|
Internet stürzt ab, Task-Manager blockiert - Wurm? Hallo zusammen,und zwar habe ich folgendes Problem : Seit 2Tagen bricht die Internetverbindung plötzlich ab, den Task-Manager kann ich auch nicht mehr starten weil folgende Meldung erscheint : Der Task-Manager wurde durch den Adminstrator deaktiviert. Als es das erste mal passiert ist kam eine Meldung dass meine Firewall deaktiviert wurde (oO). Ich hoffe man kann mir helfen ,wenn noch was is : fragen. Code: Logfile of Trend Micro HijackThis v2.0.2 |
Hallo, Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien (sofern diese noch existieren) bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen: Code: C:\WINDOWS\system32\audit.exeDie Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen. |
Hey,erstmal danke für die Hilfe Die Dateien die rauskamen File-Upload.net - Data.rar Virustotal klapt bei mir nicht aber habnun ein andres problem: Die erste Datei die ich scannen sollte gibts bei mir nicht, die andren beiden finde ich nicht , schon "C:\DOKUME~1" gibts nicht,was soll dieses DOKUME~1 sein ? |
C:\DOKUME~1 ist die alte DOS-Schreibweise für Datei- und Ordnernamen mit mehr als acht Zeichen. C:\DOKUME~1 ist nichts weiter als C:\Dokumente und Einstellungen |
Bitte ComboFix ausführen, genau an folgende Instruktionen halten!! ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Wichtig! Bitte die combofix.exe per Rechtsklick, "Ziel speichern unter" unter smss.exe abspeichern! Besonders hartnäckige Malware erkennt eine combofix.exe und würde sich vor ihr gezielt verstecken! Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code] |
Die Dateien finde ich immernoch nicht,obwohl ich in dem Ordner suche und alle Dateien angezeigt werden (Einstellung Ordneroptionen). Ich starte gleich mal "smss.exe" und melde mich wenns fertig ist |
Code: ComboFix 09-09-18.02 - xxx 19.09.2009 14:12.1.1 - NTFSx86 |
Dass ComboFix sich umbenennt dürfte i.O. gehen. Läuft der Taskmanager wieder? Kannst Du die Windows-Firewall wieder aktivieren? Erstell bitte auch ein neues RSIT-Logfile und poste es. (wieder über file-upload.) |
Task Manager geht nicht : Der Task-Manager wurde durch den Adminstrator deaktiviert. Firewall ist ok File-Upload.net - log.txt |
1. Einträge mit HijackThis fixen Bitte alle Anwendungen inkl. Browser schließen und folgende Einträge mit HJT fixen (falls noch vorhanden): Starte HijackThis => Do a system scan only => mache vor folgenden Zeilen einen Haken (sofern diese noch existieren) und klicke dann unten den Button "Fix checked": Code: O4 - HKLM\..\Run: [YSearchProtection] "C:\Programme\Yahoo!\Search Protection\SearchProtection.exe"2. Avenger Direkt nach dem Fixen den Avenger bitte anwenden: Vorbereitungen: a) Deaktiviere den Hintergrundwächter vom Virenscanner. b) Stöpsele alle externen Datenträger vom Rechner ab. Danach: 1.) Lade Dir von hier Avenger: Swandog46's Public Anti-Malware Tools (Download, linksseitig) 2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen: http://mitglied.lycos.de/efunction/tb123/avenger.png 3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code: registry values to delete:5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. |
Code: Logfile of The Avenger Version 2.0, (c) by Swandog46Ich bin aber schon Admin. Edit: Kriege immer eine Fehlermeldung : Generic Host Process for Win32 Services hat ein Problem festgestellt und muss beendet werden. |
So,nun passieren merkwürdige Dinge << Zum einen diese Fehlermeldung aus meinem vorherigen Post, nun krieg ich beim Internetabsturz auch so eine Meldung: http://img524.imageshack.us/img524/2237/unbenanntvt.png Und dann verändert sich die Ansicht,sprich : Anstatt diesem Standard blauen Balken von WindowsXP, krieg ich dieses alte graue Design von damals als Taskleiste. edit:hab grad ein wenig im internet rumgesucht,könnte es sein dass tuneup09 die adminstratorrecht deaktiviert hat? |
Was willst Du überhaupt mit der T-Online-Software?? Die brauchst Du nicht, um ins Internet zu gehen, selbst ohne Router. WinXP hat schon passende DSL-Treiber dabei => Ratgeber: DSL einrichten unter Windows XP - Netzwerktotal.de Hast Du die Einträge mit Hijackthis gefixt? Wenn ja, bitte ein neues Logfile erstellen und hier posten. Langsam vermute ich auch, dass der Schädlingsbefall Dein aktuelles Benutzerprofil gelöscht hat. Erstell mal bitte unter Systemsteuerung, Benutzer und Passwörter ein neues Konto mit Adminrechten und ein zweites mit einfachen Benutzerrechten. Teste mit dem zweiten Adminkonto wie die Sache da aussieht, mit dem eingeschränkten Konto solltest Du in Zukunft arbeiten, denn man surft nicht mit Adminrechten! |
Code: Logfile of Trend Micro HijackThis v2.0.2 |
Irgendwas muss ich da noch übersehen, oder es versteckt sich hartnäckig :( Da sind immer noch solche laufenden Prozesse: Code: C:\DOKUME~1\xxx\LOKALE~1\Temp\rhlja.exeSystemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
|
EXTRAS 2shared - download Extras.Txt OTL http://www.2shared.com/file/7930789/3aaa0e98/OTL.html Auf dem Admin Konto hab ich immernoch die Meldung "keine adminstratorrechte" :/ |
Bitte mal den Avenger anwenden Vorbereitungen: a) Deaktiviere den Hintergrundwächter vom Virenscanner. b) Stöpsele alle externen Datenträger vom Rechner ab. Danach: 1.) Lade Dir von hier Avenger: Swandog46's Public Anti-Malware Tools (Download, linksseitig) 2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus. Die Haken unten wie abgebildet setzen: http://mitglied.lycos.de/efunction/tb123/avenger.png 3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code: 5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. |
Code: Logfile of The Avenger Version 2.0, (c) by Swandog46 |
Und wieder ein frisches RSIT Log bitte. |
|
Code: C:\DOKUME~1\Iliri\LOKALE~1\Temp\lpwcx.exeich vermute daher ein aktives Rootkit bei Dir auf dem Rechner. Wenn Du weiter machen willst, dann befolge die Anleitung zu GMER, ansonsten kannst Du auch einfach und effektiv dem Spuk ein Ende bereiten: Formatieren und Neuaufsetzen. Edit: Schau auch mal bitte nach, ob Du eine der Dateien bei Virustotal auswerten lassen kannst. Falls keine mehr da ist mit den Dateinamen: Das scheinen zufällig generierte Dateinamen im Temppfad zu sein, werte dann eine aus, die in etwa das gleiche Dateinamensmuster haben. |
Ah..ich wollte von anfang an genau dieses neu aufsetzen verhindern aber mir war klar dass es letzten endes die bessere wahl ist .. Vielen Dank für deine bisherige Hilfe ^^ Kannst du mir viellt Tipps geben worauf ich achten muss damit sowas nicht wieder passiert? Mhh..nun müsste ich schaun wo ich diese verflixte CD gelassen hab .. :kloppen: edit: diese verflixte virustotal seite lässt sich nicht öffnen :/ sonst würde ich gerne was posten |
Mich würde bevor Du neu aufsetzt, aber das Ergebnis von GMER interessieren. Lt. MalwareBytes war/ist da ein Bifrost-Backdoor aktiv :eek: |
Code: GMER 1.0.15.15087 - http://www.gmer.net |
Ok, letzter Versuch (nein ich gebe nicht auf :kaffee:) A. das "alte" Combofix deinstallieren über Start, Ausführen combofix /U eintippen und mit Ok bestätigen B. Combofix erneut herunterladen, wieder in die smss.exe schon beim Downloaden umbenennen C. Scripten mit Combofix: Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. VORSICHT lange Liste!! Code: KILLALL::4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die umbenannte combofix.exe (smss.exe in Deinem Fall), so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. http://users.pandora.be/bluepatchy/m...s/CFScript.gif 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann! |
Wie gesagt,ist nicht die komplette Liste gewesen,hab unterbrochen bzw gestoppt soll ich das neue nun machen oder erstmal das komplette GMER posten ? |
Das mit Combofix haste noch nicht gemacht? mach ruhig mal. :) |
Nene ich meinte das GMER das ich machen sollte woraufhin du meintest ich solle combofix laufen lassen^^ das war nicht komplett weil ich weg musste , soll ich das erstmal komplett laufen lassen oder reicht dir etwa das bisschen ;D |
Achso, das meintest Du. nein, mach mal ruhig erst das mit Combofix - danach dann den kompletten Lauf mit GMER. :party: |
GMER Code: GMER 1.0.15.15087 - http://www.gmer.netsorry dass ich mich erst so spät melde aber hatte einiges zu tun |
Zitat:
Was ist mit der Auswertung der Dateien? In Posting #21 hab ich das hier geschrieben: Zitat:
C:\Dokumente und Einstellungen\Iliri\Lokale Einstellungen\Temp\xlqwb.exe Das fett gedruckte xlqwb.exe ist nur ein Beispiel, die Dateinamen sind anscheinend bei jedem Windowsstart anders. Achte auf ähnlich zufällige Dateinamen in diesem Pfad und werte die bei Virustotal aus. Alle Ergebnisse posten auch die Prüfsummen und Dateigrößen!! BTW: Ich weiß, ich hab hier auch zeitraubende Anleitungen gegeben, aber schon mal überlegt wie oft Du in der jetzigen Zwischenzeit schon formatieren und neuaufsetzen hättest können? :D |
wie schon mehrmals gesagt: das geht nicht,virustotal wird einfach nicht geöffnert (sprich,die seite virustotal.com) ^^* Jaaa mir ist klar wie oft ich das hätte tun können :rolleyes: aber da war ein gewisser arne der noch weitermachen wollte ;D und nun möcht ich auch weitermachen hiermit :D Achja : Mein eigentliches Problem ist gelöst ^^ Sprich die Sache mit dem Internet, bleibt noch das mit dem Task Manager ;D (Ist allerdings ein neues Problem hinzugekommen aber dazu mach ich eventuell n neuen thread irgendwann mal ^^) |
Probier mal statt Virustotal diese beiden Alternativen: http://www.viruschief.com/ Jottis Malwarescanner |
--- bitte ignorieren, Beitrag doppelt |
Der Pfad in dem die Dateien sein sollen : Imageshack - trov Die Fehlermeldung,kommt jedesmal wenn ich den Rechner starte Imageshack - fehlerg von den beiden seiten die du angegeben hast klappt nur die eine, nämlich viruschief allerdings kann ich die dateien nicht auswählen da ich wenn ich die ordneroptionen so einstelle dass alle dateien angezeigt werden die einstellungen sobald ich den ordner verlasse wieder zurückstellen :x |
Drei Dateien sind in dem Beispiel: aehf.exe boqglt.exe ntlcce.exe (Wenn ich das richtig entziffert habe) Diese drei Dateien mal bei file-upload.net hochladen und hier verlinken. |
mh die sind nichtmehr da, dafür hab ich nun 6 neue da,könnten die das problem verursachen ? http://img96.imageshack.us/img96/9289/troo.png |
Ja, genau darum geht es, die heißen immer anders. Schnapp Dir diese Dateien und lad sie bei file-upload.net hoch. Am besten vorher die Dateien zippen und mit dem Standardpasswort infected versehen. |
|
*kurz einspringe* ThreatExpert Report: Trojan-Downloader.Win32.Agent.bqbt, Backdoor.Trojan, Generic Proxy.. Das ist der Hauptgewinn. Code: Datei windctj.exe empfangen 2009.09.20 21:36:13 (UTC)Code: Datei winfevv.exe empfangen 2009.09.25 13:26:40 (UTC)Code: Datei 4b8bfb86 empfangen 2009.10.01 23:20:25 (UTC) |
Tja, wir hätten eher abbrechen sollen, wär ich mal eher auf die Idee gekommen, die Dateien bei file-upload.net hochladen zu lassen :kaffee: Du solltest bei dieser Lage den Rechner neu aufsetzen => http://www.trojaner-board.de/51262-a...sicherung.html Du bist entlassen :kloppen: |
wieso plötzlich diese entscheidung? ^^ achja : hab von der telecom nen brief bekommen . ich habe scheinbar spam nachrichten ohne ende verschickt , sprich werbung etc. :D toller virus :D |
Weil du gleich mehrere Spambots auf deinem Rechner hattest bzw. noch hast. Ich meinte, dass wäre eindeutig im Threatexpert-Link zu erkennen. Die Emails gingen aber alle nach Italien. :D Jetzt nimm die verseuchte Kiste endlich vom Netz, bevor dir dein Provider den Internetzugang sperrt. ciao, andreas |
Wie ich schon sagte, wir hätten eher die Dateien bei file-upload.net hochladen sollen, dann hätte ich Dir auch eher sagen können, dass Du plattmachen und neuaufsetzen solltest. |
mööp :D ok dann danke für deine hilfe bisher cosinus ^^ ich mach des dann morgen ;D |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:38 Uhr. |
Copyright ©2000-2025, Trojaner-Board