Trojaner-Board - Bitte Hilfe-Mehrere kritische Trojaner

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Bitte Hilfe-Mehrere kritische Trojaner (https://www.trojaner-board.de/51331-bitte-hilfe-mehrere-kritische-trojaner.html)

hallo,
fixen mit hijackthis:
- do a system scan only
- haken setzen bei den von sunny genannten einträgen
- fix checked
- bestätigen

noch einmal: die run.exe ist nicht infiziert, die meldungen von 3 der 32 scanner
sind zu vernachlässigen.

wie lange fixwareout dauert, kann ich dir nicht sagen, aber wenn der thread
in dem tempo weitergeht, bist du vielleicht mit einem neuaufsetzen besser beraten.

Zitat:

Zitat von [GC]Sunny (Beitrag 332444)

@ikaruss

Bitte warte noch mit der Neuinstallation, man kann dein System mit großer Wahrscheinlichkeit bereinigen!

dafür folgendes:

[CENTER]

DNS-Einträge entfernen

Achtung:
Solltest du Probleme mit deiner Internet Verbindung bekommen:
Systemsteuerung > wähle Netzwerk und Internet Verbindungen oder mach einen
Doppelklick auf Netzwerk-Verbindungen > Klick mit der rechten Maustaste
auf Default Connection (Normale Verindung), das ist normalerweise die
örtliche Umgebung, Kabel oder DSL Verbindung > Klick mit der linken
Maustaste auf Eigenschaften > Doppelklick auf Internet Protocol (TCP/IP) >
wähle den Knopf der dafür steht, dass die DNS Verbindung automatisch
aufrecht erhalten wird > zweimal auf "OK" klicken > den Rechner neu
starten (Diese Einstellungen sind nicht auf allen Systemen gleich oder
vorhanden)

-Lade dir Fixwareout.exe herunter und speichere es auf dem Desktop.
-installiere das Tool und achte darauf das "Run fixit" aktiviert ist.
-klicke nun auf "Finish", der Scan wird starten und bald wirst du aufgefordert
einen Neustart durchzuführen, tu dieses. (der Neustart wird sich dann etwas verzögern, das ist normal!)

-achte nun auf die Hinweise die gegeben werden

Fixe nun mit HijackThis folgende Einträge im Logfile:

das verstehe ich nicht ganz...
Wozu ist das gut?

Zitat:

Zitat von Ikaruss (Beitrag 332698)

das verstehe ich nicht ganz...
Wozu ist das gut?

Das Programm fixewareout wird dein DNS im System erneuern und neu konfigurieren.

Derzeit werden alle Daten nicht nur über deinen Provider geleitet, sondern anschliessend über einen Server im Ausland umgeleitet.
Dieser Server filtert diverse Informationen aus deinen gesendeten und empfangenen Daten im Internet.

Ist das normal?
Oder kann das auch positiv sein oder MUSS ich das machen?

Ich finde diesen Punkt in der Systemsteuerung nicht wirklich...

Wie lange muss ich für deine "AbarbeitListe" Zeit aufwenden?
So um die 2 Stunden wären Optimal.

Zitat:

Zitat von Ikaruss (Beitrag 332702)

Ist das normal?
Oder kann das auch positiv sein oder MUSS ich das machen?

Ja! Das solltest du sogar unbedingt machen, denn es wird fremde Leute können derzeit ganz genau protokollieren was, wann, wie und wo du im Internet machst.

Zitat:

Ich finde diesen Punkt in der Systemsteuerung nicht wirklich...

Diesen Punkt brauchst du auch noch nicht finden, das ist nur als Info gedacht falls nach der Bereinigung dein Internet nicht mehr funktioniert!

Mach bitte hier weiter:

-Lade dir Fixwareout.exe herunter und speichere es auf dem Desktop.
-installiere das Tool und achte darauf das "Run fixit" aktiviert ist.
-klicke nun auf "Finish", der Scan wird starten und bald wirst du aufgefordert
einen Neustart durchzuführen, tu dieses. (der Neustart wird sich dann etwas verzögern, das ist normal!)

-achte nun auf die Hinweise die gegeben werden

Fixe nun mit HijackThis folgende Einträge im Logfile:

(Hijackthis starten -> Do a system scan only -> einen Haken setzen in folgende weiße Kästchen:)

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{8446E27C-2812-4B97-B8EF-D155265F610C}: NameServer = 85.255.114.99,85.255.112.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{E502C621-23BA-4A90-B03D-35E69D190322}: NameServer = 85.255.114.99,85.255.112.129
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.99 85.255.112.129
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.99 85.255.112.129
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.99 85.255.112.129

Wenn alle Einträge angehakt sind, klick auf den Button -> "Fix checked"
Der Rechner startet nun neu...

Ok Fixwareout währe erledigt...
Hier das Ergebnis:

Zitat:

Username "Ikaruss" - 07.04.2008 14:20:21 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check
HKLM\SOFTWARE\~\Winlogon\ "System"="kdeiy.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
"nameserver"="85.255.114.99 85.255.112.129" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{8446E27C-2812-4B97-B8EF-D155265F610C}
"nameserver"="85.255.114.99,85.255.112.129" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{E502C621-23BA-4A90-B03D-35E69D190322}
"nameserver"="85.255.114.99,85.255.112.129" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{3C1DB63D-0A58-4879-999C-36DB1A6AEF34}
"DhcpNameServer"="85.255.114.99,85.255.112.129" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{E502C621-23BA-4A90-B03D-35E69D190322}
"DhcpNameServer"="85.255.114.99,85.255.112.129" <Value cleared.

Der DNS-Auflösungscache wurde geleert.

System was rebooted successfully.

~~~~~ Postrun check
HKLM\SOFTWARE\~\Winlogon\ "system"=""
....
....
~~~~~ Misc files.
....
~~~~~ Checking for older varients.
....
~~~~~ Other
C:\WINDOWS\Temp\kdeiy.ren 76288 04.08.2004

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"Ai Remote Help"="\"C:\\Program Files\\ASUS\\AI Remote\\AiRc.exe\""
"SoundMAXPnP"="C:\\Programme\\Analog Devices\\Core\\smax4pnp.exe"
"SoundMAX"="\"C:\\Programme\\Analog Devices\\SoundMAX\\Smax4.exe\" /tray"
"JMB36X IDE Setup"="C:\\WINDOWS\\JM\\JMInsIDE.exe"
"JMB36X Configure"="C:\\WINDOWS\\system32\\JMRaidSetup.exe boot"
"AsusStartupHelp"="C:\\Programme\\ASUS\\AASP\\1.00.24\\AsRunHelp.exe"
"Ai Nap"="\"C:\\Program Files\\ASUS\\Ai Suite\\AiNap\\AiNap.exe\""
"ASUS ASAP USB"="C:\\Programme\\ASUS\\ASAP\\asapusb.exe"
"AVG7_CC"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgcc.exe /STARTUP"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"TrueImageMonitor.exe"="C:\\Programme\\Acronis\\TrueImage\\TrueImageMonitor.exe"
"Acronis Scheduler2 Service"="\"C:\\Programme\\Gemeinsame Dateien\\Acronis\\Schedule2\\schedhlp.exe\""
"EPSON Stylus CX3200"="C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\E_S10IC2.EXE /P19 \"EPSON Stylus CX3200\" /O6 \"USB001\" /M \"Stylus CX3200\""
"MMTray"="C:\\Programme\\MUSICMATCH\\MUSICMATCH Jukebox\\mm_tray.exe"
"Hofer_FotoSuite_Download"="\"C:\\Programme\\Hofer Foto Service\\Hofer_Foto_Service\\FotoSuite.exe\" /autorun"
"Ikarus-GuardX"="C:\\Programme\\Ikarus\\virus utilities\\bin\\guardxkickoff.exe"
"Drivers"="C:\\syslog\\run.exe"
"Sony Ericsson PC Suite"="\"C:\\Programme\\Sony Ericsson\\Mobile2\\Application Launcher\\Application Launcher.exe\" /startoptions"
"iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"ICQ"="\"C:\\Programme\\ICQ6\\ICQ.exe\" silent"
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~

Mit Hijackths kann ich diese nicht mehr fixen da diese schon weg sind...

Wo soll ich den CCleaner downloaden unter deinem Link kostet der ja was oder?

Was sagt mir dieses Fixwareout nun?
und wie kann ich es jetzt wieder entfernen?

Zitat:

schliesse alle Programme und Anwendungen mit Hintergrundwächtern inklusive der Firewall + Antivirusprogramme müssen deaktiviert sein (combofix)

wie soll ich virenprogramm deaktivieren und firewall und wozu?

Bitte alle Fragen beantworten.

hallo,

weis jetzt nicht ob das gewünscht ist aber

zu combofix

Zitat:

Zitat von Ikaruss (Beitrag 332774)

wie soll ich virenprogramm deaktivieren und firewall und wozu?

guckst du hier Ein Leitfaden und Tutorium zur Nutzung von ComboFix

ccleaner kostet nix zumindest die homeversion nicht.

gruß

DAs Programm Combofix verstehe ich nicht ganz...
Nur die Erklärung alle Programme schließen ist komisch und die Erklärung von Urmel klingt ganz schön kompliziert...
was ist zu tun und wa sist mit meinem vorigen Post?
[GC]Sunny...

Wo kann ich CCleaner Gratis downloaden?

Hallo
auf CHIP gibts den CCleaner umsonst.

Zitat:

Zitat von Ikaruss (Beitrag 332787)

DAs Programm Combofix verstehe ich nicht ganz...
Nur die Erklärung alle Programme schließen ist komisch und die Erklärung von Urmel klingt ganz schön kompliziert...

hast du dir den text zu combifix überhaupt durchgelesen?

dann hättest du heraus gefunden, dass man vor dem start von combifix alle programme + virenscanner+ firewall+ spybot oder adware usw. ausschalten soll.
da diese die funktion des programmes beeinträchtigen.
die maus sollte in der zeit in der combifix läuft nicht bewegt werden.

gruß

Ja habe ich aber wo deaktiviere ich das alles?

moin,

unten rechts in der startleiste.

gruß

Zitat:

Zitat von Ikaruss (Beitrag 332843)

Ja habe ich aber wo deaktiviere ich das alles?

Rechts neben der Uhr sollten die Symbole für Spybot S&D und dein Antivirenprogram.
Mach einen Klick mit der rechten Maustaste drauf, gehe auf beenden oder schließen. Beim nächsten Start sollte widerum alles aktiviert werden. ;)

die firewall kann ich ja lassen oder?
Ne Frage zu CCleaner.
Es entfernt ja nur MEINE Daten und nicht die der Restlichen 3 Benutzer...
Und seit ich das Programm startete bekam ich dauernd einen DNSChanger auf die Platte

Was muss ich bei Combofix nun deaktivieren?
http://s5.directupload.net/images/080408/6xzpwp8t.jpg

Bitte kannst du mir antworten?
Ich lasse inzwischen schon mal Malwarebytes Anti Malware laufen..