|
Trojan.LameShield auf Notebook - Hotmail gehackt Hallo zusammen, auf meinem Notebook hat sich wohl der Trojaner "Trojan.LameShield" eingeschlichen. Bemerkt habe ich das erst heute, als anscheinend mein Hotmail-Account schon gehackt worden war - da bekomme ich eine Meldung über Fremdaktivitäten. Ich habe jetzt mal einen Scan mit Malwarebytes gemacht: Code: Malwarebytes Anti-Malware 1.62.0.1300Danach dann nochmal einen Quickscan, der hat das ergeben: Code: Malwarebytes Anti-Malware 1.62.0.1300OTL habe ich jetzt bestimmt an die 20 Mal versucht - es hängt sich jedesmal beim Scannen der "Firefox Settings" auf. Ich habe aber WLAN und Internet überhaupt komplett aus; Virenscanner aus, alle Programme zu und arbeite nichts an dem Rechner - was kann ich da tun? Vielen Dank im Voraus :) -H. |
Führ bitte auch ESET aus, danach sehen wir weiter. Hinweis: ESET zeigt durchaus öfter ein paar Fehlalarme. Deswegen soll auch von ESET immer nur erst das Log gepostet und nichts entfernt werden. ESET Online Scanner Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.
Code: "%PROGRAMFILES%\Eset\Eset Online Scanner\log.txt"Code: "%PROGRAMFILES(X86)%\Eset\Eset Online Scanner\log.txt"Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code: hier steht das Log |
Bitteschön: Code: ESETSmartInstaller@High as downloader log: |
adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren Downloade Dir bitte AdwCleaner auf deinen Desktop.
|
Bitte sehr: Code: # AdwCleaner v2.000 - Datei am 09/04/2012 um 03:44:08 erstellt |
adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen
|
Und bittesehr: Code: # AdwCleaner v2.000 - Datei am 09/04/2012 um 21:11:08 erstellt |
Hätte da mal zwei Fragen bevor es weiter geht 1.) Geht der normale Modus von Windows (wieder) uneingeschränkt? 2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden? |
Hallo, Joah, also 1) Ja. Der ging auch vorher uneingeschränkt, bzw. halt die ganze Zeit auch während der Trojaner da war. Ich hab da keine Störungen bemerkt, weder unter Windows noch sonstwo, außer eben die Geschichte mit dem Hotmail-Account, die aber auch völlig unabhängig von dem Trojaner sein kann. Ich war auf einer Website, auf der andere eine Malware-Warnung vom System bekamen...ich lustigerweise nicht; ich hab da was bestellt, dazu die Hotmail-Adresse benutzt und am nächsten Tag war der Mail-Account zu. Kann sein, dass ich mir den Trojaner da gefangen hab; kann auch nicht sein. Windows läuft jedenfalls ganz normal. Manche Dinge laden sehr langsam...es dauert oft recht lang, bis sich ein Programm öffnet und grundsätzlich friert mir so ca. 10 Minuten, nachdem ich den Browser geöffnet habe, alles ein...egal was ich grad mache, es frißt sich einfach die Maus fest und nix geht mehr, aber das war irgendwie schon immer so und hat ja jetzt wohl auch mit Windows spezifisch nix zu tun. 2) Öhöhöö, da ist mir nix aufgefallen. Ich hab eben nochmal gezielt geguckt - es ist alles da und alles vollständig. Auch nix zuviel oder so. Ich hatte da dann wieder das unter 1) beschriebene Problem, dass sich alles ewig aufhing, als ich auf einen Ordner zeigte; und es dauerte auch ewig, bis die Inhalte mal angezeigt wurden...also, sagen wir, ich habe auf den Ordner "Canon" gezeigt und das Kastel, das sich dann rechts davon öffnet und in dem die Inhalte stehen sollten, blieb mehrere Sekunden lang weiß. Ich habe irgendwie eh massig Zeug im Startmenü herumschwirren, von dem ich überhaupt nicht weiß, was das eigentlich ist und ob ich das da rauswerfen - oder vielleicht sogar generell deinstallieren - kann, ohne dass dann mein Notebook die Grätsche macht. Da wär ich dankbar, wenn vielleicht irgendjemand mal über nen Screenshot oder so drübergucken könnte...weiß nicht, ob ihr das hier im Forum auch macht? Naja, jedenfalls kann ich deine Fragen mit Ja - Nein - Nein - Ja beantworten und danke schonmal für die bisher geleistete Hilfe :) |
Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code: hier steht das LogLade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.
Code: netsvcs
|
Liste der Anhänge anzeigen (Anzahl: 1) Es tut mir leid, aber OTL hängt sich immer noch beim Scannen der Firefox Settings auf :( (Siehe Screenshot im Anhang). Ich hab alles so gemacht, wie du gesagt hast: * Als Admin gestartet * Firewall aus * Windows Defender aus * Avira aus * Alle Programme aus * Internet aus * Code reinkopiert * Haken bei "alle Benutzer" gemacht * Quick Scan geklickt * Nichts währenddessen gemacht Hab ich irgendwas vergessen/übersehen? Was kann dieses Aufhängen auslösen? Ich weiß mir keinen Rat... (ich hab die Benutzerkontensteuerung ausgeschalten...also immer...das ist die einzige 'Anomalie', die mir jetzt einfällt. Und seit Ewigkeiten keine Windows-Updates mehr gemacht *flöt* Kanns das sein?). |
Probier es nochmal im abgesicherten Modus mit Netzwerktreibern aus |
Abgesicherter Modus verstehe ich, aber was meinst du mit "mit Netzwerktreibern"? |
Was meinst du wohl was du zur Auswahl hast?`:pfeiff: Abgesicherter Modus zur Bereinigung
|
Hallo und danke für den screenshot :) Das ist mir bisher noch nie aufgefallen, aber ich benutze den abgesicherten Modus auch so gut wie nie. Bin jetzt jedenfalls endlich mal dazugekommen, das alles so zu machen (also abgesicherter Modus mit Netzwerktreibern, OTL als Admin benutzen, Firewall aus, Avira aus, Netzwerkverbindung getrennt) - es bleibt aber nach wie vor dasselbe Problem, OTL hängt sich beim Scannen der Firefox-Settings auf :( :( :( |
Dann mach das Log normal, also kein CustomScan, aber im normalen Modus Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.
|
Es tut mir leid - auch das scheitert an den Firefox settings :( |
Dann müssen wir OTL erstmal überspringen Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten Anleitung und Downloadlink hier => http://www.trojaner-board.de/82358-t...entfernen.html Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm! Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet, Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten. Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition ( meistens Laufwerk C: ) nach, da speichert der TDSS-Killer seine Logs. Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten! http://saved.im/mtg4nzy0ywy5/settings_2012-09-04.png |
Immerhin das hat geklappt :) Code: 23:20:07.0945 6088 TDSS rootkit removing tool 2.8.10.0 Sep 17 2012 19:23:24 |
Die Einträge sind alle ok bzw. legitim! Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie Zitat:
|
Alles gemacht, allerdings ist nirgends auf meinem Rechner eine combofix.txt zu finden - automatisch ging nichts auf :confused: |
Gibt es einen Ordner C:\Qoobox? |
"Es wurden keine Suchergebnisse gefunden". :wtf: Edit: Ahahahaaaa! DA hat er sich versteckt! Hab ihn. Darin gibt es einen Ordner "Quarantine" und darin ein File "Catchme.log". Willst du das haben? Das ist das einzige, was irgendwie brauchbar aussieht.... P.S.: Ich bekomme seither bei jedem Start eine Meldung, dass der Dienst für Windows Defender angehalten wurde und ich den manuell einschalten soll - was aber nicht klappt :( |
Ich brauch den Quarantäneordner von Combofix. Bitte folgendes machen: 1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinflussen! 2.) Ordner Quarantine in C:\Qoobox in eine Datei zippen 3.) die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang in den Thread posten! 4.) Wenns erfolgreich war Bescheid sagen 5.) Erst dann wieder den Virenscanner einschalten |
Erledigt :) Ich hoffe, ich habe alles richtig gemacht - ist schon ne Weile her, dass ich was gezippt habe. |
Ist leider nichts Brauchbares drin Starte Windows neu, lösch die alte combofix.exe, lade CF neu runter und probier es bitte mit combofix nochmal. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 18:48 Uhr. |
Copyright ©2000-2025, Trojaner-Board
