|
Popups - mit Logfile Hallo zusammen, ich habe bereits die Boardsuche benutzt aber nichts gefunden. Mein Bruder hat gestern einen Keygen runtergeladen und ausgeführt. Heute morgen habe ich den PC gestartet und nach etwa 20 Minuten öffnete sich der IE in einem kleinen Fenster mit "Drachenkriege". Ein "IQ Test" folgte 30 min später. Ein drittes Popup folgte ca. eine Stunde nach diesem. :mad: Ich bin allen Einträge im HJT Log auf den Infoseiten nachgegangen, kann aber immer noch nicht sicher sagen welcher Eintrag verantwortlich ist. :confused: Würde mich voll freuen wenn ihr mir helfen könntet. Code: Logfile of Trend Micro HijackThis v2.0.2Code: Datei keygen.Fraps.2.9.8.exe empfangen 2009.08.11 09:09:32 (UTC) |
Entschuldigt den Doppelpost. Das Problem hat sich leider verschlechtert. Der PC scheint komplett ausser Kontrolle zu geraten. Ich bin jetzt mit dem Laptop im Internet. Ich habe auch Radio von irgend einem englischen Sender gehört. Alle 5 Minuten kommen Slowdowns und Freezes für ca. 10-15 Sekunden, seit ich nicht mehr im Internet bin. Ausserdem kommen jetzt Fenster, in denen steht, dass "avgsrmax.exe hat ein Problem festgestellt und muss beendet werden. ... [Problembereicht senden] [Nicht senden]" Es kommt noch ein ähnliches Fenster, ebenfalls mit avg****.exe. Außerdem werden Programme die gerade laufen mit der gleichen Nachricht beendet. Ich hoffe dass mir vielleicht einer einen kleinen Tipp geben kann, was nun zu tun ist. Danke vielmals. |
Hi, Du hast einen Malwaredownloader auf dem Rechner und das wiederum heisst, das Problem wird immer schlimmer werden (wahrscheinlich sind jetzt bereits wieder neue Sachen runtergeladen worden, die im vorliegenden Log nicht enthalten sind)... Das kann eine never-ending-story werden (außer Neuaufsetzen)... Daher solltest Du Deinen Bruder an den Ohren aufhängen, bis er als Osterhase gehen kann... ;o)... So, dann wollen wir mal: Alle Tools vorher runterladen, installieren (MAM) und ggf. updaten (MAM)... Beschreibung ausdrucken und danach offline gehen, erst nach dem letzten Schritt online gehen, Logs posten und dann wieder offline (ab- und an nach Antworten möglichst von einem anderen Rechner aus schauen). Dass ist notwendig, weil wir nicht wissen was sich in der Zwischenzeit eingeschlichen hat... Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code: C:\DOKUME~1\XXX\LOKALE~1\Temp\b.exe Achtung! die **** gegen den richtigen Pfad tauschen!
Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://saved.im/mzi3ndg3nta0/aven.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Ersetzte in den Zeilen die *** (siehe Kommentar) und lass auch den Kommentar weg! Code: Files to delete:4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code: O4 - HKCU\..\Run: [Monopod] C:\DOKUME~1\XXX\LOKALE~1\Temp\b.exeMalwarebytes Antimalware (MAM). Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Fullscan und alles bereinigen lassen! Log posten. RSIT Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. * Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/) * speichere es auf Deinem Desktop. * Starte mit Doppelklick die RSIT.exe. * Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. * Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. * In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". * Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. * Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. * Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. * Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. Gmer: http://www.trojaner-board.de/74908-a...t-scanner.html Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. Weiterhin bitte AVIRA wie folgt einstellen (da gibt es auch eine neu Version!): Stelle Avira wie folgt ein: http://www.trojaner-board.de/54192-a...tellungen.html Führe einen Systemscan durch und poste das Ergebnis! Chris |
Vielen, vielen Dank für die Antwort. gegen Ende der Ausführung kamen auch keine "hat ein Problem festgestellt und muss beendet werden. ... [Problembereicht senden] [Nicht senden]" Fenster mehr. :daumenhoc VirusTotal b.exe Code: Datei b.exe empfangen 2009.08.12 06:25:04 (UTC)Code: Datei msxml71.dll empfangen 2009.08.12 06:31:10 (UTC)Code: Logfile of The Avenger Version 2.0, (c) by Swandog46 |
MAM Code: Malwarebytes' Anti-Malware 1.40 |
Hi, bitte den Rest entweder noch durchführen oder die Logs posten... chris |
RSIT log.txt Part 1 Code: Logfile of random's system information tool 1.06 (written by random/random) |
Part 2 Code: |
RSIT info.txt Part 1 Code: info.txt logfile of random's system information tool 1.06 2009-08-12 12:03:13 |
Part 2 Code: Update für Windows Internet Explorer 8 (KB972636)-->"C:\WINDOWS\ie8updates\KB972636-IE8\spuninst\spuninst.exe" |
Hi, auf die Schnelle, bitte sofort prüfen und ggf. "entsorgen": C:\Dokumente und Einstellungen\***\Anwendungsdaten\Macromedia\Common\4683002619.exe Virustotal und dann ev. über Avenger sofort löschen... Rest folgt gleich... Eintrag dann auch mit HJ nach dem Löschen mit Avenger fixen: O4 - HKCU\..\Run: [WAB] C:\Dokumente und Einstellungen\***\Anwendungsdaten\Macromedia\Common\4683002619.exe Den Eintrag aus der Firwall-Liste (zugelassene Apps) löschen: "C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\147.tmp.exe" Mist, da ist noch was: C:\WINDOWS\sdfixwcs.dll -> virustotal prüfen, kann teil eines Rootkits sein.... Acrobat mal updaten (es gibt Version 9 mittlerweile) chris |
GMER Part 1 Code: GMER 1.0.15.15020 [ivkyi1h5.exe] - http://www.gmer.net |
Ok. Part 2 Code: IAT \SystemRoot\System32\Drivers\as10kl8u.SYS[HAL.dll!KeGetCurrentIrql] CB033043 |
Hi, die Daemontools machen das Gmerlog immer sehr unübersichtlich, ich denke der Treiber SystemRoot\System32\Drivers\as10kl8u.SYS gehört zu ihnen, lass ihn wie die anderen vorangegangen mal bei virustotal prüfen. Unbedingt das macromedia-Teil prüfen und entfernen, das ist mit hoher Wahrscheinlichkeit ein faules Ei... chris |
Jo, scheint eins zu sein. Und ich muss es mir in dem kurzen Moment geholt haben, in dem ich kurz mit dem infizierten Desktop PC online war um MAM upzudaten (bin dauernd mit dem Laptop online). Bei der Firewall fällt mir auch was ein. Ich hab gestern einen kurzen Moment dieses Fenster "dem Programm erlauben die Firewall zu umgehen" oder so in der Art, gesehen, aber es war von alleine nach 1/2 Sekunde weg. VirusTotal 4683002619.exe Code: Datei 4683002619.exe empfangen 2009.08.12 14:12:45 (UTC)Code: Datei sdfixwcs.dll empfangen 2009.08.12 14:19:16 (UTC) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 06:57 Uhr. |
Copyright ©2000-2025, Trojaner-Board