Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   FF Fehlermeldung: Ein anderes Programm greift gerade auf diese Datei zu (https://www.trojaner-board.de/77729-ff-fehlermeldung-anderes-programm-greift-gerade-diese-datei.html)

Josina2000 22.09.2009 14:45
FF Fehlermeldung: Ein anderes Programm greift gerade auf diese Datei zu
 
Hallo zusammen,

ich denke, dieses Problem hatten in den letzten Tagen mehrere Leute. Ich wurde vom browser-forum hierher verwiesen.

Alles fing mit der o. g. Fehlermeldung an, als ich Firefox erneut starten wollte, weil ich keine Internetadresse mehr eingeben konnte (nur noch rückwärts). Es war als hätte sich alles aufgehängt. Im o. g. Forum hatten schon mehrere Leute dasselbe Problem. Ich befolgte die Anweisungen, die schon gegeben wurden. Malware scannen und die Funde löschen. Das habe ich getan. Ich hatte 2 Funde.

Danach konnte ich FF immer noch nicht starten. Es blinkte nur ein Fenster einmal schwarz auf.

Ich frage mich jetzt, was ich weiter tun kann. Ich FF zunächst deinstalliert.
Sind dies nun Trojaner? Greifen sie auch auf Passwörter zu, die nicht gespeichert wurden, nur allein weil sie mal eingegeben wurden? Bin ich überhaupt gesichert, wenn ich jetzt über den Internet Explorer ins Internet gehe?

Ein weitere Scan, den ich heute durchgeführt habe, ergab keine Funde mehr. Dennoch habe ich das Gefühl, dass ungewöhnlich viele Bytes hoch- und runtergeladen werden. Dabei bin ich heute nur in diesem Forum zum Lesen.

Ich nehme an, ich muß noch weitere Scans laufen lassen?

Viele Grüße
Josina


Dies ist der Fundbericht von Malware von gestern abend.

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2775
Windows 5.1.2600 Service Pack 3

21.09.2009 20:15:04
mbam-log-2009-09-21 (20-15-04).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 86994
Laufzeit: 5 minute(s), 23 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mmplayer.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Steff\Anwendungsdaten\Adobe\mmplayer.exe (Trojan.FakeAlert.H) -> Delete on reboot.

john.doe 22.09.2009 16:34
Hallo und :hallo:
Zitat:
Ich frage mich jetzt, was ich weiter tun kann.
Lösche den Ordner c:\programme\mozilla firefox und installiere anschließend den Firefox neu oder weiche auf eine Alternative wie Opera aus.
Zitat:
Sind dies nun Trojaner?
Ja, wenn man allerdings der Bezeichnung von Malwarebytes glaubt, dann waren sie nicht so wirklich gefährlich, sondern sollten dich nur dazu verleiten, Geld für ein nutzloses Programm auszugeben. Allerdings werden diese Art von Programmen gerne von Rootkits nachgeladen. Deshalb gibt es noch keine Entwarnung.
Zitat:
Bin ich überhaupt gesichert, wenn ich jetzt über den Internet Explorer ins Internet gehe?
Solange du nur auf dir bekannten Seiten surfst, dann ja. Der MSIE ist in der aktuellen Version auch deutlich sicherer, als z.B. die Version 6.
Zitat:
Ich nehme an, ich muß noch weitere Scans laufen lassen?
1.) Poste beide Logs von RSIT.

2.) Poste das Log von GMER.

ciao, andreas

Josina2000 23.09.2009 14:31
Hallo, vielen Dank für die Rüclmeldung. Ich mußte gestern leider weg, deshalb ist da nichts mehr passiert. Aber jetzt kann ich weitermachen und werde auch durchgängig anwesend sein, solange meine Verbindung mitspielt. FF habe ich noch nicht neu installiert.

Anbei die log-files.

Viele Grüße Josina

GMER 1.0.15.15087 - http://www.gmer.net
Rootkit scan 2009-09-23 14:53:48
Windows 5.1.2600 Service Pack 3
Running: u12260ql.exe; Driver: C:\DOKUME~1\*****\LOKALE~1\Temp\kxtdypob.sys


---- System - GMER 1.0.15 ----

SSDT F7C53966 ZwCreateKey
SSDT F7C5395C ZwCreateThread
SSDT F7C5396B ZwDeleteKey
SSDT F7C53975 ZwDeleteValueKey
SSDT F7C5397A ZwLoadKey
SSDT F7C53948 ZwOpenProcess
SSDT F7C5394D ZwOpenThread
SSDT F7C53984 ZwReplaceKey
SSDT F7C5397F ZwRestoreKey
SSDT F7C53970 ZwSetValueKey
SSDT F7C53957 ZwTerminateProcess

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT \SystemRoot\system32\DRIVERS\intelppm.sys[ntoskrnl.exe!IoCreateDevice] [F789B63E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS[ntoskrnl.exe!IoCreateDevice] [F789B63E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\USBPORT.SYS[ntoskrnl.exe!IoCreateDevice] [F789B63E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\CmBatt.sys[NTOSKRNL.EXE!IoCreateDevice] [F789B63E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[ntoskrnl.exe!IoCreateDevice] [F789B63E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\kbdclass.sys[ntoskrnl.exe!IoCreateDevice] [F789B63E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\mouclass.sys[ntoskrnl.exe!IoCreateDevice] [F789B63E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\audstub.sys[ntoskrnl.exe!IoCreateDevice] [F789B63E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\ndistapi.sys[ntoskrnl.exe!IoCreateDevice] [F789B63E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\msgpc.sys[ntoskrnl.exe!IoCreateDevice] [F789B63E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\termdd.sys[ntoskrnl.exe!IoCreateDevice] [F789B63E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\swenum.sys[NTOSKRNL.EXE!IoCreateDevice] [F789B63E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\ks.sys[ntoskrnl.exe!IoCreateDevice] [F789B63E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\update.sys[ntoskrnl.exe!IoCreateDevice] [F789B63E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\mssmbios.sys[ntoskrnl.exe!IoCreateDevice] [F789B63E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[ntoskrnl.exe!IoCreateDevice] [F789B63E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\usbhub.sys[ntoskrnl.exe!IoCreateDevice] [F789B63E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\drivers\portcls.sys[ntoskrnl.exe!IoCreateDevice] [F789B63E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\System32\Drivers\Fs_Rec.SYS[ntoskrnl.exe!IoCreateDevice] [F789B63E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\System32\Drivers\Null.SYS[ntoskrnl.exe!IoCreateDevice] [F789B63E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\System32\Drivers\Beep.SYS[ntoskrnl.exe!IoCreateDevice] [F789B63E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\System32\Drivers\Msfs.SYS[ntoskrnl.exe!IoCreateDevice] [F789B63E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\System32\Drivers\Npfs.SYS[ntoskrnl.exe!IoCreateDevice] [F789B63E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\rasacd.sys[ntoskrnl.exe!IoCreateDevice] [F789B63E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\ipsec.sys[ntoskrnl.exe!IoCreateDevice] [F789B63E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[ntoskrnl.exe!IoCreateDevice] [F789B63E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!TdiRegisterDeviceObject] [F789BFE6] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\netbt.sys[TDI.SYS!TdiRegisterDeviceObject] [F789BFE6] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Tcpip \Device\Tcp tcpipBM.SYS (Bytemobile Kernel Network Provider/Bytemobile, Inc.)

---- EOF - GMER 1.0.15 ----

Josina2000 23.09.2009 14:37
und hier die rsit log-files

john.doe 23.09.2009 18:19
Das HJT-Log fehlt, dass normalerweise automatisch von RSIT erzeugt wird. Bitte versuche manuell HJT runterzuladen und das Log zu posten => http://www.trojaner-board.de/51130-a...ijackthis.html

Lade die Datei
Zitat:
C:\WINDOWS\system32\MEMIO.SYS
bitte bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html (nur Schritt 2). Die Datei ist nicht sichtbar (Rootkit)! Markiere die Zeile in der Box, kopiere sie und füge sie im Uploadchannel ein.

ciao, andreas

Josina2000 23.09.2009 19:27
Dann hoffe ich mal, dass ich das hinkriege. Josina

Josina2000 23.09.2009 19:37
hier ist das log file von HJT und jetzt lade ich noch die angeforderte Datei hoch

Josina2000 23.09.2009 20:22
Hallo Andreas,

die Datei habe ich jetzt hochgeladen. Aber mir macht noch etwas anderes Sorgen. Ich wollte eigentlich einen Screenshot schicken, der ist aber zu groß. Je länger ich draufschaue, desto mehr denke ich, es handelt sich um Windows Updates, die noch nicht installiert sind.

Hier ist mal nur ein Beispiel, weil ich nicht weiß, wie ich das sonst machen sollte.

C/Windows/$NTUninstallKB898461$

Darüber muß ich mir keine Gedanken machen, wenn ich die Updates installiere, richtig?

FF kann ich doch auch schon wieder aufspielen oder lieber noch warten?

Viele Grüße Josina

john.doe 23.09.2009 20:28
Zitat:
die Datei habe ich jetzt hochgeladen.
Die ist zum Glück sauber. Es gibt einen Schädling mit dem gleichen Namen.
Zitat:
Ich wollte eigentlich einen Screenshot schicken, der ist aber zu groß.
Du kannst ihn bei einem Imagehoster hochladen (z.B. saved.im) und hier den Link posten.
Zitat:
C/Windows/$NTUninstallKB898461$
Darüber muß ich mir keine Gedanken machen, wenn ich die Updates installiere, richtig?
Dort werden die alten Dateien gespeichert, die sonst von den Windowsupdates überschrieben würden. Die dienen ausschließlich dazu, die Updates wieder deinstallieren zu können, um den alten Zustand wiederherzustellen. Falls du Platz sparen möchtest, kannst du alle diese Ordner gefahrlos löschen.
Zitat:
FF kann ich doch auch schon wieder aufspielen oder lieber noch warten?
Anzeichen für Schädlinge habe ich nicht gesehen, nur deine Softwareliste müssen wir aufräumen. Du hast da einige veraltete Programmversionen. Firefox kannst du installieren und testen, ob es jetzt funktioniert.

ciao, andreas

Josina2000 23.09.2009 20:37
Ich glaube, da brauche ich dann keinen Screenshot mehr hochladen.

Die veraltete Software ist aber komisch. Ich habe meinen Laptop erst seit Mai. Was genau ist denn veraltet? Und wie kann das kommen?

Tut mir leid für die Fragen. Ich mußte mich bis vor kurzem um solche Dinge nicht kümmern und so ist bei mir irgendwann eine Wissenslücke entstanden, die immer größer wurde.

john.doe 23.09.2009 20:55
Du hast da Software installiert, wie z.B. Ad-Aware, das schlicht nichts taugt und nur deinen Rechner ausbremst. Dann ist da eine uralte Javaversion, die sicherheitskritisch ist und über die sich schon mehrfach Schädlinge verbreitet haben.

1.) Deinstalliere:
  • Ad-Aware
  • Adobe Reader 8.1.2
  • J2SE Runtime Environment 5.0
  • Spybot - Search & Destroy
2.) Installiere (Toolbars immer abwählen, Haken weg):3.) Starte HJT => Do a system scan only => Markiere:
Code:
Alle O2, O8 und O9-Einträge
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
=> Fix checked

ciao, andreas

Josina2000 23.09.2009 21:41
Dann mach ich mich mal an die Arbeit. Bis morgen dann.

Josina.

john.doe 23.09.2009 21:43
OK. :)

ciao, andreas

Josina2000 24.09.2009 14:29
Hallo,

den ersten Schritt habe ich erledigt. Die Programme sind deinstalliert. Nun muß ich nochmal einen 2. Anlauf für den 2. Punkt nehmen. Es hat sich irgendwas aufgehängt. D. h. das mach ich jetzt mal solange ich weg bin.

Allerdings hat mir Avira heute zum ersten Mal seit ich den Laptop habe, mitgeteilt, dass ich 3 Viren habe. Ich habe es dann reparieren lassen. Aber anbei trotzdem die log-Datei, ob sich was eingeschlichen hat.

FF habe ich inzwischen installiert - Version 3.5.

Dann bis später. Josina

Josina2000 24.09.2009 19:12
So, jetzt ist fast alles erledigt. Den Internetexplorer konnte ich nicht herunterladen. Da gab es immer eine Fehlermeldung.

Geht es jetzt noch weiter?

Josina

john.doe 24.09.2009 19:54
Die Funde von Avira sind harmlos. Keine Angst. :) Das es wieder funktioniert ist ein gutes Zeichen. :daumenhoc

1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.
Nach Neustart kann sie wieder aktiviert werden.

2.) Poste ein neues HJT-Log.

ciao, andreas

Josina2000 24.09.2009 20:41
naja, das hört sich ja nicht mehr so schlimm an. Ich habe die Systemwiederherstellung deaktiviert und dann einen Neustart gemacht. Hier ist das aktuelle HJT log file.

Viele Grüße Josina

john.doe 24.09.2009 20:54
Wie geht es dem Rechner? Gibt es noch irgendwelche Meldungen oder Auffälligkeiten?

McAfee Security Scan? Wo kommt der denn her?

ciao, andreas

Josina2000 24.09.2009 21:15
Das ist für mich ein großes Problem, herauszufinden, ob es Auffälligkeiten gibt. Da bin ich wirklich auf die Meldungen angewiesen. Aber da hatte ich erst mal keine. Das einzige was mir in den beiden letzten Tagen aufgefallen ist, sind die hohe Anzahl an Bytes, die jedesmal hoch- und runtergeladen werden. Und das, obwohl ich tatsächlich nur im Forum war oder meine Mails abgerufen habe. Ich hatte immer das Gefühl, es lädt sich was im Hintergrund hoch oder runter. Dabei lade ich moment gar nichts. Dass die Programme ihr Volumen haben, ist mir schon klar.

McAfee kam einher mit Adobe, quasi als Vorabcheck zum Download. Aber das würde ich wieder deinstallieren.

Was mich jetzt aber noch am meisten interessiert: Muß ich die ganzen Programme wie Malware, RSIT, Gmer und HJT jetzt regelmäßig selbst starten und alles prüfen oder laufen die Scan von alleine wie mbei Avira?

Viele Grüße Josina

john.doe 24.09.2009 21:36
Zitat:
Ich hatte immer das Gefühl, es lädt sich was im Hintergrund hoch oder runter.
Hm, Gefühle und Computer passen nicht zusammen (Stichwort: Phantomschmerz). Falls du genauer schauen möchtest, dann gibt es Programme wie TCPView, Wireshark oder PRTGTrafficGrapher mit denen du genau sehen kannst, was, wann, wohin, gesendet und empfangen wird.
Zitat:
Aber das würde ich wieder deinstallieren.
Gut, das war die einzige Auffälligkeit im HJT-Log.
Zitat:
oder laufen die Scan von alleine wie mbei Avira?
Die kannst du alle wieder deinstallieren/löschen. Die laufen nicht alleine sondern müssen manuell gestartet werden. Allerdings brauchst du für die Auswertung entsprechend Fachwissen. Malwarebytes kannst du als Ersatz für Ad-Aware und Spybot behalten. Allerdings ist es ein erwachsenes Programm, d.h. du musst dich selbst um Updates kümmern und es ab und zu starten.

Du bist entlassen. :)

ciao, andreas

Josina2000 24.09.2009 21:45
Na dann, vielen Dank für Deine Hilfe. Nicht schlecht so ein Forum. Ich hätte sonst dauerhaft ein schlechtes Gefühl gehabt, nicht zu wissen, ob da was ist. War ja am Ende nicht so schlimm.

Ich wünsch Dir noch einen schönen Abend. Viele Grüße Josina

john.doe 24.09.2009 22:13
Zitat:
Ich wünsch Dir noch einen schönen Abend.
Danke, dir auch. :)

ciao, andreas


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:43 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19