|
Bitte mal reinschauen Helferteam Hallo zusammen, Da einer meiner Rechner kürzlich Probleme hatte (Danke nochmal an Chris), möchte ich auch gern mal das HJT Log meines zweiten PC durchschauen lassen, ob da u.U. Auffälligkeiten zu erkennen sind. Wäre super :daumenhoc, wenn das jemand vom Helfer Team überprüfen könnte. Code: Logfile of Trend Micro HijackThis v2.0.2Marcus |
Hi nochmal, Habe noch etwas Merkwürdiges feststellen können. Bei Downloads auf Filepony werden ja die Versionen erst mit Klick auf "Download lastest Version" aktiv. Das funktioniert zwar mit dem IE, aber im Opera tut sich da nix (Im Gegensatz zu meinen anderen Rechnern, da geht es mit Opera). Woran könnte das liegen? Hat jemand eine Idee? Danke und Gruß, Marcus |
Hallo Gemeinde, hab das Opera Problem gelöst: Die Einstellung "Herkunft (Referrer) übertragen" war wohl der Knackpunkt. Sorry für die Anfrage. Kann das HJT-Log trotzdem bitte jemand auf Auffälligkeiten prüfen? Danke und Gruß, Marcus |
Dein Log ist sauber :) |
Zitat:
Zitat:
Cheers... |
Hallo und Danke, Ja - das weiss ich wohl - SP2 und IE6... Leider hat mir ein versuchtes Update des IE die Nutzeranmeldung zerschossen und daher mach ich die MS-Updates seeeeehr ungern. Hier aber noch mein RSIT nachdem Andreas mich mal wieder in die korrekte Richtung gewiesen hat. |
Zitat:
Er ist kompetenter...:o IMHO mit SP2 und IE6 wirst du eh nicht sehr weit kommen...:rolleyes: Cheers... |
Hallo, Zitat:
Mein Lieblingszitat von Marc: Zitat:
2.) Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an. ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!ciao, andreas |
Ja hallo Andreas, Mir schwante sowas an Zitat und das trifft mich tief! Ich weiss wohl, dass das Gegenteil von "Gut" "Gut gemeint" ist. Wobei ich nun aber mal sagen muss: Wenn jeder alles könnte, bräuchten wir uns in der IT nicht zu spezialisieren. Ich geb mir Mühe (Er hat sich stets bemüht...ich weiss...) - nur kamen folgende Einträge nur Aufgrund der letzten 3 Wochen und der Hinweise, was man alles scannen soll und was besser und schlechter ist und das alle Software ein update braucht, erst zustande: Zitat:
hier noch das austehende mbam-log: Code: Malwarebytes' Anti-Malware 1.40Danke, dass Du Dir die Zeit nimmst....Und sag mir bitte, wie ich es besser machen soll! Ich bin leider nicht so auf dem Draht und würde das gern lernen....aber Fragen, die man stellt werden ja zum Teil auch übergangen oder ignoriert (was auf's Gleiche rauskommt :) ). Combofix folgt noch (hab 2 kleine Jungs und bin die Woche über unterwegs - da muss ich schauen, wann ich Zeit finde alles zu machen) Viele Grüße, Marcus |
Hallo Andreas, Also bis auf den avast hab ich alles aus dem System entfernt. Muss der avast komplett raus oder reicht es den zu deaktivieren während des Scans? Wichtigere Frage: Wie lange wird der Scan ca. dauern? Ist das vergleichbar mit dem mbam? Dann würde ich es heute nicht mehr schaffen und müsste das auf kommendes WE verlegen. :( Danke und Gruß, Marcus |
So - jetzt versteh ich auch, warum ich avast deinstallieren sollte. Hab ich für den Scan gemacht, hier ist das Ergebnis vom Combofix. Vielen Dank und viele Grüße, Marcus |
Zitat:
Es gibt da einige sehr merkwürdige Einträge, die ich noch nicht zuvor gesehen habe. Die sehen für mich alle wie Schädlinge aus. Die Dateien sind z.T. nicht sichtbar, auch wenn du Schritt 1 ausführst. Es sind z.T. Rootkits. Markiere jeweils eine Zeile, kopiere sie und füge sie im Uploadchannel ein. Lade folgende Dateien Code: c:\huadio.tmpRootkitsuche mit SysProt:
|
Hallo Aandreas, 2 Dateien konnte ich finden und hab sie hochgeladen. Die hier konnte ich nicht finden, hab leider auch keine Zeit mehr heute und kann erst wieder kommenden Freitag weiter machen :mad: Code: c:\huadio.tmpViele Grüße, Marcus |
Zitat:
Zitat:
Zitat:
ciao, andreas |
Hi Andreas, bin zwar online, aber nicht an dem PC, den wir gerade in der Mangel haben. Ich danke Dir auf jeden Fall für den bisherigen Part! :dankeschoen: Würde mich dann kurz per PN melden, wenn wir den Rest rauswerfen können. Dann eine schöne Woche und auf bald...viele Grüße, Marcus |
Bitte. ciao, andreas |
Hallo Andreas, bin wieder online. Wenn Du Zeit haben solltest, könnten wir die beiden Rudimente entfernen. :snyper: Danke und Gruß, Marcus |
Wo ist das Log von Sysprot? ciao, andreas |
Hi Andreas, Sorry - meine Frau hat den PC blockiert - Wochenendplanung ;o) hier das log anbei, viele Grüße, Marcus |
1.) Laden, Entpacken, Ausführen, alles löschen lassen => http://dlpro.antivir.com/down/window...cleaner_de.zip 2.) Installiere (Toolbars immer abwählen, Haken weg):
3.) Start => Ausführen => combofix /u => OK 4.) Lade dir ein neues ComboFix auf deinen Desktop. 5.) Scripten mit Combofix
Code: KILLALL::
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. ciao, andreas |
Hallo Andreas, Bin vorher nicht dazu gekommen, alle Punkte zu bearbeiten. Die Punkte 1) und 3) hab ich erledigt, das Script liegt auch bereit, avast und den Reader hab ich auch drauf. Kann ich das Fixen mit Combofix auch vor der Installation von SP3 und IE8 durchführen? Dann würd ich mir vorher gern ein Image erstellen und dann die beiden Sachen installieren. Danke Dir und viele Grüße, Marcus |
Ja, ist sogar besser. Da können einige Einträge das erfolgreiche Update behindern. Avast erst ganz zum Schluß installieren, sonst macht der Ärger. ciao, andreas |
Hi Andreas, Avast hab ich deinstalliert, den RegCleaner von Antivir und CCleaner laufen lassen und habe dann Dein Script mit Combofix ausgeführt. Hier dann erst einmal das Log, bevor ich wieder irgend etwas installiere. Dann kümmer ich mich jetzt um ein Image und werde danach SP3 und IE8 in Angriff nehmen und danach dann avast aufspielen - es sei denn, Du hast noch zu prüfende Dateien oder Scripte zum Fixen. Vielen Dank und viele Grüße, Marcus |
HI Andreas, habe gerade nocheinmal die Einstellungen überprüft und festgestellt, dass nicht alle versteckten Dateien und Ordner sowie Systemdateien in der Ordneransicht aktiviert waren. Keine Ahnung warum, da dies schon immer meine Standardeinstellung war. Daher hab ich noch einen frischen ComboFix-Scan durchgeführt und das Log anbei gelegt. Sorry dafür und viele Grüße, Marcus |
Zitat:
Zitat:
ciao, andreas |
Hi Andreas, Danke für den Tipp - habe aber ein merkwürdiges Verhalten feststellen können. Nach dem ersten Einsatz von Combofix ist ab und an der xp-Stil nicht geladen worden. Auch unter Einstellungen zu "Anzeige" bekam ich nur "Wondows klassisch" angeboten. Das kam aber nach einem jedesmal durchgeführten Neustart dann nicht mehr vor. Bisher hatte ich das als nicht so wild abgelegt und dachte, das könne ich dann immer nochmal fragen - hab dazu auch nicht viel bei Google oder im Forum finden können. Dann hab ich mir grade "Paragon Drive Bachup Free" installiert, um mir ein Image zu machen. Dabei trat nach Neustart das Prob mit dem XP-Stil wieder auf. Also hab ich den Dienst "Designs" und die erweiterte Einstellung unter "System --> Erweitert --> Systemleistung --> Eistellungen --> visuelle Effekte --> visuelle Stile..." deaktiviert und wollte neu durchstarten, um dann neu zu aktivieren. Da kam dann die Meldung (so ähnlich)"Starten nicht möglich, da C:\WINDOWS\system32\system nicht vorhanden oder defekt" :eek: Da hat sich bei mir wieder Panik breit gemacht - hab den abgesicherten Modus probiert - nix zu machen. :headbang: Dann bin ich irgendwann auf die Wiederherstellungskonsole gegangen und hab mir die Dateien in System32 angeschaut - hab nix bemerken können (system.drv war da - bin da aber nur Laie) - neu durchgestartet, da lief das System wieder. Da lief dann aber die Windows Firewall nicht mehr. Zwischenzeitlich (vor der Paragon Installation) hab ich versucht Dienste wie "Unterbrechungsfreie Stromversorgung", "Ablagemappe" und ähnlichen Kram zu deaktivieren. Der von der Firewall abhängige RPC war nicht dabei. Jetzt hab ich eine Systemwiederherstellung auf den Punkt vor der Paragon Installation vorgenommen (alle anderen Punkte der Wiederherstellung waren auch nicht mehr da - muss ich mir Sorgen machen?) - jetzt sieht es vorerst normal aus - das Sicherheitscenter/Firewall läuft auch wieder. Gibt es ne plausible Erklärung dafür? Danke Dir und Gruß, Marcus |
Zitat:
Nun zerbrich dir nicht den Kopf über unwichtige Sachen. Ziehe dein Image, spiele die Updates auf, dann sehen wir weiter. ciao, andreas |
ok, Danke vorerst - dann mach ich das jetzt erstmal und meld mich dann. Viele Grüße, Marcus |
Hi Andreas, Sorry, dass es so lang gedauert hat. Schwere Geburt, erst hatte ich kein Glück und dann kam auch noch Pech dazu. Also das Backup hat funktioniert mit der "Paragon Drive Backup Free"-Software, aber erst, nachdem ich umständlicherweise das Seatools für DOS benutzte, um einen Festplattenfehler zu beheben. Durch den Fehler konnte ich das Backup nicht erstellen. Das normale Seatool für Windows funktionierte auf meiner Maxtor-Platte leider nicht. Bis ich raus hatte, dass ich es besser mit der DOS-Variante versuche, habe ich einige Tage gefummelt. Dann konnte ich nun auch endlich IE8 und das SP3 installieren. Hat auch funktioniert. Nun hab ich auch avast wieder installiert. :party: Ein Problem hab ich jetzt aber noch - unter dem SP3 bekomme ich die Windows Firewall nicht zum Laufen. Ich kann mir auch nicht erklären, woran das liegen soll. :headbang: Soll ich das System mit CCleaner nocheinmal säubern und Dir ein bestimmtes Log posten? Danke Dir und Gruß, Marcus |
Starte Malwarebytes, führe ein Update durch, lasse Scannen (Quickscan reicht) und poste das Log. ciao, andreas |
Hi Andreas, hier das Log: Code: Malwarebytes' Anti-Malware 1.40Viele Grüße, Marcus |
Start => Ausführen => combofix /u => OK Wie geht es dem Rechner? Gibt es noch Auffälligkeiten oder Meldungen? ciao, andreas |
Hi Andreas, soweit sieht es bisher ok aus - nur die Windows-Firewall läuft nicht - keine Ahnung, ob da ein bestimmter Service fehlt? Ich habe aber vor/bei und nach der Installation nichts geändert und vorher war sie aktiv. Dann würde ich jetzt noch mal durchstarten, säubern mit CCleaner und wieder neu starten. hier ein aktuelles HJT-Log: Code: Logfile of Trend Micro HijackThis v2.0.2Du bist aber auch immer lange vor dem Rechner aktiv, alle Achtung! |
Starte HJT => Do a system scan only => Markiere: Zitat:
Wegen der Firewall: Was sagt das Securitycenter? Lässt es sich darüber starten? Kommt eine Fehlermeldung? Wenn ja, welche? ciao, andreas |
Zitat:
Zitat:
Zitat:
Meldung: Code: Der Dienst "Windows-Firewall/Gemeinsame Nutzung der Internetverbindung" konnte nicht gestartet werden.- Der Rechner benötigt wesentlich mehr Zeit, um die grundlegenden Prozesse zu starten (ca 2 bis 3 Minuten mindestens - gefühlt 30 Minuten) - das ging vorher wesentlich schneller. - unter "Netzwerkumgebung" sehe ich nix mehr (auch im Systemtray nicht) - weder meine Firewire, noch LAN noch WLAN - die Option "Symbole für Netzwerk UPnP-Geräte einblenden" endet mit "Die Anwendung konnte nicht initialisiert werden" - dennoch startet er die WLAN-Anbindung bei Systemstart. Nicht normal, oder?:( |
Bei deinen Diensten hängt etwas quer. Start => Ausführen => cmd => OK Code: sc queryex > "%userprofile%\Desktop\services.txt" & notepad "%userprofile%\Desktop\services.txt" [Enter]ciao, andreas |
ok - kann wohl vorkommen - nicht schön, aber selten hoffe ich :schmoll: also hier das Ergebnis des Sys-Prozess-Scans: Code: SERVICE_NAME: aswUpdSv |
Tut mir wirklich leid - ab hier sehe ich nicht mehr ganz durch... (ich weiss, das macht es auch nicht besser) Schlag mich ruhig dafür :twak: |
Hi nochmal, also wenn ich in "autoruns" nachsehe, habe ich einige "File not found"-Einträge: Code: HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components was für ein Scheiß.....:headbang: |
Einige Dienste, die laufen müssten, laufen nicht. Dafür laufen jede Menge Dienste, die auf jeden Fall deaktiviert werden müssen. Mich wundern deine Probleme nicht wirklich. :( Deaktiviere alle Dienste, die Remote oder RAS im Namen tragen. Hier steht es genauer => Shutdown Windows' servers Nimm als Referenz meine Liste (die aus Faulheit nicht wirklich sicher ist, aber besser als deine) und stelle entsprechende Dienste auf automatisch gestartet ein. ciao, andreas |
Hallo Andreas, Ich werde mir die Dienste nachher vorknöpfen und mich an Deiner Liste orientieren. Soweit aber folgender Punkt: Mir fehlen tatsächlich DLL-Dateien nach der SP3 Installation. Diese fehlenden Dateien konnte ich in der System32 nicht finden. Daher habe ich sie mir dann von meinem anderen Rechner mit installiertem SP3 kopiert (nur die, die als fehlend gemeldet wurden und die Timestamp des SP3 trugen). Nun hab ich die Netzwerkverbindungen wieder und die Firewall funktioniert auch. Das kann ich doch aber nicht für alle fehlenden Dateien durchführen, oder? Mit der Installation sind wohl einige nötige DLL auf der Strecke geblieben. |
Ja. Bei dir hängt Einiges schief. :( Ich persönlich hatte noch keine Probleme bei der Installation von SP3 und kann mir deine Probleme nicht wirklich erklären. Neuinstallation wird immer empfehlenswerter. ciao, andreas |
Hi Andreas, Bitte droh mir nicht mit einer Neuinstallation - jezt haben wir schon soviel Arbeit hier investiert und ich bin Dir sehr dankbar für die Unterstützung. Gerade weil ich einige Stundensätze in dem Segment kenne, weiß ich zu schätzen, was Du hier für alle Hilfesuchenden privat investierst!! :daumenhoc Bin zwar noch nicht fertig, aber die "remote-Dienste" hab ich alle per autoruns und Suche danach gebannt. Bei den RAS-Diensten gab es dann im Anschluss Probleme mit dem Systemstart - hat wieder länger gedauert, daher hab ich sie dann reaktiviert. Sollte ich die dann mit try'n'error einzeln ausklinken? Seitdem ich die fehlenden dll für das Netzwerk wieder habe, ist der PC auch verdammt schnell beim Start! Bisher scheint es auch keine weiteren Probleme zu geben. Nur würde ich gerne die Inhalte der Ordner (system32) meiner beiden Systeme vergleichen, aber die angebotenen Funktionen der dir-Funktion machen es mir nicht sehr leicht (dir C:\WINDOWS\system32 /o:end > F:\info_test.txt) --> mit ls-Optionen oder kornshell-scripten komm ich besser zurecht :) Den Vergleich hab ich mit totalcmd versucht - aber so hübsch ist das dann auch nicht gewesen. Dateiinhalte unter DOS - hast Du da noch nen Tip für mich, wie ich zwei Dateien bzw. Ordner sehr paraktisch auf Inhalt vergleichen kann? Kann ich das SP3 ansonsten irgendwie auf Vollständigkeit respektive essentielle Funktion testen? Was sollte ich sonst noch scannen oder testen? Probleme habe ich so eigentlich bisher keine.:applaus: (hoffentlich nicht zu früh gefreut, denn wie heißt es so schön: Wer zu früh lacht, der lacht nicht als Letzter - oder so ähnlich :rolleyes:) Combofix hat mir, glaube ich, die übliche Autostartfunktion deaktiviert --> DVD, USB ect. Ich kann auch ohne leben, würde aber gern den Vorteil nutzen, so er nicht weiter für die Sicherheit ins Gewicht fallen sollte. Das kann ich mir wahrscheinlich aber auch er-google'n, oder? Danke und viele Grüße, Marcus |
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Du bist entlassen. :) ciao, andreas |
Hallo Andreas, chapeau monsieur - es war mir eine Ehre. Vielen Dank für Deine Hilfe! :dankeschoen: Dafür würd ich Dir gern einen :alc: ausgeben. Deine Ratschläge und Tips werde ich gern beherzigen. Wegen der UNIX-Tools: bin ich noch gar nicht drauf gekommen, dass es sowas auch für Windows geben könnte - dann werd ich mal suchen! Das kann einem das Leben doch manchmal erleichtern. Und "comp" kannte ich auch noch nicht, Danke auch dafür. Das letzte HJT liest sich dank Deiner Hilfe recht entspannt, hoffe ich. Zumindest kann ich jetzt auch die Einträge zuordnen! :taenzer: Dann bis die Tage - ich werde mich weiter hier tummeln. Code: Platform: Windows XP SP3 (WinNT 5.01.2600) |
:eek: Wo kommt denn der O20-Eintrag plötzlich her? Den unbedingt fixen. Ansonsten ist das ein schönes kurzes Log, damit kannst du dich überall blicken lassen. :) ciao, andreas |
- done - Oha, ich dachte, der gehört da hin, da die Autoruns automatisch von combofix deaktiviert wurden. In dem Reg-Schlüssel hab ich dann jetzt zusätzlich den Wert "FD" gesetzt beim Eintrag "NoDriveTypeAutoRun". Das Log ist ja Dein Verdienst, daher *Bier rüber reich* und *flupp*. |
:party: ciao, andreas |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 03:49 Uhr. |
Copyright ©2000-2025, Trojaner-Board