|
win32.autorun.tmp wie entfernen? Hallo! Ich hoffe hier kann mir jemand helfen :) Seit einigen Tagen öffnet Firefox ständig neue Fenster. Ein Scan mit Avast ergab keine Funde Ein Scan mit Spybot search & destroy ergab: Win32.autoRun.tmp Wenn ich auf "Beheben" klicke zeigt mir spybot auch an, dass alles behoben wurde, lasse ich Spybot dann nochmal laufen findet er wieder diese Datei Ich habe schon hier im Forum gesucht und mit OTL heruntergeladen und einen Scan (!?) mit folgenden Angaben durchgeführt (Wurde einem User mit dem gleichen Problem empfohlen) http://www.trojaner-board.de/86870-w...n-tmp-tun.html netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll logevent.dll iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles Daraufhin habe ich zwei txt-dateien bekommen, die ich versuche anzuhängen. Ich bin mir nicht sicher, ob ich weiter nach dem anderen Thread vorgehen kann, oder ob die Ausgabe so individuell ist, dass ich mir mit den "reperaturangaben" aus dem anderen Beitrag etwas kaputt machen würde. Deshalb poste ich quasi das gleiche Thema nochmal, sorry! Ich würde mich sehr freuen, wenn mir hier jemand helfen könnte! danke :) |
Hallo Kathrin und :hallo: Zitat:
Zitat:
Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg. Vorsichtig geschätzt wird in deinem Fall die Reinigung die dreifache Zeit einer Neuinstallation benötigen. Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist. Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. ciao, andreas |
Hallo Andreas, vielen Dank für deine Antwort! Bevor ich mich für einen Weg entscheide habe ich noch ein paar Fragen :) 1. Kann meinen (Office- /Open Office- /Foto- /Musik-)Dateien etwas passieren, wenn ich die Bereinigung durchführe? oder sind die von sowas gar nicht betroffen? Sollte ich sie zur Sicherheit auf eine externe Festplatte kopieren? 2. Wenn ich mir überhaupt zur Sicherheit (ob jetzt Bereinigung oder Formatierung) einige Dateien auf eine externe Festplatte kopiere, kann es dann sein, dass ich den Wurm mit kopiere und ihn womöglich am ende sogar schon wieder draufziehe? 3. Können Programme von der Bereinigung "unbrauchbar" werden? 4. Programme werden bei einer Formatierung auf jeden Fall gelöscht, oder? 5. kannst du herausfinden woher man / ich den Wurm bekommen habe? 6. kannst du mir sagen, was genau der Wurm überhaupt macht? ... also, außer Werbefenster bei Firefox zu öffnen... 7. Besteht die Gefahr, dass ich andere "anstecke", wenn ich mit ihnen Dateien über USB-Sticks austausche? Grüße, und nochmal Danke für die Antwort :) |
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Code: C:\Dokumente und Einstellungen\kathi\Anwendungsdaten\gnja.exeZitat:
ciao, andreas Edit: Angekommen. Code: File name: |
Liste der Anhänge anzeigen (Anzahl: 1) hui, das ging ja schnell, dankeschön :) Zitat:
Ich habe diese Einstellungen befolgt und kann jetzt überall leicht transparente Dateien und Ordner sehen, und dann wollte ich gerade eine Datei auf meinen USB Stick ziehen, da meldet mir Avast (ja....ich habs noch nicht de-installiert...) drogeras.exe und ich seh auch auf dem USB stick zwei transparente Ordner: RAPO und nestala (in dem laut Avast container auch letztens irgendwas "böses" gefunden wurde) Ich schick mal ein Bild vom Container mit..weiß nicht, ob das was bringt, wenn nicht, einfach ignorieren ;) muss ich damit jetzt auch noch irgendwas spezielles machen? ist das was harmloses? soll ich den Stick drin lassen wenn ich Fixe?..falls ich fixe... kommt der Wurm daher??? Grüße |
Zitat:
ich hab avast zwei Mal ne anderthalbstündige komplette Systemprüfung machen lassen und jedes Mal wurden mir "keine Funde" berichtet |
Mittlerweile ist auch die Analyse von TE da => ThreatExpert Report: P2P-Worm.Win32.Palevo.jub, Mal/FakeAV-EW Verbreitet sich über Netzwerke und P2P. :eek: Bist du Teil eines lokalen Netzwerkes? Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Falls die Dateien sich aus dem Container holen lassen, bitte auch bei uns hochladen. ciao, andreas |
ohje ohje ohje.... Zitat:
Im Moment gerade aber nicht Zitat:
Edit: was heißt aus dem Container holen?...kann ich nicht so versuchen sie vom USB stick hochzuladen? ich hab gestern mal ein hijackthis dings laufen lassen, der hat aber nichts gefunden. soll ich das vielleicht nochmal machen mit eingestecktem USB-Stick?? Zitat:
Zitat:
LG, kathi |
Hier mal mein Hijackthis logfile von gerade eben...falls du das meintest... |
Jetzt ist auch Sunbelt fertig => Sunbelt Security - CWSandbox Report Zitat:
Völlig sinnlos war es allerdings nicht. Zitat:
Stattdessen sind auf dem Rechner völlig sinnfreie Programme wie Spybot und Zonealarm installiert. :headbang: Zitat:
Zitat:
Zitat:
Zitat:
Doppelklicke auf die Datei autorun.inf (Editor öffnet sich) und poste den Inhalt. Jetzt ist so gut wie sicher, dass du dich über den Stick infiziert hast. Hier sind die Übeltäter: Zitat:
Sichere jetzt im ersten Schritt alle deine Dateien. Falls dir kein sauberer Rechner zur Verfügung steht, kommt als nächstes ComboFix zum Einsatz, um deinen externen Datenträger (und zwar alle!) zu reinigen. Ansonsten bringt selbst eine Neuinstallation nichts, denn ein Anstecken würde reichen, dich sofort wieder zu infizieren. ciao, andreas |
Zitat:
nein leider steht mir kein anderer Rechner zur Verfügung Zitat:
die nestala\\emilia.exe wird mir im avast Conatiner angezeit, aber der Ordner auf dem USB Stick ist leer. ich könnte die Datei extrahieren oder wiederherstellen, soll ich das machen, und sie dann schicken, oder lieber im Container lassen? die anderen kann ich nicht finden. Gibt es da einen Trick, wie man die sucht? die suchfunktion zeigt nichts an LG, kathi |
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Jetzt hat erstmal Priorität die externen Datenträger zu säubern, damit du nicht dich und andere weiterhin gefährdest. Nachdem du deine Daten gesichert hast, kommt 1.) Deinstalliere Spybot und Zonealarm. 2.) Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. 3.) Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an. ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!ciao, andreas |
oh mann...vielen vielen dank, dass du hier so oft mit mir schreibst!!!! entschuldige, wenn ich etwas blöd frage! aber ich habe jetzt gerade meine kleine externe Festplatte angeschlossen und da hat mir avast schon wieder den drogeras gemeldet, und ich seh einen transparenten RAPO Ordner auf der Festplatte...bringt das jetzt wirklich was, alle meine noch ungesicherten Dateien (viele hab ich natürlich schon drauf) da rüber zu ziehen? Bzw. was machen wir jetzt? Dateien sichern und PC formatieren und Datenträger bereinigen (ohne Dateien zu löschen?) ich schreibe gerade an einer Projektarbeit und habe etwas angst um meine Dateien :( LG, kathi Edit: was hältst du von der Idee mal meine Projekt-Dateien zu brennen??...oder brenn ich mir den scheiß dann mit drauf? :( |
Zitat:
Zitat:
Zitat:
Die Schritte, die jetzt stattfinden, sind in jedem Fall notwendig, egal ob du dich letztendlich für Säuberung oder Neuinstallation entscheidest. Selbst für den Fall, dass dein Rechner abrauchen sollte, hast du immer noch deine Daten auf der externen Festplatte und kannst mit ihnen weiterarbeiten. ciao, andreas |
Dankeschön!!!! ich sicher jetzt alles und geh dann nach deinen Angaben vor.. noch eine Frage :) Zitat:
soll ich meinen Drucker auch anschließen?!? Grüße, kathi |
Zitat:
Zitat:
Und nun => ab-insbett.de Bin erst morgen nachmittag wieder on. Gute Nacht, Andreas |
:) alles klar! ganz lieben Dank zum 1000sten mal!!!! Gute Nacht! |
Hallo! so, Daten sind gesichert :) Zitat:
1. Der Pc will seit der De-Installation bei jedem Neustart eine Systemwiederherstellung von FAT 32 und nem Laufwerk H: machen soll ich ihn das machen lassen? 2. Ich habe Dropbox installiert und auch in letzter Zeit Dateien hochgeladen (Hab das seit gestern ausgeschaltet) muss ich den Ordner irgendwie gesondert mit-bereinigen? sollte ich das Sicherheitshalber besser wieder De-Installieren bevor ich das Ganze hier anfange? nicht, dass ich mir das da runtergezogen habe Ich teile mir da einen Ordner mit 3 Bekannten, sonst kann keiner drauf zugreifen... 3. Soll ich, bevor ich weitermache vielleicht auch direkt Avast de-installieren? Der hat ja noch emilia und drogreas in seinem Container, nachher kann ich die gar nicht löschen, weil Avast die "festhält"?!? Grüße, Kathi |
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
ciao, andreas |
Hi :) Das Laufwerk H: ist meine externe Festplatte habe ich herausgefunden...an der habe ich aber eigentlich nichts geändert, außer ein paar Sachen drauf zu packen. Soll ich die Systemwiederherstellung also machen?!? Dropbox hat mir einen Ordner auf dem Desktop gemacht, auf den (wie bei einem Netzwerk wahrscheinlich, deshalb ist es mir noch eingefallen) übers Internet auch andere Zugang haben. Wenn andere Dateien da rein laden, lädt mir Dropbox diese auch in den Ordner auf meinem PC. --> gleich mit de-installieren??? grüße, Kathi |
Zitat:
Zitat:
ciao, andreas |
Zitat:
ich füg das Logfile an und lad schonmal das Combofix runter :) grüße, kathi |
Zitat:
ich habe die Auswahl zwischen "Datei speichern", dann speichert sich das automatisch in meinem Download-Ordner und hat da jetzt ein Icon, umbennen konnte ich es vorher auch nicht und "Abbrechen"...aber das will ich ja auch nicht!?! LG, Kathi |
Kopiere es von deinem Downloadordner auf den Desktop. Das Umbenennen kannst du dir sparen. Auf dem Desktop dann mit Doppelklick starten. ciao, andreas |
Liste der Anhänge anzeigen (Anzahl: 1) Zitat:
wenn ich auf Nein klicke, bekomme ich die als Bild angehängte Meldung. Zu der auch keine Anleitung in dem Link stand und ich daher nicht weiß, das ich anklicken soll. es geht um gemeinsame genutzte DLLs, (Lösung: Registrierungswert löschen) ich habe die Möglichkeiten: beheben, alle beheben (sind scheinbar 520Stück) und Abbrechen Grüße, Kathi |
Alle beheben. ciao, andreas |
Zitat:
dann CoboFix gemacht, das hat ganz am Anfang (nachdem ich dem Haftungsausschluss zugestimmt hatte laube ich) den PC abgeschossen und dann aber nach dem Neustart aber sofort mit dem nächsten Schritt aus der Beschreibung weiter gemacht. das kam raus: Combofix Logfile: Code: ComboFix 10-08-24.0C - kathi 25.08.2010 18:58:07.1.1 - x86was passiert jetzt als nächstes? ...ach, ich hatte übrigens alle Datenträger direkt angeschlossen :) Grüße, Kathi |
Zitat:
Neuinstallation ist vermutlich schneller und ganz bestimmt sicherer. Wichtig! Du wirst mit deiner externen Festplatte weder dich noch andere mehr infizieren. Die Gefahr ist gebannt. :) Zitat:
ciao, andreas |
Zitat:
Ich hab etwas Angst, dass ich sowas komplett neues draufspielen nicht hinbekomme und dann hier sitze ohne Internetanschluss und ohne Hilfe :heulen: Würdest du mir denn mit der weiteren Reinigung helfen? Ich nehme dich hier ja schon eine ganze Weile in Beschlag! :dankeschoen: für die ganze Arbeit übrigens nochmal!!! LG, kathi |
Zitat:
Zitat:
1.) Deinstalliere (falls vorhanden):
Scripten mit Combofix
Code: KILLALL::
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. 3.) Poste neue Logs von OTL. ciao, andreas |
:applaus: super!!! also, bevor ich anfang...soll ich die Datenträger dran lassen, oder kann ich das alles wieder abmachen? und was heißt Zitat:
soll ich das vor dem Deinstallieren wieder starten, oder läuft das gerade im Hintergrund? und nochwas für deinen Bauch ;) : was ist sUBs??? LG, Kathi |
Zitat:
Zitat:
2.) ComboFix mit Script füttern. Dort erscheinen dann Meldungen ähnlich wie Stufe 1 abgeschlossen Stufe 2 abgeschlossen ... Bei Stufe 10 Verbindung trennen. Zitat:
Ich habe gerade meinen längsten Thread gesucht => http://www.trojaner-board.de/71942-v...mit-avira.html Irgendwie habe ich das Gefühl, deiner wird den noch toppen. :zunge: ciao, andreas |
haha 18 Seiten...wenn das so weitergeht bekommst du mit meinem Scheiß hier bestimmt den Helfer-des-Monats Award :) Zitat:
und was heißt bei Stufe 10?..wenn er sie gerade macht? bevor er sie startet? nachdem sie durch ist und er die 11. startet?!? ich geh jetzt erstmal deinstallieren ;) LG, kathi |
Zitat:
Zitat:
Zitat:
ciao, andreas |
ahaaa.....! also ich frag lieber nochmal nach bevor ich das so mache, aber ich glaube ich habe es verstanden ;) 1. ich kopier mir das, was du mir gemacht hast in den Editor und speicher es unter dem Namen, denn du auch angegeben hast 2. dann ziehe ich die txt datei auf das Icon auf dem Desktop 3. den Rest macht Combofix alleine und ich passe nur auf, dass ich das Internet vor dem 10. Schritt ausmache. (kann ich es auch von Anfang an einfach ausmachen?) 4. ComboFix macht mir wieder so ein Logfile, was ich dann wieder hier reinschreib. ich war verwirrt, weil ich dachte, ich müsste erst das mit bis zum 10. Schritt machen und dann das Script erst füttern...aber so wie ichs oben beschrieben hab stimmts, oder??? LG, Kathi |
:daumenhoc ciao, andreas |
sooo...fertig...ich hoffe es hat geklappt :) Combofix Logfile: Code: ComboFix 10-08-24.0C - kathi 25.08.2010 21:48:21.2.1 - x86LG, Kathi |
Zitat:
ciao, andreas |
Zitat:
--> nein, Internet war definitiv vor Schritt 10 aus bis ich das Logfile hatte oder deinen Punkt 3 unter dem Script? (OTL scannen lassen) --> mit welchen Einstellungen? irgendwas besonderes in die Box unten schreiben oder Häkchen zusätzlich dranmachen? LG, kathi |
Zitat:
Zitat:
ciao, andreas |
soooo....sorry, hab gerade nen echten Schreck bekommen weil ich dachte du meintest meine Internetverbindung :rolleyes: hier die Files:OTL Logfile: Code: OTL logfile created on: 25.08.2010 22:37:22 - Run 2und die Extras:OTL Logfile: Code: OTL Extras logfile created on: 25.08.2010 22:37:22 - Run 2LG, Kathi |
Das sieht schon viel freundlicher aus. :abklatsch: 1.) Solltest du LightScribe nicht benutzen, dann deinstalliere es. 2.) Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. 3.) Log von GMER posten => http://www.trojaner-board.de/74908-a...t-scanner.html 4.) Log von OSAM posten => http://www.trojaner-board.de/85306-a...n-manager.html 5.) Log von Avira posten => http://www.trojaner-board.de/54192-a...tellungen.html 6.) Log von SAS posten => http://www.trojaner-board.de/51871-a...tispyware.html ciao, andreas |
Zitat:
Ich benutze es nicht (, dass ich wüsste...), kann es aber auch nicht in der Softwareliste zum deinstallieren finden. |
Egal, weitermachen. ciao, andreas |
das ging schnell :) All processes killed ========== OTL ========== Error: No service named getPlusHelper) getPlus(R was found to stop! Service\Driver key getPlusHelper) getPlus(R not found. File C:\Programme\NOS\bin\getPlus_Helper.dll File not found not found. Service catchme stopped successfully! Service catchme deleted successfully! File C:\ComboFix\catchme.sys File not found not found. HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Local Page| /E : value set successfully! HKLM\SOFTWARE\Microsoft\Internet Explorer\Search\\Default_Search_URL| /E : value set successfully! HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully! HKCU\SOFTWARE\Microsoft\Internet Explorer\Search\\SearchAssistant| /E : value set successfully! C:\Programme\Mozilla Firefox\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\META-INF folder moved successfully. C:\Programme\Mozilla Firefox\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\defaults\preferences folder moved successfully. C:\Programme\Mozilla Firefox\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\defaults folder moved successfully. C:\Programme\Mozilla Firefox\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components folder moved successfully. C:\Programme\Mozilla Firefox\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\chrome\tb-amulet-of-protection\content folder moved successfully. C:\Programme\Mozilla Firefox\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\chrome\tb-amulet-of-protection folder moved successfully. C:\Programme\Mozilla Firefox\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\chrome folder moved successfully. C:\Programme\Mozilla Firefox\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\amulet-jslib\google3 folder moved successfully. C:\Programme\Mozilla Firefox\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\amulet-jslib\firefox folder moved successfully. C:\Programme\Mozilla Firefox\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\amulet-jslib folder moved successfully. C:\Programme\Mozilla Firefox\extensions\{3112ca9c-de6d-4884-a869-9855de68056c} folder moved successfully. ========== FILES ========== C:\WINDOWS\System32\vsutil_loc0407.dll moved successfully. ========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: Administrator ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: dein Konto ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->FireFox cache emptied: 0 bytes ->Flash cache emptied: 0 bytes User: kathi ->Temp folder emptied: 678458 bytes ->Temporary Internet Files folder emptied: 32902 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 40760905 bytes ->Flash cache emptied: 0 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 35543 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 664 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 40,00 mb OTL by OldTimer - Version 3.2.10.0 log created on 08252010_231129 Files\Folders moved on Reboot... Registry entries deleted on Reboot... |
Programm Nr. 1 --> GMER na das hat jetzt lang gedauert....ist beim ersten Mal mittendrin abgestürzt, aber beim zweiten Mal gabs dieses File: GMER Logfile: Code: GMER 1.0.15.15281 - hxxp://www.gmer.netden Rest mache ich morgen... ich wünsch dir nachträglich eine gute Nacht :) |
so...ein Frühstücks-Report von OSAM :sleepy: OSAM Logfile: Code: Report of OSAM: Autorun Manager v5.0.11926.0If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru |
:killpc: Ich habe Avira + superantispyware installiert und ge-updated, und erst avira mit den angegebenen Einstellungen laufen lassen und dann SuperAntiSpyware und bei beiden bekam ich nach ca 15 Minuten einen blauen (sehr gefährlich ausehenden) Bildschirm mit der anzeige: KERNEL_STAGE_INPAGE_ERROR und wenn das öfter aufträte, solle ich doch bitte überprüfen, ob die neue Software richtig installiert ist. Ich hatte schonmal Avira, und dieses Problem trat bei jeder vollständigen Überprüfung auf, ich hab es de-installiert, wieder neu drauf gemacht, alle Up-Dates gemacht, und trotzdem kam das :heulen: darum hatte ich überhaupt erst dieses Avast programm drauf, weil das wenigstens mal geprüft hat... Ich guck heut Nachmittag nochmal rein :) |
Schlecht. Deine Festplatte ist auch ziemlich voll. :( 1.) Arbeite die ersten drei Schritte dieser Anleitung ab => http://www.trojaner-board.de/71631-p...samer-tun.html 2.) Beende alle Programme => Öffne den Arbeitsplatz => Mausklick rechts auf Laufwerk C: => Eigenschaften => Karte: Extras => Jetzt prüfen => ins obere Kästchen einen Haken setzen => starten. 3.) Lade und starte Fix It => Microsoft Fix it Center Online 4.) Starte Avira. Versuche den Pfad oder die Datei zu erkennen, bei dem/der Avira abstürzt und berichte. ciao, andreas |
Datenträger bereinigen hab ich gemacht...nicht benutzte Daten sind schon auf der Festplatte drüben. Ich weiß, dass es recht voll ist, aber das sind hauptsächlich Dokumente auf die ich auch öfter zugreifen muss. zum De-Installieren hab ich ne Frage :pfeiff: ich habe ja jetzt ganz viele Programme von dir hier draufgeladen, kann ich davon schon wieder welche de-installieren, oder soll ich die erstmal alle noch drauf lassen? |
Erstmal drauflassen, die kommen zum Schluss weg. ciao, andreas |
ok :) hab furchtbar viele Windows updates runtergeladen, damit ich überhaupt das fix-it runterladen konnte, aber jetzt wird mir immer angezeigt, dass ein Problem beim Setup von fixIt festgestellt wurde und ich es später nochmach versuchen soll. ich hab schon: - gewartet und es "später" probiert - neu gestartet und es wieder probiert - gelöscht und nochmal runtergeladen und es probiert ....funktioniert alles nicht :( |
Überspringen, weitermachen. ;) ciao, andreas |
diesmal isser schon bei anderthalb Minuten abgestürzt, bei: c:\dokumente und einstellungen\administrator\favoriten\willkommen bei mediongames.url ich meine, dass ich heute morgen noch beobachtet habe, dass diese "willkommen bei XY" dinger problemlos gescannt wurden. |
Mmh. Versuchen wir es anders. 1.) Lade und installiere => Downloaddetails: Windows XP Service Pack 3 2.) Poste das Log von MbAM => http://www.trojaner-board.de/51187-a...i-malware.html ciao, andreas |
1. geladen und installiert (sonst noch was damit machen?!?) 2. Malwarebytes: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4485 Windows 5.1.2600 Service Pack 3 Internet Explorer 6.0.2900.5512 26.08.2010 22:35:36 mbam-log-2010-08-26 (22-35-36).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 276454 Laufzeit: 1 Stunde(n), 26 Minute(n), 4 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) ...das sieht doch gut aus....oder???? |
Ja, versuche es noch einmal mit SuperAntiSpyware. Achte auch dort auf Pfade und Dateinamen. ciao, andreas |
18 Seiten wir kommen :lach: soo..super antisypware ist wieder abgestürzt: c:\dokumente und einstellungen\administrator\Favorites\willkommen bei compuserve.url bin dem mal im Arbeitsplatz gefolgt, das sind diese vor-eingestellten Seiten, die schon drauf waren...die habe ich in meinen mozilla Lesezeichen schon direkt am Anfang größtenteils gelöscht, aber im Arbeitsplatz stehen sie jetzt noch. Vielleicht darum der Fehler? Soll ich die löschen? Ich brauch sie nicht. |
Zitat:
Du hast mehrere Konten. Die Favoriten könnnen gefahrlos gelöscht werden. Sollten sie sich nicht löschen lassen, dann logge dich als administrator ein. Solltest du das Konto nicht benutzen, kann es auch komplett gelöscht werden. Mausklick rechts auf Arbeitsplatz => Eigenschaften => Karte: Erweitert => Benutzerkonten: Einstellungen => Anwählen => Löschen => OK => OK ciao, andreas |
Zitat:
also ich konnte die Favoriten bei Administrator und auf dem zweitkonto löschen, aber nicht auf "kathi" auf dem ich halt eingeloggt bin...also es ging nicht, den ganzen ordner zu löschen..jetzt hab ich halt einfach den Inhalt gelöscht....(ich habs noch im Papierkorb falls das blöd war ;) ) Ich starte einfach nochmal nen avira durchlauf...mal sehen was passiert :) ach ja....ich kann keine pdfs mehr aufmachen, aber dafür muss ich später nur irgendwas runterladen, ne? und ich benutz firefox...."darf" ich den als standard browser festlegen, oder meinst du ich soll besser den IE benutzen?!? |
Zitat:
Zitat:
Zitat:
Installiere (Toolbars immer abwählen, Haken weg): Zitat:
Zitat:
ciao, andreas |
Zitat:
ich konnt nich schnell genug gucken wo es abgestürzt ist, aber ich kann neues vom blauen bildschirm berichten, jetzt sagt er nämlich: es wurde ein Problem festgestellt. Ein für das Betriebssystem wesentlicher Prozess oder Thread wurde unerwarteter weise abgebrochen oder beendet...blablabla... ich wars nicht! ich saß still daneben und hab den pc nicht angefasst!!!! :confused: |
Frust. :wtf: 1.) Deinstalliere Avira. 2.) Start => Ausführen => combofix /uninstall => OK 3.) Panda Active Scan Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installationciao, andreas |
Zitat:
also erstmal hat das jetzt mindestens 2 stunden gedauert...aber ich habe jetzt am Ende kein Icon da stehen. Da steht nur: Ihr PC ist momentan nicht infiziert. Ihr PC ist momentan nicht geschützt. Mit den Lösungen von Panda sind Sie gegen mehr als 40 Millionen Viren, Spyware und andere Bedrohungen geschützt. Es wird empfohlen, regelmäßig vollständige Scans mit ActiveScan 2.0 durchzuführen. Das Infektionsrisiko wird dadurch minimiert. kurz bevor es fertig war ist mal ganz ganz ganz kurz so ein schwarzes kästchen aufgeleuchtet und direkt wieder verschwunden. konnte nichmal sehen was da drin stand hab nochmal einen kurzen scan gemacht und da wars genauso mit diesem schwarzen kästchen, wieder zu schnell um was lesen zu können und wiedr nur die Anzeige, dass nichts gefunden wurde.... Edit ok, also cih hab NOCH einen kurzen scan gemacht, weil ich das Fenster sehen wollte....das ganze fenster wird leicht transparent schwarz und in der mitte ist ein weißer rechteck in dem staht "ergebnisbericht wird erstellt"....aber es wird mir nirgendwo angezeigt. hab schon gesucht, ob es automatisch irgendwo gespeichert wird, aber aufm desktop und im download ordner ist nix... bin ich jetzt zu blöd diesen knopf zu finden?!? :headbang: soll ich nen screenshot machen?? da ist nix :confused: |
Ich teste bei mir. Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte. Das ist der letzte Scanner, der zum Einsatz kommt. ciao, andreas |
Liste der Anhänge anzeigen (Anzahl: 1) hm...er meint mein Miranda ist böse... |
Fehlalarm, gleich wieder deinstallieren. Panda läuft bei mir noch, musst noch etwas warten. Mit welchem Browser hast du bei Panda gearbeitet? ciao, andreas |
Zitat:
Zitat:
|
Lade und installiere => Weltweite Websites: Sprachauswahl und regionale Einstellungen Nach Installation des MSIE 8 besuche diese Seite, benutzerdefiniert und führe alle Sicherheitsupdates und Treiberupdates (falls angeboten) durch. Versuche es dann noch einmal mit Panda und MSIE 8. Oha, mein Rechner ist infiziert, Panda hat 2 Tracking Cookies gefunden. Ich sollte dringend den Rechner neuaufsetzen. :blabla: ciao, andreas |
guuuten morgen :sleepy: ich hab die verdammte halbe nacht den panda laufen lassen, bis auf ebenfalls zwei wahrscheinlich tödliche cookies gibts nix zu meckern^^...hier das ergebnis: ;***************************************************************************************************************************************************** ****************************** ANALYSIS: 2010-08-28 02:30:45 PROTECTIONS: 0 MALWARE: 2 SUSPECTS: 0 ;***************************************************************************************************************************************************** ****************************** PROTECTIONS Description Version Active Updated ;===================================================================================================================================================== ============================== ;===================================================================================================================================================== ============================== MALWARE Id Description Type Active Severity Disinfectable Disinfected Location ;===================================================================================================================================================== ============================== 00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No c:\dokumente und einstellungen\kathi\cookies\kathi@doubleclick[1].txt 00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No c:\dokumente und einstellungen\kathi\cookies\kathi@atdmt[2].txt ;===================================================================================================================================================== ============================== SUSPECTS Sent Location ;===================================================================================================================================================== ============================== ;===================================================================================================================================================== ============================== VULNERABILITIES Id Severity Description ;===================================================================================================================================================== ============================== ;===================================================================================================================================================== ============================== |
ach, und was meinst du was für ein Anti-Virus Programm ich mir jetzt drauf tun soll? die stürzen ja alle ab, aber Windows meckert, dass mein PC gefährdet sein könnte. Die Firewall ist aber aktiviert....glaub ich und kannst du mir schonmal verraten, wie ich in Zunkunft gucke, ob auf nem USB Stick was drauf ist, bevor er mich infiziert??? geht das überhaupt? :) ... der kam doch jetzt vom USB-Stick, oder? |
Zitat:
Zitat:
Zitat:
Zitat:
1.) Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
2.) Rootkit mit AVZ Antiviral-Toolkit entfernen AVZ Antiviral Toolkit ist ein russisches Projekt, welches auch in englisch verfügbar ist. Das Programm prüft auf Viren, Adware, Spyware, Dialer, verdächtige Software (Risktools), Hacktools und Rootkits. AVZ ist ein sehr mächtiges Tool, bitte nichts "auf eigene Faust" machen. Bitte lade AVZ4 herunter und entpacke es auf den Desktop. Dort sollte sich nun der Ordner avz4 befinden.
ciao, andreas |
Zitat:
-- also Avast wieder drauf für den "Echtzeitschutz" und dann zur Sicherheit alle paar Wochen mal Panda suchen lassen??? Zitat:
Zitat:
Hm, seit wann genau das jetzt war weiß ich nicht. Ich war in den letzten Wochen nicht sooo oft online, und da nur alle paar Klicks ne neue Seite geöffnet wurde ist es auch nur passiert, wenn ich länger drin war...ich kann jetzt aber auch kein bestimmtes Ereignis damit in Zusammenhang bringen. Ich tausche (bzw. HABE getauscht!) viele Dokumente zum Lernen über USB Sticks aus, unter Anderem auch mit jemandem, der regelmäßig in so einen öffentlichen Studenten-Internetraum geht um sich Sachen auf den Stick zu laden oder was auszudrucken...die wird im Moment verdächtigt :aufsmaul: aber da sie sonst kein Internet benutzt weiß ich es halt nicht sicher |
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
ciao, andreas |
MBR-Check :) |
SuperAntiSpyware deinstallieren. Gibt es, ausser das einige AVPs nicht wollen, sonstige Auffälligkeiten? ciao, andreas |
manchmal!!! (wenn ichs jemandem zeigen will klappts natürlich immer :rolleyes:) wenn ich über das Desktop-Icon auf "Eigene Dateien" zugreifen will stürzt es ab. Wenn ich über den Arbeitsplatz gehe passiert das nie... |
Gab es das Symptom schon vor dem Schädlingsbefall oder erst seitdem? ciao, andreas |
ah sorry... nee, auch schon ewig...aber es könnte ungefähr so lang schon sein wie auch die Avira-Prüfung nicht funktioniert....KÖNNTE.... |
und das AVZ-log :) den Panda mach ich heut Abend nochmal:pfeiff: |
Auch sauber abgesehen von den Einträgen, die Tools wie Alcohol, Daemon Tools und Konsorten hinterlassen. Die könntest du mit Defogger entfernen. Notwendig ist es nicht. AVZ deinstallieren. ciao, andreas |
guuuten abend :) also hab mir jetzt avira wieder drauf gepackt, aber mit ganz normalen Einstellungen, ne? ich find das AVZ nicht in meiner Softwareliste?!? oder reicht das, wenn ich das aus dem Ordner lösche??? dann lass ich jetzt mal den Panda mit allem drum und dran laufen :lach: |
Zitat:
Zitat:
ciao, andreas |
Zitat:
...aber guck mal das Ergebnis :eek: H: ist die Festplannte (die er beim starten grad schon wieder wiederherstellen wollte...hab ich abgebrochen) J: ist mein USB Stick |
Zitat:
Damit ich weiß, gegen wen ich eigentlich genau kämpfe, stelle mir die Datei zur Verfügung und lade sie hoch => http://www.trojaner-board.de/54791-a...ner-board.html Und frage bitte nicht nach, es geht um Zitat:
|
sorry! nachdem ich die Einstellungen für die Sichtabrkeit geändert hab ist Avira sofort angesprungen und hat den Zugriff verweigert. Ich hoffe das Schicken klappt trotzdem. Avira-log: |
Zitat:
Deaktiviere schonmal die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde. Poste neue Logs von OTL. ciao, andreas |
hallo! Zitat:
Zitat:
Zitat:
Ok? oder noch ein Scan ohne Avira? oder noch ein Scan ohne Datenträger? |
Zitat:
Wurde der Stick noch an einem anderen Computer angesteckt? Warum habe ich ausführlich geschrieben, dass wirklich alles angeschlossen werden soll? :heulen: Also nochmal von vorne. Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an. ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!ciao, andreas |
Zitat:
Zitat:
mir ist jetzt gerade noch mein MP3-Player eingefallen, den kann ich doch jetzt auch noch anhängen, oder? (ich hab ihn seit ich hier angefangen habe zu schreiben und Combofix gemacht habt etc. nicht drinstecken gehabt!!!) |
Zitat:
Diese autorun.inf sind die Hölle. Hier ist jemand, der insgesamt dreimal seinen Rechner neu installieren musste => http://www.trojaner-board.de/68318-r...-erhalten.html Beim zweiten Mal hat er sich mit seiner externen FP infiziert. Beim dritten Mal mit seiner Kamera. Damit sollte die Frage Zitat:
ciao, andreas |
oh sorry! nein, der wurde nirgends reingesteckt!!! der lag hier zu Hause rum und ich habe auch keinen fremden Stick mehr an den PC gelassen seitdem. War auch nirgendwo in nem öffentlichen W-Lan oder sonstwas :( |
Gut. Wollte nur sicherstellen, dass du dich nicht wieder infizierst. ciao, andreas |
hallo! sooo..hab ccleaner und Combofix laufen lassen, allerdings hatte ich keinen USB Port mehr für den Mp3Player frei...du hast glaube ich mal gesagt, dass man dann einfach combofix 2 mal laufen lassen kann, aber ich wollte zur Sicherheit lieber noch einmal nachfragen!!! ich häng das log vom durchlauf gerade mal an |
:eek: Was macht pavboot immer noch dort? MP3-Player anhängen und nochmal CF starten. ciao, andreas |
ich hab wirklich nix drauf geladen oderso!!!! :( hier das Log mit Mp3 Player dran |
Deinstalliere Panda Active Scan (falls noch nicht geschehen). Scripten mit Combofix
Code: KILLALL::
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. Ich vermute, dass der Stick und der MP3-Player beim Scan von Panda nicht angeschlossen waren. Du kannst Avira auch so einstellen, dass nur bestimmte Laufwerke gescannt werden. Wir brauchen Scans vom Stick, der externen Festplatte und vom MP3-Player. ciao, andreas |
beim ersten scan war auch die digicam angeschlossen, von der kein avira scan? wenn ich scripte, was soll ich alles anschließen? wenn ich alles anschließen soll (auch cam), kann ich auch 2 mal scripten? |
Zitat:
Zitat:
ciao, andreas |
ah sorry, dass ich schon wieder so viel frag :crazy: aber letztes Mal sollte ich die Internetverbindung vor Stufe 10 trennen... soll ich das diesmal wieder machen? |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:23 Uhr. |
Copyright ©2000-2025, Trojaner-Board