|
Verdächtig - Bitte um Hilfe Hallo ihr Lieben, ich habe den Verdacht, dass sich auf unserem Desktop PC irgendwelche Trojaner etc. eingenistet haben. Bestärkt werde ich durch ein komisches Phänomen; Wenn ich auf Arbeitsplatzt klicke und dann meine Festplatte auswähle - also C - und doppelklicke, dann kommt ein merkwürdiges "Klick-Klick" die Sanduhr erscheint für eine Sekunde, dann verschwindet sie auch schon wieder und das wars - C öffnet sich nicht ... Wenn ich allerdings auf Start -> Dokumente gehe, dann öffnet sich der Ordner. Alles andere lösst sich auch öffnen ... Wenn ich auf "Ausführen" -> C klicke, dann öffnet sich "C" ohne Probleme ... Das "Klick-Klick" ist aber zu hören. Und nein, es ist nicht das normale klicken der Festplatte, ich kenne unseren PC, es ist ein komisches und neues Geräusch. Außerdem hatte ich heute beim Start eine Meldung von AdAware - hatte ich mir noch gestern Abend runtergeladen, heute Mogren war der erste "Neu-Start" - dass es einen "suspicious low prozess" oder so entdeckt hätte und es blockiern möchte - ich habe jedoch ausversehen auf "Zulassen" geklickt - da "Blockieren" nur unscheinbar mit "Bl." gekennzeichnet wurde ... Blöd, ich weiß. Dieses Problem mit dem Öffnen von "C" hatte ich aber gestern auch schon. Außerdem habe ich dieses blöde Celldorado, kann mir bitte jemand sagen, wie ich das entfernen kann, welchen Eintrag ich löschen muss? Ich habe außerdem mal SpyHunter durchlaufen lassen und es hat ziemlich viele Einträge gefunden ua. "TROJAN.VUNDO", "3wPlayer" (mehrfach),"Ad-Tech", "MediaPlex", "PointRoll", "Think-Adz", "Tradedoubler", "tribalFusion", "Zedo.com" - viele sind nur "Cookies" es gibt jedoch auch "HKEY_LOCAL_MASCHINE" Einträge ... Ich nehme an der PC ist ziemlich verseucht ... Bitte um Hilfe - Danke im Vorraus! Hier das Log File: Code: Logfile of Trend Micro HijackThis v2.0.2 |
Hi, das Schlimmste zuerst: Deine Internetverbindung wird über die Ukraine umgeleitet! Daher sofort alle Passwörter von einem sicheren Rechner aus ändern, bei Homebanking Konto sperren etc. Diese Einträge sind dafür verantwortlich: O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.132,85.255.112.84 O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.113.132,85.255.112.84 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.132,85.255.112.84 Bitte MAM installieren und laufen lassen (wenn das noch geht), danach Combofix: Malwarebytes Antimalware (MAM). Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Fullscan und alles bereinigen lassen! Log posten. Combofix Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/comb...x-benutzt-wird Hinweis: unter : C:\WINDOWS\erdnt wird ein Backup angelegt. chris Ps.: Du hast Recht, da ist ein ganzer Zoo drauf, mal sehen was alles gekillt wird von den Tools... Danach bitte noch ein neues HJ-Log! Hier einige "Zoo-Tierchen": O4 - HKLM\..\Run: [winupdates] C:\Program Files\winupdates\winupdates.exe /auto O4 - HKLM\..\Run: [Host Process] C:\WINDOWS\Fonts\svchost.exe O4 - HKLM\..\Run: [memo site kind that] C:\Documents and Settings\All Users\Application Data\Grid Blue Memo Site\Lite Regs.exe O4 - Startup: TA_Start.lnk = C:\WINDOWS\system32\ljdsrngo.exe ... |
Okay das Problem scheint doch ernster zu sein - ich kann die Registry via "regedit" nicht mehr öffnen bekomme folgende Fehlermeldung: c:/windows/system32/regedit.com (<- "Slash" "/" ist natürlich umgekehrt) NTVD CPU hat eine nicht authorisierte Aktion gefunden (Habs aus dem Ungarischen übersetzt) CS: e005 IP: 290a OP: ff ff ff ff ff klicken sie auf Schließen oder Überspringen was soll ich machen?? |
@ Chris ach duch dickes EI!! auf dem pc sind keine daten, die sind auf den laptops - jedoch ist der pc via wireless mit dem router verbunden - so auch mit den anderen pc (?) - immernoch ein problem?? soll ich die sachen trotzdem ändern?? |
Hi, wie oben geschrieben, MAM installieren/updaten und alles bereinigen lassen, danach combofix... Wenn wir Glück haben kannst Du beide Tools starten, wenn nicht werden wir uns was anderes überlegen müssen... chris |
okay, führe die sachen gleich mal durch - kann ich dir solange mein laptop log file posten, da läuft alles ok, aber man weiß ja nie!! Code: saLogfile of Trend Micro HijackThis v2.0.2 |
Hi, Bitte folgende Files prüfen (Pfade anpassen!): Dateien Online überprüfen lassen:
Code: c:\users\***\appdata\local\ksmiw.exe
Am Besten auch MAM installieren und mal laufen lassen... chris |
es gibt keine gefahr für meinen laptop, wenn er zum gliechen router verbunden ist, wie der infizierte pc, oder? ich kann ihn also wieder anschließen? hab ihn nämlich in der zwischenzeit vom netz genommen, sicher ist sicher ;) Anti-malware läuft immer noch - erst ca. 78000 dokumnete gescannt - 2 infizierte dateien bis jetzt. und vielen dank für deine hilfe, ich hoffe wir bekommen das so hin!!! :D |
Bei der kritischen Masse die sich auf dieser Kiste tummelt ist eine Neuinstallation sehr viel angeratener als alles andere !! Es sein denn der Rechner soll nur noch für Daddelspiele ohne Internetanbindung eingesetzt werden. Bei Internetbanking ,EBayeinkäufen oder alles andere was einen (geheimen) Login verlangt,würden mir vor Angst die Hosen flattern.... Da kannst du soviele Tools laufen lassen wie du willst.... was bleibt ist bestenfalls ein höchst fragwürdiger Zustand. Ein vertrauenswürdiger Zustand wird das nie wieder ohne Neuinstallation !!! Rex |
Zitat:
da der rechner doch schon etwas älter ist und wir alle laptops haben, wäre das nicht so schlimm, wollt ihn nur ein bisschen auftunen und dann nur noch drauf spielen. netbanking etc. mach ich nur vom laptop aus - nicht von diesem pc! aber bitte, bitte, helft mir doch: besteht für die anderen pc, die am gleichen router angeschlossen sind, gefahr infiziert zu werden? nur via wireless connection?? |
@LizzyZizzy Doch, es besteht eine Gefahr, wenn der Rechner über freigegebene Verzeichnisse/Laufwerke verfügt. Darüber ist per autorun.inf eine Verbreitung möglich und wird auch aktiv ausgenutzt. @Rex Fatuorum Mal sehen was so alles gefunden wird, prinzipiell hast Du recht... chris |
Zitat:
Deswegen heißt es ja neu aufsetzen.....:D Zitat:
Aber eher wirst du die Seuche durch den Tausch von Dateien weiter tragen.Sei es ob du über LAN zugreifst oder altmodisch mit einer CD von Rechner zu Rechner turnst.. @ chris4you Finde ich etwas unfair wenn du jemanden die Zeit stiehlst um deine eigene Neugier zu füttern...:o Rex |
Zitat:
der scan anti-malware läuft immer noch ... wenn ich den desktop pc vom internet trenne, also den usb adapter rausziehe, dann besteht aber keine gefahr mehr, oder? ich meine, dann ist er zwar verseucht, aber ohne connection nützt das ja nicht viel. Zitat:
|
Zitat:
|
Hi, hast du die *** gegen den richtigen Pfad ersetzt, dann kannst Du den ganzen Pfad mit Dateiname gleich in das Feld bei Virustotal kopieren und musst nicht suchen (wenn es sich versteckt, findest Du es so nicht); Ansonsten wirklich MAM loslassen... Wenn der verseuchte Rechner vom Netz getrennt wird, ist das OK; Wenn Du dann allerdings Daten per USB zu dem verseuchten Rechner transportierst, musst Du den Stick schreibschüzten (manche Sticks (bsonderst solche die eine SD-Karte intern verwenden)) können mit einem Schieber schreibgeschützt werden. Dann kann sich der Trojaner nicht über den Stick verbreiten... Und mit Zeit stehlen meint er mich, weil ich Dich nicht gleich den Rechner neu aufsetzten lasse, sondern erst mal prüfen will was alles so rumfleucht... :o)... chris |
Zitat:
Zitat:
Zitat:
Wenn der verseuchte Rechner vom Netz getrennt wird, ist das OK; Zitat:
ist ein "scan disk" U3 cruzer - hat leider kein "schieber" - was nun? soll ic ihn an den verseuchten pc anschließen und manuell schreibschützen dann mit nem antivirus programm checken und erst dann wieder and den laptop anschließen? Zitat:
lg |
so sieht mein logfile nun nach anti-malwar aus; habe alle entfernen lassen. bei 4-5 meinte er ich müsse neu starten damit er sie entfernen kann, dies hab ch gemacht. danach konnt ich wieder auf "c" zugreifen und auch die registry konnte ich öffnen, so konnte ich 3wplayer und trojan.vundo aus der registry entfernen. spy hunter zeigt im moment nichts mehr an. hier das log file: Code: Logfile of Trend Micro HijackThis v2.0.2aber sauber ist der pc noch nicht, oder? soll ich compfix noch durchlaufen lassen? |
ich werd verrückt: möchte nun endlich combofix laufen lassen, aber ich bekomm immer ne fehlemeldung, dass avira antivir noch läuft, dabei habe ich die prozesse eigebtlich beendet. den avguard.exe den sched.exe(?) und noch den dritten. musste dafür in der konfiguration auch etwas ändern, da sich die prozesse zuerst nicht beenden ließen. nun sehe ich keinen avira prozess mehr im task manager aber combofix zeigt mir trotzdem noch an, dass ich sie beenden soll, da sie eine gehafr darstellen würden. ahm ja super - nur WIE???? |
Hi, das MAM-Log wäre wichtig, was alles entfernt worden ist... Das mit combofix läuft mir hier zum ersten mal über den Weg.. chris |
achso, na der große pc ist schon aus. hatte keine lust mehr ;) könnt es in ca. 2 stunden oder morgen posten. wenns okay ist! lg aber wie gesagt, lief alles schon viel besser nach dem MAM - gar nicht zu vergleichen mit vorher. nur mit dem blöden asus wireless usb stick hab ich so meine probleme ... kann es sein, dass win xp WPA2-PSK nicht unterstütz? manchmal gibts ne verbindung dann wieder nicht ... ist auf beiden xp pcs so, nur meiner, der mit vista macht keine probleme. hab die card nicht mit dem windows wireless ding konfiguriert sondern mit dem mitgelieferten programm von asus. muss ich combofix unbedingt noch durchlaufen lassen? ich poste später auch das MAM log und noch ein hijack, aber wenns geht würd ich combofix gerne vermeiden, gerade auch wegen der fehlermeldung von avira und den eventuellen probleme die combofix verursachen könnte. ich würd den großen pc auch nicht mehr ans i-net anschließen, nur noch fürs spielen benutzen, eventuell mal wegen einer authentifizierung ins internet gehen ... |
hab jetzt auch von unsere anderen laptop ein hijack logfile machen lassen: bitte checken ob alles in ordnng ist. Code: Logfile of Trend Micro HijackThis v2.0.2das MAM file vom verseuchten pc stell ich gleich auch noch rein. |
@Chris Hi, also hier ist das MAM log file und ein "frisches" hijack logfile. das MAM ist auf ungarisch, hab zuspät gemerkt, dass man auch die sprache ändern kann, falls ich was übersetzten soll, sag mir bescheid! sorry! Code: Malwarebytes' Anti-Malware 1.33Code: Logfile of Trend Micro HijackThis v2.0.2spyhunter hat heute nochmal 2 tracking cookies - "DoubleClick" und "Qkrsv" gefunden - woher kommen die immer? und "Think-Adz" scheint auch noch nicht vollstöndig weg zu sein. ist eine neuinstallation nötig? |
Hi, der verseuchte Rechner muss Neuaufgesetzt werden, da ist/war ein Backdoor drauf. Zwar kannst Du das mit MAM bereinigen lassen (wie in der Anleitung, fullscan und bereinigen lassen), aber dann ist immer noch unklar was auf dem Rechner manipuliert wurde (oder ob immer noch was versteckt läuft). Folgende Einträge sind immer noch da (HJ-Log von heute): O4 - HKLM\..\Run: [memo site kind that] C:\Documents and Settings\All Users\Application Data\Grid Blue Memo Site\Lite Regs.exe O4 - HKLM\..\Run: [winupdates] C:\Program Files\winupdates\winupdates.exe /auto -> das ist der Wurm: W32.Alcra.B Das HJ-Log vom zweiten (sauberen Rechner) sieht gut aus, das vom verseuchten nicht (s. o.). -> http://www.trojaner-board.de/51871-anleitung-superantispyware.html chris |
Zitat:
bin grad dabei - war mir dann auch alles zu suspekt, wer weiß was da alles verstellt wurde. Zitat:
vielen dank für alles - auch wenn er nicht mehr zu retten war! lg, Isa soll ich dann noch ein log file vom neu aufgesetzten rechner posten, oder müsste dann alles passen? |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 20:44 Uhr. |
Copyright ©2000-2025, Trojaner-Board