|
IE Startseite verändert sich; Fehlermeldung: Exeption Processing Message c... Hallo zusammen und zunächst einen guten Start ins neue Jahr, leider startet es auf dem PC meines Sohnes nicht so gut. Zunächst einmal erhält er seit ca. 1 Wo. die Fehlermeldung "Window - Kein Datenträger Exception Processing Message c0000013 Parameters 75b0bf7c 4 750bf7c. Leider konnte ich diesen Fehler nicht beheben. Versuche einer Systemwiederherstellung scheiterten. Seltsam erscheint mir jedoch, dass ebenfalls seit ca. 1 Wo. die Startseite des IE verändert ist nämlich:postarticles.net. Auch hier scheitern Änderungsversuche meinerseits. Ich habe mich ein wenig durch das Trojaner Board "gekämpft" und bin leider mit meinem Latein am Ende. Ich habe ein Hijackthis.log.file erstellt: Code: Logfile of Trend Micro HijackThis v2.0.2Kann mir hier jemand helfen, wie ich diesen PC wieder "auf die Reihe bringe". Vielen Dank Kieselstein |
Schliesse alle Fenster und starte Hijack This Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei Zitat:
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst Scanne mit MalwareByte's Antimalware Poste das Log von MBAM und wieder ein Log von Hijack This |
Hi, eine Anmerkung zur Systemmeldung "Processing ....": Zitat:
|
Zunächst einmla vielen Dank für die bisherigen Antworten. Ich habe, wie angewiesen, verfahren. Nur kann ich Malware nicht ausführen. Ich habe ein Dektop-Abbild erstellt an der Stelle, an der malware immer abbricht, bzw. an der mir der Task-Manager die Meldung gibt, dass es von malware keine Rückmeldung gibt, kann ich hier leider nicht einfügen. Deshalb hab ich die Stelle notiert, an der es bei malware nicht weiter geht: windows\system32\_000006_temp.dll Ich habe jedoch noch ein logfile von hijackthis: Code: Logfile of Trend Micro HijackThis v2.0.2Herzliche Grüße Kieselstein |
Hi, eEigentlich will ich Argus nicht vorgreifen, aber das könnte was "gefährliches" sein: Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code: C:\WINDOWS\rundll.exe
Also, wenn diese Datei erkannt wurde von Virustotal, dann folgendes Script abfahren (aber nur dann)! Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://saved.im/mzi3ndg3nta0/aven.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code: Files to delete:4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Lasse danach sofort MAM laufen, Fullscan und alles bereinigen lassen! Poste noch ein RSIT und GMER-Log. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code: O4 - HKLM\..\Run: [Dit] Dit.exeRandom's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. * Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/ * speichere es auf Deinem Desktop. * Starte mit Doppelklick die RSIT.exe. * Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. * Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. * In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". * Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. * Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. * Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. * Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. Gmer: http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. Chris |
Dank Chris - ich habs fast befürchtet. Hier die Auswertung von von Virus total: Code: Datei 5D7069E68D1E187AF0FF01C0336B6100F9FCAC0F.exe empfangen 2010.01.06 17:31:22 (UTC)Antivirus Version letzte aktualisierung Ergebnis Kieselstein |
So und hier das Log von Avenger: Code: Logfile of The Avenger Version 2.0, (c) by Swandog46Gruß Kieselstein |
So, nun ist RSIT durch. Ich hänge die Protokolle mal hier an (hoffentlich ist das richtig so). Leider verstehe ich nichts davon. Vielen Dank für die Hilfe bis hierher. Ich werde jetzt dann mit dem Gmer weitermachen. Gruß Kieselstein |
Hi, kennst Du die Programme: C:\WINDOWS\system32\regserve.exe C:\WINDOWS\system32\twatdog.exe und C:\Dokumente und Einstellungen\Anke\Desktop\Anke.exe C:\Programme\RegistryDoktor 4.1\RegistryDoktor.exe Zumindestens das letzte ist sehr zuspekt, bei Virustotal prüfen lassen! Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code: C:\Programme\RegistryDoktor 4.1\RegistryDoktor.exe
Das sieht nicht ganz so berauschend aus, bei gtermddo.sys kann es sich um einen Backdoor handeln, sofort von einem sauberen Rechner aus alle Passwörter ändern. Wenn dem so ist, sollte der Rechner neu aufgesetzt werden! Bereinige sofort alle Temp-Verzeichnisse: http://www.trojaner-board.de/51464-anleitung-ccleaner.html chris |
Hallo Chris, vielen Dank für Ihre Hilfe. Ich sitz jetzt an einem anderen - hoffentlich nicht infizierten (meinem) PC. Das Gmer läuft noch auf dem infizierten PC. Dass die von Ihnen genannten Dateien suspekt sind, kann ich mir vorstellen, wenn ich lese, in welchem Ordner sie sich befinden.:D:pukeface: Ich würde sagen: Volltreffer! Leider verstehe ich wirklich nicht so viel davon als dass ich es selbst rausfinden könnte, was ok ist und was nicht. Was mich irritiert ist, dass ich im Verlauf des IE auf dem PC meines Sohnes fand, dass er sich Hardcore Porno Seiten angesehen haben soll. Das kann wirklich nicht sein; dazu fehlt ihm tatsächlich noch das Verständnis bzw. Interesse:D. Also, wie kommen diese Seiten in den Verlauf besuchter Internet-Seiten? Was mein Sohn mir jedoch sagte, ist das er via msn-chat ein bild erhalten hat, dieses lediglich anklickte, es jedoch nichts passierte, er es daher löschte. Danach passierte dann das, was ich in meinem Eingangspost beschrieben habe. Liebe Grüße, der Gmer Post kommt dann, wenn er durch ist. Kieselstein |
Sorry, noch eine Frage: wie kann das geschehen, ich dachte ich hätte alle Vorkehrungen getroffen, damit keine Viren o.ä. auf den PC kommen. Virenscanner läuft immer, Update erfolgt täglich, Komplettscan wöchentlich, also was habe ich bei den Einstellungen falsch gemacht, dass dieser Supergau geschehen konnte und wie kann ich das in Zukunft und auch auf unseren anderen PC verhindern? Gruß Kieselstein |
Hi, meistens passiert das durch einen Drive-by-download (http://de.wikipedia.org/wiki/Drive-by-Download) (ausgenommen die Helden, die Filesharing betreiben und sich die neusten "gecrackten" Spiele/Apps [natürlich dann auch mit der neusten Malware] runterladen). Wenn dann noch die dadurch verbreitete Malware neu ist und nicht erkannt wird, wars das bereits. Getarnt über einen Rookit (wie z.B. bei "Malware Defense"), zieht das Ding sich die Tanrkappe über und ist dann nicht mehr zu "stellen".... Aber Gottseidank denken die Damen und Herren Häcker auch nicht immer an alles und irgendwie (und wann) findet sich ein Weg um dann doch noch reagieren zu können. Leider geben die Hacker den Takt vor und wir (und die Securityhersteller) hecheln hinter her, d.h. es gibt in diesem Augenblick schon neue Malware die nicht erkannt wird, die wir hier nicht kennen... Eine Technik (auch hier umstritten) versucht gegenzusteuern, Host-Intrusion-Detection (HIS) versucht durch Überwachung der Betriebssystemressourcen (Files, Registry etc.) verdächtiges Verhalten zu erkennen und zu blocken (nennt sich teilweise auch "proaktiver Schutz" etc.). Vertreter dieser Art ist Threadfire (http://www.threatfire.com/de/) als Add-On zu einem Realtime Scanner sowie z.B. Online Amor (http://www.tallemu.com/products-online-armor-free.php) gekoppelt mit einer Firewall.... chris |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:55 Uhr. |
Copyright ©2000-2025, Trojaner-Board