|
Extreme Verlangsamung meiner Internetverbindung + Probleme bei Google wie bereits im thread-titel erwähnt, habe ich große probleme mit meiner internetverbindung. manche seiten lassen sich laden wie bisher, bei anderen geht gar nichts mehr. wenn ich zb. bei google etwas suche kommt diese warnung: Link. wenn ich normal am computer arbeite merke ich eigentlich keinerlei leistungseinbußen, nur wenn ich im internet bin. ich kenne mich leider nicht sehr gut mit computern aus und da ein kumpel von mir (der mir dabei sonst hilft) für ein paar wochen weg ist, dachte ich mir das ihr da vielleicht helfen könntet. ps: ich habe bereits spybot search & destroy/avira antivir laufen lassen und alles entfernt was mir da angezeigt wurde. Code: Logfile of HijackThis v1.99.1 |
Hi und :) Herzlich Willkommen im Trajaner-Board :) * Dateien Online Überprüfen (versteckte Ordner und Dateien anzeigen lassen) 1. Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen: 2. Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg 3. Geschützte Systemdateien ausblenden -> Haken weg 4. Inhalte von Systemordnern anzeigen -> Haken setzen (diese Option ist bei Windows 2000 nicht vorhanden) 5. Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen (Dateien online überprüfen) 6. Speicher dir die unten angebenen Dateien auf einen externen Datenträger, falls du keine Internetverbindung hast. 7. lade die Seite von Virustotal (alternativ Jotti) 8. lade in der dafür vorgesehen Box folgende Datei(en) hoch Zitat:
10. Poste das komplett Ergebnis mit Hash und Dateigröße hier rein * MWAV (eScan) - Free Antivirus 1. Lies dir folgende Anleitung genau durch und arbeite sie ab -> Anleitung eScan (Sollte der Hinweis erscheinen, dass du nur mit der Vollversion die Funde löschen kannst, breche den Scan NICHT ab) 2. Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'. - rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop) - führe die find.bat aus - das erstellte Log kopierst du ab und postest in deinen nächsten Beitrag 3. Entferne bitte nicht selber von escan alarmierte Funde. Es sind erfahrungsgemäß viele Fehlalarme dabei mfg Cleriker |
sorry hat leider ein bisschen gedauert. ich hoffe mal das jetzt alles richtig war, vielen dank schon mal bis hierhin. Virustotal Code: Ergebnis: 17/31 (54.84%)Escan Code: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
grad wollte ich was bei rapidshare runterladen und da kam die anzeige (Du hast das Downloadlimit für die kostenlose Nutzung erreicht.) obwohl ich da schon seit wochen nix mehr geladen hab :confused:. |
Wow, Du hast nicht nur Adware sitzen sondern auch diesen hier -> W32/Rohbot-A Das bedeutet für dich: * System neu aufsetzen mit anschließender Absicherung Ändere anschließend deine Logindaten im Online/Offline-Bereich, sonst könntest du bald Probleme bekommen. mfg Cleriker |
Zitat:
@raven76: Hast du mit sysinternals-tools gearbeitet oder ne Ahnung, wie die Dateien in den system32-Ordner kommen? Schräg ist das ganze schon. Grüße |
Zitat:
Anzeichen des möglichen Schädlings sind sichtbar. Zitat:
* Dateien Online Überprüfen (versteckte Ordner und Dateien anzeigen lassen) 1. Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen: 2. Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg 3. Geschützte Systemdateien ausblenden -> Haken weg 4. Inhalte von Systemordnern anzeigen -> Haken setzen (diese Option ist bei Windows 2000 nicht vorhanden) 5. Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen (Dateien online überprüfen) 6. Speicher dir die unten angebenen Dateien auf einen externen Datenträger, falls du keine Internetverbindung hast. 7. lade die Seite von Virustotal (alternativ Jotti) 8. lade in der dafür vorgesehen Box folgende Datei(en) hoch Zitat:
10. Poste das komplett Ergebnis mit Hash und Dateigröße hier rein Danke Ordell für den Zwischenwurf, die Möglichkeit habe ich gar nicht in Betracht gezogen. mfg Cleriker |
Googlen hat ergeben, dass der Speicherort für pstools in c:\windows\system32 keinesfalls ungewöhnlich ist, sogar der Meister selbst speichert dort: http://blogs.technet.com/photos/mark.../original.aspx Mark's Blog Vorteil: Die tools sind pfadunabhängig über die Kommadozeile zu erreichen, ist also äußerst praktikabel, gerade für die Fernwartung. Mit den tools läßt sich aber auch ne Menge Budenzauber auf der Kiste veranstalten, weshalb es gut wäre, wenn raven76 die Dateien zuordnen kann. Grüße |
@ ordell1234 ich habe dafür viel zu wenig ahnung, um mit solchen sachen zu arbeiten. keine ahnung wie das darein gekommen ist :eek:. pskill.exe Code: Ergebnis: 11/32 (34.38%)pslist.exe Code: Ergebnis: 0/32 (0%) |
na toll, es sind die vermuteten Dateien, aber schlauer bin ich dadurch nicht. Diese können manuell sowohl auch vom rohbot angelegt worden sein. Ich würde eine Filelist vorschlagen. Vielleicht kann man ersehen, wie sie erstellt wurden: * Filelist 1. Lade das filelist.zip auf deinen Desktop herunter. 2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei 3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen 4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein. Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen: Verzeichnis von C:\ Verzeichnis von C:\WINDOWS\system32 Verzeichnis von C:\WINDOWS Verzeichnis von C:\WINDOWS\Prefetch (Windows XP) Verzeichnis von C:\WINDOWS\tasks Verzeichnis von C:\WINDOWS\Temp Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp F-Secure - Rootkitscanner - lade dir hier f-secure herunter - speichere es auf dem Desktop und führe fsbl.exe - akzeptiere die Vereinbarung und klicke anschließend auf "Scan" - poste den Inhalt der "fsbl-xxx.txt" in deinen Beitrag (wird im selben Ordner erstellt) Wenn die Ergebnisse negativ sind, plädiere ich auf eine Bereinigung der Adware. Falls sich die Vermutung jedoch bestätigt, heißt es Neuaufsetzen. mfg Cleriker |
Hm, die HASH-Werte stimmen, allerdings für die ältere Version pskill v1.04, aktuell ist seit Dez. 2006 pskill v1.12. Dementsprechend wird das Erstelldatum auf noch früher datieren, unabhängig vom Zeitpunkt des Kopierens auf die Platte. Filelist wird vermutlich nix finden. :schmoll: Dummerweise nutzt rohbot anscheinend genau diese tools, weshalb ihre weitere Untersuchung wohl nicht viel weiter führt. Ironischerweise sind sie am Ende noch von sysinternals signiert. :D @raven76: Da du nicht weißt, wie die Dateien auf dein System kommen (auch keine resource kit-tools, Powertoys von M$ oder Ähnliches benutzt? :confused:) bleibt ein hohes Restrisiko im Fall einer Bereinigung. Sicherer wäre auf jeden Fall das Neuaufsetzen, wie schon von cleriker angedacht (und ich würde nicht zögern bei risktools, deren Herkunft ich nicht kenne), letztlich bleibt es aber deine Entscheidung. Grüße edit: Liste mal deine Autostarteinträge auf: 1. Lade dir Autoruns. Entpacke autorunsc.exe nach c:\. 2. Kopiere folgenden Text und speichere ihn als autoruns.bat ab. Code: echo offAnmerkung: Autoruns baut zur Signaturprüfung eine Verbindung ins Netz auf. Gib diese ggf. bei deiner Firewall frei. |
vielen dank schonmal an euch, ich werde dann wohl den rechner neuaufsetzen müssen. bleibt dann eigentlich trotzdem noch eine möglichkeit, das etwas von diesen "viren" überlebt oder die immer noch an meine internetverbindung heran können? autoruns Code: Entry Location,Entry,Enabled,Description,Publisher,Image Path |
ich wollte grad nochmal diese sache mit rapidshare überprüfen und jetzt stand da: (Deine IP-Adresse ***.***.**.** lädt bereits eine Datei runter. Du musst warten, bis der Download fertig ist.) :(. |
das hört sich alles sehr nach einem dritten an. Ich würde doch sagen, trenne deinen Rechner vom Netz und setze (meine Empfehlung) nach folgendem Prinzip neu auf: 1. System neu aufsetzen mit anschließender Absicherung 2. Service Pack 2 updaten / installieren 3. XP-Updates updaten / installieren 4. Firewall von Windows XP SP2 aktivieren (Start > Einstellungen > Systemsteuerung > Sicherheitscenter > Firewall > aktivieren) 5. Avira Antivir Personal Edition downloaden 6. Sofort updaten oder die Updates selbst runterladen * Update Antivir Paket 1 * Update Antivir Paket 2 > Avira Fenster öffnen > oben auf Update klicken > manuelles Update > Pfad raussuchen, in der die Pakete gespeichert sind (können auch gepackt sein) 7. Java-Update durchführen 8. neueste Version von Motzilla Firefox runterladen und als Standartbrowser benutzen 9. Etwa alle 3 Monate den CCleaner ausführen mfg Cleriker |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:45 Uhr. |
Copyright ©2000-2025, Trojaner-Board