Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Windows XP: Trojan.Infect, kein W-Lan, TuneUp Utilities (https://www.trojaner-board.de/144911-windows-xp-trojan-infect-kein-w-lan-tuneup-utilities.html)

Effi29 20.11.2013 17:26
Windows XP: Trojan.Infect, kein W-Lan, TuneUp Utilities
 
Hallo,

ich habe ein Rechner-Problem und hoffe, ich kann es als Laie gut genug erklären:

1.Ich habe auf meinem Rechner Windows XP und habe am letzten Montag von der Internetseite einer bekannten Computerzeitschrift eine Software herunterladen. Als ich den Rechner am nächsten Tag wieder gestartet habe, sah ich, dass diese Software noch die Installation einer anderen Software zugelassen hat. Und zwar TuneUp Utilities 2014. Ich kenne diese Software nicht und wollte sie daher deinstallieren. Das Deinstallieren funktioniert aber weder über die Systemsteuerung, noch über den Uninstall Manager. Der Rechner hängt sich auf. Ich habe dieses Programm NICHT gestartet.

2. Zugleich habe ich festgestellt, dass mein Internet nicht mehr funktioniert. Mein Rechner findet keine einzige Verbindung (mein Laptop, der vor dem Rechner steht schon und ein anderer Rechner im Haus ebenso). Ich habe dann mit Avira einen Suchlauf machen lassen. Es wurde nichts gefunden. Dann habe ich Malwarebytes und Spyware Terminator suchen lassen. Beide fanden Ergebnisse = Trojaner (siehe Anlage; Fund Spyware Terminator: Adware.Sweet.Bar).

3. Der Rechner kann nicht mehr normal runterfahren, da das Programm OneClickStarter (gehört zu TuneUp Utilities)es nicht zulässt. Es hilft nur den Stecker des Rechners zu ziehen.
Ich weiß nicht, was ich nun tun kann und bitte, wenn möglich, um Hilfe.

Vielen Dank und mit freundlichem Gruß

PS: Ich habe nach Anleitung der Checkliste Schritt 2 getätigt. Bei Schritt 3 ist mein betroffener Rechner abgestürzt

cosinus 20.11.2013 22:13
Hallo und :hallo:

Zitat:
Microsoft Windows XP Professional Service Pack 3 (X86) OS Language: German Standard
Microsoft Office Visio Professional 2007 (Version: 12.0.6612.1000)
Ist das rein zufällig ein gewerblich genutzter Rechner?

Und bitte auch unbedingt diesen Lesestoff zu WinXP zur Kenntnis nehmen:

Lesestoff:
Windows XP

Auf deinem Rechner läuft noch Windows XP. Microsoft hat dieses Betriebssystem bereits 2001 veröffentlicht und stellt den Support endgültig ab April 2014 ein, d.h. ab Mai 2014 gibt es keine weiteren Updates mehr und danach gefundene Lücken werden nicht mehr durch Updates/Hotfixes geschlossen werden können.

Mit Windows XP nach April 2014 zu surfen wird damit ein großes Sicherheitsrisiko. Du solltest dir jetzt unbedingt Gedanken machen, möglichst schnell auf ein aktuelleres Betriebssystem umzusteigen.

Effi29 21.11.2013 13:00
Hallo!

Nein, ich nutze den Rechner privat. Ich bin Studentin und habe den Rechner von meinem Vater geerbt.

Danke für den Hinweis bzgl. XP

Viele Grüße

cosinus 21.11.2013 13:35
Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
  • Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
  • Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
  • Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
  • Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.
http://www.trojaner-board.de/picture...&pictureid=307


Dann bitte jetzt Combofix ausführen:

Scan mit Combofix
WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link
  • WICHTIG: Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
  • Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
    Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die Endbenutzer-Lizenz.
    Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls etwas schief geht.
    Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
    Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.
  • Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
  • Wenn Combofix fertig ist, wird es eine Logfile erstellen.
  • Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.
Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

Effi29 21.11.2013 17:15
Okay Danke, ich werde es morgen nachmittag erledigen. VG

cosinus 21.11.2013 23:31
Ok, aber eine Bitte: lass solche Zwischenrufe, poste nur wenn es Probleme gibt oder wenn du die Logs hast (diese dann auch posten in CODE-Tags)

Effi29 22.11.2013 14:20
Hallo,

ich habe CombiFix auf dem betroffenen Rechner gestartet, nachdem ich alle Antiviren-Programme deaktiviert habe (Avira: Entfernung der Haken bei Echtzeit-Scanner und Browser-Schutz und Deaktierung von Spyware Terminator) und es ergeben sich folgende Probleme:

1. Trotz Deaktivierung von Avira zeigt mir CombiFix an, dass der Scanner von Avira noch aktiv sei.
2. Die Microsoft Wiederherstellungskonsole kann ich nicht herunterladen, da mein Internet nicht funktioniert.
3. Nach der "Stufe 50" des AutoScans erhalte ich eine Fehlermeldung (Bluescreen)

Ich habe es jetzt dreimalig versucht, erhalte aber immer wieder den Bluescreen:schmoll:

Vielen Dank

cosinus 22.11.2013 16:24
Starte Windows neu, lösch die alte combofix.exe, lade CF neu runter und probier es bitte nochmal.

Effi29 23.11.2013 00:52
Habe es noch 2x versucht. Alle Fehler wie zuvor auch tauchen auf. Es erscheint der Bluescreen.

cosinus 23.11.2013 16:25
Dann führ bitte MBAR aus:

Downloade dir bitte Malwarebytes Anti-Rootkit Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
  • Starte bitte die mbar.exe.
  • Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
  • Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
  • Klicke auf den CleanUp Button und erlaube den Neustart.
  • Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
  • Nach dem Neustart starte die mbar.exe erneut.
  • Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.
Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Effi29 25.11.2013 19:26
Hallo,

der Scan ergab folgendes:

Malwarebytes Anti-Rootkit BETA 1.07.0.1007
www.malwarebytes.org

Database version: v2013.10.02.12

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
VORNAME:: NACHNAME[administrator]

25.11.2013 18:45:20
mbar-log-2013-11-25 (18-45-20).txt

Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken
Scan options disabled:
Objects scanned: 258113
Time elapsed: 24 minute(s), 13 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

Physical Sectors Detected: 0
(No malicious items detected)

(end)


Eine Aktualisierung konnte ich nicht machen, da ich keine Internetverbindung habe bzw. wusste somit nicht wie.

cosinus 25.11.2013 20:05
Zitat:
Eine Aktualisierung konnte ich nicht machen, da ich keine Internetverbindung habe bzw. wusste somit nicht wie.
Bitte mal ein Log mit FSS machen:

Downloade dir bitte Farbar Service Scanner Farbar Service Scanner
  • Starte das Tool mit Doppelklick auf die FSS.exe
  • Gehe sicher, dass folgende Optionen angehakt sind.
    • Internet Services
    • Windows Firewall
    • System Restore
    • Security Center/Action Center
    • Windows Update
    • Windows Defender
    • Other Services
  • Klicke auf Scan.
  • Wenn das Tool fertig ist, wird es eine FSS.txt in dem Verzeichnis erstellen, wo das Tool gelaufen ist.

Poste bitte den Inhalt hier.



Effi29 25.11.2013 20:52
Okay, hier ist das Ergebnis:


Farbar Service Scanner Version: 23-11-2013
Ran by Ich (administrator) on 25-11-2013 at 20:48:20
Running from "C:\Dokumente und Einstellungen\Ich\Desktop"
Microsoft Windows XP Professional Service Pack 3 (X86)
Boot Mode: Normal
****************************************************************

Internet Services:
============

Connection Status:
==============
Localhost is accessible.
There is no connection to network.
Attempt to access Google IP returned error. Google IP is unreachable
Attempt to access Google.com returned error: Other errors
Attempt to access Yahoo.com returned error: Other errors


Windows Firewall:
=============

Firewall Disabled Policy:
==================


System Restore:
============

System Restore Disabled Policy:
========================


Security Center:
============


Windows Update:
============

Windows Autoupdate Disabled Policy:
============================


Other Services:
==============


File Check:
========
C:\WINDOWS\system32\dhcpcsvc.dll
[2004-08-13 12:40] - [2008-04-14 06:52] - 0127488 ____A (Microsoft Corporation) C29A1C9B75BA38FA37F8C44405DEC360

C:\WINDOWS\system32\Drivers\afd.sys => MD5 is legit
C:\WINDOWS\system32\Drivers\netbt.sys => MD5 is legit
C:\WINDOWS\system32\Drivers\tcpip.sys => MD5 is legit
C:\WINDOWS\system32\Drivers\ipsec.sys => MD5 is legit
C:\WINDOWS\system32\dnsrslvr.dll
[2004-08-13 12:40] - [2009-04-20 18:17] - 0045568 ____A (Microsoft Corporation) 407F3227AC618FD1CA54B335B083DE07

C:\WINDOWS\system32\ipnathlp.dll
[2004-08-13 12:40] - [2008-04-14 06:52] - 0334336 ____A (Microsoft Corporation) CAD058D5F8B889A87CA3EB3CF624DCEF

C:\WINDOWS\system32\netman.dll
[2004-08-13 12:40] - [2008-04-14 06:52] - 0198144 ____A (Microsoft Corporation) E6D88F1F6745BF00B57E7855A2AB696C

C:\WINDOWS\system32\wbem\WMIsvc.dll
[2004-08-13 12:51] - [2008-04-14 06:52] - 0145408 ____A (Microsoft Corporation) 6F3F3973D97714CC5F906A19FE883729

C:\WINDOWS\system32\srsvc.dll
[2004-08-13 12:53] - [2008-04-14 06:52] - 0171520 ____A (Microsoft Corporation) FE77A85495065F3AD59C5C65B6C54182

C:\WINDOWS\system32\Drivers\sr.sys
[2004-08-13 12:53] - [2008-04-14 06:32] - 0073472 ____A (Microsoft Corporation) 50FA898F8C032796D3B1B9951BB5A90F

C:\WINDOWS\system32\wscsvc.dll
[2004-08-13 12:40] - [2008-04-14 06:52] - 0080896 ____A (Microsoft Corporation) 300B3E84FAF1A5C1F791C159BA28035D

C:\WINDOWS\system32\wbem\WMIsvc.dll
[2004-08-13 12:51] - [2008-04-14 06:52] - 0145408 ____A (Microsoft Corporation) 6F3F3973D97714CC5F906A19FE883729

C:\WINDOWS\system32\wuauserv.dll
[2004-08-13 12:53] - [2008-04-14 06:52] - 0006656 ____A (Microsoft Corporation) 7B4FE05202AA6BF9F4DFD0E6A0D8A085

C:\WINDOWS\system32\qmgr.dll
[2004-08-13 12:53] - [2008-04-14 06:52] - 0409088 ____A (Microsoft Corporation) D6F603772A789BB3228F310D650B8BD1

C:\WINDOWS\system32\es.dll
[2004-08-13 12:40] - [2008-07-07 21:26] - 0253952 ____A (Microsoft Corporation) AF4F6B5739D18CA7972AB53E091CBC74

C:\WINDOWS\system32\cryptsvc.dll
[2004-08-13 12:40] - [2008-04-14 06:52] - 0062464 ____A (Microsoft Corporation) 611F824E5C703A5A899F84C5F1699E4D

C:\WINDOWS\system32\svchost.exe
[2004-08-13 12:40] - [2008-04-14 06:53] - 0014336 ____A (Microsoft Corporation) 4FBC75B74479C7A6F829E0CA19DF3366

C:\WINDOWS\system32\rpcss.dll
[2004-08-13 12:40] - [2009-02-09 11:51] - 0401408 ____A (Microsoft Corporation) 3127AFBF2C1ED0AB14A1BBB7AAECB85B

C:\WINDOWS\system32\services.exe
[2004-08-13 12:40] - [2009-02-09 12:21] - 0111104 ____A (Microsoft Corporation) A3EDBE9053889FB24AB22492472B39DC


Extra List:
=======
acsint(13) acsmux(14) AegisP(8) Gpc(6) hnmwrlspkt(10) IPSec(4) NetBT(5) Packet(9) PSched(7) Tcpip(3) Tcpip6(12) wsppkt(11)
0x0E0000000400000001000000020000000300000005000000060000000700000008000000090000000A0000000B0000000C0000000D0000000E000000
IpSec Tag value is correct.

**** End of log ****

cosinus 25.11.2013 21:04
Zitat:
There is no connection to network.
Lt. FSS hast du keine physikalische Verbindung.
Sicher, dass das Netzwerkkabel richtig steckt?

Effi29 25.11.2013 21:35
Ich stelle die Verbindung zum Internet mit einem Wireless usb Adapter her. Dieser funktioniert auch, findet nur an meinem betroffenen Rechner keinerlei drahtlose Netzwerkverbindung.


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:16 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19