|
trojaner probs gelöst nach malwarebytes? Hallo, hatte heut probleme mit meine Laptop. Windowsdefender hat mir mehrmals ne Trojanerwarnung gegeben... Der Trojaner wurde angeblich immer wieder vom system entfernt. weiß leider nich mehr wie der hieß... irgendwas mit win32 wurd mir immer gesagt. und es kam ein Problembericht von Windows: Viruswarnung: Auf dem Computer wurde der Virus W32/Gaobot.worm.gen.u - Win32/RBot.3eu!Worm gefunden. Habe dann mal Malwarebytes drüberlaufen lassen und danach HiJackThis. Ist jetzt wieder alles in Ordnung? Malwarebytes: Code: Malwarebytes' Anti-Malware 1.39HiJackThis: Code: Logfile of Trend Micro HijackThis v2.0.2Die Meldung mit dem Trojaner vom Windows-Defender kam seit dem neustart auch noch nich... |
Stelle Avira ein wie hier beschrieben, evtl noch auf Version 9 updaten. Wenn was gefunden wird dann in Quarantäne verschieben lassen, Log posten. Gruss Swiss |
habe Antivir wie beschrieben eingestellt. Es gab keine Virenfunde, nur 7 Warnungen! Log: Code: |
|
Als ich den Lappi gerade angemacht hab, kam ne meldung von antivir, dass der Trojaner c.exe gefunden wurde.. hab ihn in quarantäne geschoben. Hier die Sachen von rsit: log: Code: Logfile of random's system information tool 1.06 (written by random/random)Hoffentlich wird alles gut... |
info 1. Teil (da zu lang): Code: info.txt logfile of random's system information tool 1.06 2009-07-25 00:23:59 |
info 2. Teil: Code: =====Security event log===== |
>> LOP-uninstall Hinweis: falls der Virenscanner beim Download von LOP-uninstall reagiert, deaktiviere den Virenscanner kurzzeitig Download LOP-uninstall zum Desktop Fuehre bei “Uninstall verification“ die siebenstellige Zahl ein und klicke “Uninstall“ Klicke bei “Legal notice” ok Schliesse alle Fenster und klicke ok Warte…..und klicke bei “Uninstall complete for all users “ok >> Download Deljob.exe zum Desktop Doppelklick: Deljob.exe Ein logfile wird sich oeffnen (logit.txt) Kopiere den Inhalt des Berichts “ logit.txt in diesen Thread >> Scanne mit Superantispyware und poste das Log. Gruss swiss |
mh.. also hier erstmal die logit: Code: -------------------------------------------------------- und antivir hat gerade schon wieder was gefunden... a.exe und 2 mal Dldr.Swizzor.Gen, hab ich wieder in quarantäne gemacht. Es sind noch die aggressiven antivir eigenschaften aktiviert.. soll ich das wieder zurück ändern? Lass jetzt antispyware zu ende laufen, poste das log und mach dann morgen vormittag nochmal beides und vorher das LOP-Uninstall was du noch dazu geschrieben hast später... |
Ja, warten wir was Spuerantispyware findet. Dann Gute Nacht und bis morgen :) GrusS Swiss |
oh man... das hat ja nochmal ewig gedauert... knapp 2h später und diversem einschlafen von mir, hier das log zu superantispyware: Code: SUPERAntiSpyware Scann-ProtokollWünsch dir auch ne gute nacht! Oh man bin ich fertig... Bis denn |
Ja, arbeite LOP Uninstal ab und danach DelJob. Gruss Swiss |
Hey hoh, wenn ich auf den link lop-uninstall klicke, wird mir dieser Dldr.Swizzor.Gen von Antivir gemeldet... hab ihn immer in Quarantäne geschoben, aber so kann ich ja die exe nich runterladen. Was soll ich tun? |
Zitat:
Gruss swiss |
wenn ich avira deaktiviere, meldet sich der windows-defender, wenn ich das auch ignoriere, steht zwar da, dass es runtergeladen wurde, aber es is nix aufm desktop zum anklicken... sry, für meine Blödheit, aber wo muss ich jetzt was mit uninstall verification machen und was für ne siebenstellige Zahl? |
Doch, es sollte eine Datei auf dem Desktop sein: LOP-Uninstall.exe Drückst du Speichern dann wählst Du auch wirklich den Desktop aus? Gehe ansonsten unter SUCHEN und gib LOP ein. Gruss Swiss |
oki, nu hat es endlich geklappt. die logit von deljob: (ich glaub is nich anders als die zuvor..) Code: -------------------------------------------------------- |
Hier siehst du was du auf dem System hast: http://www.threatexpert.com/report.a...84a9f284de5e8c Anleitung Avenger (by swandog46) Lade dir das Tool Avenger und speichere es auf dem Desktop:
Bei xxx im Script noch die richtige Bezeichung (Name) einfügen. Code: Files to delete:
>> Arbeite datfindbat ab - poste von jedem log nur die Daten der letzten drei Monate. Gruss Swiss |
hier erstmal das von avenger: Code: Logfile of The Avenger Version 2.0, (c) by Swandog46 |
bei datFind gibts ne fehlermeldung: c:\dirdat.txt konnte nicht gefunden werden. ah jetzt.. |
dirdat, 1: Code: Datentr„ger in Laufwerk C: ist Anwedungen |
dirdat2, : Code: 21.01.2008 04:25 42.496 slcinst.dll |
dirdat, 3: Code: 21.01.2008 04:24 105.472 mtxoci.dll |
dirdat, 4: Code: 21.01.2008 04:23 513.536 wlansvc.dll |
dirdat, 5: Code: 02.11.2006 11:45 34.304 wlrmdr.exe |
last dirdat: Code: 02.11.2006 09:10 53.536 dosx.exe |
und wo soll ich jetzt ne neue datFind.bat finden? aufm desktop und dort wo dirdat war is nix.. oder meinen die auf der hp die geladene bat wieder? ich versuch die einfach.. |
2. mal doppelklick, letzte 3 monate Code: Datentr„ger in Laufwerk C: ist Anwedungen |
oh man... ich glaub das war wohl nix... hab da vorhin wohl was falsch gemacht :/ hat es jetzt nochmal mit den richtigen pfaden von vorhin versucht, aber da ging jetzt wohl gar nix mehr: Code: Logfile of The Avenger Version 2.0, (c) by Swandog46 |
SDFIX: - SDFix.zip entpacken nach C: - es erscheint folgende Meldung: "The SDFix Folder has been extracted to %systemdrive% - Please run from that location. (%systemdrive% = drive that contains the Windows directory typically C:\SDFix )" - unter C:\ findet man nun den SDFix-Ordner RunThis.bat doppelt klicken reinschreiben: 3 Sophos wird geladen waehle 6 - scanne "SophosReport.txt" (im SDFix-Ordner) - abkopieren >> Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein: Code: dir %Windir%\tasks /a h > files.txt - abspeichern unter : Dateityp: alle Dateien - speichere auf dem Desktop - Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text in deinen Thread im Sicherheitsforum Gruss Swiss |
wenn ich SDFix mit winrar entpacke erscheint diese meldung nich. wenn ich es direkt auf C entpacke und dann runthis klicke als admin und dann 3 auswähle (was irgendwas downloaden will, dieses sophos) wird gesagt, dass der Pfad nich gefunden wird.. ne auswahl 6 gibts gar nich in dem menu, nur 1-4 und A-D und E und U glaub ich |
Du musst dann intern in SDFIX die Dateien für Sophos nochmals entpacken und dann sollte es gehen. Gruss Swiss |
sry, aber da komm ich nich ganz mit... also ich entpacke die zip jetzt unter C... hab dann dort den Ordner... wie entpacke ich dann Sophos nochmal intern? in dem entpackten ordner gibt es: Add_DBFix_RunOnce_key, catchme, runThis, ReadMeOnline, W2K_VirusAltert_Repair, XP_VirusAlert_Repair... da steht XP, ich hab Vista, macht das einen unterschied? ich hab echt nich viel ahnung von sowas... sry... tut mir leid, dass ich so viel arbeit mache.. |
SDFIX geht eigentlich nicht mit Vista, aber dachte dass intern Sophos geht. Mach noch das ander was ich geschrieben habe ;) Gruss Swiss |
hab datei auf desktop gespeichert und doppelklick gemacht...da passiert nix... es öffnet sich die win-shell, schließt sich aber gleich wieder, kann nich ganz erkennen was da steht.. ein Pfad wird angegeben und ein Text das was nich gefunden wird glaub ich.. wie gesagt, is nichmal ne sekunde zu sehen oder was meinst du mit locate? ich soll ja auf die datei nur doppelklick machen ne?! als admin ausführen ändert auch nix dran komisch... nur gings: Code: Datentr„ger in Laufwerk C: ist Anwedungen |
Führe Avenger erneut aus mit folgendem Log: Code: Files to delete:Lade dir Lop S&D herunter. Führe Lop S&D.exe per Doppelklick aus. Wähle die Sprache deiner Wahl und anschließend die Option 2 (Suche) Warte bis der Scanbericht erstellt wird (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen) (Sollte dein Desktop verschwinden, drücke bitte Ctrl + Alt + Entf um den Taskmanager zu starten. Wähle unter Datei, neuen Task aus und gib dort explorer.exe ein) >> Nunn poste eine neues Malwarebytes Log (vorher updaten) >> Und ein neues Log von Hijackthis. Gruss swiss |
so habe alle schritte nacheinander ausgeführt. das log vom avenger hat sich leider gelöscht (sowie das programm), wurde von malwarebytes gelöscht... Die datei hatte aber gesagt, dass der Pfad und somit diese Datei die ich löschen sollte auch gelöscht wurde! das SD-log, lop R (Suche war option 1, nicht 2... hab nun 1 ausgeführt: Suche... hoffe das war richtig): Code: --------------------\\ Lop S&D 4.2.5-0 XP/VistaCode: Malwarebytes' Anti-Malware 1.39Code: Logfile of Trend Micro HijackThis v2.0.2 |
mir is grad übrigens mal aufgefallen, dass im TaskManager 3 Prozesse angezeigt, die keine Beschriebung haben und wo mir kein Pfad angezeigt wird (also wenn ich ausführe ohne Adminrechte).. - csrss.exe (als Admin werden keine Pfade angezeigt..) - winlogon.exe (vom System ausgeführt führt als Admin zum system32 Pfad) - rumdll32.exe (diese exe wird doppelt ausgeführt, einmal mit und einmal ohne Pfad) -> als Admin: ein Pfad führt zum Ordner System32 und einer zu windows- -> einmal vom SYSTEM und einmal von meinem Benutzername ausgeführt... |
und nochwas: wenn ich CCleaner laufen lasse wegen der registry is der eine Fehler immernoch da...wird behoben... is wieder da... Hoffe das geht bald noch weg... Hab vorsichtshalber kein Online-Banking mehr gemacht, sowie alle gespeicherten pw's gelöscht... |
Zitat:
Lass mal Security-Taskmanager von neuber laufen. Dann werden alle Prozesse ausgelesen udn gelistet: Winlogon.exe csrss.exe rundll32.exe >> Mach noch ein Onlinescan mit Prevx und berichte. >> Welcher Fehler denn genau?? Lass die Registry einige male nacheinander prüfen und schau ob er dann weg geht. >> Also gemäss LOP SD, Malwarebytes und HJT sieht alles wieder sauber aus. Gruss Swiss |
Liste der Anhänge anzeigen (Anzahl: 1) ja sry, meint rundll32.. hab ne pdf vom ergebnis des security task managers angehängt. hab CCleaner jetzt 10mal in der registry laufen lassen, folgender fehler tritt immer wieder auf: Code: Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}nu noch der online scan.. Edit: Prevx hat nix gefunden. |
Hättest Du gegoogelt, dann wüsstest Du was dieser Eintrag ist. Der gehört zu AVIRA :rolleyes: Dann dürfte wohl alles wieder sauber sein :) Kann im Anhang nichts schädliches erkennen. Was meint dann das Programm? Rote Einträge welche du nicht zuordnen kannst? >> Download OTM.exe zum Desktop Oeffne:OTM.exe (Vista benutzer, rechtsklick auf OTM.exe und waehle "Run as Administrator") OTM auf dem Desktop speichern OTM.exe klicken 1. klicken: CleanUp! button 2. cleanup.txt wird vom Internet geladen (von Firewall zulassen!) 3. Begin cleanup process? klicke: Yes. - "Do you want to reboot?" klicke Yes so wird von OTM automatisch alles an Tools entfernt, die zur Virenreinigung geladen wurden Gruss Swiss |
*kopf@tisch* ja.. sry, hätt mal googlen sollen *g* mein Fehler... ja konnte alles Programme zu ordnen. prima, alles entfernt und bin wieder sauber \o/ vielen Dank für deine Hilfe!! (= |
Gern geschehen :) Und wenns mal wieder nicht tut wies soll dann trojaner-board.de :) Gruss und happy Surfing Swiss :singsing: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:02 Uhr. |
Copyright ©2000-2025, Trojaner-Board