Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR.Redol.C - hjgruirgixgvc.ddl wird laufend von antivir erkannt (https://www.trojaner-board.de/75436-tr-redol-c-hjgruirgixgvc-ddl-laufend-antivir-erkannt.html)

mtbandi 17.07.2009 20:54
TR.Redol.C - hjgruirgixgvc.ddl wird laufend von antivir erkannt
 
Hallo,

ich habe das selbe Problem wie der User in diesem Thread:

http://www.trojaner-board.de/75216-t...emeldet-3.html


Habe Avenger ausgeführt wie hier beschrieben:

Zitat:
Zitat von john.doe (Beitrag 448848)
Hallo Nora,

1.) Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
Files to delete:
C:\Windows\System32\hjgruixpeuxtce.dll
http://saved.im/mzi3ndg3nta0/aven.jpg
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

2.) Scanne und poste anschliessend das Log mit diesen Einstellungen: http://www.trojaner-board.de/54192-a...tellungen.html

ciao, andreas
Das ergab folgende Log:

Zitat:
Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "aqvr7aif" found!
Could not open driver aqvr7aif for rootkit scan. Error:c0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Rootkit scan completed.


Error: could not delete file "C:\Windows\System32\hjgruirgivxgcv.dll"
Deletion of file "C:\Windows\System32\hjgruirgivxgcv.dll" failed!
Status: 0xc0000156


Completed script processing.

*******************

Finished! Terminate.
Das ganze hat also nichts weiter gebracht? Kann mir jemand weiterhelfen?

Vielen Dank schonmal!

Gruß,
Andi

john.doe 17.07.2009 21:16
Hallo und :hallo:

Die Namen sind bei jedem unterschiedlich. Niemals irgendein Skript das für einen speziellen User geschrieben wurde einsetzen.

Wir brauchen erstmal Unmengen an Informationen, bevor wir mit Avenger löschen können. Deshalb klicke auf "Für alle Neuen" in meiner Signatur, lies alles aufmerksam und arbeite die komplette Liste unter Punkt 2 ab.

Du hast übrigens einen sehr langen Weg vor dir, die schnelle und sichere Alternative ist => http://www.trojaner-board.de/51262-a...sicherung.html

Gediebt vom Geburtstagskind Schrauber:
Zitat:
Ein System zu bereinigen ist unter Umständen aufwändig und mit einiger Arbeit für Dich verbunden. Es ist wichtig, dass Du solange mitarbeitest, bis wir sagen, dass der Rechner "sauber" ist, auch wenn die Symptome eventuell nach den ersten Aktionen verschwunden sein sollten. Dazu gehört auch, keine weiteren Programme zu installieren oder Scans durchzuführen, ausser wenn es hier entsprechend angeordnet wird. Wenn Du dazu bereit bist, arbeite die folgenden Punkte in der angegebenen Reihenfolge ab. Drucke die Anleitungen zur Bereinigung Deines Systems am besten aus. Lese zunächst alles durch und wenn Dir etwas unklar ist, bitte fragen, bevor Du weitermachst.

Wenn Du mit dem Abarbeiten der einzelnen Punkte fertig bist, kontrolliere aufmerksam, ob Du keinen Punkt vergessen und alle angeforderten Logfiles in Code-Tags gepostet hast. Ergänze Deine jeweils letzten Beiträge solange über den "Ändern-Button", bis Dir jemand geantwortet hat. Wichtig: Bitte während unserer Reinigungphase nur Programme installieren, die wir anordnen. Bitte alle Aktionen, die wir anordnen nicht in einem eingeschränkten Userkonto ausführen, sondern vom Hauptuserkonto aus.

Hinweis an Vistabenutzer: Alle Programme mit Mausklick rechts => Ausführen als Administrator starten.
ciao, andreas

mtbandi 20.07.2009 13:13
CCleaner - ausgeführt. alles soweit bereinigt
Malwarebytes-Anti-Malware - hängt sich am Ende des Scans auf, findet aber was.. kommt man irgendwie an die logs auch wenn das programm hängt?
RSIT - Lief durch und ergab folgende Log: http://pastebin.com/m2b100120

mtbandi 20.07.2009 14:22
SysProt: da ich grad nichts zu tun hab. hier noch die SysProtLog: pastebin - collaborative debugging tool

john.doe 20.07.2009 19:41
Du hast zwei Möglichkeiten:

1.) Lade dir Download Trojan Remover

Das Programm ist im Gegensatz zu den sonst hier eingesetzten Programmen keine Freeware, kann aber 30 Tage lang kostenlos genutzt werden.

Das Log bekommst du über Menüzeile: File => View Logfile. Poste es hier.

2.) Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

    Sollte sich ComboFix nicht starten lassen, dann benenne es um in cofi.exe und versuche es nocheinmal.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

mtbandi 20.07.2009 22:03
TrojanRemover-Log:

pastebin - collaborative debugging tool

antivir springt danach immernoch auf und erkennt die dateien. :(


ComboFix

http://pastebin.com/m1da8ef53

nach mehrmaligen neustart bisher keine neue virenmeldungen durch antivir. TrojanRemover meldet auch keine Funde mehr!

john.doe 20.07.2009 22:10
Ja, weil du einen Job laufen hast, der die ständig nachlädt. :D

Aber bevor wir weitermachen:
  • Autodesk
  • Cisco VPN
  • Citrix
  • Solidworks
deuten auf einen geschäftlich/gewerblich genutzten Rechner hin. Ist dem so?

ciao, andreas

mtbandi 20.07.2009 22:39
hast du meinen edit-post gelesen?

ich bin student, deswegen die ganze software ;)

john.doe 20.07.2009 22:57
Ich hoffe du hast Lizenzen für die ganze Software.

1.) Deinstalliere Trojan Remover.

2.) Es fehlt noch info.txt von Rsit.

Start => Ausführen => c:\rsit\info.txt => OK

3.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.
Nach Neustart kann sie wieder aktiviert werden.

4.) Lasse anschliessend Malwarebytes laufen, der sollte jetzt eigentlich durchkommen und poste das Log.

ciao, andreas

mtbandi 21.07.2009 08:21
Zitat:
Zitat von john.doe (Beitrag 449888)
Ich hoffe du hast Lizenzen für die ganze Software.

1.) Deinstalliere Trojan Remover.
erledigt.

Zitat:
Zitat von john.doe (Beitrag 449888)
2.) Es fehlt noch info.txt von Rsit.

Start => Ausführen => c:\rsit\info.txt => OK
info.txt

Zitat:
Zitat von john.doe (Beitrag 449888)
3.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.
Nach Neustart kann sie wieder aktiviert werden.
erledigt.

Zitat:
Zitat von john.doe (Beitrag 449888)
4.) Lasse anschliessend Malwarebytes laufen, der sollte jetzt eigentlich durchkommen und poste das Log.

ciao, andreas
läuft grad.

mtbandi 21.07.2009 10:17
mabm-log: pastebin - collaborative debugging tool

schaut gut aus oder?

john.doe 21.07.2009 15:48
Nicht wirklich, ich sehe da den AMC-Virus. Aber auch dagegen habe wir ein Mittel.

Lade dir Lop S&D herunter.

Führe Lop S&D.exe per Doppelklick aus.
Wähle die Sprache deiner Wahl und anschließend die Option 2 (Suche)
Warte bis der Scanbericht erstellt wird (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen)

ciao, andreas

mtbandi 21.07.2009 17:16
hier das Lob S&D Log

pastebin - collaborative debugging tool

john.doe 21.07.2009 17:28
Die gute Nachricht: Von dem AMC-Virus hat dich LopSD befreit.

Die schlechte Nachricht: Sorry, aber wir leisten hier keine Beihilfe zum Diebstahl.

Zitat:
======Hosts File======
127.0.0.1 activate.adobe.com

C:\Users\andi\AppData\Roaming\uTorrent\Grand_Theft_Auto_IV_Crack_Only-Razor1911.torrent
C:\Users\andi\AppData\Roaming\uTorrent\GTA.4.REAL.PROPER.Crack.ONLY-FCUKTHESCENE.torrent
Hier geht es weiter => http://www.trojaner-board.de/51262-a...sicherung.html

Du bist entlassen und ich bin raus,
Andreas

mtbandi 22.07.2009 08:02
danke trotzdem ;)


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:36 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19