|
Msn/ICQ - Virus "Wie findest du dieses Bild" (winscdvn.exe) Habe mir einen Virus eingefange, kann mir jmd. helfen? |
wie wir per pm abgesprochen haben, postest du die otl logs. |
hxxp://www.file-upload.net/download-2593460/OTL.Txt.html und hxxp://www.file-upload.net/download-2593464/Extras.Txt.html |
Fixen mit OTL • Starte bitte die OTL.exe. Vista-User mit Rechtsklick "als Administrator starten" • Kopiere nun das Folgende in die Textbox. :OTL PRC - C:\Dokumente und Einstellungen\Lukesch\Anwendungsdaten\winscdvn.exe () O4 - HKLM..\Run: [Windows Firewall Manager] C:\Dokumente und Einstellungen\Lukesch\Anwendungsdaten\winscdvn.exe () O4 - HKU\S-1-5-21-1220945662-790525478-1801674531-1003..\Run: [Windows Firewall Manager] C:\Dokumente und Einstellungen\Lukesch\Anwendungsdaten\winscdvn.e :Files C:\Dokumente und Einstellungen\Lukesch\Anwendungsdaten\winscdvn.exe :Commands [purity] [EMPTYFLASH] [emptytemp] [start explorer] [Reboot] • Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Run Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument dieses posten |
All processes killed ========== OTL ========== No active process named winscdvn.exe was found! Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Windows Firewall Manager deleted successfully. C:\Dokumente und Einstellungen\Lukesch\Anwendungsdaten\winscdvn.exe moved successfully. Registry value HKEY_USERS\S-1-5-21-1220945662-790525478-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Run\\Windows Firewall Manager deleted successfully. File C:\Dokumente und Einstellungen\Lukesch\Anwendungsdaten\winscdvn.e not found. ========== FILES ========== File\Folder C:\Dokumente und Einstellungen\Lukesch\Anwendungsdaten\winscdvn.exe not found. ========== COMMANDS ========== [EMPTYFLASH] User: All Users User: Default User ->Flash cache emptied: 41620 bytes User: LocalService User: Lukesch ->Flash cache emptied: 581702 bytes User: NetworkService Total Flash Files Cleaned = 1,00 mb [EMPTYTEMP] User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Flash cache emptied: 0 bytes User: LocalService ->Temp folder emptied: 66016 bytes ->Temporary Internet Files folder emptied: 6712444 bytes User: Lukesch ->Temp folder emptied: 13781789 bytes ->Temporary Internet Files folder emptied: 5965604028 bytes ->Java cache emptied: 50029815 bytes ->FireFox cache emptied: 64634559 bytes ->Opera cache emptied: 212339699 bytes ->Flash cache emptied: 0 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 2352202 bytes %systemroot%\System32 .tmp files removed: 2951 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 3012659 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 6.026,00 mb OTL by OldTimer - Version 3.2.6.0 log created on 06122010_180829 Files\Folders moved on Reboot... Registry entries deleted on Reboot... |
bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
Ja hab combofix laufen lassen, Pc hat sich neu gestartet -> desktop -> msn startet anmeldefenster -> trend micro startet sich + aktualisiert sich -> combofix war weg und i-net war auch weg / hat sich nicht wieder neu gestartet wie´s im leitfaden beschrieben war -> und nun? |
kannst du es noch mal versuchen zu starten, antivirus natürlich wieder aus. |
So jetzt hats geklappt, hoffentlich kommst du damit weiter: Combofix Logfile: Code: ComboFix 10-06-11.01 - Lukesch 12.06.2010 19:54:45.1.1 - x86 |
download malwarebytes: Malwarebytes instalieren, öffnen,registerkarte aktualisierung, programm updaten. dann registerkarte scanner, komplett scan auswählen, funde löschen, log posten |
woher kennst du dich so gut aus, hast du das beruflich gerlernt? |
nein, in meiner freizeit |
habs offen, meinst du oben in der leiste unter dem bild von Malwarebytes`Antie Malware: Suchlauf, Schutz, Aktualisierung Quarantäne, Logdateinen, Ignorierliste, Einstellungen, weitere Programme, Über ? |
ahh passt schon habs kapiert xD |
wie lange dauert die suche im durchschnitt eig.? |
12.06.2010 23:55:47 mbam-log-2010-06-12 (23-55-47).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|L:\|) Durchsuchte Objekte: 329911 Laufzeit: 2 Stunde(n), 28 Minute(n), 24 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 4 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\Lukesch\Eigene Dateien\Downloads\IMG0737830249202010.JPG(2).scr (Worm.Bot) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Lukesch\Eigene Dateien\Downloads\IMG0737830249202010.JPG.scr (Worm.Bot) -> Quarantined and deleted successfully. C:\_OTL\MovedFiles\06122010_180829\C_Dokumente und Einstellungen\Lukesch\Anwendungsdaten\winscdvn.exe (Worm.Pushbot) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Lukesch\list.txt (Malware.Trace) -> Quarantined and deleted successfully. |
mache ein update deines antivirus programms, und scanne deinen pc, teile mir das ergebniss mit. |
update: "es sind bereits die neuesten Komponenten zum Schutz ihres Computers vorhanden" letztes Update 13.Juni 2010 bei der Durchsuchung wurde auch nichts gefunden letzte suche 13.Juni 2010 |
nutze zum abschluss den eset online scanner, eventuelle funde löschen, log hier einstellen. Free ESET Online Antivirus Scanner |
Mach dir bitte einen eigenen theard auf |
No threats found. Scanned Files: 266864 Infected Files: 0 Cleaned files: 0 Total scan time: 05:27:44 Scan status: finished |
ok. reinige mit otcleanit: http://oldtimer.geekstogo.com/OTM.exe Klicke cleanup! dein pc wird evtl. neu starten programm löscht sich selbst, + die verwendeten tools die Systemwiederherstellung de- und reaktivieren: Windows XP - Die Systemwiederherstellung komplett abschalten nutze in zukunft secunia, um deine software aktuell zu halten. http://www.trojaner-board.de/83959-s...ector-psi.html endere alle passwörter. wenn deinerseits keine probleme bestehen, sind wir durch. |
erste problem besteht trend micro blockt die oldtimer seite |
dann deaktiviere es kurzfristig und lass das programm laufen. |
ist die winscdvn.exe schon entfernt? |
was meinst du warum ich sagte das wir fertig sind? |
muss ich das dann noch machen? :s :o:o |
ja sicher. sonst würd ichs ja nicht schreiben |
geht nich jetzt sperrt windows die seite |
was heißt sperrt. welche seite? |
hxxp://oldtimer.geekstogo.com/OTM.exe die sperrt trend mirco hab den link zu "zulässige seite" hinzugefügt, hab mit internet explorer geöffnet und dann hat windows security dings ... die seite gesperrt. |
dann lösch die programme halt per hand und mah weiter mit secunia und passwörter endern. |
welche programme muss ich da löschen? Msn icq skype oder noch mehr? |
nein natürlich nicht, die von uns genutzten entfernungsprogramme. combofix start ausführen combofix /uninstall enter otl löschen den ordner _otl auf c: löschen und den ordner qoobox falls vorhanden. dann mit secunia weiter, dann passwörter endern und nicht vergessen die systemwiederherstellung zu de- und dann zu reaktivieren. |
combofix uninstall exe ist gar nich da O_O habs mit firefox runtergeladen also ist nur die combofix.exe da |
du sollst auf start klicken und dann auf ausführen und dort combofix /uninstall reinschreiben und dann drückst du auf die enter taste das deinstaliert combofix. und dann löschst du die ordner wie beschrieben |
toll jetzt führt er combofix aus, wie stopp ich das? |
das fenster schließen vllt. dann lösche es eben per hand. normalerweise wenn du combofix /uninstall eingibst solle er es deinstalieren. |
der macht weiter mit combofix ausführen !!warning!! CD-emulation drivers are running on this machine. combofix needs to temporarily disbale them |
mh.. pc einfach neustarten? |
ja, mja, oder zb über den task manager schließen. oder einfach abwarten bis es durchgelaufen ist, sollte ja nicht all zu lang dauern. |
naja habs aber mit taskmanger läuft er auch weiter, schon probiert der ordner _otl und der ordner qoobox sind gelöscht combofix ordner ist auch gelöscht |
naja lösch die dateien wie gesagt per hand |
Also durch "suchen" findet er jetzt keine combofix dateien mehr.. außer combofix.txt -> müsste der bericht sein oder? |
den hacken bei Systemwiederherstellung auf allen laufwerken deaktivieren reinmachen da ok und reaktivieren den hacken wieder raus und auf ok oder? |
ja. bitte abwarten bis der pc fertig ist mit arbeiten, befor du die swh wieder aktivierst. |
dann mach ich nochmal wenns noch möglich ist ok hab systemwiederherstellung vollzogen und jetzt? |
ich schreib doch nicht alles doppelt, steht doch schon da was du danach machen sollst. |
alle passwörter, sprich icq msn und skype, steam, andere Spiele und broswerpasswörter? |
ja, alle halt. und dann secunia nutzen. |
oh gott das sind tausende, wieso eig. ändern? |
da sie geklaut worden sind. also wenn du nicht willst das jemand anderer sie benutzt... |
Dann bedanke ich mich recht herzlich bei dir, dass du mir so gut geholfen hast und nicht bei meinen nervigen Fragen die Fassung verloren hast. ^^ :daumenhoc |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:16 Uhr. |
Copyright ©2000-2025, Trojaner-Board