|
Malware-Verdacht. Meldung: K2E0mhoo5 funktioniert nicht mehr. Liste der Anhänge anzeigen (Anzahl: 2) Liebes Trojaner-Board-Team, zunächst vielen Dank, dass ihr euch in diesem Forum engagiert und Menschen wir mir, die nicht so viel Ahnung von Computern haben, so schnell und kostenlos weiterhelft! Echt spitze!! Zu meinem Problem: Seit gestern poppt nach dem Windowsstart folgende Meldung auf: "K2E0mhoo5 funktioniert nicht mehr" (siehe Screenshots im Anhang). Ich kann online nach einer Lösung suchen und das Programm schließen oder einfach das Programm schließen. Bei beiden Optionen passiert nichts. Weder was 'schlimmes', noch was 'gutes'. Insgesamt fühlt sich mein System auch okay an, keine Verlangsamung oder dergleichen. Wie komme ich nun auf euer Forum? Bei der Fehlermeldung wird mir der Anwenungsname "rgotgkjgbt.exe" gegeben und wenn ich nach diesem google, dann lande ich immer bei euch - das hat mich stutzig gemacht! Außerdem habe ich seit wenigen Wochen ein zweites Problem: Wenn ich in Thunderbird E-Mails von meinem Uni-Account versenden möchte, klappt das zwar, die gesendeten Mails werden aber nicht in den 'Gesendet-Ordner' verschoben, so dass ich keine Kontrolle über meinen Mailverkehr habe. Die freundlichen IT-Helfer von der Uni konnten mir auch nicht helfen; alle meine TB-Einstellungen seien korrekt. Sie meinten, dass ich evtl. einen Virus oder dergleichen hätte. Wegen der Fehlermeldung und den Mail-Problemen bin ich also hier. Meine Log-Files sind im Anhang. (Wie kann ich die den posten, so dass sie so schön übersichtlich mit Scrollbar dargestellt werden?) Bei Defogger hatte ich das Problem, dass er mich nach dem Scan nicht zu einem Neustart aufgefordert hat. "defogger_disable by jpshortstuff (23.02.10.1) Log created at 12:49 on 11/06/2011 (***) Checking for autostart values... HKCU\~\Run values retrieved. HKLM\~\Run values retrieved. Checking for services/drivers... -=E.O.F=-" Was meint ihr? Ist mein System infiziert? Vielen Dank im Voraus und beste Grüße Tsoukas |
du meinst sicher in code taks, da bin ich aber nicht so wählerisch bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
Das ging mal schnell! Vielen Dank für die rasche Antwort! Im Anhang findest du den gewünschten Bericht. |
hallo, öffne computer c: rechtsklick qoobox. dann mit winrar oder zip packen und im upload channel hochladen. dateiupload: http://www.trojaner-board.de/54791-a...ner-board.html |
Alles klar, eben hochgeladen. |
machst du onlinebanking einkäufe oder sonst was wichtiges mit dem pc? |
Ja. Das ist mein einziger Laptop und den benutze ich ständig für alles mögliche - auch Online-Banking und Online-Shopping. |
das ist nix gut. du hast einen spyeye trojaner, dieser ist einer der ausgeklügelsten im moment. rufe sofort die ban kan, lasse onlinebanking sperren. notfallnummer: 116 116 dieses gerät muss, da wir für eine bereinigung nicht garantieren können, neu aufgesetzt werden. bitte sichere zuerst alle wichtigen daten. dann formatieren, windows neu instalieren, falls du hilfe benötigst, bescheid geben. dann zeige ich dir, wie man das gerät richtig absichert. dann müssen alle passwörter geendert werden. |
Puh, schöner Schlamassel. Habe meine Karten sperren lassen. Auf den Banking-Seiten was einzugeben traue ich mich nicht mehr... Kann ich denn meine externe Platte anschließen und eine Sicherung machen? Oder wird sie dann infiziert? Wenn sie das nicht schon ist? Und meine USB-Sticks? Ich habe 'ne Partition. Muss ich c: und d: formatieren oder reicht die Windows-Partition? Ich melde mich sicher nochmal wegen des Neuaufsetzens, ich versuche das jetzt mal vorzubereiten, bin aber kein Crack :( Danke schon mal! |
c: reicht. die teile haben, soweit ich das sehe, keine autorun funktion um externe laufwerke zu infizieren, aber sicherheitshalber deaktiviere autorun: Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de die daten prüfen wir später, wenn das neue system neu aufgesetzt und abgesichert ist. |
Okay, ich deaktiviere autorun und versuche dann Windows neu aufzusetzen. Doch da fängt das Problem schon an: Bei meinem alten Thinkpad hatte ich da so'ne Windows 'Sicherheitspartition' und mit ein paar Klicks war das Ding firsch da. Nur habe ich jetzt einen EeePC ohne CD-ROM-Laufwerk und ich stehe gerade komplett auf dem Schlauch (bin auch ziemlich aufgeregt wegen dem Trojaner und der Bank und so), wie ich das Teil neu aufsetzen soll? Weist du wie das geht? Vielen Dank für deine Diagnose und die Hilfe! |
ne du deaktivierst autorun und sicherst dann deine daten. ein grund zur aufregung besteht nicht, selbst wenn geld weg gekommen ist, hast du angemessen reagiert, und der bank bescheid gegeben, womit du dein geld zurück bekommen würdest. also, durchatmen. 1. schau mal im handbuch, ob dort was drinnen steht, dein gerät muss auch so ne software haben. bzw mal im programme menü gucken, recovery, quick recovery irgend sowas. 2. falls dus net findest, mal den genauen gerätetypen |
Okay, ich habe mich beruhigt :) Ich habe 'autorun' deaktiviert und bin dabei meine Daten zu sichern und die Neuaufsetzung des Systems vorzubereiten. Würde es auch eine Systemwiederherstellung über den Menüpunkt in der Systemsteuerung bei Windows 7 tun? Oder hilft das nicht?? Ansonsten gingte auch das: Beim Hochfahren kann ich F9 drücken und dann kommt es zur "Systemwiederherstellung über die Wiederherstellungspartition". Ist das die angemessene Variante? Ich melde mich spätestens, wenn es um die Absicherung des 'jungfäulichen' Systems geht. Dank & Gruß |
die f9-variannte ist die richtige. |
Lieber markusg, vielen Dank für deine schnelle Hilfe!! Ich habe meinen Laptop neu aufgesetzt. Gerne würde ich nun auf dein Angebot zurückkommen und mir Tipps zur Absicherung einholen. Antivir habe ich eben schon installiert... |
ok. start suchen windows update enter dann unter wichtige updates so lange instalieren bis es nichts mehr gibt, also auch nach neustart die seite wieder aufrufen, auch bei optionale. dann unter windows update, einstellungen, so konfigurieren dass updates automatisch geladen werden. http://www.trojaner-board.de/96344-a...-rechners.html hier alles unter vista / windows 7 und allgemeines abarbeiten! außerdem den abschnitt Maßnahmen für ALLE Windows-Versionen abarbeiten. als antivirus kannst du zb avast nutzen. pdf zur anleitung gibts hier: http://www.trojaner-board.de/127580-...igurieren.html denke die haben das beste gesammt angebot für kostenlose produkte. als browser opera. falls er dir nicht zusagt, passe ich die anleitung für nen andern browser an um das surfen sicherer zu machen, würde ich sandboxie empfehlen. Download: http://filepony.de/download-sandboxie/ anleitung: Sandbox*Einstellungen | (als pdf) hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn du das programm instaliert hast, werden sie klar. den direkten datei zugriff bitte auf opera beschrenken, bei Internetzugriff: opera.exe öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung. dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok. somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern. wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen. 1. es gibt dann noch ein paar mehr funktionen. 2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig. 3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen. eine sandbox ist eine isulierte umgebung aus der kein programm raus kommt. um die volle wirkung zu erreichen muss alles umgesetzt und eingehalten werden. alle benötigten verknüpfungen fürs eingeschrenkte konto nach c:\benutzer\Default\desktop bzw \startmenü kopieren. so sind sie für alle sichtbar wenn du fragen hast, probleme, oder erfolgreich warst, melde dich bitte. wenn du online banking betreibst, lese den passenden abschnitt, die card reader gibts verbilligt bei den banken. ist ein sehr sicheres verfahren. |
Danke! Ich bin (bzw. mein Laptop ist) dabei die Windows-Updates zu insatllieren. Und dann werde ich die "Anleitung: Maßnahmen zur Absicherung des Rechners" abarbeiten. Ich habe sehr lange Firefox benzutz und würde ganz gerne mein altes Profil improtieren und diesen Browser dann auch weiterhin verwenden. Könntest du deine Hinweise für Firefiox anpassen? |
Bin so gut wie durch (bis auf die Sandbox natürlich). Kann ich denn jetzt gefahrlos meine externe Platte und meine Sticks verwenden? |
hi, ich würd eher auf den opera setzen. 1. weniger systemlast, also arbeitsspeicher. 2. viel mehr funktionen von haus aus. 3. zumindest bei mir, wesendlich schneller. 4. sicherer als der firefox. wenns aber unbedingt ff sein muss, folgendes beachten: als adon noscript, es werden dadurch einige scripts (java) zb blockiert, du kannst diese dann frei geben, in dem du auf der seite, die freigegeben werden soll, nen rechtsklick machst, noscript wählst, und temporär alle berectigungen aufheben wählst, somit werden sie für den besuch aufgehoben, oder alle beschrenkungen aufheben, somit wird die seite freigegeben. das kann man natürlich wieder rückgängig machen. http://filepony.de/download-noscript// adblock+ um werbung zu blockieren: http://filepony.de/download-adblock_firefox// hier gibt es noch filterlisten: Bekannte Filterlisten fr Adblock Plus hier würde ich 2 oder 3 deutsche filter auswählen. unter sonstiges die malware blocklist. sandboxie für den ff: um das surfen sicherer zu machen, würde ich sandboxie empfehlen. Download: http://filepony.de/download-sandboxie/ anleitung: Sandbox*Einstellungen | (als pdf) hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar. den direkten datei zugriff bitte auf firefox.exe und plugin-container.exe beschrenken, hier kannst du auch noscript und andere plugins eintragen. geht auch unter c:\windows\sandboxie.ini unter dem eintrag defauld box OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\prefs.js OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\bookmarks.html OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\sessionstore.js OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\adblockplus\patterns.ini bei Internetzugriff: firefox.exe und plugin-container.exe eintragen öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung. dort auf anwendung, webbrowser, firefox. direkten zugriff auf lesezeichen erlauben auswählen und auf hinzufügen klicken, dann auf ok. wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen. 1. es gibt dann noch ein paar mehr funktionen. 2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig. 3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen. klicke anstelle des browser symbols jetzt immer auf sandboxed web browser. den rest hast du schon komplett umgesetzt, mit backupsoftware etc? |
Backupsoftware installiere ich gearde. Sandbox habe ich schon eingerichtet. Fühlt sich für mich noch sehr neu und ungewohnt an. Installiere ich das Backup-Tool jetzt 'in der Sandbox'? Wann kann ich denn meine externe Platte und meine Sticks einstöpseln? Würde gerne meine FF und TB Profile wieder anwenden und Office installieren. |
hi, das backup tool außerhalb der sandbox. und zwar wie folgt: wenn du ein programm hast, welches du mal austesten willst, kannst du dir über sandbox menü eine neue sandbox einrichten, nenne die zb test box wenn du ein programm nur austesten willst, machst du nen rechtsklick drauf, in sandboxie starten, wählst die test box und kannst dann dass programm austesten. wenn du fertig bist, gehst du über sandboxie kontrol, sandbox menü, testbox und entleerst die, somit ist das getestete programm nicht mehr auf dem pc, außer der installer. wenn du alles komplett umgesetzt hast, schließe deine sticks etc an, und mache, nach avast update, einen scan über alle laufwerke. dann, wenn alles sauber ist, daten kopieren. |
Mmmh, bekomme meine externe Platte nicht angezeigt. Und avast meldet bei meinem Stick "Einige Daten können nicht überprüft werde." --> E:\Autorun.inf. Der Panda hat's jedenfalls geimpft. Liegt es daran, dass ich autorun deaktiviert habe? |
wird die platte unter "computer" angezeigt? wird der stick denn dort angezeigt? ja, könnte daran liegen das die prüfung nicht klappt. greift avast denn auf die nicht angezeigte platte zu? |
Mmmh, war wohl ein Staubkorn im USB-Port... Jetzt wird die Platte unter "Computer" angezeigt und avast und Panda haben sie auch für gut befunden! Yeah! Was mache ich mit dem USB-Stick? Diese "autorun.inf" kann nicht gescannt werden? |
die ist geschützt, deswegen kann avast wohl nicht zugreifen, das ist io so. |
Hi markusg, nochmals vielen Dank für deine kompetente und schnelle Hilfe. Habe mittlerweile avast gegen Kaspersky Pure ausgetauscht. Nun habe ich meine externe Platte nochmals angeschlossen und einen Scan durchgeführt. Kaspersky hat noch Trojaner gefunden (und gelöscht): 19.06.2011 15:02:04 Gefunden: Exploit.Java.CVE-2010-0840.b F:\***\Backup Set 2010-12-21 161628\Backup Files 2011-03-28 152834\Backup files 1.zip/C\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\8\10f6f088-1ce2c59e/setup/lang.class 19.06.2011 15:03:04 Gelöscht: Exploit.Java.CVE-2010-0840.b F:\***\Backup Set 2010-12-21 161628\Backup Files 2011-03-28 152834\Backup files 1.zip/C\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\8\10f6f088-1ce2c59e/setup/lang.class 19.06.2011 15:07:45 Gefunden: Exploit.Java.CVE-2010-0840.b F:\***\Backup Set 2011-03-28 155937\Backup Files 2011-03-28 155937\Backup files 2.zip/C\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\8\10f6f088-1ce2c59e/setup/lang.class 19.06.2011 15:09:19 Gelöscht: Exploit.Java.CVE-2010-0840.b F:\***\Backup Set 2011-03-28 155937\Backup Files 2011-03-28 155937\Backup files 2.zip/C\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\8\10f6f088-1ce2c59e/setup/lang.class Weil die Trojaner im Windows-Backup stecken und ich von der externen Platte bisher nur mein TB- und FF-Profil kopiert habe, bin ich entspannt. Oder sollte ich besser nicht entspannt sein? Soll ich die Backups komplett löschen?? (Wäre nicht tragisch, weil bei der Neuaufsetzung die D: Partition erhalten blieb.) Dank & Gruß! |
das ist ein backup aus dem märz, die neuen kannst du aufheben. oder lösch alle und mach n neues. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:38 Uhr. |
Copyright ©2000-2025, Trojaner-Board