|
Vista AntiVirus 2008 - Virus Alert in der Taskleiste Hallo zussamn, Ich habe mir wohl einiges eingefangen. Es kommt immer die Meldung das ich Vista AntiVirus installieren sollte, weil mein PC unsicher ist etc. etc. Ich habe im abgesicherten Modus bereits Panda scannen lassen, hat aber nur 2 infizierte Dateien gefunden, die nach dem löschen sofort wieder da waren :schmoll: Ich bin nicht sehr begabt was Viren angeht (welche einfangen ja, loswerden nein). DOch dieses mal würde ich meine Festplatte gerne vorm formatieren schützen, da ich viele Fotos nur auf dem PC habe und auch meine Facharbeit noch auf der Platte ist. Ich hoffe ihr könnt mir helfen mfg croe P.S. Ich wollte schon so ein HijackBericht machen, aber der PC hat das bisher nicht so ganz mitgemacht.. €dit: Ich kann Hijack auch nicht herrunterladen. Jedes mal wenn ich es versuche ist die Website down/die Gefahr vor Viren zu groß. =/ |
Hi, Lade dir SmitfraudFix herunter und folge genau den Schritten unter Reinigung. Speichere das erstellte Log dann ab und poste es hier. Lasse danach deinen Rechner mit MalwareBytes scannen und alle Funde löschen. Poste auch das Log hier. Starte den Rechner neu und erstell noch ein Log mit DSS:
Poste alle Logs dann nacheinander hier. lg myrtille |
Übers Internet komme ich nicht auf die Seiten, daher habe ich mir die Programme von einem sauberen PC geladen & auf CD gebrannt. Doch die Programme wollen nicht starten auf dem PC.. weder im normalen noch im abgesicherten Modus und wenn man mit der Maus über die .exe geht steht da: VIRUS ALERT... Ist der PC noch zu retten oder wenigstens die Daten oder sind die Daten auch komplett verseucht? :heulen: |
Faszinierend. Da ist allerdings wahrscheinlich mehr als nur der Virus Alert auf dem Rechner. Ein Neuaufsetzen wäre mit Sicherheit der sauberste und schnellste Abschluss. Kannst du hijackthis.exe in abc.com umbenennen und ausführen? Du kommst aber noch in den abgesicherten Modus? Welche Meldung kommt denn wenn du eine Datei ausführen willst? Erstell bitte einen Scan mit filelist.bat: Über ein filelisting mit diesem script:Diese listing.txt z.B. bei file-upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist. lg myrtille |
Ein erster Sieg :party: Hijack hat funktioniert: Code: Logfile of Trend Micro HijackThis v2.0.2Vielen Dank schonmal für deine Hilfe bis hierher myrtille mfg croe |
Hi, was genau verhindert, dass du die Datei doppelklicken kannst? Wieso kannst du Dateien nicht ausführen? Darauf brauch ich eine Antwort um zu wissen wie wir weitervorgehen. Kannst du gar keine exe-Dateien mehr ausführen oder nur bestimmte Dateien nicht? lg myrtille |
Hijack kann ich jetzt ausführen und von den .exen die du mir am Anfang gesagt hattest, konnte ich die ersten beiden nicht starten.. Ich hab sie mit Doppelklick & mit markieren und Enter versucht zu starten aber es ging einfach nicht. Das war im abgesicherten Modus. ALso gehen nur bestimmte Dateien nicht. |
Kam evtl. die Meldung, das es keine gültige Win32-Anwendung sei? |
Hi, kannst du die Datei eventuell mit Rechtsklick und dann als "ausführen als" anwählen starten. (Versuche da eventuell auch unterschiedliche Benutzerkonten). Alternativ kopiere zb Smitfraudfix.exe auf deinen Desktop und gibt dann unter Start->Ausführen folgendes ein: "%userprofile%\Desktop\Smitfraudfix.exe". Kannst du die Datei damit ausführen? Was genau passiert bei einem Doppelklick? Einfach nichts oder kommt eine Meldung? Hast du das Problem nur im abgesicherten Modus? Hast du die Dateien mal in abc.exe umbenannt und ausgeführt? Geht sie dann? Wenn das nicht geht, versuchen wir eine manuelle Bereinigung im abgesicherten Modus. :) lg myrtille |
Es sieht alles wieder normal aus, ich kann auf alle Festplatten zugreifen & der Virus Alert ist nicht mehr in der Taskleiste. Hier sind die Logs: SmitfraudFix: Code: SmitFraudFix v2.332Code: Malwarebytes' Anti-Malware 1.23Weitere Logs folgen |
DSS Main: Code: Deckard's System Scanner v20071014.68 |
Hi, scheinbar hat Malwarebytes nicht alles wie gesollt gelöscht. Führe daher bitte folgendes aus: Anleitung Avenger (by swandog46) Lade dir das Tool Avenger und speichere es auf dem Desktop:
Code: folders to delete:
Rufe danach Hijackthis auf und fixe folgende Einträge: Zitat:
Nur aus Neugier: Wie hast du Smitfraudfix letzendlich zum laufen gekriegt? lg myrtille |
Ich habe es so gemacht, wie du es vorgeschlagen hattest in abc umbennenen. :Boogie: Soo nun zu den Logs: Avenger: Code: Logfile of The Avenger Version 2.0, (c) by Swandog46Code: Deckard's System Scanner v20071014.68 |
Hi, die Logs sehen gut aus. hast du noch Probleme mit dem Rechner? Du hast allerdings noch 2 Antivirenprogramme auf deinem Rehcner. Das ist sehr ungesund und reduziert die Sicherheit deines Systems. Deinstalliere bitte Symantec mithilfe des removaltools oder Panda mithilfe dieser Anleitung: Link. Deinstalliere danach bitte alle Javaversionen unter Start->Systemsteuerung->Software und lade dir die neueste Version von Sun Poste danach nochmal ein neues Hijackthislog. lg myrtille |
Ja es gibt noch Probleme wie ich eben gemerkt habe, z.b. kann ich Firefox nicht öffnen, im Taskmanager taucht er zwar kurz auf ist dann aber sofort wieder weg. Das removal Tool kann ich nicht runterladen & ebensowenig Sun (alle sind aber schon deinstaliert) Hier der Log, weiss nicht ob der sinnvoll ist an dieser Stelle Code: Logfile of Trend Micro HijackThis v2.0.2 |
Hi, seit wann besteht das Problem mit Firefox? Inwiefern kannst du die Sachen nicht herunterladen? Was passiert? Gehen der Internet Explorer oder zb andere alternative Browser wie etwa Opera. Im Hijackthislog ist nichts zu sehen. Vielleicht hilft es Panda und Symantec manuell zu deinstallieren. (Panda nach Anleitung, Symantec über Start->systemsteuerung->software) Es sind dann zwar noch Reste von Symantec da, aber sie sollten einen normalen Betrieb nicht stören dürfen. Wenn die Probleme damit behoben sind, kannst du dann Panda wieder installieren. Eventuell schafft auch ein deinstallieren und neuinstallieren von Firefox abhilfe (Nutzerprofil sichern, sonst musst du alle Plugins etc neuerstellen). Oder das erstellen eines neuen Nutzerprofils. Mehr zum Profilmanager und Profilen lg myrtille |
Ich konnte mir Firefox runterladen & instalieren aber wenn ich das removal tool runterladen wollte, ging es nicht. Da kam: Die Website kann nicht angezeigt werden. bei Sun kommt, wenn ich auf downloaden klicken will: Die Website kann nicht geöffnet werden. Ich probier nun mal Symantec manuell runterzuhaun. mfg croe €dit: Ich habe bei Google nach etwas gesucht und der Link hat sich ein bisschen sehr verändert... aus w*w.symantc.com/*blablabla* wurde ein mehrzeiliges Gebilde aus Ziffern und Buchstaben.. das verändert sich dann zu irgendeiner Seite, einmal war es ein Virenprogramm einmal wurden produkte zum Thema Opera angeboten. 2.Edit: Ich kann auch Opera nicht runterladen. Da passiert dasselbe wie bei dem Versuch Sun runterzuladen. |
Wie wurde er zu einem mehrzeiligem Gebilde aus ziffern und zahlen? Sah er so aus: h**p://service1.symantec.com/support/inter/tsgeninfointl.nsf/de_docid/20050412095959924 oder anders? Hast du versucht einen anderen Browser zu verwenden? Hast du mal versucht Firefox zu deinstallieren und neu zu installieren? lg myrtille |
Ich habe keine andere Browser als den IE instaliert. Firefox ist zwar acuh installiert, geht aber nicht. (wurde auch schon deinstaliert und wieder instaliert.) Zu den Links: w*w.symantec.com/symnrt_de/ (orginal) und das wurde daraus: h**p://de.pcprivacycleaner.com/2009/3/?l=185&f=cs_178150960&ax=1&ed=2&h=10&sub=csp&a=csppcpc&ex=5&eu=http%3A%2F%2Fad2cash.net%2F%3Fcmpname%3Dcsppcpc%26a%3Dcsp_pcex%26l%3D185%26f%3Dcs_17815 0960&mt_info=6090_8296_24454&rdr=1 (NICHT DIESEN LINK WIEDER BENUTZBAR MACHEN.) Panda hat übrigens gerade 2 infizierte Datein gefunden und eine gelöscht, die andere desinfiziert, was auch immer das heißen mag. |
Hi, wie hießen denn die gefundenen Dateien? Hast du die Umleitungen nur mit dem Firefox oder auch mit dem internet Explorer? Die Umleitungen sind auf jedenfall von Malware verursacht. Erstell bitte nochmal ein Log mit der filelist und poste es hier. Wenn es irgendwie geht: Lade dir bitte mbr detector herunter und führe ihn aus. Poste das Ergebnis dann hier :) lg myrtlle |
Die Sachen die Panda gefunden hat: Tracking Programm erkannt: Application/Processor Virus erkannt: Trj/rebooter.J Diese Umleitungen habe ich beim IE da ich Firefox ja nicht geöffnet bekomme ums da nachzuprüfen.. Mit welcher filelist soll ich denn ein Log erstellen? Ich bin schon ganz verwirrt :confused: mfg croe P.S. ich versuche mal über einen anderen PC das Prg. runterzuladen. |
Hi, Zitat:
Zitat:
Zitat:
Kannst du zb diese Datei herunterladen: javasetup Zitat:
lg myrtille |
Filelistlog habe ich nun erstellt und bei googleergebnissen werde ich umgeleitet und direkt Downloads funktionieren nicht, ich werde da immer darauf hingewiesen das die Website nicht geöffnet werden kann. Wenn ich aber bei youtube z.b. ein Video ankliucke komme ich zu dem Video und werde nicht umgeleitet. mbr Log: Code: Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net |
Hi, ich muss mich mal umschauen was das für ein Problem sein könnte. Ich meld mich heute abend nochmal. lg myrtille |
Ok, zur Not muss ich halt neu aufsetzen, aber meine Fotos & die Facharbeit könnten ja nun gerettet werden, müsste ich nur ne mobile Festplatte kaufen ;) Aber nochmals vielen Dank für deine Mühe und deinen Einsatz bis hierher :daumenhoc |
Hi, nur eine Frage zwischendurch (@myrtille: please do not kill me ;o) Hast Du bei Firefox eine Optimierung laufen lasse (z. B. FasterFox) oder so was? Prüfe ob ein Proxy eingerichtet wurde (IE->Extras->Internetoptionen->Verbindungen->LAN-Einstellungen)... Poste bitte auch mal die Host-Datei: Lade das Host-file (C:\WINDOWS\system32\drivers\etc\hosts) in einen Texteditor (im Explorer drauf klicken, rechte Maus, senden an -> editor). Kopiere den Inhalt und poste ihn hier... Wenn das nichts bringt, hoffen wir auf Myrtille! chris |
Also unter Proxy ist nichts angeklickt oder so. Wenn ich die Host Datei rechtsklicke und auf "Senden an" gehe kommt kein Editor, sondern nur Email, Festplatte, Eigene Datein etc. mfg croe |
Hi, dann öffne den Editor (Start->Programme->Zubehör->Editor) navigiere mit dem Explorer in das Verzeichnis "C:\WINDOWS\system32\drivers\etc" und dragge die hosts Datei in den Editor, dort fallen lassen... Der Editor müsste sie dann öffnen, Text über "Bearbeiten->Alles Markieren, kopieren" über das Clipboard hier dann einfügen... chris |
Man kann auch die 'hosts'-Datei auf den Desktop kopieren und dann in 'hosts.txt' umbenennen. :) |
Sie hat eine Größe von 0kb wie ich eben festgestellt habe und wenn ich sie öffne mit dem Editor ist da nichts. :confused: Ist das nun gut oder schlecht? mfg croe |
Hi, nicht gut! Länge Null hatte ich noch nie, manipulierte ja, aber gelöschte... Hoster.zip http://www.funkytoad.com/content/view/13/ Lade die Datei "HostsXpert" auspacken und führe zuerst ein Backup des aktullen Hostsfiles durch. Danach "Restore MS Hosts". Neu booten, Hostfile nochmals kontrolliern und Internet ausprobieren. Falls das Internet nichtmehr läuft, altes Hostfile ("Restore") zurückholen und den Inhalt vom Hostsfile posten (ggf. packen). Hast Du einen Optimierer (z.B. FasterFox) bei Firefox laufen lassen? chris |
Wie gesagt, FIreFox ist frisch instaliert und ohne iwelche Zusätze. Das Umleiten ist aber nervig ohne Ende und immernoch vorhanden :schmoll: Ich probiere nun mal deinen rat aus mfg croe |
Backup machen hat funktioniert aber restoring nicht. Da kam ein Error: Can not create file C:\WINDOWS\system32\drivers\ETC\hosts mfg croe |
Hi, prüfe ob das File schreibgeschützt ist... mit der rechten Maustaste daufklicken ->Eigenschaften, Häkchen bei Schreibgeschützt entfernen... chris |
Ist nicht schreibgeschützt. Trotzdem geht es nicht. |
@Chris http://mainzelsmile.ioff.de/boese/1630.gifhttp://mainzelsmile.ioff.de/boese/1630.gifhttp://mainzelsmile.ioff.de/boese/1630.gifhttp://mainzelsmile.ioff.de/boese/1630.gifhttp://mainzelsmile.ioff.de/boese/1630.gif Meinen armen Thread einfach entführen! Wie kannst du es wagen! ;) @croe Die hosts-Datei ist bei Home-Versionen von XP teilweise schreibgeschützt. Was passiert denn wenn du die Datei einfach per Doppelklick aufrufen möchtest? Eigentlich sollte dir dann eine Auswahl von Programmen angezeigt werden. Wähle da Editor aus und sag uns was in der Textdatei steht. lg myrtille |
Da steht: Nichts. :( mfg croe |
Hi, ok, dann versuchen wir mal alle Möglichkeitne auszuschließen: Bitte CCleaner durchlaufen lassen. Blacklight bitte durchlaufen lassen. Dann Malwarebytes nochmal durchlaufen lassen (vorher bitte updaten) und das Ergebnis hier posten. Danach noch ein DSS Log erstellen. lg myrtille |
:party: :Boogie: :party: Firefox geht! Google werde ich nicht mehr umgeleitet! und hier die Logs: Malwarebytes: Code: Malwarebytes' Anti-Malware 1.23Code: Deckard's System Scanner v20071014.681000Dank myrtille und auch Danke Chris4You :aplaus: mfg croe |
Hi, :schmoll: Da hab ich mich schön vorführen lassen. :schmoll: Hast du eigentlich VMWare installiert? lass bitte noch folgende Datei bei virustotal auswerten: C:\WINDOWS\system32\clbinit.dll Was hat Blacklight gefunden? lg myrtille |
@myrtille: Bitte um Entschuldigung, vielmals! Isch stehe in Deiner Schuld! - Äh und wenn, dann betrifft das mit dem Vorführen uns Beide. chris |
Code: Datei clbinit.dll empfangen 2008.08.03 23:30:22 (CET)Code: 08/03/08 10:25:29 [Info]: BlackLight Engine 1.0.70 initializedIst denn noch was im argen mit der Datei? 0% klingt mir sehr positiv, als hätte ich diesen Kampf mit meinem PC dank eurer Hilfe gewonnen :sword2: mfg croe |
Hi, (oh Gott, ich mische mich schon wieder ein)... clbdriver.sys -> http://www.prevx.com/filenames/X111215707812974387-X1/CLBDRIVER.SYS.html Hast Du den Rootkit jetzt gelöscht oder nicht? (Für sich alleine scheint die Datei ungefährlich, mit den anderen Zusammen nicht mehr ganz so (wie der Revolver ohne Patrone und Abzug ...) @myrtille, ich gehe jetzt heia machen... It's your turn (ich verspreche auch mich nicht mehr einzumischen ;o) chris |
Ich habe absolut keine Ahnung was du meinst, oder wie ich das beheben kann oder ?? Könntest du mir das nochmal in einfachen Worten erklären ^^ mfg croe |
Hi, mach bitte nochmal einen neuen Scan mit Blacklight. Das Rootkit wurde von MBAM gelöscht. Zitat:
Zitat:
lg myrtille |
Blacklight hat nichts gefunden. Das Umbennenen hat auch keine Veränderungen hervorgebracht. mfg croe |
Hi, back from vacation :) Das sieht doch insgesamt gut aus :) Wenn das System wieder normal läuft würde ich vermuten, dass dein Rechner sauber ist :) DSS, Smitfraudfix, mbr.exe und TheAvenger kannst du einfach löschen. Malwarebytes und Hijackthis können über die Systemsteuerung deinstalliert werden. Malwarebytes ist allerdings ein gutes AntiMalwareprogramm und ich würde dir empfehlen, das Programm zu behalten und gelegentlich mit ihm zu scannen :) lg myrtille |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 18:02 Uhr. |
Copyright ©2000-2025, Trojaner-Board