|
Verdächtig - Bitte um Hilfe Hallo ihr Lieben, ich habe den Verdacht, dass sich auf unserem Desktop PC irgendwelche Trojaner etc. eingenistet haben. Bestärkt werde ich durch ein komisches Phänomen; Wenn ich auf Arbeitsplatzt klicke und dann meine Festplatte auswähle - also C - und doppelklicke, dann kommt ein merkwürdiges "Klick-Klick" die Sanduhr erscheint für eine Sekunde, dann verschwindet sie auch schon wieder und das wars - C öffnet sich nicht ... Wenn ich allerdings auf Start -> Dokumente gehe, dann öffnet sich der Ordner. Alles andere lösst sich auch öffnen ... Wenn ich auf "Ausführen" -> C klicke, dann öffnet sich "C" ohne Probleme ... Das "Klick-Klick" ist aber zu hören. Und nein, es ist nicht das normale klicken der Festplatte, ich kenne unseren PC, es ist ein komisches und neues Geräusch. Außerdem hatte ich heute beim Start eine Meldung von AdAware - hatte ich mir noch gestern Abend runtergeladen, heute Mogren war der erste "Neu-Start" - dass es einen "suspicious low prozess" oder so entdeckt hätte und es blockiern möchte - ich habe jedoch ausversehen auf "Zulassen" geklickt - da "Blockieren" nur unscheinbar mit "Bl." gekennzeichnet wurde ... Blöd, ich weiß. Dieses Problem mit dem Öffnen von "C" hatte ich aber gestern auch schon. Außerdem habe ich dieses blöde Celldorado, kann mir bitte jemand sagen, wie ich das entfernen kann, welchen Eintrag ich löschen muss? Ich habe außerdem mal SpyHunter durchlaufen lassen und es hat ziemlich viele Einträge gefunden ua. "TROJAN.VUNDO", "3wPlayer" (mehrfach),"Ad-Tech", "MediaPlex", "PointRoll", "Think-Adz", "Tradedoubler", "tribalFusion", "Zedo.com" - viele sind nur "Cookies" es gibt jedoch auch "HKEY_LOCAL_MASCHINE" Einträge ... Ich nehme an der PC ist ziemlich verseucht ... Bitte um Hilfe - Danke im Vorraus! Hier das Log File: Code: Logfile of Trend Micro HijackThis v2.0.2 |
Hi, das Schlimmste zuerst: Deine Internetverbindung wird über die Ukraine umgeleitet! Daher sofort alle Passwörter von einem sicheren Rechner aus ändern, bei Homebanking Konto sperren etc. Diese Einträge sind dafür verantwortlich: O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.132,85.255.112.84 O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.113.132,85.255.112.84 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.132,85.255.112.84 Bitte MAM installieren und laufen lassen (wenn das noch geht), danach Combofix: Malwarebytes Antimalware (MAM). Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Fullscan und alles bereinigen lassen! Log posten. Combofix Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/comb...x-benutzt-wird Hinweis: unter : C:\WINDOWS\erdnt wird ein Backup angelegt. chris Ps.: Du hast Recht, da ist ein ganzer Zoo drauf, mal sehen was alles gekillt wird von den Tools... Danach bitte noch ein neues HJ-Log! Hier einige "Zoo-Tierchen": O4 - HKLM\..\Run: [winupdates] C:\Program Files\winupdates\winupdates.exe /auto O4 - HKLM\..\Run: [Host Process] C:\WINDOWS\Fonts\svchost.exe O4 - HKLM\..\Run: [memo site kind that] C:\Documents and Settings\All Users\Application Data\Grid Blue Memo Site\Lite Regs.exe O4 - Startup: TA_Start.lnk = C:\WINDOWS\system32\ljdsrngo.exe ... |
Okay das Problem scheint doch ernster zu sein - ich kann die Registry via "regedit" nicht mehr öffnen bekomme folgende Fehlermeldung: c:/windows/system32/regedit.com (<- "Slash" "/" ist natürlich umgekehrt) NTVD CPU hat eine nicht authorisierte Aktion gefunden (Habs aus dem Ungarischen übersetzt) CS: e005 IP: 290a OP: ff ff ff ff ff klicken sie auf Schließen oder Überspringen was soll ich machen?? |
@ Chris ach duch dickes EI!! auf dem pc sind keine daten, die sind auf den laptops - jedoch ist der pc via wireless mit dem router verbunden - so auch mit den anderen pc (?) - immernoch ein problem?? soll ich die sachen trotzdem ändern?? |
Hi, wie oben geschrieben, MAM installieren/updaten und alles bereinigen lassen, danach combofix... Wenn wir Glück haben kannst Du beide Tools starten, wenn nicht werden wir uns was anderes überlegen müssen... chris |
okay, führe die sachen gleich mal durch - kann ich dir solange mein laptop log file posten, da läuft alles ok, aber man weiß ja nie!! Code: saLogfile of Trend Micro HijackThis v2.0.2 |
Hi, Bitte folgende Files prüfen (Pfade anpassen!): Dateien Online überprüfen lassen:
Code: c:\users\***\appdata\local\ksmiw.exe
Am Besten auch MAM installieren und mal laufen lassen... chris |
es gibt keine gefahr für meinen laptop, wenn er zum gliechen router verbunden ist, wie der infizierte pc, oder? ich kann ihn also wieder anschließen? hab ihn nämlich in der zwischenzeit vom netz genommen, sicher ist sicher ;) Anti-malware läuft immer noch - erst ca. 78000 dokumnete gescannt - 2 infizierte dateien bis jetzt. und vielen dank für deine hilfe, ich hoffe wir bekommen das so hin!!! :D |
Bei der kritischen Masse die sich auf dieser Kiste tummelt ist eine Neuinstallation sehr viel angeratener als alles andere !! Es sein denn der Rechner soll nur noch für Daddelspiele ohne Internetanbindung eingesetzt werden. Bei Internetbanking ,EBayeinkäufen oder alles andere was einen (geheimen) Login verlangt,würden mir vor Angst die Hosen flattern.... Da kannst du soviele Tools laufen lassen wie du willst.... was bleibt ist bestenfalls ein höchst fragwürdiger Zustand. Ein vertrauenswürdiger Zustand wird das nie wieder ohne Neuinstallation !!! Rex |
Zitat:
da der rechner doch schon etwas älter ist und wir alle laptops haben, wäre das nicht so schlimm, wollt ihn nur ein bisschen auftunen und dann nur noch drauf spielen. netbanking etc. mach ich nur vom laptop aus - nicht von diesem pc! aber bitte, bitte, helft mir doch: besteht für die anderen pc, die am gleichen router angeschlossen sind, gefahr infiziert zu werden? nur via wireless connection?? |
@LizzyZizzy Doch, es besteht eine Gefahr, wenn der Rechner über freigegebene Verzeichnisse/Laufwerke verfügt. Darüber ist per autorun.inf eine Verbreitung möglich und wird auch aktiv ausgenutzt. @Rex Fatuorum Mal sehen was so alles gefunden wird, prinzipiell hast Du recht... chris |
Zitat:
Deswegen heißt es ja neu aufsetzen.....:D Zitat:
Aber eher wirst du die Seuche durch den Tausch von Dateien weiter tragen.Sei es ob du über LAN zugreifst oder altmodisch mit einer CD von Rechner zu Rechner turnst.. @ chris4you Finde ich etwas unfair wenn du jemanden die Zeit stiehlst um deine eigene Neugier zu füttern...:o Rex |
Zitat:
der scan anti-malware läuft immer noch ... wenn ich den desktop pc vom internet trenne, also den usb adapter rausziehe, dann besteht aber keine gefahr mehr, oder? ich meine, dann ist er zwar verseucht, aber ohne connection nützt das ja nicht viel. Zitat:
|
Zitat:
|
Hi, hast du die *** gegen den richtigen Pfad ersetzt, dann kannst Du den ganzen Pfad mit Dateiname gleich in das Feld bei Virustotal kopieren und musst nicht suchen (wenn es sich versteckt, findest Du es so nicht); Ansonsten wirklich MAM loslassen... Wenn der verseuchte Rechner vom Netz getrennt wird, ist das OK; Wenn Du dann allerdings Daten per USB zu dem verseuchten Rechner transportierst, musst Du den Stick schreibschüzten (manche Sticks (bsonderst solche die eine SD-Karte intern verwenden)) können mit einem Schieber schreibgeschützt werden. Dann kann sich der Trojaner nicht über den Stick verbreiten... Und mit Zeit stehlen meint er mich, weil ich Dich nicht gleich den Rechner neu aufsetzten lasse, sondern erst mal prüfen will was alles so rumfleucht... :o)... chris |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 03:09 Uhr. |
Copyright ©2000-2025, Trojaner-Board