![]() |
Brauche mal eure hilfe Hi, Pc-erfahrung hab ich genung, allerding 0 auf diesem gebiet da ich nie Probleme hatte. Zum Problem: Antivir Guard hat nen win32.tdss gefunden (ca. 8x) und ich habe immer auf löschen geklickt. Dann habe ich nen Systemtest gemacht und Antivir hat sich mit nem Win-Blue screen verabschiedet:mad: Dann hab ich das System mit Spybot durchsuchen lassen und er hat Win32.tdss.reg (13x) und Win32.tdss.rtk (8x) gefunden und ich habe es beheben lassen. Beim erneuten suchlauf waren die .reg weg aber die .rtk nicht. Darauf hin hab ich mich im I-Net mal auf die suche begeben und bin hier im forum gelandet und hab mal bissel gelesen. Daraufhin hab ich mir dann Malwarebytes geladen und laufen lassen (LOG ist unten drin). Er hat auch was gefunden und es "Quarantined and deleted successfully" Quarantäne gestellt, von da hab ich es dann gelöscht. Dann hab ich spypot wieder laufen lassen, nix. Malwarebytes nochmal, nix (2er LOG). Dann war ich 1x im I-Net und hab Malwarebytes ein update verpasst und es nochmal laufen lassen (3er LOG). Nun hat er neue sachen gefunden, die ich aber nicht für gefährlich halte und ich habe sie aus der Quarantäne wiederhergestellt. Habe ich da recht? Und kann ich davon ausgehen das der Win32.tdss.rtk nun weg ist? LOG 1 Malwarebytes' Anti-Malware 1.40 Datenbank Version: 2659 Windows 5.1.2600 Service Pack 3 20.08.2009 02:45:45 mbam-log-2009-08-20 (02-45-45).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|) Durchsuchte Objekte: 142834 Laufzeit: 12 minute(s), 1 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 8 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\UAC (Rootkit.Trace) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\spybotdeletingb3309 (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\spybotdeletingd7821 (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\spybotdeletingb1519 (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\spybotdeletingd4125 (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\spybotdeletinga6575 (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\spybotdeletingc1183 (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\spybotdeletinga9208 (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\spybotdeletingc7709 (Trojan.Agent) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\uacinit.dll (Trojan.Agent) -> Delete on reboot. LOG 2 Malwarebytes' Anti-Malware 1.40 Datenbank Version: 2659 Windows 5.1.2600 Service Pack 3 20.08.2009 09:56:57 mbam-log-2009-08-20 (09-56-57).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|) Durchsuchte Objekte: 146265 Laufzeit: 21 minute(s), 14 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) LOG 3 Malwarebytes' Anti-Malware 1.40 Datenbank Version: 2661 Windows 5.1.2600 Service Pack 3 20.08.2009 11:08:03 mbam-log-2009-08-20 (11-08-03).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|) Durchsuchte Objekte: 146312 Laufzeit: 21 minute(s), 10 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 15 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Programme\MSN\MSNCoreFiles\Install\msnsusii.exe (Worm.Autorun) -> Quarantined and deleted successfully. C:\Programme\MSN\MSNCoreFiles\Install\MSN9Components\Digcore.exe (Worm.Autorun) -> Quarantined and deleted successfully. C:\Programme\MSN\MSNCoreFiles\Install\MSN9Components\Msncli.exe (Worm.Autorun) -> Quarantined and deleted successfully. C:\WINDOWS\system32\netsetup.exe (Worm.Autorun) -> Quarantined and deleted successfully. C:\WINDOWS\system32\wextract.exe (Worm.Autorun) -> Quarantined and deleted successfully. C:\WINDOWS\ServicePackFiles\i386\msncli.exe (Worm.Autorun) -> Quarantined and deleted successfully. C:\WINDOWS\ServicePackFiles\i386\msnsusii.exe (Worm.Autorun) -> Quarantined and deleted successfully. C:\WINDOWS\ServicePackFiles\i386\wextract.exe (Worm.Autorun) -> Quarantined and deleted successfully. C:\WINDOWS\ServicePackFiles\i386\netsetup.exe (Worm.Autorun) -> Quarantined and deleted successfully. C:\WINDOWS\ServicePackFiles\i386\digcore.exe (Worm.Autorun) -> Quarantined and deleted successfully. C:\WINDOWS\SoftwareDistribution\Download\97cb99aa729a3e84c1961060d22d93aab9a0c576 (Worm.Autorun) -> Quarantined and deleted successfully. C:\WINDOWS\$NtServicePackUninstall$\netsetup.exe (Worm.Autorun) -> Quarantined and deleted successfully. C:\WINDOWS\$NtServicePackUninstall$\wextract.exe (Worm.Autorun) -> Quarantined and deleted successfully. D:\Download\software\TweakPower.exe (Worm.Autorun) -> Quarantined and deleted successfully. D:\Download\software\WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe (Worm.Autorun) -> Quarantined and deleted successfully. |
Fehlt euch noch irgendwas an infos? Würde echt gerne eure Meinung dazu höhren |
Hallo und Herzlich Willkommen! :) sieht nicht gut aus und befürchte ich so dass die Ergebnisse dich zur Formatierung zwingt :o um es zu bestätigen, mache ein paar Kontrollscan: 1. Den kompletten Rechner zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online - Scanner - wähle "My Computer" aus: im Internet Explorer: - "Extras→ Internetoptionen→ Sicherheit": - alles auf Standardstufe stellen - Active X erlauben - speichere die Ergebnis als *.txt Datei und poste das Logfile des Scans 2. Führe dann einen FullSystem Scan mit Nod32 - die Scanergebnis als *.txt Dateien speichern) - (ESET Online Scanner (Sicherheitseinstellungen wie unter Punkt 1.) Speichere und Poste bitte das Logfile ** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw Zitat:
Coverflow |
So ich habe die beiden sachen wie beschrieben laufen lassen und beide haben nix gefunden. Der Nod32 hat mir leider nicht die möglichkeit gegeben nen Log anzeigen zu lassen oder zu speichern. AntiVir habe ich auch nochmal laufen lassen, ohne Absturz und ohne Schädliches Ergebnis. Nun bleibt noch die Frage, die sachen die Malwarebytes in Log3 gefunden hab ob die gefählich sind...zumindestens die letzen beiden daten in D:\ sind zu 99% nichts böses. Code: ------------------------------------------------------------------------------- |
hi hmm..finde auch interessant, nämlich sind es Systemdateien... **Spybot bitte abstellen! Falls "Tea Timer" auch aktiviert: Modus-->Erweiterte Modus-->Ja-->Werkzeuge-->Resident--> das Häkchen entfernen aus der "Resident "TeaTimer" (Schutz aller Systemeinstellungen) > exit. 1. Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren! 2. lade Dir HijackThis 2.0.2 von *von hier* herunter HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen" 3. ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen:: → Klicke unter Start auf Arbeitsplatz. → Klicke im Menü Extras auf Ordneroptionen. → Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen → Geschützte und Systemdateien ausblenden → Haken entfernen → Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen. → Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein. 4. Für XP und Win2000 (ansonsten auslassen) → lade Dir das filelist.zip auf deinen Desktop herunter → entpacke die Zip-Datei auf deinen Desktop → starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen → kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread ** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen! 5. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool ccleaner herunter installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein 6. Jedes Speichermedium (wie USB-Sticks/Platten usw ) bitte anschließen und dabei die [SHIFT]-Taste gedrückt halten! Lade dir FindyKill.exe von hier herunter und speichere die Datei auf dem Desktop.
|
:eek: das schaut nicht gut aus Code: GMER 1.0.15.15077 [6xd8i19j.exe] - http://www.gmer.net Code: Logfile of Trend Micro HijackThis v2.0.2 |
Code: ----- Root ----------------------------- Code: Adobe Flash Player 10 ActiveX |
Hier nochmal nen Aktueller Malwarebytes scan. Findet wie auch spybot, antivir und die beiden Online scanner nichts. Nur Gmer meldet das da noch was ist. Bekommt man den denn überhaubt noch weg? Ich meine ohne Neuaufsetzung des systems? Code: Malwarebytes' Anti-Malware 1.40 |
Zitat:
Da eine 100%ige Erkennung von Rootkits unmöglich ist, ist die beste Methode wäre zur Entfernung die komplette Neuinstallation. Zitat:
Falls Du dein System doch reinigen möchtest: 1. - Kopiere den Text aus der Code-Box in ein Notepad-Dokument und speichere ihn als remove.txt auf deiner Festplatte C:\ Code: Drivers to disable: → Lade den Avenger herunter und entzippe ihn auf den Desktop. (direkt als `EXE` *hier* erhältlich ) → die avenger.exe per Doppelklick starten → füge den Inhalt aus der Codebox vollständig und unverändert in das leere Textfeld bei "Input script here" ein → dann klicke auf "Execute" → wirst Du gefragt, ob Du das Script ausführen willst. Beantworte die Frage "Ja". → auf die Fragae ob dein Rechner jetzt neu starten soll "Rebot now" bejahe bitte auch → nach Neustart wird ein Dos Fenster aufgehen. → wenn wieder geschlossen ist, es öffnet sich der Editor mit die Scanergebnisse : C:\avenger.txt → kopiere und füge den Inhalt direkt aus der Textdatei hier rein 3. dann Punkt 6. weiter-> http://www.trojaner-board.de/76584-b...tml#post458134 4. lass dan Gmer nochmal laufen (laut Anleitung) |
so hab´s nach besten wissen ausgeführt. Bei FindyKill sollte ich ja "F" auswählen, ist das wichtig oder könnte man auch "E" für englich nehmen? Code: Logfile of The Avenger Version 2.0, (c) by Swandog46 Code: ############################## | FindyKill V5.006 | Code: GMER 1.0.15.15077 [6xd8i19j.exe] - http://www.gmer.net |
Kann es sein das eins der Tool´s Avenger oder FindKill Dienste anschaltet, die aus wahren? z.b. Sicherheitscenter oder Automatisches Update? |
hi Zitat:
an erster Stelle ein Rootkit war dafür dafür verantwortlich! Jetzt erst mal noch ein bisschen aufräumen: 1. - Leere bitte alle Quarantäne Ordner (Antivirus bzw Anti-Spy-Programm etc) - Entferne Gmer - C:\avenger\backup.zip löschen– (mit den Inhalt der gelöschten Dateien) → Papierkorb leeren - FindyKill kannst auch entfernen - Kaspersky Online Scanner deinstallieren 2. alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren **Lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind,nicht löschbar.
3. reinige dein System mit Ccleaner:
4.
5. Windows und die installierten Programme auf den neuesten Stand zu halten,sind Garanten für eine erhöhte Sicherheit! Java aktualisieren `Start→ Systemsteuereung→ Java→ Aktualisierung... danach deinstalliere: `Systemsteuerung → Software → Ändern/Entfernen...` Code: Java(TM) 6 Update 2 |
Code: SUPERAntiSpyware Scann-Protokoll Zitat:
|
- "von fall zu fall verschieden", jedes Programm hat seine Besonderheiten bzw "Gebiet" ;) Spybot ist eher für die allgemeine Nutzung für "Otto-Normal-Surfer"...:) - was verstehst Du bitte nicht? gehe auf `Start→ Systemsteuereung→ Java→ Aktualisierung... die neusten Updates für das Java ziehen wenn das alte Update existiert noch: "Java(TM) 6 Update 2" dann unter `Systemsteuerung → Software → Ändern/Entfernen...` einfach deinstallieren wenn nach einem Neustart nicht mehr da, dann ist gut - Malwarebytes' Anti-Malware und SUPERAntiSpyware kannst Du schon deinstallieren um sicher gehen kannst Du noch dein Sytem mit mindestens 3 Onlinescanner prüfen/reinigen: - Vor dem Scan Einstellungen im Internet Explorer: Extras → Internetoptionen → Sicherheit → Stufe anpassen: alles auf Standardstufe stellen - Active X erlauben - Nicht gleichzeitig scannen! Nach jedem Scanvorgang starte dein System neu auf - speichere und poste das Logfile des Scans - die Ergebnisse als*.txt Datei speichern Die Online-Scanner sind alle reine On-Demand-Scanner. Sie durchsuchen einzelne Dateien oder Verzeichnisse, wahlweise die gesamte Festplatte, haben keinen Hintergrundwächter oder andere residente Prozesse. Dadurch verbrauchen sie ausser Festplattenspeicher keine Resourcen und man kann beliebig viele gleichzeitig installieren. Die Online-Scanner sind gut geeignet um sich eine zweite Meinung einzuholen. |
Zitat:
Zitat:
|
Alle Zeitangaben in WEZ +1. Es ist jetzt 08:06 Uhr. |
Copyright ©2000-2025, Trojaner-Board