externe hdd) 3# OTL (ohne externe hdd) 4# Extras (ohne externe hdd) 5# hijackthis.log - aktuell (ohne externe hdd) bei der aktuellen hijack this logfile ist ein programm mehr aufgezeichnet (Windows7FirewallControl), es wurde nun erst installiert ! - die logs mit hdd 1# install (mit externer hdd) 2# OTL (mit externer hdd) 3# Extras (mit externer hdd) 4# hijackthis (mit externer hdd) die logfiles wurden als zip anhang beigefügt, anders war es nicht möglich - da zuviel zeichen ! hoffe es wurde alles richtig gemacht und das system ist sauber... vorab schoneinmal vielen dank... |
alle Befehle bitte ohne ext. Geräte (ext. Platte, USB Stick etc) erledigen! 1. hast Du einige Firewalls ausprobiert und wieder entfernt? was noch davon aktuell bzw aktiv? Zitat:
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked" klicken→ PC neu aufstarten): HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen Code: O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" -t (User 'SYSTEM')poste erneut - nach der vorgenommenen Reinigungsaktion: TrendMicro™ HijackThis™ -Logfile - Keine offenen Fenster, solang bis HijackThis läuft!! 4. erneut einen Scan mit OTL:
|
hallo ja hatte einige firewalls getestet, nutze nun windows firewall controll. ist aber klar das es nicht viel bringt, nutze es nur zur programmkontrolle... die einträge wurde gefixt. habe nun bei dem otl scan alles abgeschaltet bzw. deaktiviert und alle angeschlossenen usb geräte entfernt. lediglich die interne netzwerkkarte wurde nicht ausgeschaltet, hatte es vergessen. hier die logfiles 1 hijackthis Code: Logfile of Trend Micro HijackThis v2.0.4funktioniert irgendwie nicht so mit den code-tags es erscheint die meldung das es zu groß sei ! daher wurden die beiden otl logs als zip datei beigefügt |
1. hast Du mit HJT zuviel gefixt? nämlich MSC aus dem Autostart verschwunden: Zitat:
Zitat:
2. Zitat:
Code: :OTL
3. reinige dein System mit CCleaner:
4. erneut einen Scan mit OTL:
|
nein es war alles in ordnung... security essentials war zu der zeit nur nicht installiert, hatte vorübergehend kaspersky aufgespielt und einen scan gemacht. war aber zu der zeit auch wieder deinstalliert. die einträge wurden nun mit otl gefixt. habe nur leider keinen hacken vor dem fixen gesetzt. leider gibt es nun kein logfile davon. hoffe es ist nicht weiter schlimm... system wurde mit c+c cleaner bereinigt und anschließend mit otl gescannt. hier sind die anderen logs - von hijackthis & otl (otl logs als zip datei) Code: Logfile of Trend Micro HijackThis v2.0.4 |
1. Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked" klicken→ PC neu aufstarten): HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen Code: O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" -t (User 'SYSTEM')poste erneut - nach der vorgenommenen Reinigungsaktion: TrendMicro™ HijackThis™ -Logfile - Keine offenen Fenster, solang bis HijackThis läuft!! ► Rechtsklick auf HijackThis-> "Als administrator ausführen" wählen... 3. Auch auf USB-Sticks, selbstgebrannten Datenträgern, externen Festplatten und anderen Datenträgern können Viren transportiert werden. Man muss daher durch regelmäßige Prüfungen auf Schäden, die durch Malware ("Worm.Win32.Autorun") verursacht worden sein können, überwacht werden. Hierfür sind ser gut geegnet und empfohlen, die auf dem Speichermedium gesicherten Daten, mit Hilfe des kostenlosen Online Scanners zu prüfen. Schließe jetzt alle externe Datenträgeran (USB Sticks etc) Deinen Rechner an, dabei die Hochstell-Taste [Shift-Taste] gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. (So verhindest Du die Ausführung der AUTORUN-Funktion) - Man kann die AUTORUN-Funktion aber auch generell abschalten.►Anleitung 4. -> Führe dann einen Komplett-Systemcheck mit Eset Online Scanner (NOD32)Kostenlose Online Scanner durch Achtung!: >>Du sollst nicht die Antivirus-Sicherheitssoftware installieren, sondern dein System nur online scannen<< ► berichte erneut über den Zustand des Computers. Ob noch Probleme auftreten, wenn ja, welche? |
moin die beiden einträge wurden gefixt... habe anschließend noch einmal mit hijackthis gescannt (log wurde als zip datei beigefügt) eset online scan wurde dann noch gemacht - nichts gefunden denke das system ist sauber, scheint zumindest so... soweit funktioniert auch alles wieder aufjedenfall danke für deine mühe |
1. Programme deinstallieren/entfernen, die wir verwendet haben und nicht brauchst, bis auf: Code: CCleaner2. Tool-Bereinigung mit OTL Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.
3. Wenn alles gut verlaufen und dein System läuft stabil,mache folgendes: Alle Systemwiederherstellungspunkte löschen, auch den Letzten 4. Ich würde Dir vorsichtshalber raten, dein Passwort zu ändern (man sollte alle 3-4 Monate machen) z.B. Login-, Mail- oder Website-Passwörter Tipps: Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 3-5 Monate ändern) auch noch hier unter: Sicheres Kennwort (Password) 5. ► für Windows Updates ziehen:-> - Microsoft Update hält Ihren Computer auf dem neuesten Stand! Lesestoff Nr.1:
** Der gesunde Menschenverstand, Windows und Internet-Software sicher konfigurieren ist der beste Weg zur Sicherheit im Webverkehr ist !! Zitat:
► Kann sich auf Dauer eine Menge Datenmüll ansammeln, sich Fehlermeldungen häufen, der PC ist wahrscheinlich nicht mehr so schnell, wie früher:
Wenn Du uns unterstützen möchtest→ Spendekonto gruß kira |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 21:54 Uhr. |
Copyright ©2000-2025, Trojaner-Board