Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Unerwünschte Software nach Programmdownload zb. User.js und DeltaTB.exe (https://www.trojaner-board.de/139769-unerwuenschte-software-programmdownload-zb-user-js-deltatb-exe.html)

schrauber 21.08.2013 11:21
Hast du Checkdisk einfach mal laufen lassen? Möglich dass nur ein paar Sektoren beschädigt sind, dei werden dann wieder gerade gezogen.

ju52.ma 21.08.2013 12:15
Ja, das hatte ich dann auch als Verzweiflungsmaßnahme gemacht:
Code:
Dateisystem auf C: wird überprüft.
Der Typ des Dateisystems ist NTFS.
Die Volumebezeichnung lautet Boot.


Eine Datenträgerüberprüfung ist geplant.
Die Datenträgerüberprüfung wird jetzt ausgeführt.       

CHKDSK überprüft Dateien (Phase 1 von 3)...
  463104 Datensätze verarbeitet.                                          Dateiüberprüfung beendet.
  373 große Datensätze verarbeitet.                                      0 ungültige Datensätze verarbeitet.                                  0 E/A-Datensätze verarbeitet.                                        61 Analysedatensätze verarbeitet.                                  CHKDSK überprüft Indizes (Phase 2 von 3)...
  517246 Indexeinträge verarbeitet.                                      Indexüberprüfung beendet.
  0 nicht indizierte Dateien überprüft.                                0 nicht indizierte Dateien wiederhergestellt.                      CHKDSK überprüft Sicherheitsbeschreibungen (Phase 3 von 3)...
  463104 SDs/SIDs verarbeitet.                                            434 nicht verwendete Indexeinträge aus Index $SII der Datei 0x9 werden aufgeräumt.
434 nicht verwendete Indexeinträge aus Index $SDH der Datei 0x9 werden aufgeräumt.
434 nicht verwendete Sicherheitsbeschreibungen werden aufgeräumt.
Überprüfung der Sicherheitsbeschreibungen beendet.
  27072 Datendateien verarbeitet.                                        CHKDSK überprüft USN-Journal...
  37125000 USN-Bytes verarbeitet.                                          Die Überprüfung von USN-Journal ist abgeschlossen.
Das Dateisystem wurde überprüft. Es wurden keine Probleme festgestellt.

 923179007 KB Speicherplatz auf dem Datenträger insgesamt
  51361964 KB in 122349 Dateien
    154260 KB in 27073 Indizes
        0 KB in fehlerhaften Sektoren
    595483 KB vom System benutzt
    65536 KB von der Protokolldatei belegt
 871067300 KB auf dem Datenträger verfügbar

      4096 Bytes in jeder Zuordnungseinheit
 230794751 Zuordnungseinheiten auf dem Datenträger insgesamt
 217766825 Zuordnungseinheiten auf dem Datenträger verfügbar

Interne Informationen:
00 11 07 00 ba 47 02 00 40 3a 04 00 00 00 00 00  .....G..@:......
e8 01 00 00 3d 00 00 00 00 00 00 00 00 00 00 00  ....=...........
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................

Die Überprüfung des Datenträgers wurde abgeschlossen.
Bitte warten Sie bis der Computer neu gestartet wurde.
Das sieht doch aus, als ob alles in Ordnung ist, oder???? Aber wieso dann all diese Horror-Vorkommnisse??

Nun fand ich aber noch mehrfach diese als Fehler kategorisierte Meldung im Protokoll, Quelle SideBySide. Da darin nun irgenwie eset vorkommt, das ich ja noch nicht deinstalliert habe, aber ja nicht benutze, frage ich Dich, ob Du dafür eine Erklärung hast:

Code:
Fehler beim Generieren des Aktivierungskontexts für "C:\Users\juc1\Downloads\esetsmartinstaller_enu.exe". Fehler in Manifest- oder Richtliniendatei "" in Zeile . Eine für die Anwendung erforderliche Komponentenversion steht in Konflikt mit einer anderen, bereits aktiven Komponentenversion. In Konflikt stehende Komponenten:. Komponente 1: C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_fa396087175ac9ac.manifest. Komponente 2: C:\Windows\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_41e6975e2bd6f2b2.manifest.
Nun, auf jeden Fall habe ich eset nun deinstalliert, der angegebene Ordner, der manuell zu löschen war, war aber gar nicht in den Papierkorb gegangen, schon wieder ein Rätsel für mich. Ich hatte eh nur 4 Dateien im Papierkorb, da das System ja noch gar nicht benutzt wird, also habe ich den Papierkorb zur Sicherheit geleert, aber solche Unerklärlichkeiten bringen mich langsam an den Rand des Nervenzusammenbruchs...

schrauber 21.08.2013 13:02
Eine Grundregel für die Ereignisanzeige:

Nur reinschauen wenn Du auch wirklich spürbare Probleme hast :). Sonst machste dich verrückt. Haste keine Probleme, Meldungen dort ignorieren.

ju52.ma 21.08.2013 14:27
Ich weiss das schon, dass man da besser nicht hinguckt, wenn alles läuft.

Naja, aber ich habe ja noch das Problem mit dem Aufhänger und den noch ausstehenden Windows-Updates..., an das ich mich erstmal nicht rantraue, und jetzt habe ich leider wie befürchtet während des Aufräumens nach Deiner Anweisung noch ein neues: Habe genau nach deinen Anweisungen eset und defogger deinstalliert, dann auch combofix, aber dabei gab es dann von Avira die Aussage, dass er einen Registry-Zugriff blockiert hat. Leider hatte ich bei Defogger den Hinweis übersehen, dass ich den Virenkram abschalten soll, weil der irgendwie im Hintergrund geblieben ist. Hätte ich das Ausschalten müssen, obwohl es nicht in deiner Anweisung steht? Und wann genau. Und wie mache ich jetzt weiter?
Combofix ist ja jetzt wohl nichts Halbes und nichts ganzes mehr, oder? (Ich habe das mit dem rename gemacht). Davon finde ich nur einen leeren Ordner in C: und ein paar alte Verknüpfungen sowie die logs von der Erstausführung.
Und von defogger steht die .exe auf jeden Fall noch rum ausserdem folgendes aus dem Log:
Code:
defogger_enable by jpshortstuff (23.02.10.1)
Log created at 15:13 on 21/08/2013 (juma1)

Parsing file...


-=E.O.F=-
Soll ich defogger noch mal bei abgeschaltetem Avira Re-enable geben. Die Anwendung warnt davor...
Und wie dann mit Combofix?

schrauber 21.08.2013 16:19
einfach Delfix laufen lassen, dass entfernt Auch Combofix und co :)

ju52.ma 22.08.2013 18:16
Hallo Schrauber, was auch immer Delfix laut untenstehendem Protokoll gelöscht haben will…
Ich habe eben eigentlich zu allen im Laufe der Entseuchung benutzten Programme noch jede Menge anderer Dateien und Verzeichnisse gefunden und manuell entsorgt.
Delfix selbst und viele zugehörige Dateien ist auch noch da. Mache ich eigentlich da immer irgenwas falsch oder was? Kann ich das manuell entsorgen? Nochmal laufen lassen will ich das nicht, wegen des Problems mit AVIRA (siehe unten).

Code:
# DelFix v10.4 - Datei am 22/08/2013 um 17:16:36 erstellt
# Aktualisiert am 19/07/2013 von Xplode
# Benutzer : juma1 - DESK1
# Betriebssystem : Windows 7 Home Premium Service Pack 1 (64 bits)

~ Aktiviere die Benutzerkontensteuerung ... OK

~ Entferne die Bereinigungsprogramme ...

Gelöscht : \Combofix
Gelöscht : \FRST
Gelöscht : \AdwCleaner[R1].txt
Gelöscht : \AdwCleaner[S1].txt
Gelöscht : \AdwCleaner[S2].txt
Gelöscht : \AdwCleaner[S3].txt
Gelöscht : \ComboFix.txt
Gelöscht : C:\Users\juma1\Desktop\JRT.txt
Gelöscht : HKLM\SOFTWARE\AdwCleaner
Gelöscht : HKLM\SOFTWARE\Swearware

~ Erstelle ein Backup der Registrierungsdatenbank ... OK

~ Lösche die Wiederherstellungspunkte ...

Gelöscht : RP #84 [ComboFix created restore point | 08/21/2013 13:35:23]

Ein neuer Wiederherstellungspunkt wurde erstellt !

~ Stelle die Systemeinstellungen wieder her ... OK

########## - EOF - ##########
Nach der Aktion lief dann Avira nicht mehr, so langsam bekomme ich Routine im deinstallieren und Neuinstallieren…

Vielleicht traue ich mich da doch noch mal an was Neues. Was empfiehlst Du denn da statt Avira?

Und nun würde ich eigentlich gerne Deine Ratschläge für ein sicheres System durcharbeiten, aber dazu gehört ja nun der Windows-Update, an den ich mich gar nicht mehr wirklich rantraue. Hast Du da jetzt noch Tipps für mich, oder einen Hinweis auf ein einschlägiges Forum?

schrauber 23.08.2013 09:54
Avast, und delfix dann einfach löschen :)

ju52.ma 24.08.2013 16:16
Hallo Schrauber,
danke für Deine Hilfe. Ich habe nun die Reste von der Entseuchungsaktion manuell gelöscht und den damals abgestürzten Windows-Update dann doch noch durch einzelnes Installieren der Updates durchgekriegt. Da hakte es nur bei einem von den neun Stück, aber auch der lief dann bei einer Wiederholung einfach durch.
Ich würde in der nächsten Zeit die restlichen Tipps aus deiner Anweisung beherzigen. Wie ich mich kenne, könnte es da doch noch Schwierigkeiten oder Fragen geben. Können wir den Thread offen lassen und ich gebe Bescheid, wenn ich damit durch bin?
Vorläufig ganz herzlichen Dank!
Ju52.ma

schrauber 24.08.2013 18:15
Die Threads bleiben immer offen. Einfach hier rein schreiben wenn was ist :)


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:35 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19