|
Hallo Coverflow, ich will bestimmt nicht ungeduldig werden, aber es wäre schon wichtig für mich zu wissen: 1. ob ich C:\Users\******\AppData\Roaming\download2\svcnost.exe jetzt löschen kann (es gibt übrigens seit ca. 1 Stunde auch noch eine: C:\Users\******\AppData\Roaming\download\svcnost.exe) 2. ob du für mich eine Möglichkeit siehst, MBAM zu aktualisieren (s.o.) 3 ob es irgendeinen Sinn macht hier überhaupt weiterzumachen, nachdem wir auf den "Bootsektorvirus BOO/Alureon.A" bisher noch gar nicht zu sprechen gekommen sind und, soweit ich sehe, auch noch nichts dagegen unternommen haben. Gruß ClearIce |
Die MBR schienen in Ordnung zu sein, zumindest das Tool MBR rootkit detector nicht gefunden und selbst GMER auch nichts ergeben. Also meldet Probleme momentan nur Avira...ich plane noch einen Test, aber machen wir zunächst so weiter: um dein System zu entlasten und die schädlichen Prozesse zu stoppen: 1. unter Start->Programme-> Zubehör-> Systemprogramme-> geplante Tasks (Anleitung-> Ändern geplanter Tasks in Windows XP und dort auch einfach löschen: Zitat:
2. BHO`s & Toolbars (im Logfile HijacktHis 02 u. 03 aufgelistet): Immer mehr Programme bringen eine Toolbar mit.(wie z.B. Google, Yaho,Messenger, Winamp, ICQ usw). Manche Zustimmung der User installiert, manche wieder ohne Wissen des Benutzers;) Viele davon sehr fehleranfällig und fressen eine Menge an Systemressourcen. Zur funktionstüchtigen Installation der jeweiligen Software ist Toolbar aber nicht notwendig, zudem die meisten modernen Browser mit vielen zusätzlichen Funktionen ausgestattet sind. Ausserdem die dazugehörigen Programme, funktionieren auch ohne... Man kann sie deinstallieren oder mit HJT fixen: alle Programme, Browser etc schließen→ HijackTis starten→ "Do a system scan only" anklicken→ Eintrag auswählen→ "Fix checked"klicken→ PC neu aufstarten HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen Code: O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dllWie lange dauert die Startvorgang? Wenn du auf der Stelle ein schnelleres System haben möchtest: - Beim Hochfahren von Windows werden einige Programme mit gestartet, die sich (mit oder ohne Zustimmung des Users) im Autostart eingetragen haben - Je mehr Programme hier aufgeführt sind, umso langsamer startet Windows. Deshalb kann es sinnvoll sein, Software die man nicht unbedingt immer benötigt, aus dem Autostart zu entfernen. "Start-> ausführen-> "msconfig" (reinschreiben ohne ""-> OK" - Bei allem Häkchen weg was nicht starten soll, aber immer nur einen deaktivieren (Haken weg), also Schrittweise -> Neustart... - Wird noch nach dem nächsten Neustart ein Hinweisfenster erscheinen, da ist ein Haken setzen : `Meldung nicht mehr anzeigen und dieses Programm beim Windows-Star nicht mehr starten` (Du kannst es jederzeit Rückgängig machen wenn du den Haken wieder reinmachst.) - Falls Du mal brauchst, manueller Start jederzeit möglich - Autostart-Einträge die Du nicht findest, kannst mit HJT fixen - Unter 04_Sektion - (*HijackThis Tutorial in German*): Alle Programme, Browser etc schließen→ HijackTis starten→ "Do a system scan only" anklicken→ Eintrag auswählen→ "Fix checked"klicken→ PC neu aufstarten HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen Code: Du solltest nicht deaktivieren :Gleich ein paar Vorschläge: Code: O4 - HKLM\..\Run: [UCam_Menu] "C:\Program Files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\YouCam" update "Software\CyberLink\YouCam\2.0"- Überflüssige Dienste belasten nur den Prozessor und Arbeitsspeicher, daher ist es empfehlenswert solche Dienste ganz einfach abschalten: Code: O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exemit der rechten Maustaste auf den Dienstnamen klicken→ wähle `Eigenschaften`→ `Starttyp`→ Deaktiviert, damit wird der Dienst ruhiggestellt. Den Dienst erst dann nur starten, wenn ein Programm ihn benötigt. - auf keinen Fall Grafiktreibers, Firewall und Anti-Viren-Programmen abschalten!! 5. deinstalliere MBAM und lade es von hier erneut herunter : -> updaten -> und lass es anhand der folgenden Anleitung laufen: :-> http://www.trojaner-board.de/82699-m...tml#post502205
6. poste erneut - nach der vorgenommenen Reinigungsaktion: TrendMicro™ HijackThis™ -Logfile - Keine offenen Fenster, solang bis HijackThis läuft!! |
Zitat:
Zitat:
Aber die Performanz meines Systems ist momentan wirklich nicht meine Hauptsorge. Ich bin z.Z. schon froh wenn überhaupt noch was geht. Unter dem "Admin"-Konto ging vorhin nämlich gar nichts mehr. Zitat:
Bitte gib mir eine Antwort auf meine Frage, ob etwas dagegen spricht: C:\Users\******\AppData\Roaming\download2\svcnost.exe C:\Users\******\AppData\Roaming\download\svcnost.exe) jetzt zu löschen??? |
Unter Punkt 2. solltest mit HJT fixen, und wenn MBAM läuft, sollte es die Datei auch löschen können wenn nicht, dann machen wir das manuell - die Performanz ist auch wichtig, da dein Autostart ist überfluchtet v. unnötige Dinge, wenn auch nicht genug wäre, dass ein Schädling seine zerstörerische Dienst da herumtreibt ... wegen Task ja: Start-> im Suchfeld "Aufgaben" eintippen und dann -> die "Aufgabenplanung" > starten. Wichtig: **Vista und Win7 User: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen |
Zitat:
Wenn ich die "Aufgabenplanung" unter "Admin" aufrufe, wird mir keine Aktion "Löschen" gezeigt. Zitat:
Zitat:
Die Prozesse lassen sich weder über (1) msconfig noch über (2) HJT aus dem Autostart eliminieren! Ich vermute, dass das daran liegt, dass die meisten Prozesse in dem Moment, zu dem sie rausgeschmissen werden sollen, am Laufen sind. Wenn ich rausfinden wollte, wie ich diese Prozesse manuell beenden kann, bevor ich sie eliminiere, bin ich geschätzte 120 Jahre alt. Ausserdem bin ich sicher, dass sich viele dieser Prozesse manuell vom user gar nicht beenden lassen. (Was ist das für ein grauenhaftes Betriebssystem, bei dem der User keine Chance hat, zu bestimmen, welche Anwendungsprozesse er am Laufen haben will und welche nicht!!!!!) Aber (!!!): der sycnost.exe-Prozess hat sich über HJT eliminieren lassen !!! und die Datei C:\Users\******\AppData\Roaming\download2\svcnost.exe wurde gelöscht !!! ( C:\Users\******\AppData\Roaming \download_\svcnost.exe ist aber noch da.) Zitat:
Zitat:
Code: Malwarebytes' Anti-Malware 1.46Zitat:
Code: Logfile of Trend Micro HijackThis v2.0.28. Sorry, aber ich muss jetzt bis Dienstag offline gehen. Bin echt gespannt, was am Dienstag so alles auf mich wartet! :crazy: |
ujjjjjjj...woher hast Du dieses Logfile? schaue Dir mal an: Code: Scan saved at 18:54:55, on 28.02.2010ausserdem: Lass bitte mal den Avira, nach die nachfolgende Prioritäten scannen: [Scanner] Konfigurationshinweise für AntiVir, Anleitung 'Vollständiger Systemscan' und empfohlene Reaktionen bei Schädlingsmeldungen - Tipps und Tricks - Avira Support Forum - Punkt 1.: Einstellung - Punkt 2 und 3.: Erster Scan (Lokale Laufwerke) + Zweiter Scan (Suche nach Rootkits) - Logs speichern/posten ** Bemerkung: "Klick auf das Bild, um es zu vergrößern!" - grau hinterlegt, also nicht mehr anklickbar |
1. Lass bitte mal den Avira, nach die nachfolgende Prioritäten scannen: [Scanner] Konfigurationshinweise für AntiVir, Anleitung 'Vollständiger Systemscan' und empfohlene Reaktionen bei Schädlingsmeldungen - Tipps und Tricks - Avira Support Forum - Punkt 1.: Einstellung - Punkt 2 und 3.: Erster Scan (Lokale Laufwerke) + Zweiter Scan (Suche nach Rootkits) - Logs speichern/posten ** Bemerkung: "Klick auf das Bild, um es zu vergrößern!" - grau hinterlegt, also nicht mehr anklickbar[/QUOTE] 2. ujjjjjjj...woher hast Du dieses Logfile? schaue Dir mal an: Code: Scan saved at 18:54:55, on 28.02.2010Lösche unter C:\rsit die log.txt und info.txt Doppelklick auf die RSIT.exe Poste beide Logfiles. |
Zitat:
Zitat:
Code: Avira AntiVir PersonalZitat:
Code: Avira AntiVir PersonalZitat:
Nee! Im Ernst: es war früh um 3 oder 4 und ich hab da wohl einfach was vertauscht! Sorry! Hier jetzt das aktuelle Log: Code: Logfile of Trend Micro HijackThis v2.0.4Bin dann erst am Dienstag wieder online. Bis dann! Und schon vorab nochmal vielen Dank für deine Mühe!!! |
1. Vor dem nächsten Schritt, also bevor wir weitermachen: Da jederzeit etwas passieren kann, wenn du wichtige Daten hast die Du sichern möchtest, empfehle ich Dir es jetzt machen (wie Bilder, Musik usw) ►Achte darauf: Die sicherten Daten sollen keine "Ausführbare Dateien" enthalten! - ►Dateiendungen - Dies ist eine Liste von Dateiendungen, die Dateien mit ausführbarem Code bezeichnen können. Unabhängig von einem Befall (weil ja kann eine Festplatte auch kaputt gehen, oder es gibt andere technische Probleme ), sollte man regelmäßig Sicherung machen und an einem sicheren Ort bewahren, wie CD und DVD, externe Festplatten oder/und USB-Sticks Mache das jetzt bitte! 2. reinige dein System mit Ccleaner:
3. - Lade das Combofix von einem der folgenden Download Spiegel herunter: BleepingComputer - ForoSpyware - Wichtig!:[/u] muss auf dem Desktop installiert werden! - Antiviren, - und andere Schutz/Spyprogramme bitte deaktivieren - Schließe jeder externe Datenträger (USB Stick und USB Festplatte etc) an dein Computer an - dabei die Shift-Taste bitte unbedingt gedrückt halten! - Per Doppelklick die ComboFix.exe starten und den Anweisungen folgen - Falls die Microsoft-Windows-Wiederherstellungskonsole auf dein Rechner nicht installiert ist, und wenn du direkt gefragt wirst, es zu ermöglichen stimme dem Lizenzvertrag zu. Danach erscheint ein Fenster zur Bestätigung, ansonsten wird ComboFix mit der Arbeit fortfahren - bestätige mit "ja", damit den Suchlauf automatisch beginnen kann Zitat:
Zitat:
|
Zitat:
Zitat:
Das Log sieht so aus: Code: ComboFix 10-10-24.05 - Administratorkonto 25.10.2010 15:46:00.1.2 - x86 |
1. Windows und die installierten Programme auf den neuesten Stand zu halten,sind Garanten für eine erhöhte Sicherheit! Java aktualisieren `Start→ Systemsteuereung→ Java→ Aktualisierung...(Update 22 schon fällig!) 2. alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind,nicht löschbar. c:\windows\temp - anschließend den Papierkorb leeren 3. >>Du sollst das Programm nicht installieren, sondern dein System nur online scannen<< Auch auf USB-Sticks, selbstgebrannten Datenträgern, externen Festplatten und anderen Datenträgern können Viren transportiert werden. Man muss daher durch regelmäßige Prüfungen auf Schäden, die durch Malware ("Worm.Win32.Autorun") verursacht worden sein können, überwacht werden. Hierfür sind ser gut geegnet und empfohlen, die auf dem Speichermedium gesicherten Daten, mit Hilfe des kostenlosen Online Scanners zu prüfen. Schließe jetzt alle externe Datenträgeran (USB Sticks etc) Deinen Rechner an, dabei die Hochstell-Taste [Shift-Taste] gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. (So verhindest Du die Ausführung der AUTORUN-Funktion) - Man kann die AUTORUN-Funktion aber auch generell abschalten.► [Sicherheit] Autorun Funktion für mehr Sicherheit auf allen Laufwerken deaktivieren /Avira Support Forum Führe dann einen Komplett-Systemcheck mit Nod32 durch - folgendes bitte anhaken > "Remove found threads" und "Scan archives" - die Scanergebnis als *.txt Dateien speichern) - meistens "C:\Programme\Eset\EsetOnlineScanner\log.txt" - "Link:-> ESET Online Scanner Vor dem Scan Einstellungen im Internet Explorer: - "Extras→ Internetoptionen→ Sicherheit": - alles auf Standardstufe stellen - Active X erlauben ** bekommst Du noch Meldung von Avira? |
Zitat:
Ich habe dabei festgestellt, wieso ich eine völlig veraltete Version im Einsatz habe. Und zwar hat mir vor längerem jemand vom Trojaner Board empfohlen, Vista mit mindestens 2 Konten zu fahren (Admin-Konto und "normale" User-Konto/Konten). Das macht ja auch Sinn, hat aber zumindest bei Java die Folge, dass keine automatischen Updates laufen. Der Update läuft nämlich nur zu Ende, wenn man ihn auch im Admin-Konto laufen lässt, im normalen User-Konto bricht er ab, auch wenn das Admin-PW abgefragt und eingegeben wird. Kann man das irgendwie ändern? Zitat:
In dem Verzeichnis c:\windows\temp stehen ausserdem noch 3 Ordner mit je einer Datei: - Cookies (1 .DAT Datei) - History (1 .IES Datei) - Temporal Internet Files (1 .IES Datei) Soll ich diese 3 Dateien auch löschen? Zitat:
Zitat:
Code: ** bekommst Du noch Meldung von Avira?Zitat:
|
dann so geht`s weiter: 1. aus der Quarantäne NUR folgendes löschen: Code: C:\Users\reissmannklaus\AppData\Roaming\download\svcnost.exestarte dein System neu auf 2. schauen wir mal, ob Avenger noch die Datei findet: - Kopiere den Text aus der Code-Box in ein Notepad-Dokument und speichere ihn als remove.txt auf deiner Festplatte C:\ auf richtige Pfade achten! Code: C:\Users\reissmannklaus\AppData\Roaming\download\svcnost.exe→ Empfehle ich Dir die Antivirus-Software zu deaktivieren - nach dem Lauf nicht vergessen wieder einzuschalten → die avenger.exe per Doppelklick starten → füge den Inhalt aus der Codebox vollständig und unverändert in das leere Textfeld bei "Input script here" ein → dann klicke auf "Execute" → wirst Du gefragt, ob Du das Script ausführen willst. Beantworte die Frage "Ja". → auf die Fragae ob dein Rechner jetzt neu starten soll "Rebot now" bejahe bitte auch → nach Neustart wird ein Dos Fenster aufgehen. → wenn wieder geschlossen ist, es öffnet sich der Editor mit die Scanergebnisse : C:\avenger.txt → kopiere und füge den Inhalt direkt aus der Textdatei hier rein 3. TDSSKiller von Kaspersky
|
Zitat:
(1) alle Einträge, für die die AVIRA-Quarantäne als Quelle "C:\Users\reissmannklaus\AppData\Roaming\download\svcnost.exe" ausweist (es sind insgesamt 13 Dateien), löschen ??? (2) und alle anderen (es sind 9 Dateien) markieren und Button "ausgewähltes Objekt wiederherstellen" ausführen??? Code: Avira auf die Standardkonfiguration wieder einstellen |
Avira starten-> Verwaltung-> die runden Pfeil-Symbole - es sind sieben Symbole vorhanden und das vorletzte Symbol - "Alle Eigenschaften exportieren" anklicken Editor öffnet sich automatisch mit den Inhalt der Quarantäne Poste mir den Inhalt hier in den Thread |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:32 Uhr. |
Copyright ©2000-2025, Trojaner-Board