|
Nach Malwaresuchlauf Computerprobleme Hallo. Ich habe ein Problem und hoffe dass ihr mir helfen könnt. Habe gestern die Anti-Malware auf meinen Computer gespeichert und den Suchlauf gestartet. Es wurden 42 infizierte Objekte gefunden, die nun in der Quarantäne stehen. Seither läuft jedoch mein Rechner nicht mehr wie früher. Der Rechner "hängt" sich öfters auf und mein Antivirenprogramm bleibt immer an der gleichen Stelle stehen und dann geht gar nichts mehr. An was kann das liegen? Kann mir jemand bei meinem Problem helfen? Danke im Voraus. Heppner Malwarebytes Anti-Malware (Test) 1.62.0.1300 www.malwarebytes.org Datenbank Version: v2012.08.25.01 Windows Vista Service Pack 2 x86 NTFS Internet Explorer 9.0.8112.16421 Schutz: Aktiviert 25.08.2012 08:20:10 mbam-log-2012-08-25 (08-20-10).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 192703 Laufzeit: 9 Minute(n), 44 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 2 C:\Program Files\BrowserCompanion\jsloader.dll (PUP.Blabbers) -> Keine Aktion durchgeführt. C:\Program Files\BrowserCompanion\updatebhoWin32.dll (PUP.Blabbers) -> Keine Aktion durchgeführt. Infizierte Registrierungsschlüssel: 24 HKCR\CLSID\{00cbb66b-1d3b-46d3-9577-323a336acb50} (PUP.Blabbers) -> Keine Aktion durchgeführt. HKCR\TypeLib\{8830DDF0-3042-404D-A62C-384A85E34833} (PUP.Blabbers) -> Keine Aktion durchgeführt. HKCR\Interface\{817923CB-4744-4216-B250-CF7EDA8F1767} (PUP.Blabbers) -> Keine Aktion durchgeführt. HKCR\wit4ie.WitBHO.2 (PUP.Blabbers) -> Keine Aktion durchgeführt. HKCR\wit4ie.WitBHO (PUP.Blabbers) -> Keine Aktion durchgeführt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00CBB66B-1D3B-46D3-9577-323A336ACB50} (PUP.Blabbers) -> Keine Aktion durchgeführt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{00CBB66B-1D3B-46D3-9577-323A336ACB50} (PUP.Blabbers) -> Keine Aktion durchgeführt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00CBB66B-1D3B-46D3-9577-323A336ACB50} (PUP.Blabbers) -> Keine Aktion durchgeführt. HKCR\CLSID\{5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} (PUP.Blabbers) -> Keine Aktion durchgeführt. HKCR\TypeLib\{830B56CB-FD22-44AA-9887-7898F4F4158D} (PUP.Blabbers) -> Keine Aktion durchgeführt. HKCR\tdataprotocol.CTData.1 (PUP.Blabbers) -> Keine Aktion durchgeführt. HKCR\tdataprotocol.CTData (PUP.Blabbers) -> Keine Aktion durchgeführt. HKCR\CLSID\{963B125B-8B21-49A2-A3A8-E37092276531} (PUP.Blabbers) -> Keine Aktion durchgeführt. HKCR\TypeLib\{955B782E-CDC8-4CEE-B6F6-AD7D541A8D8A} (PUP.Blabbers) -> Keine Aktion durchgeführt. HKCR\Interface\{9F0C17EB-EF2C-4278-9136-2D547656BC03} (PUP.Blabbers) -> Keine Aktion durchgeführt. HKCR\updatebho.TimerBHO.1 (PUP.Blabbers) -> Keine Aktion durchgeführt. HKCR\updatebho.TimerBHO (PUP.Blabbers) -> Keine Aktion durchgeführt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{963B125B-8B21-49A2-A3A8-E37092276531} (PUP.Blabbers) -> Keine Aktion durchgeführt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{963B125B-8B21-49A2-A3A8-E37092276531} (PUP.Blabbers) -> Keine Aktion durchgeführt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{963B125B-8B21-49A2-A3A8-E37092276531} (PUP.Blabbers) -> Keine Aktion durchgeführt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\BrowserCompanion (PUP.Blabbers) -> Keine Aktion durchgeführt. HKCR\PROTOCOLS\HANDLER\BASE64 (PUP.Blabbers) -> Keine Aktion durchgeführt. HKCR\PROTOCOLS\HANDLER\CHROME (PUP.Blabbers) -> Keine Aktion durchgeführt. HKCR\PROTOCOLS\HANDLER\PROX (PUP.Blabbers) -> Keine Aktion durchgeführt. Infizierte Registrierungswerte: 3 HKCR\protocols\Handler\base64|CLSID (PUP.Blabbers) -> Daten: {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} -> Keine Aktion durchgeführt. HKCR\protocols\Handler\chrome|CLSID (PUP.Blabbers) -> Daten: {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} -> Keine Aktion durchgeführt. HKCR\protocols\Handler\prox|CLSID (PUP.Blabbers) -> Daten: {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} -> Keine Aktion durchgeführt. Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 1 C:\Program Files\BrowserCompanion (PUP.Blabbers) -> Keine Aktion durchgeführt. Infizierte Dateien: 11 C:\Program Files\BrowserCompanion\jsloader.dll (PUP.Blabbers) -> Keine Aktion durchgeführt. C:\Program Files\BrowserCompanion\tdataprotocol.dll (PUP.Blabbers) -> Keine Aktion durchgeführt. C:\Program Files\BrowserCompanion\updatebhoWin32.dll (PUP.Blabbers) -> Keine Aktion durchgeführt. C:\Program Files\BrowserCompanion\blabbers-ff-full.xpi (PUP.Blabbers) -> Keine Aktion durchgeführt. C:\Program Files\BrowserCompanion\blabbers-ch.crx (PUP.Blabbers) -> Keine Aktion durchgeführt. C:\Program Files\BrowserCompanion\logo.ico (PUP.Blabbers) -> Keine Aktion durchgeführt. C:\Program Files\BrowserCompanion\terms.lnk.url (PUP.Blabbers) -> Keine Aktion durchgeführt. C:\Program Files\BrowserCompanion\toolbar.dll (PUP.Blabbers) -> Keine Aktion durchgeführt. C:\Program Files\BrowserCompanion\uninstall.exe (PUP.Blabbers) -> Keine Aktion durchgeführt. C:\Program Files\BrowserCompanion\updater.ini (PUP.Blabbers) -> Keine Aktion durchgeführt. C:\Program Files\BrowserCompanion\widgetserv.exe (PUP.Blabbers) -> Keine Aktion durchgeführt. (Ende) |
Hallo und Herzlich Willkommen! :) Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]: Zitat:
Für Vista und Win7: Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen Auf der angewählten Anwendung einen Rechtsklick (rechte Maustaste) und "Als Administrator ausführen" wählen! 1. starte Malwarebytes Anti-Malware -> Funde aus Quarantäne löschen -> Update ziehen -> Vollständiger Suchlauf wählen -> Funde löschen lassen -> Scanergebnis hier posten! 2. Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
3. Um festzustellen, ob veraltete oder schädliche Software unter Programme installiert sind, ich würde gerne noch all deine installierten Programme sehen:
Zitat:
** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw grußkira |
Hallo Kira, danke für Deine Mail und für Deine Hilfe bei meinem Problem. Habe alle in Quarantäne befindlichen Daten gelöscht. Anschließend habe ich versucht einen vollständigen Scann durchzuführen. Leider bricht der Scan immer an der gleichen Stelle ab (habe es insgesamt dreimal probiert - pro Scan über 3 Stunden). Der Computer hängt sich auf und reagiert nicht mehr. Ich teile Dir einmal mit, an welcher Stelle er abbricht: c:\windows\winsxs\x86_microsoft-windows-timedate_31bf3856ad364e35_6.0.6001.18347_none_8f87147dc-3e40a99\timedate.cpl Hoffe dass ich alles richtiggeschrieben habe. Kannst DU mir weiterhelfen bzw. sagen was ich nun tun soll? Danke Dir herzlichst. Liebe Grüsse Heppner |
mach bitte mit 2. und 3. weiter |
Kira: OTL-Suchlauf durchgeführt. Abbruch mit Fehlermeldung. Fehlermeldung: Win 32 Error Code 34 Datenfehler (CRC-Prüfung). Da bleibt mir wohl nur übrig Windows (Vista) neu aufzuspielen oder was meinst Du? Danke für Deine Antwort. |
versuche OTL im Abgesicherten Modus starten: ♦ PC neu starten ♦ Drücke bevor das Windows-Logo erscheint, mehrmals die F8-Taste. ♦ Wähle in der Liste, die nun erscheint, den abgesicherten Modus aus. -> Hinweise zum Arbeiten im abgesicherten Modus |
Hallo Kira. OTL-Scan im abgesicherten Modus durchgeführt. Anbei Protokoll (hoffe es ist das richtige). Fehlermeldung: Win 32 Error Code 34 Datenfehler (CRC-Prüfung) kam auch im abgesicherten Modus. Danke Dir. Heppner |
1. Zitat:
Fixen mit OTL
Code: :OTL
Im normalen Modus weiter: 1. Deinstalliere, falls unter Systemsteuerung-> Software/Programme existiert: Code: Bigpoint Games DE ToolbarImmer die benutzerdefinierte Installation wählen, nicht die Standardinstallation, weil dann oft Sachen mitinstalliert werden, die man nicht braucht oder nicht möchte. Während des Installationsvorgangs die Lizenzbestimmungen immer lesen, und nicht sofort überall den Haken setzen bzw gesetzten Haken belassen, weil damit stimmt man nämlich zu, dass andere "Fremdprogramm", oder sogar Adware (Werbe-Pop-ups) durch Partnerprogrammen, Sponsoren etc - mitinstalliert wird, weil sich Freeware damit finanziert. In diese Kategorie gehören noch einige, wie z.B: -> Unerwünschte Toolbars Zitat:
kann ich nicht zuordnen, um was handelt es sich dabei ?: Code: [2012.07.28 07:08:39 | 000,000,000 | ---D | M] -- C:\Users\wesche\AppData\Roaming\Hikaerneut einen Scan mit OTL:
4. Um festzustellen, ob veraltete oder schädliche Software unter Programme installiert sind, ich würde gerne noch all deine installierten Programme sehen:
|
Hallo Kira. Danke für Deine Nachricht. All processes killed ========== OTL ========== C:\Users\wesche\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\tbhcn.lnk moved successfully. C:\Users\wesche\AppData\Roaming\BrowserCompanion\tbhcn.exe moved successfully. HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Default_Page_URL| /E : value set successfully! Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\{0e3dbc69-a682-48da-84e1-82c63a5d678e} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0e3dbc69-a682-48da-84e1-82c63a5d678e}\ deleted successfully. C:\Programme\Bigpoint_Games_DE\tbBigp.dll moved successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully! Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ not found. HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully! HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully! HKU\S-1-5-21-2837240619-3199960008-1268609275-1003\SOFTWARE\Microsoft\Internet Explorer\Main\\Default_Page_URL| /E : value set successfully! HKU\S-1-5-21-2837240619-3199960008-1268609275-1003\SOFTWARE\Microsoft\Internet Explorer\Main\\Default_Search_URL| /E : value set successfully! HKU\S-1-5-21-2837240619-3199960008-1268609275-1003\SOFTWARE\Microsoft\Internet Explorer\Main\\Search Bar| /E : value set successfully! HKU\S-1-5-21-2837240619-3199960008-1268609275-1003\SOFTWARE\Microsoft\Internet Explorer\Main\\Search Page| /E : value set successfully! HKU\S-1-5-21-2837240619-3199960008-1268609275-1003\SOFTWARE\Microsoft\Internet Explorer\Main\\Secondary Start Pages| /E : value set successfully! HKU\S-1-5-21-2837240619-3199960008-1268609275-1003\SOFTWARE\Microsoft\Internet Explorer\Search\\Default_Search_URL| /E : value set successfully! HKU\S-1-5-21-2837240619-3199960008-1268609275-1003\SOFTWARE\Microsoft\Internet Explorer\Search\\SearchAssistant| /E : value set successfully! Registry value HKEY_USERS\S-1-5-21-2837240619-3199960008-1268609275-1003\Software\Microsoft\Internet Explorer\URLSearchHooks\\{0e3dbc69-a682-48da-84e1-82c63a5d678e} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0e3dbc69-a682-48da-84e1-82c63a5d678e}\ not found. File C:\Programme\Bigpoint_Games_DE\tbBigp.dll not found. Registry value HKEY_USERS\S-1-5-21-2837240619-3199960008-1268609275-1003\Software\Microsoft\Internet Explorer\URLSearchHooks\\{0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064}\ deleted successfully. File move failed. c:\Programme\McAfee\SiteAdvisor\McIEPlg.dll scheduled to be moved on reboot. Registry value HKEY_USERS\S-1-5-21-2837240619-3199960008-1268609275-1003\Software\Microsoft\Internet Explorer\URLSearchHooks\\{872b5b88-9db5-4310-bdd0-ac189557e5f5} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{872b5b88-9db5-4310-bdd0-ac189557e5f5}\ not found. Registry value HKEY_USERS\S-1-5-21-2837240619-3199960008-1268609275-1003\Software\Microsoft\Internet Explorer\URLSearchHooks\\{8dbb6d8e-e4a6-4e3b-9753-af78b226441c} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}\ not found. HKEY_USERS\S-1-5-21-2837240619-3199960008-1268609275-1003\Software\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully! Registry key HKEY_USERS\S-1-5-21-2837240619-3199960008-1268609275-1003\Software\Microsoft\Internet Explorer\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{043C5167-00BB-4324-AF7E-62013FAEDACF}\ deleted successfully. Registry key HKEY_USERS\S-1-5-21-2837240619-3199960008-1268609275-1003\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found. Registry key HKEY_USERS\S-1-5-21-2837240619-3199960008-1268609275-1003\Software\Microsoft\Internet Explorer\SearchScopes\{4327FABE-3C22-4689-8DBF-D226CF777FE9}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4327FABE-3C22-4689-8DBF-D226CF777FE9}\ not found. Registry key HKEY_USERS\S-1-5-21-2837240619-3199960008-1268609275-1003\Software\Microsoft\Internet Explorer\SearchScopes\{6763C23B-D0CE-4BF3-B483-B4B612D5BEF3}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6763C23B-D0CE-4BF3-B483-B4B612D5BEF3}\ not found. Registry key HKEY_USERS\S-1-5-21-2837240619-3199960008-1268609275-1003\Software\Microsoft\Internet Explorer\SearchScopes\{678BA76A-E7F4-4C11-BCB3-BA6A9B37E845}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{678BA76A-E7F4-4C11-BCB3-BA6A9B37E845}\ not found. Registry key HKEY_USERS\S-1-5-21-2837240619-3199960008-1268609275-1003\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}\ not found. Registry key HKEY_USERS\S-1-5-21-2837240619-3199960008-1268609275-1003\Software\Microsoft\Internet Explorer\SearchScopes\{79D1AEBB-2C18-427F-85E1-AEA53C9B2AEF}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{79D1AEBB-2C18-427F-85E1-AEA53C9B2AEF}\ not found. Registry key HKEY_USERS\S-1-5-21-2837240619-3199960008-1268609275-1003\Software\Microsoft\Internet Explorer\SearchScopes\{8D4D373F-CB3D-40B7-BC82-F03991FEA411}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8D4D373F-CB3D-40B7-BC82-F03991FEA411}\ not found. Registry key HKEY_USERS\S-1-5-21-2837240619-3199960008-1268609275-1003\Software\Microsoft\Internet Explorer\SearchScopes\{8D59B37F-4FA1-4D75-A5E2-DA0363DEF441}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8D59B37F-4FA1-4D75-A5E2-DA0363DEF441}\ not found. Registry key HKEY_USERS\S-1-5-21-2837240619-3199960008-1268609275-1003\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ not found. Registry key HKEY_USERS\S-1-5-21-2837240619-3199960008-1268609275-1003\Software\Microsoft\Internet Explorer\SearchScopes\{C6E3FC70-CDE7-4896-B456-CCE27AF72E70}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C6E3FC70-CDE7-4896-B456-CCE27AF72E70}\ not found. Registry key HKEY_USERS\S-1-5-21-2837240619-3199960008-1268609275-1003\Software\Microsoft\Internet Explorer\SearchScopes\{D5E8EF97-47F5-498C-9FFA-73DCE1B5D57E}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D5E8EF97-47F5-498C-9FFA-73DCE1B5D57E}\ not found. HKU\S-1-5-21-2837240619-3199960008-1268609275-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully! Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@tools.google.com/Google Update;version=3\ deleted successfully. C:\Program Files\Google\Update\1.3.21.115\npGoogleUpdate3.dll moved successfully. Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@tools.google.com/Google Update;version=9\ deleted successfully. File C:\Program Files\Google\Update\1.3.21.115\npGoogleUpdate3.dll not found. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully! Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b01d5aa4-2b70-11e0-8d4b-001377aa0450}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b01d5aa4-2b70-11e0-8d4b-001377aa0450}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b01d5aa4-2b70-11e0-8d4b-001377aa0450}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b01d5aa4-2b70-11e0-8d4b-001377aa0450}\ not found. File F:\pushinst.exe not found. C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job moved successfully. C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job moved successfully. ========== FILES ========== File\Folder C:\Users\wesche\AppData\Roaming\BrowserCompanion\tbhcn.exe not found. < ipconfig /flushdns /c > Windows-IP-Konfiguration Der DNS-Aufl”sungscache wurde geleert. C:\Users\wesche\Desktop\cmd.bat deleted successfully. C:\Users\wesche\Desktop\cmd.txt deleted successfully. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Public User: wesche ->Temp folder emptied: 760858839 bytes ->Temporary Internet Files folder emptied: 588173476 bytes ->Java cache emptied: 4565470 bytes ->Google Chrome cache emptied: 46977653 bytes ->Flash cache emptied: 2099927 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 119383777 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 1.452,00 mb OTL by OldTimer - Version 3.2.55.0 log created on 09022012_131926 Files\Folders moved on Reboot... File move failed. c:\Programme\McAfee\SiteAdvisor\McIEPlg.dll scheduled to be moved on reboot. PendingFileRenameOperations files... [2012.02.17 10:20:28 | 000,281,600 | ---- | M] (McAfee, Inc.) c:\Programme\McAfee\SiteAdvisor\McIEPlg.dll : MD5=7B17107D054A88C6D1ECC285B502D2D9 Registry entries deleted on Reboot... Bigpoint Games DE Toolbar = kommt Fehlermeldung INSTALL.LOG konnte nicht geöffnet werden Bing Bar = erl. Conduit Engine = erl. vShare Plugin = erl. WEB.DE Toolbar = erl. Yontoo = erl. Nachstehendes kenne ich leider auch nicht: 2012.07.28 07:08:39 | 000,000,000 | ---D | M] -- C:\Users\wesche\AppData\Roaming\Hika [2012.07.28 07:08:08 | 000,000,000 | ---D | M] -- C:\Users\wesche\AppData\Roaming\Hozova [2012.07.12 21:30:25 | 000,000,000 | ---D | M] -- C:\Users\wesche\AppData\Roaming\Reycy Punkt 3: OTL-Lauf noch einmal durchgeführt. Leider kam die Fehlermeldung (Win32......) an der gleichen Stelle wieder. Punkt 4 wird gerade erledigt. Liebe Grüsse Heppner |
Kira: zu Punkt 4. Deiner Aufstellung. |
Protokoll anbei, habe vorhin versehentlich die Minimalausgabe genommen, ist nun richtig gestellt, Die Fehlermeldung kommt bei System Event Log record 55986... |
1. Windows Defender: Parallel zu ein AV-Programm nicht Empfehlenswert aktiv laufen lassen, weil dadurch können sich in die Quere kommen. Bitte dich ihn so zu deaktivieren: -> Aktivieren und Deaktivieren von Windows Defender Windows Defender komplett deaktivieren Start => Systemsteuerung => Klassische Ansicht => Windows Defender oder Windows Defender starten (C:\Programme\Windows Defender\MSASCui.exe) Extras => Optionen => Automatische Überprüfung => Haken bei "Computer automatisch überprüfen" entfernen. Extras => Optionen => Echtzeitschutz => Haken bei "Echtzeitschutz aktivieren" entfernen. Extras => Optionen => Administrator => Haken bei "Dieses Programm verwenden" entfernen. Start => services.msc ins Suchfeld eingeben. Es öffnet sich das Fenster der Dienste Doppelklick auf den Dienst "Windows Defender" Starttyp auf "Manuell" umstellen. Dienststatus beenden, falls der Dienst noch gestartet ist. ► Nach einem Neustart (falls noch existirt) unter "Start-> ausführen-> "msconfig" (reinschreiben ohne ""-> OK -> Systemstart kontrolliere, ob mitläuft?! - ggf Häckhen rausnehmen ► Unter Dienste: Start -> Ausführen -> "Services.msc" -> (reinschreiben ohne ""-> OK" - "Eigenschaften"-> "Stop" -> Starttyp "Deaktiviert" auswählen 2. Zitat:
Code: :OTL
3. Adobe Reader aktualisieren : - Während der Installation aufpassen/mitlesen!: Wenn irgendeine Software, Toolbar etc angeboten wird, bitte abwählen! - (z.B "McAfee Security Scan Plus") Adobe Reader Oder: Adobe starten-> gehe auf "Hilfe"-> "Nach Update suchen..." 4. Alle Programme/Fenster schliessen Java-Cache leeren Start => Systemsteuerung => Java => Allgemein => Temporäre Internet-Dateien "Einstellungen" => Dateien löschen => Haken bei "Anwendungen und Applets" sowie bei "Verfolgungs- und Protokolldateien" setzen => OK -> Wie leere ich den Java-Cache? -> Java-Cache leeren -> Kurze Videoanleitung wie man unter Windows 7 und XP den JAVA Cache löschen kann. 5. Tipps - Der Internet Explorer von Microsoft gehört zur Grundausstattung unter Windows, somit wie alle andere installierte Software muss gepflegt werden! Auch bei Nicht-Verwendung!: -> Tipps zu Internet Explorer -> Standard Suchmaschine des Explorers ändern -> Ändern oder Auswählen eines Suchanbieters in Internet Explorer 7/8 -> Wie kann ich den Cache im Internet Explorer leeren? 6. Alle Programme/Fenster schliessen reinige dein System mit CCleaner:
7. Nur für 32-Bit-Systeme Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen : Anleitung:-> Rootkit-Suche mit Gmer ► WENN das Tool GMER NICHT AUSGEFÜHRT WERDEN KANN ODER PROBMLEME VERURSACHT, fahre mit dem nächsten Punkt fort! 8. Kontrolle mit MBR -t, ob Master Boot Record in Ordnung ist (MBR-Rootkit) Mit dem folgenden Tool prüfen wir, ob sich etwas Schädliches im Master Boot Record eingenistet hat.
|
Hallo Kira. Jetzt hast mich vor eine Herausforderung gestellt. Hoffe habe alles richtig gemacht. Punkt 1, 2, 3, 4, 6, 7 und 8 durchgeführt. Hoffe dass ist das richtige Protokoll: Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, hxxp://www.gmer.net Windows 6.0.6002 Disk: FUJITSU_ rev.0000 -> Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1 device: opened successfully user: MBR read successfully Disk trace: called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys iaStor.sys hal.dll C:\Windows\system32\DRIVERS\iaStor.sys Intel Corporation Intel Matrix Storage Manager driver 1 nt!IofCallDriver[0x8248014B] -> \Device\Harddisk0\DR0[0x862AF308] 3 CLASSPNP[0x8ADA88B3] -> nt!IofCallDriver[0x8248014B] -> \Device\Ide\IAAStorageDevice-1[0x8582E028] kernel: MBR read successfully user & kernel MBR OK Hoffe es ist alles ok und Du kannst mir verraten was ich als nächstes tun muss. Danke schön. |
Punkt 7./Gmer fehlt noch!:-> http://www.trojaner-board.de/122791-...tml#post906650 |
Entschuldige habe ich vergessen. |
Systemreinigung und Prüfung: ► Wenn Du nun alle Schritte erledigt hast, melde dich mit die gewünschten Ergebnisse zurück! Nur bei Probleme inzwischen melden! 1. Windows Defender: Parallel zu ein AV-Programm nicht Empfehlenswert aktiv laufen lassen, weil dadurch können sich in die Quere kommen. Bitte dich ihn so zu deaktivieren: -> Aktivieren und Deaktivieren von Windows Defender Windows Defender komplett deaktivieren Start => Systemsteuerung => Klassische Ansicht => Windows Defender oder Windows Defender starten (C:\Programme\Windows Defender\MSASCui.exe) Extras => Optionen => Automatische Überprüfung => Haken bei "Computer automatisch überprüfen" entfernen. Extras => Optionen => Echtzeitschutz => Haken bei "Echtzeitschutz aktivieren" entfernen. Extras => Optionen => Administrator => Haken bei "Dieses Programm verwenden" entfernen. Start => services.msc ins Suchfeld eingeben. Es öffnet sich das Fenster der Dienste Doppelklick auf den Dienst "Windows Defender" Starttyp auf "Manuell" umstellen. Dienststatus beenden, falls der Dienst noch gestartet ist. ► Nach einem Neustart (falls noch existirt) unter "Start-> ausführen-> "msconfig" (reinschreiben ohne ""-> OK -> Systemstart kontrolliere, ob mitläuft?! - ggf Häckhen rausnehmen ► Unter Dienste: Start -> Ausführen -> "Services.msc" -> (reinschreiben ohne ""-> OK" - "Eigenschaften"-> "Stop" -> Starttyp "Deaktiviert" auswählen 2. Zitat:
Code: :OTL
3. Wenn nicht benötigst, kannst deinstallieren: Code: WEB.DE Softwareaktualisierung 1&1 Mail & Media GmbHAdobe Reader aktualisieren : - Während der Installation aufpassen/mitlesen!: Wenn irgendeine Software, Toolbar etc angeboten wird, bitte abwählen! - (z.B "McAfee Security Scan Plus") Adobe Reader -> Adobe starten-> gehe auf "Hilfe"-> "Nach Update suchen..." 5. Java aktualisieren- über Systemsteuerung-> Nach Update suchen... oder: Downloade nun die Offline-Version von Java "Empfohlen Version Java(TM) 7 Update 5 " von Oracle und installiere sie. Achte darauf, eventuell angebotene Toolbars nicht mitzuinstallieren, also während der Installation den Haken bei der Toolbar entfernen. Tipp: -> Java-Updates konfigurieren 6. Alle Programme/Fenster schliessen Java-Cache leeren Start => Systemsteuerung => Java => Allgemein => Temporäre Internet-Dateien "Einstellungen" => Dateien löschen => Haken bei "Anwendungen und Applets" sowie bei "Verfolgungs- und Protokolldateien" setzen => OK -> Wie leere ich den Java-Cache? -> Java-Cache leeren -> Kurze Videoanleitung wie man unter Windows 7 und XP den JAVA Cache löschen kann. 7. Aktualisieren: Code: OpenOffice.orgTipps - Der Internet Explorer von Microsoft gehört zur Grundausstattung unter Windows, somit wie alle andere installierte Software muss gepflegt werden! Auch bei Nicht-Verwendung!: -> Tipps zu Internet Explorer -> Standard Suchmaschine des Explorers ändern -> Ändern oder Auswählen eines Suchanbieters in Internet Explorer 7/8 -> Wie kann ich den Cache im Internet Explorer leeren? 9. Alle Programme/Fenster schliessen reinige dein System mit CCleaner:
10. Vorbereitung
Den PC NUR online scannen und NICHT ein zweites Antivirenprogramm installieren!!!
11. erneut einen Scan mit OTL:
► berichte erneut über den Zustand des Computers. Ob noch Probleme auftreten, wenn ja, welche? |
Hallo Kira. Folgende Informationen kann ich Dir inzwischen geben: Punkt 1: Windows Defender ist deaktiviert. Punkt 2: OTL-Scan ist durchgeführt (Inhalt anbei). Punkt 3: WEB Softwareaktualisierung ist deinstalliert. Punkt 4: Adobe Reader ist auf aktuellem Stand (Version 10.0) Punkt 5: Java ist aktualisiert (Version 7 update 7) Punkt 6: Java Cache ist geleert. Punkt 7: Office ist aktualisiert (Version 3.4.1) Punkt 9: System ist mit CC-Cleaner gereinigt. Punkt 10: Eset Scan wurde durchgeführt. Wieder Abbruch bzw. Systemaufhängung an der gleichen Stelle C:\Windows\winsxs\X86_microsoft-windows-timedate_31bf3856ad364e3....\timedate.cpl (siehe auch Bericht vom 30.08.2012). McAfee bringt ab und zu Meldung System ist gefährdet, obwohl alles grün ist. Hängt dass mit dem Windwos Defender zusammen? Danke Dir. |
1. Vor dem nächsten Schritt, also bevor wir weitermachen: Da jederzeit etwas passieren kann, wenn du wichtige Daten hast die Du sichern möchtest, empfehle ich Dir es jetzt machen (wie Bilder, Musik usw) ►Achte darauf: Die sicherten Daten sollen keine "Ausführbare Dateien" enthalten! - ►Dateiendungen - Dies ist eine Liste von Dateiendungen, die Dateien mit ausführbarem Code bezeichnen können. Unabhängig von einem Befall (weil ja kann eine Festplatte auch kaputt gehen, oder es gibt andere technische Probleme ), sollte man regelmäßig Sicherung machen und an einem sicheren Ort bewahren, wie CD und DVD, externe Festplatten oder/und USB-Sticks Mache das jetzt bitte! 2. Lade Combofix von einem der folgenden Download-Spiegel herunter: BleepingComputer.com - ForoSpyware.com und speichere das Programm auf den Desktop, nicht woanders hin, das ist wichtig! Beachte die ausführliche Original-Anleitung. Zurzeit ist Combofix auf folgenden Windows-Versionen lauffähig:
Vorbereitung und wichtige Hinweise
Kurzanleitung zur Installation der Wiederherstellungskonsole unter XP
http://i94.photobucket.com/albums/l8...eWHKonsole.jpg Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen: http://i94.photobucket.com/albums/l8...nstalliert.jpg Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren. Wenn ComboFix fertig ist, wird es ein Log erstellen (bitte warten, das dauert einen Moment). Unbedingt warten, bis sich das Combofix-Fenster geschlossen hat und das Logfile im Editor erscheint. Bitte poste die Log-Dateien C:\ComboFix.txt und C:\Qoobox\Add-Remove Programs.txt in Code-Tags hier in den Thread. Hinweis: Combofix macht aus verschiedenen Gründen den Internet Explorer zum Standard-Browser und erstellt ein IE-Icon auf dem Desktop. Das IE-Desktop-Icon kannst Du nach der Bereinigung wieder löschen und Deinen bevorzugten Browser wieder als Standard-Browser einstellen. Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen! |
Kira: Alles nach Anweisung durchgeführt. Anbei die entsprechenden Protokolle. Danke für Deine Mühen. Liebe Grüsse |
► Gibt es weitere Auffälligkeiten/Probleme mit dem Rechner? |
Habe momentan keine Auffälligkeiten festgestellt, ausser der Fehlermeldung mit dem timedate.cpl weswegen ich die ganzen Scans wie Eset OTL usw. nicht zu Ende bringen konnte. Hast Du nichts gefunden? |
1. lade Dir HijackThis v2.0.4 herunter Vista und Win7-> Rechtsklick drauf-> "Als Administrator ausführen" wählen HijackThis starten→ "Main Menu"-> "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen" 2. erneut einen Scan mit OTL:
|
Punkt 1 erledigt. Protokoll siehe unten. Punkt 2 wieder Abbruch mit der gleichen Fehlermeldung (Abbruch mit Fehlermeldung. Fehlermeldung: Win 32 Error Code 32 Datenfehler (CRC-Prüfung)). HiJackthis Logfile: Code: Logfile of Trend Micro HijackThis v2.0.4 |
Hallo Kira: Weiss nicht ob es für Dich von Wichtigkeit ist. Habe am 09./10.09.2012 mehrere Mails bekommen, dass mails die ich anscheinend verschickt habe, nicht angekommen sind. Habe aber keine Mails versandt. Wollte ich Dich nur informieren darüber. Grüsse. |
Wie heißt dieses E-mail programm was Du verwendest? 1. Zitat:
Code: :OTL
2.
3. ich bekomme von Dir permanent nur ein Logdatei...Achte darauf, dass Du beide OTL-Logs mir postest! OTL.txt und Extras.txt erneut einen Scan mit OTL:
|
Vorabinformation: Das EMail Programm ist web.de. Leider kann ich Dír immer nur ein OTL-Log senden, da der Scan immer wieder an der gleichen Stelle abbricht, sich der Computer "aufhängt" und nicht weitermacht. Es wird leider kein extras.txt erstellt den ,ich Dir senden könnte. Tut mir leid. |
Kira: Punkt 1 durchgeführt und erledigt. Punkt 2 wurde gestartet. Auch hier Abbruch mitten im Scan. Fehlermeldung: C:\Win...\X86_Microsoft-Windows-Timedate_31BF3856AD364E35:6.0.6001.22547_None_9011932EDD01A78A. Anzeige von 10 Threats Detected. Aufgrund Abbruch nicht auslesbar. Irgendetwas stimmt mit dem Timedate nicht. Bisher konnte kein Scan zu Ende geführt werden. |
Hallo Kira. Habe in meinen temporären Dateien einen Text gefunden, vielleicht kannst Du damit was anfangen oder hilft Dir weiter. Grüsse...... |
Otl bitte nochmal laufen lassen und die All Option bei der Extra Registry Gruppe anhaken. ** Kannst auch, die einzelnen Ergebnisse in Textdatei speichern und hier anhängen (auf "Erweitert" klicken) ** oder aber auch den Textdatei in mehrere Teile teilen und so posten |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:07 Uhr. |
Copyright ©2000-2025, Trojaner-Board