|
verschienede Virenfunde (TR/fakealert-fraudpack-cryptedgen) Hallo! Leider tauchen in den letzten 2 tagen einige virenmeldungen auf, und ich wollte wissen, was denn nun die beste vorgehensweise ist. Antivir meldete einige male ua. die oben genannten viren. Dann hatten wir im temp-Ordner ständig dateien die a.exe, b.exe usw. hiessen, die haben wir alle gelöscht. Dann der Task-Manager zeigte einen Prozess der hiess msb.exe, und am nächsten tag zusätzlich msa.exe, diese scheinen nach dem löschen mit malwarebytes nicht mehr zu starten. Also cccleaner ist durchgelaufen, konnte einen eintrag allerdings nicht löschen, auch nach mehrmaligen versuchen. Die Meldung war: Code: Die Dateiendung {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} verweist auf eine ungültige Programmerkennung. Diese Verweise bleiben oft nach Deinstallationen übrig.Code: Malwarebytes' Anti-Malware 1.40 |
Das Random system information tool log: Code: Logfile of random's system information tool 1.06 (written by random/random) |
Die 2. Hälfte: Code: ======File associations======Vielen Dank für jede hilfe, sollten noch informationen benötigt werden, bitte sagen, reiche es sofort nach! |
Liste der Anhänge anzeigen (Anzahl: 1) Hallo! Ich wollte mal ein kurzen zwischenstand noch posten. Also habe den pc mit bitdefender online-scan gescannt und kein ergebnis. Der online-scan von kaspersky wollte nicht starten. Desweiteren habe ich GMER versucht zu benutzen. Ich habe die windows-firewall, antivir, ad-aware und die internetverbindung deaktiviert und die exe als adminstrator ausgeführt. Das programm bleibt beim ersten versuch hängen und beim zweiten stürzt der gesamte pc ab. Dies ist 2mal passiert. Ich habe mal ein screenshot angehängt, vielleicht hilft es? Bin wirklich dankbar für jede hilfe, ich vermute da ist noch was im argen... |
Hallo und :hallo: Du hast dich über dein Laufwerk F: (USB-Stick?) infiziert. Zitat:
Rootkitsuche mit SysProt
ciao, andreas |
Hallo und vielen Dank! Nein, es war kein usb-stick. Eher ein "kleiner unbedachter klick" im netz... Folgend das Log von Sysprot: Code: SysProt AntiRootkit v1.0.1.0Was mich noch wundert, ist in Hijackthislog folgender eintrag: O20 - AppInit_DLLs: (Allerdings haben wir von einigen wochen versucht den pc mit dem trendmicro housecall zu scannen, welches abgestürzt ist, der housecall ordner geistert immernoch in den eigenen dateien, vielleicht kommts daher?) vielen dank für deine hilfe jdenfalls! Siehts sauber aus? die tage ist nichts auffälliges am pc gewesen... |
Zitat:
Zitat:
Was ist dein Laufwerk F:? Zitat:
ciao, andreas |
Danke, eintrag ist gefixt und nimmer da! Also ein Laufwerk F haben wir nicht. Jedenfalls kein festes. Wenn ich den usb-stick in den pc stecke wird dieses als laufwerk f angezeigt. Ich habe RSIT nochmal eben bei garantiert ausgestecktem und beendetem usb-stick ausgeführt, der selbe eintrag ist immernoch da... ist das ein fieser rootkit/ cloaked malware? |
Liste der Anhänge anzeigen (Anzahl: 1) Zitat:
Zitat:
Lade dir den Anhang auf den Desktop => Doppelklick auf Amayah.reg => Klick auf Ja => Lösche Amayah.reg Zitat:
Falls es dich beruhigt, kannst du noch mit Rootrepeal kontrollieren. Rootkitscan mit RootRepeal
ciao, andreas |
Dankesehr! Komisch, die ganzen viren tauchten erst nach dem verhängnisvollen klick im netz auf, ich hätte garnicht gedacht dass der stick was damit zu tun hat. Ist der usb-stick infiziert, oder kann das von irgendwann früher sein? Hier das log: Code: ROOTREPEAL (c) AD, 2007-2009Ich hoffe das ist jetzt sauber, also neuinstallation garnicht notwendig? |
Hier der 2. Teil Code: Path: C:\Windows\winsxs\x86_netfx-aspnet_webadmin_wizard_b03f5f7f11d50a3a_6.0.6001.22230_none_5006b25ba61904e7\WIZARD~4.ASC |
Werde deutlicher. Auf was hast du genau geklickt? Was hast du heruntergeladen und gestartet? Falls du es nicht posten möchtest, dann schicke mir den Link als Private Nachricht. ciao, andreas |
Hallo! Entschuldige, es ist nicht mir selbst passiert aber ich rekonstruiere: wir wollten uns ein video über google-video anschauen, und um das video zu sehen musste man die webseite aufrufen. Welche das genau war wissen wir nicht mehr. Die Webseite meldete das der Flash-player aktualisiert werden muss. Dazu sollte man draufklicken, es kam die meldung dass der alte entfernt wurde, und dass man eine Datei herunterladen und ausführen soll. Die heruntergeladene datei wurde mit antivir gescannt und dann ausgeführt. Aber der player hat nicht funktioniert und seitdem kamen die virenmeldungen. ... Der usb-stick ist in der verfassung schon länger in benutzung, und da kam nie eine virenmeldung? entschuldige dass ich nichts genaueres dazu sagen kann |
Zitat:
Zitat:
Zitat:
Zitat:
Kommen denn noch immer Meldungen oder gibt es irgendwelche Auffälligkeiten? ciao, andreas |
Liste der Anhänge anzeigen (Anzahl: 1) Hallo! Njaa, also gestern hatte mein mann nachrichten gelesen und aufeinmal sind alle fenster zugegangen und folgende nachricht kam wie im anhang. Er klickte auf abbrechen und dann kam ein anderes rotes fenster dass der computer gescannt werden müsste. Das war nicht von antivir. Beim totalscan meldete antivir nur folgenden virus: C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010013.dir [DETECTION] Contains recognition pattern of the HTML/Crypted.Gen HTML script virus Die hatten wir schon einige male. Der malwarebytes scan heute morgen fand nichts. |
Liste der Anhänge anzeigen (Anzahl: 1) Hallo! noch ein kurzer zwischenstand. Der komplettscan von antivir dauert die letzten 2 tage doppelt so lange als normal. Hier die heutigen funde: |
Kommen die Meldungen beim Surfen? http://www.trojaner-board.de/51871-a...tispyware.html ciao, andreas |
Ja, das mit dem fenster welches weismachen wollte das der pc infiziert ist kam während dem surfen. der zweite post bezieht sich auf einen vollen systemscan mit antivir, und währenddessen wurde am pc nichts gemacht. Habe leider bei superantispyware zu schnell geklickt, die objekte sind schon bearbeitet, aber hier das log: SUPERAntiSpyware Scan Log http://www.superantispyware.com Generated 09/08/2009 at 11:33 PM Application Version : 4.28.1010 Core Rules Database Version : 4089 Trace Rules Database Version: 2029 Scan type : Complete Scan Total Scan Time : 01:46:52 Memory items scanned : 761 Memory threats detected : 0 Registry items scanned : 7553 Registry threats detected : 0 File items scanned : 175792 File threats detected : 6 Adware.Tracking Cookie C:\Users\xxx \AppData\Roaming\Microsoft\Windows\Cookies\xxx@ad.yieldmanager[1].txt C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Cookies\xxx@adtech[1].txt C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Cookies\xxx@content.yieldmanager[3].txt C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Cookies\xxx@content.yieldmanager[2].txt C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Cookies\xxx@doubleclick[2].txt Trojan.Unclassified-Packed/Suspicious C:\WINDOWS\SYSTEM32\PICSHOWXCONTROL1.DLL |
Ich schwanke zwischen Falschmeldung von Avira und tatsächlichem Befall. Die HTML-Meldungen sind überwiegend nicht ernst zu nehmen, die erste Dialogbox allerdings schon. Bei den Avirafunden brauche ich noch den kompletten Pfad. Poste am Besten das Log von Avira. SuperAntiSpyware bitte deinstallieren. 1.) http://www.trojaner-board.de/75859-w...bschalten.html 2.) Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an. ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!ciao, andreas |
Hallo! Vielen Dank! Hier schonmal das besagte Log, melde mich dann nach dem restlichen Sachen: Code: |
Und hier das combofix log: Code: ComboFix 09-09-08.06 - xxx 09.09.2009 11:38.1.2 - NTFSx86 |
hier der zweite teil Code: ************************************************************************** |
Zitat:
Ich brauche noch deine Softwareliste. Start => Ausführen => c:\rsit\info.txt => OK 1.) Deaktiviere den Wächter von Avira. 2.) Packe den Ordner c:\qoobox mit Zip oder Rar, lade das Archiv bei einem Filehoster hoch (z.B. www.materialordner.de) und schicke mir den Link als Private Nachricht. 3.) Aktiviere den Wächter von Avira. ciao, andreas |
Hallo! entschuldige für die verspätung! Hmm, vielen dank für das angebot! Ich würde allerdings gerne auch selbst wissen wie das geht? Vielleicht gibts da gute anleitungen und hintergrundwissen dazu? Was willst du denn genau machen? Aber sind am pc jetzt nur alte sachen oder doch eventuell ein schädling? Dankesehr! |
Hallo! Du hast pm! Was ich mich noch wundere, sind an die 40 tcp verbindungen ins internet, obwohl kein browser geöffnet ist. Allerdings weiss ich nicht wieviele da normal sind, aber es sind svchost.exe, system und unknown die sich da verbinden. Ich könnte dir ein log von currports schicken wenn das was nützt? |
Zitat:
Zitat:
Zitat:
1.) Deinstalliere:
ciao, andreas |
Nachricht per PN: Es wird neuinstalliert. Du bist entlassen, andreas |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 11:54 Uhr. |
Copyright ©2000-2025, Trojaner-Board