|
jetzt Trojaner TR/Trash.Gen nach (gelösten?) Malware Defense Problemen Hallo, ich hatte die gleichen Probleme mit Malware Defense wie von einigen hier beschrieben. Leider kenne ich mich mit Virus + Trojaner + PC-Sicherheit überhaupt nicht aus. So bin ich nach euren Hilfestellungen für die anderen Betroffenen vorgegangen und jetzt läuft Avira wieder. Jetzt warnt aber der Avira-Guard in sehr regelmäßigen Abständen vor TR/Trash.Gen (sobald der Rechner unbenutzt ist, scheinbar genau im 60-Minuten Abstand). => siehe Avira regelmaessig Anhang Bisher waren alle von Avira gemeldeten Trojaner in ein und demselben Ordner: C: /System Volume Information. Über den Explorer wird der Zugriff auf den Ordner C: /System Volume Information/ verweigert. Auf D: und in E: habe ich noch mal einen "System Volume Information" Ordner, auf die ebenfalls jeweils nicht zugegriffen werden kann. (Ich habe den Rechner extra Tag und Nacht durchlaufen lassen, weil ich nicht will, dass sich der Trojaner über das ganze System verteilt. Oder haben Neustarts gar nichts mit dem Ausbreiten des Trojaners über das System zu tun??) Angehängt habe ich euch: 1. Avira Scan Logfile.txt (Die pagefile.sys konnte nicht durchsucht werden. Sie hat 589.824 kB und angeblich habe ich die geändert am 18.01.2010 um 15:43 Uhr.) 2. CCleaner nicht löschbarer Registry Eintrag.zip (Ein Eintrag der Registry wird zwar als Fehler erkannt, ist löschbar, ist bei der nächsten Suche nach Fehlern aber wieder da. Habe 10 Mal hintereinander versucht zu löschen, geht nicht.) 3. mbam Logfile 4. RSIT Log.txt 5. RSIT-info.txt 6. Gmer Bericht Den InternetExplorer, den ich anfänglich bei den Malware Defense Problemen noch hatte, habe ich übrigens durch Mozilla Firefox ersetzt ! Der letzte Avira Fund war 4:47 Uhr. Die 60 Minuten sind ja deutlich überschritten. Wenn ich auf dem Rechner arbeite, scheint der Trojaner sich nur verspätet zu zeigen. Die Systemwiederherstellung, die ich gestern oder so aktiviert hatte (nachdem sie ursprünglich immer deaktivert war), habe ich jetzt gerade wieder deaktiviert (bis das Trojaner Problem behoben ist, denke ich). Ist das gut so? Und noch eine Frage: Wenn ich jetzt zu diesem Zeitpunkt eine Kaufversion von Norton Antivirus auf den Rechner installieren würde, würde Norton das Trojaner Problem in den Griff bekommen? Ich danke euch schon mal jetzt für eure wahnsinnige Mühe. TINA P.S. restliche Anhänge in meinem nächsten Posting |
hier die restlichen Logfiles 4. RSIT Log.txt 5. RSIT-info.txt 6. gmer |
Hallo, Stand der Dinge: 1. letzte Av-Guard Warnung 4:47 Uhr, seit dem ist der PC mit Arbeit beschäftigt (es läuft z.B. ein Realtime Chartprogramm) und es gibt KEINE weitere AV-Guard Warnung über den TR/Trash.Gen. 2. Der Rechner läuft auch wie immer, keine Störungen in irgendeiner Weise bemerkbar. Taskmanager imho auch alles okay. 3. Avira AntivirScan des gesamten Systems bemerkt den Trojaner in C:/System Volume Information nicht und der Scan läuft ohne negative Ereignisse durch. da muss man auf folgenden Gedanken kommen: Obwohl AntivirScan den Trojaner nicht bemerkte und weiterhin nicht bemerkt, bekam ich DANACH im regelmäßigen exakt 60-minütigen Abstand eine Trojaner-Warnung über den AV-Guard. Dies passiert aber NUR, wenn auf dem Rechner nichts geschieht. Bloßer Internet-Traffic über mein Realtime Chart-Programm verhindert die Trojaner-Warnung von AV-Guard. Sobald ich wie gestern mit CCleaner aus der Registry etwas löschen will, meldet sich der Trojaner. Der eine Registry Eintrag, der sich partout nicht löschen lässt, ist folgender: Fehler: Ungenutzte Datei Endungen Daten: (80b8c23c-16e0-4cd8-bbc3-cecec9a78b79)- *weiß leider nicht, wie diese geschwungene Klammer geht* Registry Schlüssel: (80b8c23c-16e0-4cd8-bbc3-cecec9a78b79) Steht dieser Eintrag vielleicht mit dem Ordner C:/System Volume Information, auf den man über den Explorer ja leider keinen Zugriff nehmen kann, in Zusammenhang ? Z.B. so: Wenn ich versuche, den Registry Eintrag zu löschen, meckert AvGuard hinterher, weil der Guard wieder auf den Trojaner in C:/System Volume Information aufmerksam gemacht wurde? Und zwar meckert er genau so häufig, wie ich versucht habe, den Registry Eintrag zu löschen ????? Und unter normalen Umständen, an normalen Tagen greife ich ja ins System überhaupt gar nicht ein. Ich bin ein ganz einfacher Anwender und habe meine Anwendungen laufen. Dann meldet AV-Guard auch keinen Trojaner Fund. Und wenn ich am PC sitze, dann ist meistens schon auch Traffic am laufen oder ich arbeite mit einer anderen Anwendung und dann ist der AV-Guard ja scheinbar auch ruhig und meldet nicht. Könnte das alles so sein? Habe ich den Trojaner TR/Trash.Gen vielleicht schon eine ganze Weile auf dem Rechner, aber habe ihn nie bemerkt ????? Mein Internet-Banking hat bisher einwandfrei funktioniert !? *öhm* Man kann nirgendwo sehen, seit wann man einen Trojaner hat, oder?? Mein zweiter PC ist durch ein einfaches Netzwerk mit Netzwerkkarten mit dem infizierten Rechner verbunden, war aber seit Ewigkeiten nicht eingeschaltet. Der Rechner kann den Trojaner doch nicht bekommen haben, wenn er nie eingeschaltet war, oder? Und noch eine klitzekleine Frage. Darf ich im Moment emails (ohne Anhang meine ich, nur ganz normaler Text) versenden? oder schicke ich dann dem Empfänger gleich meinen Trojaner mit? Hoffentlich findet noch jemand Zeit, sich meiner Fragen anzunehmen. Dafür im voraus schon vielen, vielen Dank. LG Tina |
Hallo, kann mir jemand helfen ? :heulen: Ich weiß leider nicht, wie ich weiter vorgehen soll. Soll ich auch mit Combofix weitermachen (so wie ihr es dem anderen Nutzer, der auch TR/Trash.Gen im Ordner C:/System Volume Information hatte, geraten habt)???? Oder liegt der Fall bei mir anders? Habt ihr eine Idee und Hilfestellung für mich ???????? lieben Dank im voraus für eure Mühe. Tina |
Hallo liebes Kompetenz-Team, könnt ihr mir bitte, bitte, bitte, bitte helfen ??? Bitte schaut doch mal auf meine Logfiles. Was kann ich tun, um den TR/Trash.Gen loszuwerden ????? Bitte, bitte, schaut doch mal. Ich warte schon so viele Tage. Vielen, vielen Dank im voraus, Tina |
HitmanPro 3.5 Download HitmanPro 3.5 und installiere es Klicke Einstellungen >> Lizenzinformation und “Aktiviere die kostenlose Lizenz“fuer 30-Tage Klicke weiter und der Scan faengt an,gefundene Infektionen entfernen und Rechner neu starten Download link HitmanPro 3.5 32-Bit Support : Windows XP, Vista, 2000, 2003, 2008 and Windows 7 Download link HitmanPro 3.5 64-Bit Support : Windows XP x64 Edition, Vista x64 and Windows 7 x64 Installiere Malwarebytes Anti-Malware Update das Programm und fuehre ein Vollstaendigen Suchlauf“ durch Wenn am Ende infizierungen gefunden werden,anhaken und entfernen lassen Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt) Poste dessen inhalt hier ins Forum |
Hallo Argus, D A N K E S C H Ö N, dass du mir hilfst - freue mich riesig über deine Hilfe. Also, ich bin deinen Anweisungen gefolgt, nicht ganz ohne Probleme: 1. HitmanPro 3.5 32Bit Scan erledigt Ergebnis: "Es wurde keine bösartige Software gefunden." 2. Malwarebytes Installation läuft ok, aber beim automatischen Update direkt bevor das Startfenster zu sehen ist, kommt folgende Fehlermeldung: "Ein Fehler ist aufgetreten, bitte geben Sie den folgenden Fehlercode an das Malwarebytes' Antimalware Supprt-Team weiter. Error-code: 732 (Null, Null)" Ich habe Malwarebytes zwei weitere Male deinstalliert und wieder installiert => gleicher Update Fehler. Ein drittes Mal installiert ohne das automatische Update, dann hinterher manuell ge-updated => gleicher Fehler. - Internetverbindung ist aber okay, komme hier auch ohne Prob rein - Antivir Guard habe ich extra deaktiviert Ich weiß leider nicht, wo es da hakt. Ich habe den vollständigen Scan trotzdem gemacht, Logfile anbei. Meine Malwarebytes Version (ohne Aktualisierung) ist: aktuelle Datenbank Information: 07.01.2010 Datenbank Version: 3510 Argus, kann es sein, dass HitmanPro und Malwarebytes den Trojaner sowieso nicht finden? Bereits letztes Wochenende, als meine Trojaner Probleme hier anfingen, hat Malwarebytes nichts gefunden. Der Antvir Guard hat DANACH aber troztdem weiterhin den TR/Trash.Gen gefunden und gemeldet. Ein anderer User hier auf dem Forum hatte den gleichen Trojaner in C:/System Volume Information und dem wurde Combofix empfohlen. Hier der Link. http://www.trojaner-board.de/81845-a...eseitigen.html Was kann ich als nächstes tun ?? Tina |
Ist die System wiederherstellung Zitat:
http://www.alewelt.eu/Sys.htm 1. Rechtsklick auf Arbeitsplatz/Eigenschaften. 2. Den Reiter Systemwiederherstellung öffnen und "Systemwiederherstellung deaktivieren" markieren, auf "Übernehmen" und "Ok" und die folgende Warnmeldung bestätigen. Neu Starten und Haaken wieder entfernen Download MBAM-Special zum Desktop und entpacke es, Jetzt soll Malwarebytes' Anti-Malware starten, Update das Programm und scanne Für XP und Win2000 (ansonsten auslassen) → lade Dir das filelist.zip auf deinen Desktop herunter → entpacke die Zip-Datei auf deinen Desktop → starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen → kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread ** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen! |
Hallo Argus, :nixda: Download mbam-Special zum Desktop: Da kommt leider nur eine Fehlermeldung. Habe es auch von einem anderen PC mit Internet Explorer versucht, ebenso Fehlermeldung: "Fehler: Netzwerk-Zeitüberschreitung Der Server unter mbam.malwarebytes.org braucht zu lange um eine Antwort zu senden." *schluchtz*, was kann ich da machen ?? Systemwiederherstellung: Die Systemwiederherstellung war und ist auf allen Laufwerken deaktiviert. Das habe ich jetzt so gelassen, ok? Soll ich das mit dem filelist.zip trotzdem schon machen, auch ohne das Update von Malwarebytes Scan ? Tina |
Mein MBAM Pro ist auch imm Eimer,Bekomme auch ein Fehlermeldung Anscheinend ist die Downloadseite down Scanne mal dein Rechner mit SuperAntiSpyware Und ein scan mit DrWeb CureIt! Dauert leider sehr lange |
oki, bin dabei mit SuperantiSpyware und DrWeb CureIt. Soll ich das mit dem filelist.zip trotzdem auch machen ?? Tina |
Ja,mach mal,wuerde mich interessieren |
so, im Anhang das Ergebnis von filelist.zip. Ich habe also alles rausgelöscht, was vor dem 24.07.2009 war. Hoffe, das war okay. Ich mach weiter, hoffentlich bist du dann gleich noch da, wenn ich mit SuperAntiSpy und DrWeb durch bin, damit ich heute mal irgendwie einen Schritt vorankomme und den PC wieder nutzen kann ! Tina |
Avenger 1.) Lade dir das Tool Avenger2 und speichere es auf dem Desktop: http://www.imgdumper.nl/uploads2/4b4..._Avenger_1.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Zitat:
4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier im Thread. |
Hallo Argus, ich hatte deine neuen Anweisungen nun noch nicht gesehen, und noch mit dem SUPERAntiSpyware weitergemacht. und ... er hat was gefunden .... yeahhh Logfile anbei. Wie soll ich jetzt weitermachen? a) weiter mit SUPERAntiSpyware, remove der infizierten Registry Keys, und dann nach Anleitung weiter mit, sicherstellen, dass der SafeBootKey in Ordnung ist, und dann eine Abschließende Überprüfung mit SUPERAntiSpyware im agesicherten Modus? oder b) nach deiner neuen Anleitung mit Avenger etc. ?? Ich mach erstmals nichts, bis zu deiner Antwort. Tina <= erleichtert, dass sie Hilfe hat :-) |
Fuehre bitte Avenger aus Und haacke bei Avenger auch noch "Automatic disable any Rootkits found"an |
oki, ich mach mit der Avenger Anleitung weiter und hake zusätzlich das "automatically disable any rootkits found" an. (von SUPERAntispyware deaktiviere ich dann den Wächter, so wie es in der SUPERAntispyware drin stand.) Tina |
so, avenger ausgeführt und besagte Datei erfolgreich gelöscht. siehe Log Wie soll ich jetzt weitermachen ? Soll ich nochmal SUPERAntiSpyware Scan laufen lassen, und schauen, ob er dieses Mal wieder die 5 infizierten Registry Keys findet ? Tina |
loesche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb TFCleaner Download TFC.exe by OldTimer zum Desktop Schliesse alle fenster und doppelklick TFC.exe um das Programm zu starten Vista benutzer: rechtermausklick auf TFC.exe und waehle "Run as an Administrator" Lasse Temp File Cleaner seine Arbeit tun Am Ende wird dein Rechner neu starten,wenn nicht starte manuell neu ComboFix © (by sUBs) Download ComboFix © by sUBs und speichert es auf den Desktop! Waehrend ComboFix runter geladen wird aendere Combofix um in cofi.exe und nicht nachher wenn CF schon auf dein Rechner steht http://www.imgdumper.nl/uploads2/4b5...4719a-cofi.jpg Note:Wenn wehrend du ComboFix runterlaedst oder anwendet ein Meldung deines Virenscanner kommt oder ein anderen Realtime scanner Schalte diese scanner dann aus und download ComboFix erneut Es gibt scanner die bestimmte komponente die durch CF benutzt werden als verdaechtig ansehen und versucht sie zu blokkieren oder zu entfernen Starte combofix.exe Note:Vista Um Combofix unter Vista(32 Bit) nutzen zu koennen muss man es als Administrator starten. Also rechte Maustaste auf die Combofix.exe und "Als Administrator ausfuehren" waehlen. |
... jetzt habe ich aber doch einen halben Herzinfarkt bekommen. Den Antivir Guard hatte ich extra deaktivert, unten in der Taskleiste Schirm geschlossen. Das Antivir Center war aber natürlich noch auf dem Rechner. Nach Start von Combofix warnt es, dass folgende Realtime Scanner noch aktiv seien: antivirus: Avira Antivir Personal Edition Classic und zwar schrieb er das gleich 4 mal untereinander. Jetzt habe ich mittendrin in der Combofix Routine über Systemsteuerung => Software das Antivirus gelöscht. Dann fragte Combofix zum Glück noch, ob ich ein Update möchte, ich klickte ja, dann kam ich wieder ganz zum Anfang an den Ablehnungshinweis von Combofix und konnte Combofix so zum Glück noch beenden. Bitte Argus, wie kann ich denn nun garantiert feststellen, dass ich im Hintergrund keinen Antivirenscanner mehr laufen habe ?????? Unter Systemsteuerung => Software ist Antvir nicht mehr drin. Unter CCleaner => Extras ist Antivir auch nicht mehr drin. ICh will ja nicht, dass das nochmal passiert. Tina <= mit Herzinfarkt |
Wenn CF mit diese Meldung kommt,gib Enter :D Sowas kommt bei mir auch,und ich benutze diesen scanner aber nicht mehr AV: Immunet Protect *On-access scanning* (Updated) {F1220F1F-7E2E-48CD-846D-B98C6F85CD37} |
na, du hast Nerven ... booaahhhh ;) oki, ich lass Combofix durchlaufen. Tina |
Hallo Argus, Combofix erfolgreich durchgelaufen => siehe Log Ich habe die Systemwiederherstellung deaktiviert, hoffentlich war das jetzt kein Fehler, da war ich etwas vorschnell :-(. Was kann ich nun tun? oder ist das System wieder trojaner-frei ? SUPERAntiSpyware hatte vorhin ja die 5 infizierten Registry Keys gefunden und wohl in Quarantäne genommen. Soll ich nochmal in das Programm, um die infizierten files zu removen ?? Oder hat sich das alles mit Combofix schon erledigt? Tina |
Gratuliere http://www.cosgan.de/images/midi/musik/a050.gif CombiFix entfernen Start > Ausführen> Kopiere rein combofix /uninstall OK Entferne auf C:\combofix.txt Entferne HitmanPro via Software und auch SuperantiSpyware Via Start>>Suchen weitere Daten von beide suchen und entfernen Es gibt von SuperAntiSpyware auch ein Onlinescanner Installiere ein Virenscanner,!! :lach: Und alles gute aus....... :D |
Hallo Argus, habe alles von Combofix, HitmanPro und SUPERAntiSpyware entfernt. Danach einen Neustart gemacht ... 1. ... und noch bevor ich Antivir 9 wieder installieren konnte, hat mich unten rechts in der Taskleiste ein rotes Symbol angemeckert (sieht von der Form her genauso aus wie das für die Windows Updates, ist nur in rot). Es hat gemeldet: "Der Computer ist eventuell gefährdet. Automatische Updates sind deaktiviert. Klicken Sie auf dieses Symbol, um das Problem zu beheben." Im Taskmanager sind mir alg.exe und wscntfy.exe aufgefallen, die vorher nicht da waren. Bisher hatte ich das noch nie, aber ich denke mal, dass es wohl wirklich von Windows ist ?? 2. Die Systemwiederherstellung hatte sich leider auch vor meinem Neustart wieder aktiviert, obwohl ich sie doch deaktiviert hatte. Vielleicht durch das Uninstall von combofix. Ich denke, dass auch das okay ist. 3. Im explorer ist mir aufgefallen, dass in der Ordnerstruktur jetzt C:/Dokumente und Einstellungen/Tina Nachname/Anwendungsdaten fehlt. Hoffe, dass das okay ist ? Wenn die drei obigen Punkte okay sind, ist mein Rechner dann wieder sicher? Kann ich auch online banking wieder machen? Ein zweiter Rechner war mit diesem infizierten Rechner über ein einfaches Netzwerk verbunden. Der 2. Rechner war aber seit ewigen Monaten nicht mehr an. Muss ich davon ausgehen, dass der auch infiziert ist? Antvir 9 habe ich wieder installiert. Soll ich es auf die aggressiven Einstellungen eingestellt lassen ? Wie kann ich mich denn nun bei dir am besten bedanken ? Ich weiß nicht, wie das hier Usus ist ? Habt ihr eine Kontonummer, auf die gespendet werden kann ? Tina |
Anwendungsdaten ist eine verborgene Datei Die Systemwiederherstellung muss aktiviert sein wscntfy.exe ist das Security Center Wenn du noch Zeit hast Uninstall Liste mit hilfe von Hijack This Starte Hijackthis, wähle "Open the Misc Tools section", öffne "Open Uninstall Manager", drücke dort "Save list...". Sobald die Liste gespeichert wird, öffnet sich ein Fenster mit den entsprechenden Einträgen. Bitte diese auch in den eigenen Thread kopieren. Ich schicke dir jetzt ein PM Trojaner-Board-Spendenkonto |
Hallo Argus, jepp, die Uninstall Liste mithilfe von Hijackthis werde ich jetzt noch machen. Bloss gut, dass also wscntfy.exe wirklich was von Windows ist! Denn mit irgendwelchen Warnfenstern unten rechts in der Taskleiste kannste mich langsam jagen :crazy:... denn so (mit netten Warnungen von Malware Defense) fing ja mal alles an. Ich poste dann nachher noch die Liste. Bis dann, Tina |
Hey Argus, also im Anhang die Uninstall Liste von Hijackthis. Soll ich noch was tun, oder ist mein Rechner gerettet ? Auch für Online-Banking wieder zu gebrauchen ? Tina |
Dein Java software ist veraltet, Download Java Runtime Environment (JRE) 6u18 zum Desktop Entferne ueber "Start -> Einstellungen -> Systemsteuerung -> Software Die aeltere Versionen von Java Runtime Environment (JRE of J2SE) http://www.imgdumper.nl/uploads2/4b3...-java_icon.JPG Nachdem alles entfernt wurde --->Rechner neu starten Schliesse alle Programme auch dein Webbrowser Installiere jetzt vom Desktop aus ---> jre-6u18-windows-i586-iftw-rv.exe Enferne Adobe Reader 7.0 - Deutsch und installiere die letzte Version oder noch besser installiere Foxit Reader Besuch mal die Seite von Secunia ob es noch mehr Updates gibt Wichtig ist das dein Rechner Up-to-Date is,nicht nur Windows,sondern alle Programme Gute Nacht Freunde, es wird Zeit für mich zu gehn. Was ich noch zu sagen hätte, dauert eine Zigarette und ein letztes Glas im Stehn. http://www.cosgan.de/images/smilie/froehlich/s055.gif |
Danke dir tausendfach, Argus. Die letzte Zigarette für heute rauch ich mit dir :-). Alles, was du oben noch geschrieben hast, werde ich heute Nacht, oder morgen tagsüber noch erledigen. Schlaf gut, Tina |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:22 Uhr. |
Copyright ©2000-2025, Trojaner-Board