|
RUNDLL Fehler die Zweite Hallo! Ich hatte schonmal ein HJT-Protokoll gepostet, bei dem mir nochdigger geholfen hatte - DANKE an dieser Stelle. Dann sollte ich noch Malwarebytes drüberlaufen lassen - wozu weiß ich allerdings nicht genau. Hab ich nun trotzdem gemacht und hier das Protokoll: (Nähere Infos zum System stehen in miener Signatur.) Malwarebytes' Anti-Malware 1.30 Datenbank Version: 1333 Windows 6.0.6001 Service Pack 1 28.10.2008 18:42:01 mbam-log-2008-10-28 (18-42-01).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|G:\|) Durchsuchte Objekte: 222080 Laufzeit: 42 minute(s), 1 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 29 Infizierte Registrierungswerte: 3 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\CLSID\{0656a137-b161-cadd-9777-e37a75727e78} (Fake.Dropped.Malware) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{0b682cc1-fb40-4006-a5dd-99edd3c9095d} (Fake.Dropped.Malware) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{0e1230f8-ea50-42a9-983c-d22abc2eeb4c} (Fake.Dropped.Malware) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{9dd4258a-7138-49c4-8d34-587879a5c7a4} (Fake.Dropped.Malware) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{b8c0220d-763d-49a4-95f4-61dfdec66ee6} (Fake.Dropped.Malware) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{c3bcc488-1ae7-11d4-ab82-0010a4ec2338} (Fake.Dropped.Malware) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9dd4258a-7138-49c4-8d34-587879a5c7a4} (Fake.Dropped.Malware) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b8c0220d-763d-49a4-95f4-61dfdec66ee6} (Fake.Dropped.Malware) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c3bcc488-1ae7-11d4-ab82-0010a4ec2338} (Fake.Dropped.Malware) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{000000da-0786-4633-87c6-1aa7a4429ef1} (Fake.Dropped.Malware) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\dpcproxy (Fake.Dropped.Malware) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\logons (Fake.Dropped.Malware) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\typelib (Fake.Dropped.Malware) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\HOL5_VXIEWER.FULL.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Classes\applications\accessdiver.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\fwbd (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\HolLol (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Inet Delivery (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Inet Delivery (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mslagent (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Invictus (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Golden Palace Casino PT (Trojan.DNSChanger) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Golden Palace Casino NEW (Trojan.DNSChanger) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\iTunesMusic (Fake.Dropped.Malware) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\rdriv (Fake.Dropped.Malware) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\wkey (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\mwc (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{0e1230f8-ea50-42a9-983c-d22abc2eeb4c} (Fake.Dropped.Malware) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{0656a137-b161-cadd-9777-e37a75727e78} (Fake.Dropped.Malware) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\SystemCheck2 (Trojan.Agent) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: E:\Users\XXX\Downloads\Usenext\alt.binaries.warez\XXX\XXX_multi_keygen.exe (Trojan.Downloader) -> Quarantined and deleted successfully. Vielen DANK! |
Warum machst Du dafür nen neuen Strang auf? Völlig unnötig und nochdigger bemerkt das so garnicht, dass Du quasi ne Antwort erstellt hast :balla: |
Wie soll ich das sonst machen? PN soll ich ihm nicht schreiben und der andere Thread wurde deaktiviert, weil ich wegen einer der "Goldenen Regeln" verstoßen habe... |
Äh - sry, habs übersehen, dass das Teil inne Tonne geschmissen wurde. :mad: Naja, wenigstens ein frisches und komplettes Hijackthis Logfile wär schon hilfreich gewesen ;) Code: Infizierte Dateien:Mach mal bitte einen Durchlauf mit Combofix: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code] |
So, da bin ich wieder, also ich habe Deine Anleitungen befolgt, alerdings... CCleaner funktionierte wunderbar, aber bei dem Combo-Fix, da hat er die Meldung rausgegeben, dass er mit MS Vista 64-bit Systemen inkompatibel ist - gibt es eine Alternative? |
Zitat:
Mit 64 Bit Vista ist das mitm Analysieren und Bereinigen nicht so einfach, da die meisten Tools weitgehend inkompatibel damit sind. Sowie es aussieht sind die meisten Schädlinge es aber auch :rolleyes: => http://www.trojaner-board.de/58670-w...eenscreen.html => http://www.trojaner-board.de/58947-a...t-windows.html Probier mal bitte RSIT: Lade Random's System Information Tool (RSIT) herunter und speichere es auf Deinem Desktop. Starte mit Doppelklick die RSIT.exe. Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. Wenn Du HiJackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread, wieder mit Codetags umschlossen. |
Auch wenn ich Dir danke, habe auch aus meinen Fehlern gelernt -> Weil ich mein OS nicht angegeben hatte wurde der andere Thread gelöscht... Deshalb habe ich diese (u.a. auch das OS) in meiner Signatur veröffentlicht UND in meinem ersten Beitrag einen Verweis darauf gegeben: Nun siehst Du, warum Leute die lesen können klar im Vorteil sind.. :p Spaß bei Seite, hier die log.txt und info.txt: Code: info.txt logfile of random's system information tool 1.04 2008-11-05 18:08:26 |
Code: Logfile of random's system information tool 1.04 (written by random/random) |
Code: ======List of files/folders modified in the last 3 months====== |
Zitat:
Okay okay, das ist bei mir irgendwie untergegangen. Kann sein, dass ich mich irgendwie auf Deinen ersten Beitrag (der in der Tonne) zu sehr fixiert hatte... :confused: Code: C:\Windows\system32\drivers\a7edjcm5.sys |
Also ich habe mir jetzt mal rausgenommen keine zu kopieren, weil er bei keiner fündig geworden ist -> jedesmal 0% Außer bei der C:\Windows\system32\drivers\a7edjcm5.sys, da kam es zu keiner Prüfung, weil die partout nicht auffindbar ist...wieso? |
Sie ist wirklich nicht mehr vorhanden? Und Du hast Dir auch versteckte Dateien sowie die geschützten Systemdateien anzeigen lassen? |
Beides anzeigen lassen - nicht auffindbar. |
Tja :rolleyes: Dann hat sie sich in Luft aufgelöst. Probier mal das: Anleitung Avenger (by swandog46) Lade dir das Tool Avenger und speichere es auf dem Desktop:
Code: files to delete:
|
////////////////////////////////////////// Avenger Pre-Processor log ////////////////////////////////////////// Platform: Windows NT 6.0 (build 6001, Service Pack 1) Wed Nov 05 20:45:30 2008 20:45:30: Error: Invalid script. A valid script must begin with a command directive. Aborting execution! ////////////////////////////////////////// Ich habe alles so (auch den Befehl) so kopiert, wie er da steht...:heilig: |
Mit "files to delete:" :confused: |
Jawoll 1:1 ...ich hab jetzt nochmal RSIT suchen lassen und selbst 'es' findet die .sys nicht wieder: Code: ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:43 Uhr. |
Copyright ©2000-2025, Trojaner-Board