|
Trojaner eingefangen Hi zusammen, habe mir wohl heute oder gestern einen Trojaner eingefangen... Anzeichen dafür sind, dass AntiVir sich nicht mehr updaten lässt (keine Internetverbindung), nach jedem Hochfahren ist die Windows Firewall deaktiviert, Malwarebytes - Anti-Malware lässt sich nicht ausführen. Ergebnisse in Google öffnen sich im neuen Fenster. Wäre super wenn mir jemand helfen könnte. Bin ein relativer Rookie daher von vornherein sorry wenn ich auf dem schlauch stehe. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:03:23, on 23.03.2009 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18000) Boot mode: Normal Running processes: C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Windows\system32\taskeng.exe C:\Program Files\Samsung\Samsung Update Plus\SUPBackGround.exe C:\Program Files\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe C:\Windows\system32\taskeng.exe C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe C:\Program Files\Samsung\EBM\EasyBatteryMgr3.exe C:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe C:\Program Files\Samsung\Samsung Recovery Solution II\WCScheduler.exe C:\Program Files\Windows Defender\MSASCui.exe C:\Windows\RtHDVCpl.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Windows\System32\rundll32.exe C:\Program Files\Java\jre6\bin\jusched.exe C:\Windows\System32\rundll32.exe C:\Windows\WindowsMobile\wmdSync.exe C:\Program Files\iTunes\iTunesHelper.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Program Files\Windows Live\Messenger\msnmsgr.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe C:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe C:\Program Files\Windows Live\Contacts\wlcomm.exe C:\Windows\system32\SearchFilterHost.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\www.samsungcomputer.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Play AVStation TV Scheduler] C:\Program Files\Samsung\Play AVStation\TvScheduler.exe O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [Windows Mobile-based device management] %windir%\WindowsMobile\wmdSync.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O4 - Global Startup: BTTray.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O13 - Gopher Prefix: O16 - DPF: {3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} (CTVUAxCtrl Object) - http://dl.tvunetworks.com/TVUAx.cab O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1205923312 O17 - HKLM\System\CCS\Services\Tcpip\..\{29358586-1423-4DE7-9395-CE9604CCE98E}: NameServer = 85.255.112.16,85.255.112.138 O17 - HKLM\System\CCS\Services\Tcpip\..\{BF36A864-7FD6-47D2-AC03-D57168D935EF}: NameServer = 85.255.112.16,85.255.112.138 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.16,85.255.112.138 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.16,85.255.112.138 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: Google Update Service (gupdate1c985f16ece326b) (gupdate1c985f16ece326b) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe -- End of file - 8171 bytes |
Hallo Flo20 und :hallo: Zuerst solltest du dies zur Kenntnis nehmen: Dein System ist kompromitiert und zwar vermutlich von einem Trojan.DNSChanger mit entsprechendem Rootkit.<--:confused: Erklärung Rootkit: Der Begriff beschreibt ein kleines Tool, das sich in ein Betriebssystem eingräbt und dort als Deckmantel für weitere Programme dient. In einem Rootkit können sich Viren ebenso verstecken wie ausgefeilte Spionagetools. Das Perfide: Während diese Programme sonst von jedem Virenscanner früher oder später erkannt würden, fallen sie dem System dank der Tarnung durch das Rootkit nicht mehr auf. Wenn diese Tarnung fällt, ist der Virus verwundbar... Dein gesamter Datenverkehr wird auf einen ukrainischen Server umgeleitet. Da der mit deinen Anfragen nix anzufangen weiss, schickt er dich immer wieder auf andere, deinen Anfragen wahrscheinlichere, entsprechende, Webseiten. Das ist übrigens der Server von dem wir reden. Wohlgemerkt nur der Server, der Betreiber weiss wahrscheinlich gar nicht was hier vor sich geht: (oder wills nicht wissen ) Code: organisation: ORG-UL25-RIPEHinweis: kompromitierte Systeme sollten neu aufgesetzt und abgesichert werden http://www.trojaner-board.de/51262-a...sicherung.html Um den Virus zu entfernen, um sicher Backups zu machen oder obigen Hinweis aus diversen Gründen zu ignorieren, befolge folgende Schritte: Natürlich alles unter dem Hinweis das die ganze Sache auch schiefgehen kann und du um ein Neuaufsetzen nicht herumkommen wirst. Lade dir folgende Software herunter und installiere diese, bitte unternehme nichts auf eigene Faust sondern folge den folgenden Anweisungen. VORWEG: Die Reihenfolge sollte unbedingt eingehalten werden..... Code: Download von CCleaner Anleitung: CCleaner <----dl Link in der Erklärung...LESEN!!!Lies dir die Anweisungen zu MalwareBytes und CCleaner aufmerksam durch und befolge die Schritte genau, ggf. drucke sie dir aus. Checken wir das Ganze erst mal von Anfang an. Da es sich vermutlich um einen DNS Changer handelt, müssen wir zunächst die DNS Einträge deiner Internetverbindung überprüfen. Gehe wie folgt vor: Code: Geh bitte auf STARTIn die Netzwerkkontrolle gelangst du so Code: - Windows-Taste + “R” drückendrücke hier einmal mit der linken Maustaste drauf und dann auf Eigenschaften. Schau in den Eintrag DNS Server . Ist der Eintrag DNS Server automatisch beziehen aktiviert oder siehst du darunter IP Nummern eingetragen? Dein System sollte die DNS eigentlich automatisch beziehen. Punkt 1. Bitte deaktiviere deine Systemwiederherstellung: Systemsteuerung/System/ Reiter Systemwiederherstellung. Nimm das Häkchen aus der Box. Beantworte die Frage mit Ja, somit werden alle deine Wiederherstellungspunkte auch gelöscht. Diese sind in deinem Fall sowieso unbrauchbar.. Für Vista Punkt 2. Mache alle Dateien deines System so sichtbar. ( Ordneroption - versteckte und Systemdateien anzeigen ) Für Vista User Punkt 3. Dann wirst du CCleaner aktivieren und wie beschrieben vorgehen und zwar so lange bis das keine Fehler mehr angezeigt werden. Punkt 4. Aktiviere MBR.exe Lass es laufen und poste das Logfile hier. Punkt 5. Hiernach einen Malwarebytes Scan ( Full Scan ) und das Logfile hier posten....( wenns nicht läuft benenne die MBAM.exe um in Hups.exe und versuchs dann. Einige Viren verhindern die Ausführung von AV Programmen. Lasse zum Abschluß alle Funde löschen Gehts immer noch nicht, gehe zu Punkt 6. Punkt 5. Wieder zurück zu deiner Internetverbindung: Stelle den Eintrag DNS automatisch beziehen wieder her, falls dies nicht mittlerweile wieder auf automatisch steht.. Punkt 6. Hiernach öffnest du Gmer und lässt bei diesem Programm ebenfalls einen Scan durchführen, poste das Logfile hier. Wenn es funktioniert, dann bitte ausführen und die Logfile posten bzw. bei - Ihr kostenloser File Hoster! uploaden und Link posten. Falls es nicht läuft: Auch hier verhindern einige Viren, dass Gmer laufen kann. Benenne die exe dann einfach in Huppala.exe um Weiteres kommt dann nach diesem Logfile von mir..... |
Hi Redwulf, vielen dank schon mal für die schnelle und ausführliche Hilfe. Ich habe die Punkte 1 -5 abgearbeitet. Beim start von GMer sagt mir dieser noch, er habe etwas entdeckt und empfiehlt mir das System zu überprüfen. Wenn ich dann die Überprüfung starte kommt nach 1-2 Minuten der blaue Bildschirm das Notebook startet neu. Hier mal die Logfiles: MBR: PHP-Code: PHP-Code: Neu ist, dass mir AntiVir beim Start des IE den Fund eines Trojaners (TR/Crypt.XPACK.Gen) meldet... Hoffe du kannst mir weiter helfen. Grüße Flo |
Hast du sicher alles entfernt? In deinem Log steht no action taken. Du musst sicher sein alles gelöscht zu haben. Dieses Gmer Log brauche ich, also, falls du dir nicht sicher bist, lass Malwarebytes nochmals einen vollen Scan machen, LÖSCHE alle Funde. Dann versuch nochmals Gmer, benenne Gmer vorher um in Hups.exe. Manche Viren verhindern das Ausführen von Gmer. Hierduch täuscht man sie. Dann nochmals ein Gmer Log posten. Das rootkit ist mit Sicherheit noch da und schirmt weitere Viren ab... Code: Hoffe du kannst mir weiter helfen. |
Ich hab jetzt nochmal alles durchgemacht... Hier das Log von Malwarebytes: PHP-Code: PHP-Code: Auf dem blauen Bildschirm steht "aujasnkj.sy" Grüße |
Ich hab das ganze spiel jetzt dreimal gemacht und nach jedem Neustart findet Malware wieder den PHP-Code: Trotzdem kommt direkt beim Start von Gmer folgende Meldung: PHP-Code: PHP-Code: Es ist zu kotzen...:pukeface: Was kann ich nun tun? |
So, da bin ich nochmal... Habe GMer jetzt einfach mal im abgesicherten Modus laufen lassen... PHP-Code: Hoffe auf neue Anweisungen :dankeschoen: |
Reicht mir schon.... Ich schicke dir morgen mal ein Script, was wir mit Avenger laufen lassen werden. Danach wird es deinem PC besser gehen und wir können den Rest bereinigen....kein Problem, ich hab gesehen was ich sehen muß. Danke für deine tolle Mitarbeit |
Ja, ja die lieben rootkits sind hartnäckig: Erklärung Rootkit: Der Begriff beschreibt ein kleines Tool, das sich in ein Betriebssystem eingräbt und dort als Deckmantel für weitere Programme dient. In einem Rootkit können sich Viren ebenso verstecken wie ausgefeilte Spionagetools. Das Perfide: Während diese Programme sonst von jedem Virenscanner früher oder später erkannt würden, fallen sie dem System dank der Tarnung durch das Rootkit nicht mehr auf. Erst wenn diese Tarnung fällt, ist der Virus verwundbar... Dem bereiten wir jetzt den Garaus: Öffne jetzt das Programm Avenger. Du siehst jetzt ein weißen Scriptfeld. http://www.Redwulf.de/AV.jpg Kopiere jetzt den Inhalt der Codebox mit Strg +C Code: Drivers to delete:Achte darauf, dass der Inhalt der Codebox mit dem Scriptfeld übereinstimmt. Es kommt beim Kopieren des Codebox Inhaltes manchmal zu einer Lücke zwischen den Buchstaben. Falls dies so ist, korrigiere das bevor du auf EXECUTE drückst. Der Avenger wird im Rahmen seiner Arbeit mehrmals booten, teilweise siehst du auch nur einen schwarzen Bildschirm. Das muss so sein, da das rootkit nur beseitigt werden kann bevor Windows komplett bootet. Also nicht erschrecken, das sieht sehr wild aus und du wirst Sorge um deinen PC haben.. Selten, aber möglich bootet Windows Vista in einen Bluescreen. Auch dann kein Grund zur Sorge. Nach Abschluß dieser Sache bekommst du ein Logfile angezeigt. Poste es bitte hier. Zu diesem Zeitpunkt ist auch möglich, dass sich Avira mit Virenfunden meldet. Lasse diese Viren dann LÖSCHEN, anschließend löscht du die Quarantäne. Anschließend wirst du das Programm Blacklight ausführen. Reporte das Ergebnis hier. Weiter geht es dann wieder mit MalwareBytes. Auch hier lässt du eventuelle Funde komplett löschen. Quarantäne ebenfalls. Poste das Ergebnis hier. Jetzt setzt du nochmals CCleaner ein und zeigst mir ein dann ein frisches Hijack this Log. Dann gehts ans Aufräumen.... |
So, hier erstmal Avanger: PHP-Code: PHP-Code: PHP-Code: Und zum Schluss noch Hijack PHP-Code: PHP-Code: Bin schon gespannt auf die nächsten Anweisungen :daumenhoc |
Das ist irgendwas schief gelaufen. Bitte setzt dich nochmal an Gmer, irgendein file hat er nicht erwischt... Den monierten Rouge.installer ist der Avenger. Stell den bitte wieder her........ Also nochmal mit Gmer scannen und posten |
Also er lässt mich GMER immernoch nicht im normalen Modus ausführen, es stürzt immernoch ab... Ich habe mich auch mal vom I-Net getrennt und alles ausgeschalten. Trotzdem bricht er immer ab und zeigt den Bluescreen. Im abgesicherten Modus läuft GMER. Hier mal das LOG PHP-Code: |
Kann auch mit Vista zusammenhängen, keine Ahnung. Aber ein Gutes hatte die Aktion, wir haben alles vom rootkit erwischt. Hast du zwischenzeitlich die Möglichkeit deinen Anitvirus zu updaten? Falls ja, lass ihn scannen, lösche alle Funde hiernach. Lösche auch die Quarantäne. Frage: Steckst du sonst noch was am PC an, wie USB Sticks, MP3 player, externe Festplatten, etc? Lasse danach nochmal MalwareBytes und CCleaner laufen, dann postest du mir bitte ein neue Hijack This.. Ich denke wir sind auf einem guten Weg....... |
Das hört sich ja schonmal gut an :Boogie: Hab jetzt AntiVir9 auf dem Notebook und das Update funktioniert. Auch die Meldung beim Start des IE ist verschwunden :) Werde morgen nach der Uni mal deine Aufgaben abarbeiten und posten. Auf jeden Fall schon mal riesen Dankeschön :aplaus: Ich benutze einen USB-Stick, da ist mir auch gestern etwas aufgefallen... Habe da Bilder drauf gepackt (als ich noch nichts vom Trojaner wusste) und als ich die gestern per DVD Player am TV angekuckt hab ist mir aufgefallen, dass es einen Ordner Recycler gibt. Hab auch schon gelesen, dass das wohl nichts gutes bedeutet :heulen: Das bedeutet wohl es gibt noch ne zweite Baustelle... Dem DVD Player kann er normal nicht schaden, oder? |
Dem DVD Player sollte er eigendlich nicht schaden können. So etwas ist mir nicht bekannt. ( es sei denn er läuft mit Windows Betriebssystemen :singsing:). Die Gefahr ist natürlich riesig, dass wenn du den USB Stick ansteckst, ein möglicherweise vorhandenes Schadprogramm wieder auf deinen Rechner gelangt. Wenn du die anderen Dinge erst mal erledigt hast, werden wir uns darum kümmern. Also lass den Stick erst mal runter..... |
Also AntiVir hat nichts gefunden. Hier der Bericht: PHP-Code: PHP-Code: PHP-Code: |
Was jetzt kommt ist sehr wichtig: Also zuerst lesen: Stecke deine andere Hardware an ( USB Stick etc ) und halte dabei die Strg tatse gedrückt. das verhindert den autostart eventuell vorhandener Programme..... Als nächstes setzen wir ComboFix ein Ein Leitfaden und Tutorium zur Nutzung von ComboFix Lade dir das Tool hier herunter auf den Desktop -> KLICK Das Programm jedoch noch nicht starten sondern zuerst folgendes tun: Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser. Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen. CCleaner Systembereinigung nochmals laufen lassen Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen. Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt. Wichtiger Hinweis: Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren. Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbreitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Falls weder Combofix noch HJ gestartet werden kann wie folgt vorgehen: Arbeitsplatz->rechte Maustaste->Eigenschaften->Hardware->Gerätemanager->Ansicht->ausgeblendete Geräte anzeigen->Nicht PnP-Treiber und dort den Treiber "TDSSserv.sys" oder aehnlich deaktivieren und neu starten. Das gleiche für den Treiber UACd.sys (z. B.: UACjkrpwvvu.dll etc.) Bitte melden ob gefunden und was gefunden (!genaue Bezeichnung!). Danach noch mal Combofix bzw. HJ und MAM probieren... |
Musste es zweimal laufen lassen, hab beim ersten mal den stick vergessen :( Hier das zweite Protokoll: PHP-Code: PHP-Code: |
Warte einen Augenblick muss erst mal durch das Log, dann machen wir weiter, bin gleich wieder bei dir |
Lass dir zeit, muss in die Uni Grüße Flo |
Dein Log ist lang, ich konnte aber nichts auffälliges sehen. Bei deinem Delete ordner handelt sich offensichtlich um einen Ordner der während der Vista Installation angelegt wurde. Du solltest Azureus, diesen Bit Torrent Client löschen, ebenso Bonjour ( brauchst du nicht ) und alles von Google ( Datensammler ) Hiernach CCleaner und nochmal ein frisches Hijack this bitte Was macht dein Rechner? Immer noch Auffälligkeiten? |
Im Augenblick ist der Rechner wieder ganz normal, sämtliche Anzeichen sind verschwunden :) Hier noch das neue HJT PHP-Code: |
Das sieht sehr gut aus Dann bitte diesen Eintrag fixen Code: O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)Für XP: -->Mit Start --> Ausführen --> msconfig [eintippen] / Reiter Systemstart kannst du, falls gewünscht, einige der dort gelisteten Programme vom Start herunternehmen. Für Vista: -> Alle Programme -> Zubehör -> Ausführen den Ausführen-Dialog öffnen und dort "msconfig" eintippen. Nachdem die Eingabe mit OK bestätigt wurde, öffnet sich auch schon ein Fenster namens "Systemkonfiguration". Hier kannst du dann einige der gelisteten Programme vom Systemstart ausnehmen. Doch Vorsicht !! Wer mit der Systemkonfiguration herumspielen will, sollte sich zuvor genau erkundigen, was die einzelnen Optionen, Dienste und Programme bewirken! Einige deiner Programme und Treiber sind hoffnungslos veraltet... Damit du deine Treiber immer auf dem neuesten Stand hast empfehle ich dir Secunia PSI Hier erhälst du einen schnellen Überblick über den Zustand deiner Treiber, Risiken und wie man diese Risiken mittels freien Downloads beseitigen kann. So hast du alle Treiber im Griff und immer auf dem neuesten Stand. Als alternativen Browser kann ich dir nur Firefox an Herz legen. Ad Block Plus und NoScript sind Erweiterungen, die du in den Firefox einbauen kannst. Lösche jedoch nicht den Internet Explorer, da du diesen für deine Updates brauchst. Lasse deine Windows Firewall immer an und verzichte auf andere Firewalls. Sun´s Java sollte immer auf dem aktuellsten Stand sein. Den Download findest du hier. Eine Alternative zu Outlook ist Thunderbird, der durch seine Technologie die sichere Variante ist. Auch diese Hinweise zu Punkt 3 ( Absichern des Systems ) sind angesagt. Entferne alle Programme die wir eingesetzt haben und stelle deine Systemwiederherstellung wieder an. Die Einstellungen Ordneroptionen / Verstecke und Systemdateien anzeigen solltest du wie oben unter Punkt 3 einstellen. CCleaner und MalwareBytes kannst du drauf lassen...NUTZE sie regelmäßig ( updates nicht vergessen ) CCleaner erhöht bei regelmäßiger Anwendung u.a. auch die Performance deines Systems. Als letzten Tip kann ich dir nur die Eintsllungen für den Avira Antivirus empfehlen, lies bitte hierzu folgende Seite. Ich wünsche dir in Zukunft sicheres surfen...... Nun war dein System leider bereits kompromitiert. Bei Kompromitierung solltest du dir die offizielle Stellungnahme von Microsoft durchlesen: Ich wünsche dir in Zukunft sicheres surfen und viel Spaß.... |
Hey Redwulf, vielen, vielen Dank!!! Werde deine Tips noch abarbeiten und hoffe du hörst so schnell nichts mehr von mir :) |
Man könnte den Beitrag auf "gelöst" :Boogie: setzen... Entweder ich bin dazu nicht berechtigt, oder ich blick nicht wie es funktioniert. |
Zitat:
Trotzdem schau hin und wieder mal rein. Es gibt immer Interessantes zu lesen.... Hier zu sein muss nicht unbedingt etwas negatives bedeuten....:cool: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:09 Uhr. |
Copyright ©2000-2025, Trojaner-Board