Trojaner-Board - Mögliches Multivirusproblem

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Mögliches Multivirusproblem (https://www.trojaner-board.de/90086-moegliches-multivirusproblem.html)

Mögliches Multivirusproblem

Hi,

mein Problem ist zweigeteilt:

1.
Von einer mir bekannten Person habe ich WIndows Live Messages erhalten und auf folgende Links geclickt und die Datei gespeichert:
- "h**p://ww*w.sykueyk.com.ar/facebook_gallery.php?image=DSC0014084920.JPG"
- "h**P://facebook.twitterbizzer.com/photo_id.php?=MEIN_USERNAME

Allerdings konnte ich kein erfolgtes Download feststellen. Allerdings gab es eine Fehlermeldung (ich glaube von IE), dass irgendwie etwas ausgeführt werden soll oder von außen zugreifen will, was ich abgelehnt habe.

2.
Nach einen vollständigen Systemcheck mit NORTON Internet Security zeigte sich kein Problem. Jedoch dto. direkt im Anschluss mit Ad-aware.
Allerdings scheint es sich da um ältere Viren zu handeln, die in Quarantäne geschickt wurden.
Danach trat keine Meldung mehr auf. Auch nicht mit ANtiMalwarebytes oder wie das heißt.

Nun würde ich gerne sicher sein, dass ich virenfrei bin. Zudem interessiert mich, welches konkretes Schadenspotential von den von Ad-aware erkannten Viren ausging und weshalb diese NIE von der Norton Software erkannt wurden.

Beigefügt habe ich:

- brandneues Logfile von hijackthis
- logfile des scan-ergebnisses durch ad-aware

UND

- ein screenshot von einer aktuell aufgetretenen IE-Fehlermeldung. Diese tauchte beim Hochladen auf. Vielleicht lag es aber auch daran, dass ich message mit den Web-Links wieder aufgerufen hatte um diese für die Nachricht hier abzuschreiben (ich wollte diese auch teilweise in fragmenten rauskopieren, was keine gute idee war).
Das o.g. hijackthis logfile habe ich deshalb nochmals erst danach erstellt.

Pls. help!!! Ich bin halt kein Profi und befürchte, da ordentlich Mist gebaut zu haben.

Vielen Dank vorab und viele Grüße

JoeK

Hallo und :hallo:

Klicke auf "Für alle Neuen", lies alles aufmerksam und arbeite die komplette Liste unter Punkt 2 (Alternative B) ab. Poste hier alle Logs.

Zitat:

Zudem interessiert mich, welches konkretes Schadenspotential von den von Ad-aware erkannten Viren ausging und weshalb diese NIE von der Norton Software erkannt wurden.

:D Also ich lasse AdAware immer deinstallieren und auf die Idee outlook.exe zu löschen, muss man erstmal kommen. :rofl:

Hole die Dateien aus der Quarantäne von AdAware und lade sie bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html

ciao, andreas

Hi Andreas,

vielen Dank für Deine Antwort.

Anbei noch die OTL-Files - ich dachte, dass man nur das eine oder das andere posten müsste.

Jetzt werde ich mich noch gleich um das Hochladen der von Ad-aware isolierten vermeintl. Trojaner kümmern.

Viele Grüße

JoeK

SO NUN SIND AUCH DIE VON AD-AWARE ENTDECKTEN "VIREN" GEMÄSS ANLEITUNG HOCHGELADEN!!!

So nun sind auch die von ad-aware entdeckten "viren" gemäss anleitung hochgeladen!!

Erstmal Entwarnung. Was dir zugeschickt wurde, wurde nicht gestartet und ist damit nicht schädlich. Besonders gespannt bin ich auf outlook.exe :stirn:

Weiter mit => http://www.trojaner-board.de/82699-m...tet-nicht.html

ciao, andreas

erstmal danke für die zwischennachricht. scan mit "malwarebytes" läuft!

Zwei Minuten warte ich noch. :)

ciao, andreas

beigefügt die malwarebytes-log-datei. so wie es aussieht, bin ich virenfrei.

jetzt bin ich nur noch gespannt, was die analyse der drei von ad-aware verdächtigten dateien ergeben hat ...

viele grüße

JoeK

Tut mir leid, aber die 2 Minuten sind um. :D

Zitat:

jetzt bin ich nur noch gespannt, was die analyse der drei von ad-aware verdächtigten dateien ergeben hat ...

Ich habe sie bei VT auswerten lassen. 2 Dateien mit 1/41, eine mit 6/41. Habe sie and die AVP-Hersteller geschickt. Kann etwas dauern, bis wir Antwort erhalten.

1.) Deinstalliere:

Google Toolbar for Internet Explorer
Ask Toolbar
Yahoo! Toolbar
Google Updater (falls möglich)
Ad-Aware
Adobe Reader 9.3.2
Google Update Helper (falls möglich)
Google Desktop (falls nicht erwünscht)

Die gelbe Pest ist mir auch ein Dorn im Auge.

2.) Installiere (Toolbars immer abwählen, Haken weg):

Adobe - Adobe Reader herunterladen - Alle Versionen oder besser Foxit Reader, Download bei heise

3.) Fixen mit OTL

Starte die OTL.exe.
Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
Kopiere folgendes Skript:

Code:

:OTL

SRV - (Lavasoft Ad-Aware Service) -- C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe (Lavasoft)

SRV - (YahooAUService) -- C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe (Yahoo! Inc.)

DRV - (upperdev) -- C:\Windows\System32\DRIVERS\usbser_lowerflt.sys File not found

DRV - (SYMREDRV) -- C:\Windows\System32\Drivers\NIS\1002000.007\SYMREDRV.SYS File not found

DRV - (SYMNDISV) -- C:\Windows\System32\Drivers\NIS\1007020.00B\SYMNDISV.SYS File not found

DRV - (SYMFW) -- C:\Windows\System32\Drivers\NIS\1007020.00B\SYMFW.SYS File not found

DRV - (SYMDNS) -- C:\Windows\System32\Drivers\NIS\1002000.007\SYMDNS.SYS File not found

DRV - (STHDA) -- C:\Windows\System32\drivers\stwrt.sys File not found

DRV - (NwlnkFwd) -- C:\Windows\System32\DRIVERS\nwlnkfwd.sys File not found

DRV - (NwlnkFlt) -- C:\Windows\System32\DRIVERS\nwlnkflt.sys File not found

DRV - (IpInIp) -- C:\Windows\System32\DRIVERS\ipinip.sys File not found

DRV - (blbdrive) -- C:\Windows\System32\drivers\blbdrive.sys File not found

DRV - (Lbd) -- C:\Windows\system32\DRIVERS\Lbd.sys (Lavasoft AB)

DRV - (Lavasoft Kernexplorer) -- C:\Programme\Lavasoft\Ad-Aware\kernexplorer.sys ()

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://de.yahoo.com

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = h**p://de.yahoo.com

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = h**p://www.t-online.de/

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = h**p://de.msn.com/?ocid=iehp

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 80 C2 CC ED 7F CF CA 01  [binary data]

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1

IE - HKCU\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll (Yahoo! Inc.)

O2 - BHO: (&Yahoo! Toolbar Helper) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll (Yahoo! Inc.)

O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll (RealPlayer)

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.

O2 - BHO: (Symantec NCO BHO) - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Norton Internet Security\Engine\17.7.0.12\coieplg.dll (Symantec Corporation)

O2 - BHO: (Symantec Intrusion Prevention) - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programme\Norton Internet Security\Engine\17.7.0.12\ipsbho.dll (Symantec Corporation)

O2 - BHO: (Windows Live ID-Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Common Files\microsoft shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)

O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)

O2 - BHO: (Adobe PDF Conversion Toolbar Helper) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)

O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.5.5126.1836\swg.dll (Google Inc.)

O2 - BHO: (CBrowserHelperObject Object) - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Programme\Dell\BAE\BAE.dll (Dell Inc.)

O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)

O2 - BHO: (SmartSelect Class) - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Programme\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)

O2 - BHO: (SingleInstance Class) - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Programme\Yahoo!\Companion\Installs\cpn0\YTSingleInstance.dll (Yahoo! Inc)

O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)

O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)

O3 - HKLM\..\Toolbar: (Norton Toolbar) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Norton Internet Security\Engine\17.7.0.12\coieplg.dll (Symantec Corporation)

O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)

O3 - HKLM\..\Toolbar: (Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll (Yahoo! Inc.)

O3 - HKCU\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)

O3 - HKCU\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)

O3 - HKCU\..\Toolbar\WebBrowser: (Norton Toolbar) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Norton Internet Security\Engine\17.7.0.12\coieplg.dll (Symantec Corporation)

O3 - HKCU\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)

O4 - HKLM..\Run: []  File not found

O4 - HKLM..\Run: [Adobe Acrobat Speed Launcher] C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe (Adobe Systems Incorporated)

O4 - HKCU..\Run: [ISUSPM] C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe (Macrovision Corporation)

O4 - HKCU..\Run: [Messenger (Yahoo!)] C:\Programme\Yahoo!\Messenger\YahooMessenger.exe (Yahoo! Inc.)

O4 - HKCU..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.)

O4 - HKCU..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\wmpnscfg.exe (Microsoft Corporation)

O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)

O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm ()

O8 - Extra context menu item: Google Sidewiki... - C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll (Google Inc.)

O8 - Extra context menu item: In Adobe PDF konvertieren - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)

O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)

O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)

O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()

O9 - Extra Button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll (Microsoft Corporation)

O9 - Extra 'Tools' menuitem : @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll (Microsoft Corporation)

O9 - Extra Button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe (PokerStars)

O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation)

O9 - Extra Button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()

O9 - Extra 'Tools' menuitem : @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()

O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} h**p://download.microsoft.com/download/e/4/9/e494c802-dd90-4c6b-a074-469358f075a6/OGAControl.cab (Office Genuine Advantage Validation Tool)

O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} h**p://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab (System Requirements Lab Class)

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} C:\Program Files\Yahoo!\Common\yinsthelper.dll (YInstStarter Class)

O16 - DPF: {44990301-3C9D-426D-81DF-AAB636FA4345} h**ps://www-secure.symantec.com/techsupp/asa/ss/sa/sa_cabs/tgctlsr.cab (Reg Error: Key error.)

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} h**p://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} h**p://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.)

O16 - DPF: {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA} h**p://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab (Java Plug-in 1.6.0)

O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} h**p://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} h**p://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)

O16 - DPF: {D27CDB6E-AE6D-11CF-35B8-444553540000} h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Reg Error: Key error.)

O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} h**ps://freetrial-de.webex.com/client/T27L/webex/ieatgpc1.cab (GpcContainer Class)

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} h**p://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)

O33 - MountPoints2\{287c64b3-ae9e-11de-bf1f-001c26dc3147}\Shell\AutoRun\command - "" = G:\Launcher.exe -- File not found

O33 - MountPoints2\{33879b7c-d290-11dc-b7ad-001c26dc3147}\Shell - "" = AutoRun

O33 - MountPoints2\{33879b7c-d290-11dc-b7ad-001c26dc3147}\Shell\AutoRun\command - "" = G:\LaunchU3.exe -- File not found

O33 - MountPoints2\{b222ebba-37b3-11de-bb19-001c26dc3147}\Shell\AutoRun\command - "" = H:\ernährungsmanager\ernährungsmanager.exe -- File not found

[2010.08.27 11:26:00 | 000,001,106 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job

[2010.08.27 10:29:45 | 000,000,370 | ---- | M] () -- C:\Windows\tasks\Ad-Aware Update (Weekly).job

[2010.08.27 09:26:00 | 000,001,102 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job

[2010.08.27 09:24:24 | 000,001,052 | ---- | M] () -- C:\Windows\tasks\Google Software Updater.job

@Alternate Data Stream - 158 bytes -> C:\ProgramData\TEMP:DFC5A2B2

@Alternate Data Stream - 122 bytes -> C:\ProgramData\TEMP:A8ADE5D8

:Commands

[purity]

[resethosts]

[emptyflash]

[emptytemp]

und füge es hier ein: http://image.hijackthis.eu/upload/hjt1-021.jpg
Schließe alle Programme.
Klicke auf den Fix Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
OTL verlangt einen Neustart. Bitte zulassen.
Nach dem Neustart findest Du ein Textdokument.
Kopiere den Inhalt hier in Code-Tags in Deinen Thread.

4.) Erstelle und poste neue Logs mit OTL.

ciao, andreas

hi andreas,

2 min. können manchmal doch ganz lang sein ...

wieder danke.

doch ein paar fragen habe ich:

- was bedeutet denn 1/41 und 6/41?
- das mit der deistallation ist klar. aber zerschiesst mir das OTL-fix nicht meine abode acrobat vollversion und das symantec internet security-programm?

- was meinst du denn mit "in die code-tags" kopieren. sorry, habe von der ganzen materie null ahnung!
- und davon unabhängig welche sicherungen soll ich vorher durchführen?

viele grüße

JoeK

Zitat:

- was bedeutet denn 1/41 und 6/41?

Von 41 Scanner hat 1 bzw. haben 6 Schädlinge gemeldet

Zitat:

das mit der deistallation ist klar. aber zerschiesst mir das OTL-fix nicht meine abode acrobat vollversion

Eigentlich nicht. Was weg kommt sind alles Dinge für den MSIE und das automatische Update, das selbst dann läuft, wenn überhaupt nicht mit dem Programm gearbeitet wird. Das Update funktioniert weiterhin, wenn du mit dem Programm arbeitest.

Zitat:

und das symantec internet security-programm?

Eigentlich nicht. Falls du die Treiber meinst, die ich lösche, da vermute ich, dass du schon länger mit der gelben Pest arbeitest. Die haben irgendwann die Treiber umgestellt und seitdem steht da "File not found".

Zitat:

- und davon unabhängig welche sicherungen soll ich vorher durchführen?

OTL legt selbst eine Sicherung an, die zurückgespielt werden kann.

ciao, andreas

hallo andreas,

habe alle programme wie vorgegeben gelöscht und das otl-fix ausgeführt.

dabei ist aber der pc abgestürzt!

es kam folgende fehlermeldung:

APPCRASH
OTL.exe
Anwednungsversion: 3.2.10.0
Anwendungszeit...: 2a425e19
Fehlermodulname: RPCR54.dll
Fehlermodulvers.: 6.0.6002.18024
Fehlerzeitstempel: 49f05bcc
Ausnahmecode: c0000005
Ausnahmedefekt: 000b0f4
Betriebssystemversion: 6.0.6002.2.2.0.768.3
Gebietsschema: 1031
Zusatzinformation 1: 7379
Zustatzinformation 2: 9f13c5a18e4403e2e73016d720f27f78
Zusatzinformation 3: 7379
Zustatzinformation 4: 9f13c5a18e4403e2e73016d720f27f78

(hoffentlich habe ich in meiner panik alles richtig abgeschrieben)

Der PC war schon innerhalb des Fixes am Löschen des temp. Speichers [emptytemp], als er sich aufhängte.
Über ALT/STRG/ENTF habe ich dann einen Neustart veranlassen wollen. Nach dem ABmeldescreen erschien dann folgende Meldung:

Accessviolation
at address 005B8276
in module "OTL.exe"
Read of address 00000000.

Nach dem ich auf OK klickte wurde zum Glück der Neustart ausgeführt!!!!

Aber es kam kein OTL-Protokoll wie von Dir beschrieben.

Daraufhin klickte ich den OTL.exe-Button auf dem Desktop an.

Da kommt dann weiter die o.g. Meldung:

Accessviolation
at address 005B8276
in module "OTL.exe"
Read of address 00000000.

Wenn ich nun auf OK-Button in dieser Meldung klicke, fährt OTL hoch. (Ist auch bei Wiederholung so)!

Was soll ich nun tun????????????

Das OTL-Fix wiederholen oder was anderes? HILFE!

Gruß

JoeK

Zitat:

dabei ist aber der pc abgestürzt!

Wenn du auf die Anzahl meiner Postings schaust, sollte dir auffallen, dass ich nicht erst seit gestern dabei bin. Das ComboFix schon häufiger Rechner geschrotet hat, ist kein Geheimnis. Das selbst Malwarebytes in wirklich nur einem meiner Fälle einem Rechner geschrotet hat, kannst du auch nachlesen (das ist ein Forum).

Ich habe dein Skript nochmal kontrolliert, da ist eigentlich nichts dabei, was das ausgelöst haben könnte.

Vergiss OTL, das waren nur Optimierungsmaßnahmen. Schädlinge sind in deinem Fall nicht zu entdecken.

Poste Logs mit http://www.trojaner-board.de/74910-a...tion-tool.html

ciao, andreas

OK. Im Übrigeb gilt bekanntlich: no risk, no fun.

Beigefügt sende ich Dir folgendes:

a) die Logs mit RSIT

und

b) die Logs mit OTL (die hatte ich schon vor deiner Antwort) angelegt, da - wie ich sagte OTL ja funktioniert, wenn man auf OK in der Fehlermeldung klickt.

Dann habe ich noch zwei typisch laienhafte Fragen:

a)
sind die folgenden gelöschten Treiber(???) nicht wichtig für das funktionieren der "gelben pest"??? "Intrusion Prevention hört sich so sauwichtig an.

Code:

O2 - BHO: (Symantec NCO BHO) - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Norton Internet Security\Engine\17.7.0.12\coIEPlg.dll File not found

O2 - BHO: (Symantec Intrusion Prevention) - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Program Files\Norton Internet Security\Engine\17.7.0.12\IPSBHO.DLL File not found

O3 - HKLM\..\Toolbar: (Norton Toolbar) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Norton Internet Security\Engine\17.7.0.12\coIEPlg.dll File not found

b)
sollte man nicht mit irgendeinem av-programm die drei vermeintlichen viren (siehe ausgangsproblem) in quarantäne stecken bis die auskunft von den software-herstellerm da ist???

Danke - auch für Deine Geduld!

vg

JoeK

PS. Irgendwie läuft der PC jetzt um garantierte 70% schneller!!!

Zitat:

sind die folgenden gelöschten Treiber(???) nicht wichtig für das funktionieren der "gelben pest"??? "Intrusion Prevention hört sich so sauwichtig an.

Ja. Allerdings nur, wenn man den MSIE benutzt (auch wenn der MSIE 8 als schwer zu hacken gilt, ich verwende ihn im Grundsatz nur für Windowsupdates und Online-AVPs). Siehe => HijackThis Anleitung - DeutscheÜbersetzung - Wie werte ich die LogDateien aus - Erklärungen dazu

Wenn du möchtest, kann ich dir noch weitere Links liefern.

Zitat:

sollte man nicht mit irgendeinem av-programm die drei vermeintlichen viren (siehe ausgangsproblem) in quarantäne stecken bis die auskunft von den software-herstellerm da ist?

Zwei davon sind definitiv FPs (False Positives), das dritte ist selbst bei 6/41 eher dazu zu zählen (vor allem, wenn man sieht, wer das als schädlich ansieht). Nähere Auskünfte kann ich dir nicht erteilen, da hier jemand meinte, meinen Ausschluss aus dem KT (Kompetenzteam) umzusetzen (ich wundere mich, dass ich noch zum Helferteam gehöre). Deshalb kann ich nicht die Antworten der AVP-Hersteller lesen und dir mitteilen.

Alle Logs bieten zwar ein erhebliches Potential für Optimierungen, geben allerdings nicht den geringsten Hinweis auf Schädlinge (mal abgesehen von der Ask-Toolbar => Adware).

Deshalb => Du bist entlassen. :)

ciao, andreas