|
Alle Buchstaben sind Sonderzeichen Hallo Zusammen. Habe seit 3-4 Wochen einen Virus. Alle Buchstaben wurden ersetzt und man sieht nur noch Sonderzeichen wie Kreise, Dreiecke, usw. Habe versucht eine Systemwiederherstellung aus zuführen aber leider geht es nicht. Kennt Jemand das Problem und hat eine Lösung dazu?. Danke Euch im Voraus. Grüße Max So sieht es aus-> PicPaste - Unbenannt_1.bmp |
Hallo mausizandi und :hallo: Zuerst poste bitte eine HijackThis Log, damit ich dir besser helfen kann. Wie kommst du auf die Idee einen Virus zu haben, hat ein Antivirus Scanner etwas gefunden, wenn ja bitte Pfad und Name posten! LG Crusader |
Hallo mausizandi, Bitte folgende Einträge mit HijackThis fixen: Code: O2 - BHO: (no name) - {30EDD4CB-8BC1-4f9f-99A6-A6938E9AACE0} - (no file)Code: C:\WINDOWS\System32\appdrvrem01.exeLG Crusader |
Hallo Crusader. Zuerst mal ein recht Herzliches Dankeschön das Du mir helfen willst. Nur habe ich zum ersten mal einen HijackThis Log ausgeführt bzw. davon gehört. Wie genau fixe ich das --> O2 - BHO: (no name) - {30EDD4CB-8BC1-4f9f-99A6-A6938E9AACE0} - (no file) O2 - BHO: (no name) - {36ADA89D-2440-4DC4-820A-3A05E8630935} - (no file) O2 - BHO: AlpGld.Tb6 - {57BE2636-F271-4151-9D4A-40A2663E4FD7} - (no file) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O22 - SharedTaskScheduler: bipinnatifid - {4688f900-0d0c4788b297-59cc10e70ccc} - (no file) O22 - SharedTaskScheduler: coenosarc - {68c7f143-f9ea-4ee0-a06a-ad4ff3dbe8c3} - (no file) O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\mssrv32.exe Bin da ein totaler Noob. Danke Dir. Grüße aus dem verschneiten Österreich (www.saalbach.com) Max |
Hallo mausizandi, 1.) Ich werde dir nun erklären, wie das fixen von Einträgen geht: Öffne HijackThis -> Do a system scan only -> Hacken bei den vorher erwähnten Einträgen setzen-> Fix checked -> Yes/Ja 2.) Bitte vergiss nicht, die Datei auswerten zu lassen: Zitat:
LG Crusader (bin auch aus Österreich -> Linz :daumenhoc ) |
Hallo Linzer ;) Ich trau mich fast nicht zu fragen. Was heist --> 2.) Bitte vergiss nicht, die Datei auswerten zu lassen: Zitat: C:\WINDOWS\System32\appdrvrem01.exe (Tei 1 Öffne HijackThis -> Do a system scan only -> Hacken bei den vorher erwähnten Einträgen setzen-> Fix checked -> Yes/Ja --> wurde erledigt ;)). Grüße Max ps.Ja ich weis nicht viel vom Pc dafür kann ich kochen :P |
Also du gehst auf diese Seite: Virustotal dann gehst du auf durchsuchen. Code: C:\WINDOWS\System32\appdrvrem01.exe |
Hallo, Zitat:
Anschließend lässt du bitte folgende Dateien bei Virustotal ODER Jotti überprüfen und postest das Ergebnis hier: Zitat:
Achja, und bitte das nicht vergessen: 3.) Anschließend kannst du noch das machen: Download von Malwarebytes' Antimalware (siehe meine Signatur). Danach installieren und die aktuellen Updates herunterladen. Vollständiger Systemscan auswählen und starten. Sobald der Scan beendet ist, klickst du auf "Ausgewähltes entfernen" und postest das Ergebnis dann hier! LG der Linzer :aplaus: |
Hallo Crusader, habe jetzt über Jotti überprüfen lassen da http://www.virustotal.com/ nicht funktioniert hat. Jotti hat kein Virus gefunden. Habe mir jetzt Malwarebytes' Antimalware runtergeladen, installiert und updates gemacht. Scan läuft jetzt (auch bei Malwarebytes' Antimalware war alles in Sonderzeichen zu lesen) ..... HijackThis Log kommt wenn Scann fertig ist. Grüße Max |
Malwarebytes' Antimalware Ergebniss Malwarebytes' Anti-Malware 1.31 Datenbank Version: 1568 Windows 5.1.2600 Service Pack 3 2008-12-29 18:33:45 mbam-log-2008-12-29 (18-33-45).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 55598 Laufzeit: 3 minute(s), 27 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 26 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 1 Infizierte Dateien: 9 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\aplsj2.bho (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\monamia2 (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{2f223fdc-164a-492c-82d0-055fd8ce349c} (Rogue.Spylocked) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{3dbf2330-f8ad-4ccc-ad20-d155da5bc81a} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{4d3bc08f-3c13-4cd1-80f4-f5a7b7d0388f} (Rogue.Spylocked) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{5ba3ee9b-a96e-4301-b839-388afefcd9f4} (Rogue.Spylocked) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{85292bee-65ff-41ad-8e72-b385d1c93c89} (Rogue.Spylocked) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{861adda2-0216-49ac-aa5b-62f64f1d91d1} (Rogue.Spylocked) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{8d3014ae-0854-4222-a733-d9dd0149d9fa} (Rogue.Spylocked) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{9a9e938c-4a18-4b36-a973-dadcd8a1c268} (Rogue.Spylocked) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{9c4d0d3f-f36e-42a3-9b35-a43c08ab1866} (Rogue.Spylocked) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{abd41a08-5c4d-4cdb-8310-a681e73755bf} (Rogue.Spylocked) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{b151b421-a97b-4c1d-b555-eed8a35ba5c8} (Rogue.Spylocked) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{b3d80493-3013-4e93-a878-4cefc401f4a6} (Rogue.Spylocked) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{bdc7bb72-6c19-415d-86c3-76cc46ec00a9} (Rogue.Spylocked) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{c6c4e78f-65fb-48b1-aada-3855fdce8f52} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{ce351b84-f0d6-4fa0-aad7-3c0616ea647e} (Rogue.Spylocked) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{d64dcdae-38cd-488c-a85c-00a0b5c03ae8} (Rogue.Spylocked) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{d9f4d801-2431-465a-b754-ab9e3b649e8c} (Rogue.Spylocked) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{e0dbb136-fcd7-4180-9207-d4a9e822002e} (Rogue.Spylocked) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{57be2636-f271-4151-9d4a-40a2663e4fd7} (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{30edd4cb-8bc1-4f9f-99a6-a6938e9aace0} (Trojan.Downloader) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msupdate (Rootkit.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\msupdate (Rootkit.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\msupdate (Rootkit.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msupdate (Rootkit.Agent) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: C:\Programme\Microsoft Security Adviser (Trojan.Downloader) -> Quarantined and deleted successfully. Infizierte Dateien: C:\WINDOWS\Temp\291556571.exe (Malware.Trace) -> Quarantined and deleted successfully. C:\WINDOWS\Temp\3112756861.exe (Malware.Trace) -> Quarantined and deleted successfully. C:\WINDOWS\system32\c.ico (Malware.Trace) -> Quarantined and deleted successfully. C:\WINDOWS\system32\m.ico (Malware.Trace) -> Quarantined and deleted successfully. C:\WINDOWS\system32\p.ico (Malware.Trace) -> Quarantined and deleted successfully. C:\WINDOWS\system32\s.ico (Malware.Trace) -> Quarantined and deleted successfully. C:\WINDOWS\system32\mssrv32.exe (Rootkit.Agent) -> Delete on reboot. C:\WINDOWS\system32\winsub.xml (Malware.Trace) -> Quarantined and deleted successfully. C:\WINDOWS\system32\svcp.csv (Malware.Trace) -> Quarantined and deleted successfully. |
Hallo mausizandi, Na da schau an, der hat doch einiges gefunden! Genau, bitte die Logfile noch posten, damit wir sehen, was sich verändert hat! Dann starte einmal den Computer neu, und sag mir ob sich etwas verändert hat! LG Crusader |
Neuer HijackThis Log Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:41, on 2008-12-29 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe C:\WINDOWS\Explorer.EXE C:\Programme\G DATA\AntiVirus\AVK\AVKService.exe C:\Programme\G DATA\AntiVirus\AVK\AVKWCtl.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\PnkBstrB.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Logitech\G-series Software\LGDCore.exe C:\Programme\Logitech\G-series Software\LCDMon.exe C:\Programme\G DATA\AntiVirus\AVKTray\AVKTray.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe C:\Programme\DAEMON Tools Lite\daemon.exe C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe C:\Programme\Logitech\G-series Software\Applets\LCDCountdown\LCDCountdown.exe C:\Programme\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe C:\Programme\Nokia\Nokia PC Suite 7\PCSync2.exe C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe C:\Programme\Registry Mechanic\RegMech.exe C:\Programme\Schmads Inc\G15_TeamSpeak\G15_TeamSpeak.exe C:\Programme\PC Connectivity Solution\ServiceLayer.exe C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe C:\Programme\Gemeinsame Dateien\Nokia\MPAPI\MPAPI3s.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\WINDOWS\system32\wuauclt.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://service.futuremark.com/orb/resultanalyzer.jsp?projectType=14&XLID=0&UID=8851923 O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA\AntiVirus\Webfilter\AVKWebIE.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA\AntiVirus\Webfilter\AVKWebIE.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe" O4 - HKLM\..\Run: [G DATA AntiVirus Trayapplication] C:\Programme\G DATA\AntiVirus\AVKTray\AVKTray.exe O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Programme\Nokia\Nokia PC Suite 7\PCSync2.exe" /NoDialog O4 - HKCU\..\Run: [RegistryMechanic] C:\Programme\Registry Mechanic\RegMech.exe /H O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-21-1659004503-1177238915-839522115-500\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Administrator') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_14\bin\npjpi142_14.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_14\bin\npjpi142_14.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1219446204218 O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Application Driver Auto Removal Service (01) (appdrvrem01) - Protection Technology - C:\WINDOWS\System32\appdrvrem01.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe O23 - Service: G DATA Scheduler (AVKService) - G DATA Software AG - C:\Programme\G DATA\AntiVirus\AVK\AVKService.exe O23 - Service: AntiVirus Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA\AntiVirus\AVK\AVKWCtl.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger dmadminSSDPSRV (dmadminSSDPSRV) - Unknown owner - C:\WINDOWS\system32\1054t.exe (file missing) O23 - Service: DNS-Client DnscacheThemes (DnscacheThemes) - Unknown owner - C:\WINDOWS\system32\12520850h.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe -- End of file - 8026 bytes |
Pc habe ich neu gestartet aber leider immer noch die komische Schrift. Grüße Max |
Hallo mausizandi, Leider kann ich dein HijackThis Log zurzeit nicht auswerten lassen, da die Server überlastet sind, daher verschiebe ich es auf später! 1.) Mach bitte folgendes: Damit Programme, bei denen es oft kritische Updates gibt aktuell bleiben, empfehle ich dir diesen Online Scanner: Secunia Einfach auf "Start Scanner" und dann hacken setzen und auf "Start" klicken wenn der Scanner bereit ist! Zum Schluss siehst du dann, für welche Programme Updates verfügbar sind! Diese dann herunterladen und installieren! 2.) Bitte mach auch das hier: Kaspersky Online Scan Das Ergebnis dann bitte wieder hier posten! 3.) Lade dir CCleaner herunter und navigiere zu Extras -> Programme deinstallieren -> Als Textdatei speichern... Ergebnis hier posten! LG Crusader |
Hallo mausizandi, 4.) Bitte noch folgende Einträge fixen: Zitat:
Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:10 Uhr. |
Copyright ©2000-2025, Trojaner-Board