|
Unbekanntes Problem, nach behebung von "XP antispyware 2009" Hallo, ich habe ein riesen Problem. Vor 1-2 Tagen hab ich bemerkt das rechts unten in der Ecke auf einmal son Symbol aufgetaucht ist.. rot mit gelben kreuz drin o.s.ä. Durch aktive google suche und auch hier im Board konnte ich dieses Problem lösen, c-cleaner durchjagen... Spy-bot ... AVG Antiv Spyware.. Norton Anti Virus Check... und zu guter letzt mit Hijackthis. Anscheinend war es nur 1 Datei und die wurde auch erfolgreich entfernt, irgendson Trojaner. "XP antispyware 2009" --> war das Problem - So nach nem neustart, dachte ich das alles weg sei, aber nichts da... wenn ich bei Google ne Suche gestartet habe kam manchmal das Ergebnis und manchmal kam aufeinmal wieder die Google Startseite... - oder wo ich links bzw links aus meinen Favoriten angeklickt habe (die 100% noch vor einpaar tagen funzten) kam ebenfalls die Google Startseite... oder ab und zu leitet der mich auf irgendwelche Werbeseiten weiter, die ich nie aufrufen wollte, anstatt dem angeklickten Link... auch wo ich den link hier zum Forum manchmal angeklickt habe, passierte das :confused: - ebenfalls sind die Ladezeiten einfach ins unendliche gestiegen... ganz normale Seiten, da braucht der ewigkeiten um die zu laden/öffnen... benutze Firefox ... aber auch bei IE klappt es net und bei Opera geht garnichts mehr... der braucht sogar 5-10 min bis er ne seite überhaupt aufmacht. - bei allen i-net seiten läd der ohne ende ... Also, da stimmt immer noch was nicht, aber laut der Hijackthis Log kann ich nichts finden... der sagt es wäre alles i.O. :heulen: Habe die ganzen Programme wie c-cleaner.. und und und auch wieder durch gejagt, aber nichts... die finden nichts :schmoll: Ich schmeiß hier mal die hijackthis Log rein, damit ihr mehr infos habt und ja... Windows XP SP3 ist drauf... ich benutze keine firewall... habe einen router ... Antivirus Programm läuft immer ... habe unitymedia als i-net anbieter... Zitat:
Wenn ihr noch mehr infos braucht sagt, Bescheid. Bitte um Hilfe... ich hoffe jemand kann mir da weiter helfen :heulen: PS: achja, habe auch versucht per Wiederherstellungspunkt alles auf 1-2 wochen zuvor zurück zu stellen, aber das funzt net... wenn ich das Datum ausgesucht habe (ja die Punkte stellt der pc fast täglich selber her) und dann das Fenster kommt, ich soll alle Programme schliessen... dann klicke ich auf "Weiter" aber nichts tut sich.. habe über 10 min gewartet, evtl. läd der was.. aber nichts... ab da reagiert der nicht mehr. Also das hat auch net geklappt:pfui: Mfg die verzweifelte Ina |
Hi, Du hast einige Scanner am rennen, Du solltest Dich auf einen konzentrieren und den Rest runterschmeissen... Silentrunner: Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen. Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten. http://www.silentrunners.org/Silent%20Runners.zip MAM (Fullscann und bereinigen, Log posten) Malwarebytes Antimalware. Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Hosts-File anzeigen: Lade das Host-file (C:\WINDOWS\system32\drivers\etc\hosts) in einen Texteditor (im Explorer drauf klicken, rechte Maus, senden an -> editor). Kopiere den Inhalt und poste ihn hier... chris Ps.: Was genau haben die Scanner gemeldet, Log noch vorhanden, -> bitte posten... |
Okay fang ich mal an, hier erstmal die alten Log´s soweit ich se gefunden habe bzw noch vorhanden sind. --> AVG Anti Spyware Log von gestern: (bähh is das ne kack Arbeit meinen Namen da überall raus zu editieren : / ich hoffe ich hab alle namen weg editiert) Zitat:
|
--> AV Scan .. von vorgestern: Zitat:
|
--> c-cleaner ... hab ich nur die datei hier gefunden, hoffe das die richtig ist, sonst ist keine weitere mehr vorhanden, im Programm Ordner: Zitat:
******************************* So dann kommen nun die Sachen, die ich jetzt machen soll: --> Silent Runner Log: Zitat:
|
Zitat:
--> Spy Bot-S&D ... finde ich keine Log.. ka ob es da eine gibt, wenn ja bitte kurz angeben wo, dann poste ich die noch. Hab im Verzeichnis gesucht, aber nichts gefunden --> Malwarebytes Antimalware MAM ... ich hab die .exe runtergeladen (aufen Desktop) und hab die dann ausgeführt mit doppelklick... es folgt ne Fehler Meldung: .......\Desktop\mbam-setup.exe ist keine zulässige Win32 Anwendung Ich hab versucht auf die Main Page zu kommen von dem Programm, aber die läd er bei mir garnicht... :/ habs auch mehrmals versucht, neu zu saugen und so... aber nichts. ka wieso... :pfui: hab das Prog. auch bei google gesucht und sobald ich da auf nen link drücke.. komme ich wieder auf der Google Startseite --> Host file ... ich hoffe ich hab das richtig gemacht, bin einfach auf "Ausführen" hab den link eingegeben ... und die datei mit dem editor geöffnet. Da steht ja net wirklich viel drin, aber hier is Sie: Zitat:
und die Hijackthis Log ist ja oben im ersten Post. wieso das MAM nichts funktioniert... ka :confused: Ich hoffe das hilft euch weiter um das Problem zu fokussieren ;O) Ina |
ne kleine Sache noch ... hab mal nen Speedtest gemacht von meinem dsl: Download-Geschwindigkeit: [++] 6.389 kbit/s (799 kByte/s) Upload-Geschwindigkeit: [-] 23 kbit/s (3 kByte/s) wie man sieht is der upload total im keller, denke mal das is der Grund... nur wieso... dsl is die ganzen letzte Tag perfekt gewesen keine probs und seit der Trojaner drauf war, is der im Keller... |
hier nochmal eine Log Datei von Spyware fighter ... die Dateien konnten in die Quarantäne geschoben werden, teilweise... wenn man sie löschen will, werden se net gelöscht sondern sind wieder aktiv. Wenn ich se in der quarantäne lasse, is die dsl geschwindigkeit wieder normal, nur das mit den seltsamen werbelinks, wo man hin geleitet wird wenn man nen link anklickt oder was aus den favoriten, is geblieben. Zitat:
Ich hoffe mir kann einer helfen, bitte :heilig::heulen::rolleyes: |
Hi, mir schwant da was... Verzeichnis C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp vollständig löschen und Papierkorb leeren! MBR-Rootkit-Suche: Lade den MBR-Rootkitscanner von Gmer auf Deine Bootplatte: http://www2.gmer.net/mbr/mbr.exe Merke Dir das Verzeichnis wo Du ihn runtergeladen hast; Start->Ausführen->cmd Wechsle in das Verzeichnis des Downloads und starte durch Eingabe von mbr das Programm... Das Ergebnis sollte so aussehen: Zitat:
poste es im Thread; Avira-Antirootkit Downloade Avira Antirootkit und Scanne dein system, poste das logfile. http://dl.antivir.de/down/windows/antivir_rootkit.zip Combofix Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird Poste alle Logs; Du hast verschiedene Scanner auf Deinem Rechner die sich gegenseitig stören, entscheide Dich für einen und deinstalliere den Rest... chris |
- Temp Ordner wurde komplett geleert - MBR-Rootkit ... dein Link funktioniert nicht, habs aber bei google gefunden und von ner Uni Seite runter geladen. Hier das Ergebnis : Directupload.net - Dk5wjberr.jpg hat irgendwie nicht geklappt... - Combofix ... der Link funzt ebenfalls nicht. Habs auch nicht nach ner 30 minütigen Suche bei google/yahoo gefunden. Alle Links sind tot - ich habe soweit alle Scanner runter geschmissen, ausser Hijackthis und die ich hier runter laden sollte - Avira-Antirootkit .. hier die Log .. habe alle gefundenen Dateien in die quarantäne geschoben Code: Avira AntiRootkit Tool - Beta (1.0.1.17)PS: wie kann ich meine Beiträge da oben editieren ? hier bei dem letzten is ein Buttom dafür da, aber bei den älteren nicht. Will die Log´s in son [CODE] Kasten rein setzen anstatt in nem [quote] ... Danke |
Hi, editieren geht nur eine bestimmte Zeit lang! Du hast einen Rootkit auf dem Rechner, der das Runterladen/Starten aller genannten Anwendungen verhindert (hat). Die Links funktionieren. Schön das der Hacker den Avria-Rootkitscanner vergessen hat... Sche...se! Probiere umgehend Combofix/Gmer-MBR zum Laufen zu bringen, damit wir sehen können, was noch zu retten ist, eigentlich ist bei sowas Neuaufsetzen angesagt... (Und hoffen wir das Avira alles erwischt hat....)... Wenn es immer noch nicht gehen sollte, müssen wir uns auf einem sauberen Rechner eine Boot-CD mit Scanner etc. zusammenbauen und von "aussen" auf den Rechner zugreifen, wobei soviele Einstellungen bereits verändert wurden, das Windows wohl nicht mehr zu retten ist (z. B. die Safemode-Einstellungen etc.). Abgesicherter Modus reparieren: Downloade SafeMode Repair.zip http://www.hijackthis-forum.de/attachment.php?attachmentid=2272&d=1187631899 entpacke es auf Deinen Desktop, mach einen Doppelklick auf die neu entstandene RegDatei, um sie laufen zu lassen Klicke auf 'ok' > starte deinen Rechner in den normalen Modus auf. Das bringt allerdings nur dann was, wenn der Rechner vom Rootkit befreit ist, sonst hängt der sich gleich wieder rein... chris |
So hab den einwenig ausgetrixt ... ein bekannter hat mir die beiden tools gesaugt und zugeschickt per icq, hab se beide erfolgreich ausführen können, hier sind die Log´s ... ebenfalls hat der Antiviren scanner diverse Sachen gefunden, wie Trojaner und sowat... 3 oder 4 waren es und die konnte ich nur in quarantäne schieben, löschen funzte nicht. Die hat er gefunden, als das combofix lief und gerade den pc neugestartet hat. Code: ComboFix 08-10-21.03 - irina kremer 2008-10-22 11:41:41.1 - NTFSx86Code: Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.netda ich ja mbr.exe und combofix nun erfolgreich ausführen konnte, soll ich nun das hier machen ? Code: Abgesicherter Modus reparieren:;) |
Hi, nein, erst bitte folgende Files prüfen (Pfade anpassen nicht vergessen!): Dateien Online überprüfen lassen:
Code: C:\WINDOWS\system32\TDSSktkl.dll
Achtung alle nicht erkannten Files aus dem Avengerscript entfernen! Pfade anpassen nicht vergessen! Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://saved.im/mzi3ndg3nta0/aven.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code: Files to delete:4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Poste das Avengerlog, ein neues HJ-Log und ein RSIT-Log: RSIT Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/ speichere es auf Deinem Desktop. Starte mit Doppelklick die RSIT.exe. Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. chris |
hab die einzelnen Dateien durch das Virus Total gejagt, hier alle Ergebnisse: Code: Datei TDSSktkl.dll empfangen 2008.10.23 13:40:12 (CET)Code: Datei TDSSlajf.dll empfangen 2008.10.23 13:45:38 (CET)Code: Datei TDSSurxb.dll empfangen 2008.10.23 13:47:28 (CET)Code: Datei TDSSxehj.dll empfangen 2008.10.23 13:48:52 (CET)Code: Datei TDSSweat.dat empfangen 2008.10.23 13:49:29 (CET)Code: Datei uhaj._dl empfangen 2008.10.23 13:52:41 (CET)Code: Datei kiporizuj.com empfangen 2008.10.23 13:53:02 (CET)Code: Datei umes.dl empfangen 2008.10.23 13:53:21 (CET) |
Code: Datei lyximiga.dl empfangen 2008.10.23 13:54:04 (CET)Code: Datei yjawawatu.ban empfangen 2008.10.23 13:54:22 (CET)Code: Datei isikaje.vbs empfangen 2008.10.23 13:57:54 (CET)Code: Datei ipuzesev.bin empfangen 2008.10.23 13:58:39 (CET)Code: Datei equgam.scr empfangen 2008.10.23 13:59:22 (CET)Code: Datei atejogih.bat empfangen 2008.10.23 13:59:47 (CET)Code: Datei dezazy.inf empfangen 2008.10.23 14:01:17 (CET)Code: Datei rylyle.pif empfangen 2008.10.23 14:03:01 (CET)Code: Datei UnPoker.exe empfangen 2008.10.23 14:03:43 (CET)Code: Datei ygodavec.bin empfangen 2008.10.23 14:03:24 (CET) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:51 Uhr. |
Copyright ©2000-2025, Trojaner-Board