|
TR/Fakealert.SS.8 und JS/Dldr.Agent.KO Hallo zusammen, ich bin pc-mäßig eine absolute -0 und wäre froh, wenn mir jemand weiterhelfen könnte. mein betriebssystem ist windows xp und ich benutze den firefox als ständigen browser. heute mittag meldete mein AntiVir Guard (ZoneAlarm hatte ich deaktiviert, da er andere programme blockierte) folgenden fund :in meinen dokumenten/einstellungen .../llyswury.exe ist das trojanische pferd TR/Fakealert.SS.8 der versuch, das tierchen zu löschen schlug fehl, aber in quarantäne konnte ich es verschieben. die angegebene datei (llyswury.exe) ließ ich auf dem pc suchen, ohne ergebnis. über google fand ich auch nichts über TR/Fakealert.SS.8. ungefähr zwei minuten später folgte die nächste meldung : C:\Dokumente\Einstellungen...\wpad[1].htm enthält Erkennungsmuster des Java-Scriptvirus JS/Dldr.Agent.KO das teil konnte ich löschen. ich ließ den ad-adware durchlaufen, der lediglich die üblichen 16 unauffälligen cookies und einen mru erwischte. daraufhin startete ich eine zweite überprüfung mit hijackthis. diesen log-editor gab ich auf der zugehörigen seite zur auswertung ein und erhielt eine "schädlingsmeldung", mit der ich leider überhaupt nichts anfangen konnte : O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbar...tml?p=ZNfox000 (Dieser Eintrag wurde von unseren Besuchern als schädlich eingestuft.) meine fragen sind nun: - was bewirkt TR/Fakealert.SS.8? - ist er in der quarantäne auch noch aktiv? - wie kann ich es löschen? - ist JS/Dldr.Agent.KO wirklich so einfach gelöscht? - wie lösche ich den von jack gefundenen schädling, von dem ich nichtmal weiß, wie ich ihn finden soll? und ...zum guten schluss: mit welchen schutzprogrammen wäre mein pc wirklich einigermaßen vernünftig abgesichert? über hilfe oder tips wäre ich sehr dankbar :) . edit: soeben erhalte ich von antivir folgendes : C:\dokumente und einstellungen\ ... \ZGI13E.tmp Dieses Archiv enthält einen oder mehrere Viren oder unerwünschte Programme! Betroffene Dateien in Archiven werden nicht repariert oder gelöscht! Achtung : Das gesamte Archiv ist von der ausgewählten Aktion betroffen! ich habe es nun in quarantäne verschoben. langsam mach ich mir doch sorgen ... |
Hallo, poste bitte als erstes ein HijackThis Logfile, um eine Übersicht vom Zustand deines Systems zu bekommen (vergiss nicht, alle aktiven Links und persönliche Namen unkenntlich zu machen!), erst dann kann dir geholfen werden. Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Edit: Den aktiven Link in deinem ersten Post bitte unschädlich machen :kloppen: |
hallo und vielen dank für die schnelle antwort :) ich kann meinen beitrag leider nicht mehr editieren, oder hab ich eine funktion übersehen? logs kommen sofort ... |
Kein Problem, wird dann ein Admin. oder Mod. übernehmen müssen :D |
ok, hier das file...sry für den geposteten link. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 01:28:51, on 07.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Analog Devices\SoundMAX\SMTray.exe C:\Programme\Google\Update\GoogleUpdate.exe C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Veoh Networks\Veoh\VeohClient.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\ZoneLabs\avsys\ScanningProcess.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\ZoneLabs\avsys\ScanningProcess.exe C:\Programme\Java\jre1.6.0_05\bin\jucheck.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe c:\programme\avira\antivir personaledition classic\avscan.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://de.search.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr7/*http://de.search.yahoo.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://de.search.yahoo.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Google Update Helper - {25D596E9-BD03-4D4A-8310-5DF3B31E8D26} - C:\Programme\Google\Update\1.2.121.17\GoopdateBho.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: Google Gears Helper - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - C:\Programme\Google\Google Gears\Internet Explorer\0.3.24.3\gears.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNfox000 O8 - Extra context menu item: Download Using &BitSpirit - C:\Programme\BitSpirit\bsurl.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Programme\Google\Google Gears\Internet Explorer\0.3.24.3\gears.dll O9 - Extra 'Tools' menuitem: &Google Gears Settings - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Programme\Google\Google Gears\Internet Explorer\0.3.24.3\gears.dll O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Google Update Service (gupdate1c8e46c7422bd36) (gupdate1c8e46c7422bd36) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 7548 bytes |
So, das Logfile ist an sich sauber, bis auf den MyWebSearch-Eintrag. Geh mal in die Systemsteuerung => Software und deinstalliere das Google-Zeugs, ZoneAlarm und (falls vorhanden) alles was mit MyWebSearch zu tun hat. Danach folge der Anleitung für MalwareBytes, Link findest du in meiner Signatur. mfg |
vielen dank, mach ich sofort ...ergebnis folgt :) edit: können vor lachen ... :( ...irgendetwas blockiert die löschvorgänge... ich kann jetzt nicht einmal das (software)fenster schließen oder darin scrollen... ich versuchs weiter ... |
ich lösche noch fleissig (s.o.) aber das hier auch noch : antivir fand eben : TR/Crypt.XPACK.Gen ähm... es könnte sein, dass diese aktion mich am löschen gehindert hat *unschuldig-pfeif* Avira AntiVir Personal Erstellungsdatum der Reportdatei: Donnerstag, 7. August 2008 00:40 Es wird nach 1536723 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Boot Modus: Normal gebootet Benutzername: Computername: Versionsinformationen: BUILD.DAT : 8.1.0.326 16933 Bytes 11.07.2008 12:52:00 AVSCAN.EXE : 8.1.4.7 315649 Bytes 18.07.2008 11:24:12 AVSCAN.DLL : 8.1.4.0 48897 Bytes 18.07.2008 11:24:12 LUKE.DLL : 8.1.4.5 164097 Bytes 18.07.2008 11:24:12 LUKERES.DLL : 8.1.4.0 12545 Bytes 18.07.2008 11:24:12 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34 ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 06:57:39 ANTIVIR2.VDF : 7.0.5.207 2316800 Bytes 04.08.2008 18:23:19 ANTIVIR3.VDF : 7.0.5.219 82944 Bytes 06.08.2008 08:30:17 Engineversion : 8.1.1.15 AEVDF.DLL : 8.1.0.5 102772 Bytes 25.02.2008 09:58:21 AESCRIPT.DLL : 8.1.0.61 311675 Bytes 31.07.2008 18:20:46 AESCN.DLL : 8.1.0.23 119156 Bytes 16.07.2008 09:53:26 AERDL.DLL : 8.1.0.20 418165 Bytes 05.07.2008 06:58:02 AEPACK.DLL : 8.1.2.1 364917 Bytes 16.07.2008 09:53:26 AEOFFICE.DLL : 8.1.0.21 192891 Bytes 19.07.2008 13:33:46 AEHEUR.DLL : 8.1.0.44 1343863 Bytes 25.07.2008 13:33:44 AEHELP.DLL : 8.1.0.15 115063 Bytes 05.07.2008 06:57:50 AEGEN.DLL : 8.1.0.32 315765 Bytes 31.07.2008 18:20:45 AEEMU.DLL : 8.1.0.7 430452 Bytes 31.07.2008 18:20:44 AECORE.DLL : 8.1.1.8 172406 Bytes 31.07.2008 18:20:42 AEBB.DLL : 8.1.0.1 53617 Bytes 17.07.2008 10:41:37 AVWINLL.DLL : 1.0.0.12 15105 Bytes 18.07.2008 11:24:12 AVPREF.DLL : 8.0.2.0 38657 Bytes 18.07.2008 11:24:12 AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 18:20:40 AVREG.DLL : 8.0.0.1 33537 Bytes 18.07.2008 11:24:12 AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 18.07.2008 11:24:12 SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 18.07.2008 11:24:12 NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 18.07.2008 11:24:09 RCTEXT.DLL : 8.0.52.0 86273 Bytes 18.07.2008 11:24:09 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, D:, E:, Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Intelligente Dateiauswahl Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Beginn des Suchlaufs: Donnerstag, 7. August 2008 00:40 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AcroRd32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jucheck.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Monitor.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'ScanningProcess.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ScanningProcess.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'vsmon.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SMAgent.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'VeohClient.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleUpdate.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SMTray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '30' Prozesse mit '30' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'E:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '49' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <System> C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\name\Lokale Einstellungen\Temp\ZGI13E.tmp [0] Archivtyp: ZIP SFX (self extracting) --> Mosaic - Tomb of Mystery Deluxe\mosaictombofmystery.dll [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48e32ee8.qua' verschoben! Beginne mit der Suche in 'D:\' <Volume> Beginne mit der Suche in 'E:\' <DATEN> Ende des Suchlaufs: Donnerstag, 7. August 2008 02:12 Benötigte Zeit: 1:32:14 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 7739 Verzeichnisse wurden überprüft 290457 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 290455 Dateien ohne Befall 2696 Archive wurden durchsucht 1 Warnungen 1 Hinweise jetzt aber ....löschen..... *hust* . |
Was ich noch vergaß: Adobe Reader und Java updaten! *hust* MalwareBytes? *hust* ;) Edit: Den Rest machen wir morgen(heute), gute Nacht. :) |
melde gehorsamst: java und adobe reader auf dem neuesten stand und 2mal google/zonealarm gelöscht. von "mywebsearch" leider weit und breit keine spur :( malwarebytes läuft noch ... edit: "rest" ist positiv ... ;) bis nachher, gute nacht :) |
so ...hier nun das ergebnis von malwarebytes : Malwarebytes' Anti-Malware 1.24 Datenbank Version: 1030 Windows 5.1.2600 Service Pack 2 09:13:35 07.08.2008 mbam-log-8-7-2008 (09-13-35).txt Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|E:\|F:\|) Durchsuchte Objekte: 119397 Laufzeit: 58 minute(s), 38 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\MenuExt\&Search\ (Adware.Hotbar) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System (Rootkit.DNSChanger) -> Data: kdlva.exe -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\name\Lokale Einstellungen\Temp\gos6A.tmp (Trojan.Vundo) -> Quarantined and deleted successfully. |
Ich sehe, das bei dir ein Rootkit aktiv war, drum haben wir den im Hijackthis Logfile wohl nicht gesehn. Führe bitte mal die Schritte aus: Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.
Hinweis: Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren. Blacklight scannen lassen * Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link. * Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen. * Klick "I accept the agreement", "next", "Scan". * Wenn der Scan fertig ist beende Blacklight mit "Close". * Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern. |
puhh,... ich fürchte, ich hab was versaubeutelt ... aber beginnen wir mit dem positiven: Search Navipromo version 3.6.1 began on 07.08.2008 at 14:14:38,07 !!! Warning, this report may include legitimate files/programs !!! !!! Post this report on the forum you are being helped !!! !!! Don't continue with removal unless instructed by an authorized helper !!! Fix running from C:\Programme\navilog1 Actual User Account : "name" Updated on 19.07.2008 at 20h00 by IL-MAFIOSO Microsoft Windows XP [Version 5.1.2600] Version Internet Explorer : 6.0.2900.2180 Filesystem type : NTFS Search done in normal mode *** Searching for installed Software *** *** Search folders in "C:\WINDOWS" *** *** Search folders in "C:\Programme" *** *** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" *** *** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" *** *** Search folders in "c:\dokume~1\alluse~1\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\name\anwend~1" *** *** Search folders in "C:\DOKUME~1\name\anwend~1" *** *** Search folders in "C:\DOKUME~1\name\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\name\lokale~1\anwend~1" *** *** Search folders in "C:\DOKUME~1\name\lokale~1\anwend~1" *** *** Search folders in "C:\DOKUME~1\name\lokale~1\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\name\startm~1\progra~1" *** *** Search folders in "C:\DOKUME~1\name\startm~1\progra~1" *** *** Search folders in "C:\DOKUME~1\name\startm~1\progra~1" *** *** Search with Catchme-rootkit/stealth malware detector by gmer *** for more info : http://www.gmer.net No Navipromo file found *** Search with GenericNaviSearch *** !!! Possibility of legitimate files in the result !!! !!! Must always be checked before manually deleting !!! * Scan in "C:\WINDOWS\system32" * * Scan in "C:\Dokumente und Einstellungen\name\lokale~1\anwend~1" * * Scan in "C:\DOKUME~1\name\lokale~1\anwend~1" * * Scan in "C:\DOKUME~1\name\lokale~1\anwend~1" * *** Search files *** *** Search specific Registry keys *** *** Complementary Search *** (Search specific files) 1)Search new Instant Access files : 2)Heuristic Search : * In "C:\WINDOWS\system32" : * In "C:\Dokumente und Einstellungen\name\lokale~1\anwend~1" : * In "C:\DOKUME~1\name\lokale~1\anwend~1" : * In "C:\DOKUME~1\name\lokale~1\anwend~1" : 3)Certificates Search : Egroup certificate not found ! Electronic-Group certificate not found ! OOO-Favorit certificate not found ! Sunny-Day-Design-Ltd certificate not found ! 4)Search known files : *** Search completed on 07.08.2008 at 14:22:56,95 *** ----------------------------------------------------------------------- ja... wie soll ich es sagen.... ich hab die blbeta.exe. nicht gefunden . deswegen denke ich, ist das hier wohl unnütz? : 08/07/08 14:34:35 [Info]: BlackLight Engine 1.0.70 initialized 08/07/08 14:34:35 [Info]: OS: 5.1 build 2600 (Service Pack 2) 08/07/08 14:34:35 [Note]: 7019 4 08/07/08 14:34:35 [Note]: 7005 0 08/07/08 14:35:23 [Note]: 7006 0 08/07/08 14:35:23 [Note]: 7011 1608 08/07/08 14:35:23 [Note]: 7035 0 08/07/08 14:35:23 [Note]: 7026 0 08/07/08 14:35:23 [Note]: 7026 0 08/07/08 14:35:24 [Note]: FSRAW library version 1.7.1024 08/07/08 14:52:05 [Note]: 7007 0 komm schon ...erschieß mich ... . |
Wieso erschießen? :D sieht doch ganz gut aus. Letzter Schritt: Deckards System Scanner (DSS) Hier gibt es das Tool -> dss.exe * Schließe alle Anwendungen * Doppelklicke dss.exe um das Programm zu starten * Wenn der Scan abgeschlossen ist wird sich ein Notepad mit dem Inhalt der main.txt öffnen. Ein weiteres Logfile, die extra.txt liegt im Verzeichnis c:\Deckard\SystemScanner\extra.txt * Kopiere den Inhalt der beiden Logfiles in diesen Thread, bitte als ['CODE]['/CODE] Was Deckards System Scanner macht: * Es Erstellt einen System Wiederherstellungspunkt * es säubert die temporären Dateien, Downloaded Program Files, Internet Cache Dateien und es leert den Mülleimer auf allen Lauferken. Wenn da alles i.O. ist, kann ich dich entlassen. mfg ;) |
and here are the results of the british jury : Code: Deckard's System Scanner v20071014.68 |
teil 2 der saga :D Code: Deckard's System Scanner v20071014.68 |
und das happy end: Application Event Log -- ------------------------------------------------------- Event Record #/Type2525 / Warning Event Submitted/Written: 08/07/2008 02:10:00 PM Event ID/Source: 4113 / Avira AntiVir Event Description: DR/Tool.Reboot.F.108C:\Dokumente und Einstellungen\name\Desktop\Navilog1.exe Event Record #/Type2524 / Warning Event Submitted/Written: 08/07/2008 02:09:50 PM Event ID/Source: 4113 / Avira AntiVir Event Description: DR/Tool.Reboot.F.108C:\Dokumente und Einstellungen\name\Desktop\Navilog1.exe Event Record #/Type2523 / Warning Event Submitted/Written: 08/07/2008 02:07:08 PM Event ID/Source: 4113 / Avira AntiVir Event Description: DR/Tool.Reboot.F.108C:\Dokumente und Einstellungen\name\Desktop\Navilog1.exe Event Record #/Type2522 / Warning Event Submitted/Written: 08/07/2008 02:06:59 PM Event ID/Source: 4113 / Avira AntiVir Event Description: DR/Tool.Reboot.F.108C:\Dokumente und Einstellungen\name\Desktop\Navilog1.exe Event Record #/Type2521 / Warning Event Submitted/Written: 08/07/2008 02:05:42 PM Event ID/Source: 4113 / Avira AntiVir Event Description: DR/Tool.Reboot.F.108C:\Dokumente und Einstellungen\name\Desktop\Navilog1.exe -- Security Event Log ---------------------------------------------------------- No Errors/Warnings found. -- System Event Log ------------------------------------------------------------ Event Record #/Type28808 / Error Event Submitted/Written: 08/07/2008 02:30:39 AM Event ID/Source: 7023 / Service Control Manager Event Description: Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet: %%126 Event Record #/Type28805 / Error Event Submitted/Written: 08/07/2008 02:30:39 AM Event ID/Source: 7023 / Service Control Manager Event Description: Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet: %%126 Event Record #/Type28802 / Error Event Submitted/Written: 08/07/2008 02:30:39 AM Event ID/Source: 7023 / Service Control Manager Event Description: Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet: %%126 Event Record #/Type28799 / Error Event Submitted/Written: 08/07/2008 02:30:39 AM Event ID/Source: 7023 / Service Control Manager Event Description: Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet: %%126 Event Record #/Type28796 / Error Event Submitted/Written: 08/07/2008 02:30:38 AM Event ID/Source: 7023 / Service Control Manager Event Description: Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet: %%126 -- End of Deckard's System Scanner: finished at 2008-08-07 15:30:36 |
Ok, das beunruhigt mich: Zitat:
|
tut er auch nicht so wirklich ..*kopf-kratz* ...ich dachte, das sei normal ... |
Speicherst/Installierst du deine Software immer auf C: ? |
ja ...bei mir ist sowieso alles etwas komisch auf dem rechner. irgendwie hat man mir mehrere kleine festplatten installiert ... |
Wieviele Partitionen hast du denn und wieviel Speicher ist denen zugeschrieben? |
da wären: system (c: ),NTFS, lokaler datenträger: gesamtgröße 20,0 GB. frei: 677MB. volume (D: ),NTFS, lokaler datenträger: gesamtgröße 9,55GB. frei: 4,85GB. daten (E: ), FAT32, lokaler datenträger: gesamtgröße 7,28GB.frei:4,22GB 3einhalb diskette (A: ) CD-Laufwerk (F: ) . |
Ohje, sehr kleine HDD. Du solltest dir eine ext. Festplatte mit 100-200 GB zulegen (Kosten keine 50€ mehr). Unnötige Software von der C:-Partition schleunigst deinstallieren und danach den Datenträger defragmentieren. Windows hat bei dir ja kaum noch Luft zum Atmen. :D mfg |
mach ich direkt morgen früh, vielen herzlichen dank :) sind denn nun alle viren/trojaner und sonstigen unerwünschten besucher von meinem rechner verschwunden, oder schlummern sie noch im untergrund? kann ich die frage nach der richtigen software auch hier stellen, oder lieber in der rubrik Antiviren-, Firewall- und andere Schutzprogramme ? . |
Zitat:
Zitat:
Zitat:
Auf der C: am besten keine weitere Software installieren. ;) mfg |
das ist genial :Boogie: ich dachte vor einigen stunden noch, ich müsste alles neu formatieren. :knuddel: vielen dank nochmal :) hier noch eine kleine frage zur "guten-nacht": mit welcher software schütze ich meinen pc in zukunft am besten vor dem zoo, dem KGB, keyloggern und sonstigen schädlingen? . |
Zitat:
Zitat:
Das heißt, - System und jede Software stets aktuell halten - Nutzerkonto mit eingeschränkten Rechten anlegen und dies zum Surfen nehmen - Dubiose Software und Internetseiten meiden - Verdächtige Emails bzw. deren Anhänge nie öffnen/ausführen So, nun zur Software: - Beste, kostenlose Alternative: Avira AntiVir - Die XP/Vista eigene Firewall - Einen Router zulegen (für WLAN einen WPA2-Schlüssel anlegen, er sollte ung. so lauten: "kjlj39jsdjk3i39jlanmscö0348", d.h. Verschiedene Buchstaben/Zahlen verwenden) So, das dürfte nun alles geklärt sein. :D mfg, gute Nacht |
alles geklärt, alles verstanden und werde mich danach richten. Dankeschön :) *blümchen-hinhalt* liebe grüße und gute nacht, Lailany . |
Kein Problem, einen schönen Abend noch :party: oder gute Nacht, mfg ;) |
JuuuHuuu :) ich hab sehnsucht .... mein antivir meint zu unseren aktionen folgendes beitragen zu müssen : Code: Avira AntiVir Personalso viele pferdchen.... mir fällt ein, ich hatte ja einen ganzen dateienordner in quarantäne geschoben... was mach ich denn mit dem? kann ich ihn wieder da herausnehmen? . |
Einfach den Deckards System Scanner löschen und alles was in Aviras Quarantäne ist, auch. Es ist nichts ungewöhnliches bzw. gefährliches zu sehn. ;) |
DANKE, du bist ein schatz *feste-umknuddel* genau das wollte ich hören :) und die komplette datei in der quarantäne? ...ich hol sie mal raus? . |
:Boogie: Du kannst die Quarantäne doch leeren oder? Also wieso umständlich wieder rausholen und erst dann löschen? :rolleyes: mfg :D |
wo du recht hast ... ;) versuchen wirs nochmal : gute nacht :) ...und bis morgen :D . |
Gute Nacht, bis morgen. :D |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:17 Uhr. |
Copyright ©2000-2025, Trojaner-Board