ich habe folgendes Problem:
hab mir vorgestern das virus ThinkPoint eingefangen und es nach der Beschreibung hier im Forum entfernt.
Ich bin nach den folgenden Beschreibungen vorgegangen:
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
emrah55
11.12.2010 00:13
Hi,
habe otl laufen lassen wie du es gesagt hast.
Es kam eine Meldung, die hieß:
Cannot create file C:\Windows\System32\drivers\etc\Hosts
Danach gings nicht weiter. Habe Otl geschlossen und musste neu starten.
Nach dem neustart wurde ich erst gefragt ob ich otl wirklich ausführen will.
Habs bestätigt und im dann erscheinenden logfile stand folgendes:
Files\Folders moved on Reboot...
File move failed. C:\Windows\System32\drivers\etc\Hosts scheduled to be moved on reboot.
Registry entries deleted on Reboot...
Gruß
cosinus
11.12.2010 14:24
Mach zur Kontrolle bitte neue Logs mit OTL
emrah55
11.12.2010 19:21
Hi,
wusste nicht genau welchen Schritt du jetzt meinst. Deshalb habe ich jetzt beides nochmal gemacht.
Die 2 logfiles vo dem ersten Schritt den ich machen sollte sind im Anhang.
Den 2. Schritt habe ich auch nochmal gemacht. Die Meldung kam wieder jedoch ist das logfile jetzt etwas länger:
All processes killed
Error: Unable to interpret <[resethosts]> in the current context!
Error: Unable to interpret <[emptytemp]> in the current context!
Error: Unable to interpret < > in the current context!
OTL by OldTimer - Version 3.2.17.3 log created on 12112010_181450
Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen. Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
emrah55
12.12.2010 20:04
Hi,
Combofix Logfile:
Code:
ComboFix 10-12-11.06 - Emrah 12.12.2010 19:42:32.1.2 - x86
Microsoft Windows 7 Home Premium 6.1.7600.0.1252.49.1031.18.1977.1108 [GMT 1:00]
ausgeführt von:: c:\users\Emrah\Desktop\cofi.exe
AV: Kaspersky PURE *Disabled/Updated* {AE1D740B-8F0F-D137-211D-873D44B3F4AE}
FW: Kaspersky PURE *Disabled* {9626F52E-C560-D06F-0A42-2E08BA60B3D5}
SP: Kaspersky PURE *Disabled/Updated* {157C95EF-A935-DEB9-1BAD-BC4F3F34BE13}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
((((((((((((((((((((((( Dateien erstellt von 2010-11-12 bis 2010-12-12 ))))))))))))))))))))))))))))))
.
3. Speichere im Notepad als CFScript.txt auf dem Desktop.
4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)
5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.
6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
emrah55
13.12.2010 14:17
Combofix Logfile:
Code:
ComboFix 10-12-11.06 - Emrah 13.12.2010 13:58:04.2.2 - x86
Microsoft Windows 7 Home Premium 6.1.7600.0.1252.49.1031.18.1977.1270 [GMT 1:00]
ausgeführt von:: c:\users\Emrah\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\users\Emrah\Desktop\CFScript.txt
AV: Kaspersky PURE *Disabled/Updated* {AE1D740B-8F0F-D137-211D-873D44B3F4AE}
FW: Kaspersky PURE *Disabled* {9626F52E-C560-D06F-0A42-2E08BA60B3D5}
SP: Kaspersky PURE *Disabled/Updated* {157C95EF-A935-DEB9-1BAD-BC4F3F34BE13}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
- - - - - - - > 'lsass.exe'(544)
c:\program files\Acer Bio Protection\PwdFilter.DLL
.
Zeit der Fertigstellung: 2010-12-13 14:11:55
ComboFix-quarantined-files.txt 2010-12-13 13:11
ComboFix2.txt 2010-12-12 18:57
Vor Suchlauf: 15 Verzeichnis(se), 107.719.774.208 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 107.668.918.272 Bytes frei
- - End Of File - - 775378AFA1FBC72762AFF59FAD954112
--- --- ---
:dankeschoen:
cosinus
13.12.2010 14:39
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.
Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
Doppelklick auf die MBRCheck.exe. Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur eine Sekunde.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes
emrah55
13.12.2010 17:03
Hallo,
habe alles im Anhang.
Die online Abfrage durch isam habe ich ausversehen doch ausgeführt.
Ich hoffe das ist nicht so schlimm:
OSAM Logfile:
Code:
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 16:50:43 on 13.12.2010
OS: Windows 7 Home Premium Edition (Build 7600), 32-bit
Default Browser: Mozilla Corporation Firefox 3.6.13
Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures
Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries
c:\program files\dassault systemes\B19\intel_a\code\clr\catjaddotnetsetup.exe.beforespk (Trojan.Agent) -> Quarantined and deleted successfully.
Dassault, B19 = CATIA V5 R19
Woher hast du diese CATIA-Installation? :rolleyes:
emrah55
14.12.2010 20:58
Von einem Freund.
Der hat sich das irgendwo runtergeladen.
Wenn du willst kann ich dir den Link besorgen.:daumenhoc
Gruß,
Emrah
cosinus
15.12.2010 11:19
Ich kann mir schon denken was "Irgendwo" heißt. Dubiose Quelle, gecracktes CATIA. :pfui:
Eine Lizenz dieser Software ist sündhaft teuer!
emrah55
15.12.2010 11:33
War nur ein Angebot.
Aber echt Danke für die Hilfe.
Super Seite hier. Werde ich auf jeden Fall weiterempfehlen.
Eine Frage hätte ich aber noch:
bei manchen Programmen kommt die Meldung "ist keine zulässige Win32-Anwendung" wenn ich es öffnen will.
Das ist auch erst nach dem Virus passiert.
Hast du da vielleicht eine Idee woran das liegen könnte?
Gruß
Emrah
cosinus
15.12.2010 11:52
Was sind "manche" Programme?
emrah55
15.12.2010 11:55
Um mich mit dem Hochschulnetz zu verbinden benutze ich openVPN.
Hier ist auch ein Programm dabei, mit dem ich mich mit den Laufwerken der Hochschule verbinden kann. Bei diesem Programm kommt immer die Meldung.
Gruß
Emrah
cosinus
15.12.2010 12:12
Installier das Programm neu.
Wenn das nicht geht, wirst du wohl eine Neuinstallation von Windows vornehmen müssen, da eine gecrackte CATIA-Installation bei dir drauf ist.
emrah55
15.12.2010 12:20
Neuinstlliert hab ich es schon.
Aber was hat denn das eine mit dem anderen zu tun.
:balla:
cosinus
15.12.2010 13:16
Wer gecrackte Programme nutzt, bekommt hier keinen Support. :)
emrah55
15.12.2010 13:27
Ach da liegt also das Problem.
Leider ist es so, dass ich das Programm für mein Studium brauche,
und als Student hat man bekanntlich nicht so viel Geld für ein Programm.
Vor allem wenn das Programm, wie du auch schon gesagt hast,
ein paar tausend € kostet.
Trotzdem Danke für die Hilfe bis her.
cosinus
15.12.2010 14:51
Zitat:
Leider ist es so, dass ich das Programm für mein Studium brauche,
und als Student hat man bekanntlich nicht so viel Geld für ein Programm.
Seltsame Argumentation.
Wenn ich ein Notebook brauche fürs Studium, klau ich ja auch nicht gleich das nächstbeste im Computerladen :stirn:
Vllt erkundigst du dich mal beim Hersteller. Es gibt auch Studentenversionen/-lizenzen für deutlich weniger Geld.
Alle Zeitangaben in WEZ +1. Es ist jetzt 04:57 Uhr.
