|
Trojaner: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ Hi, mir ist es jetzt auch passiert - ich habe mir einen Trojaner eingefangen :( Symptome waren a) Firefox stürzt beim Start ab - IE funktioniert, bleibt aber auch öfter "hängen" b) Windows Update funktioniert nicht (benutze Windows 7) c) Lenovo Update funktioniert nicht d) MS Security Essentials kann die neusten Virendefinitionen nicht downloaden Was ich dann gemacht habe a) McAffee Stinger benutzt: 2 Trojaner identifiziert und entfernt b) BitDefender benutzt: 1 Trojaner identifiziert (Backdoor.Bot.128189) und entfernt Symptome waren immer noch da. Dann bin ich auf dieses Forum gestossen und habe a) 4 x Malewarebytes laufen lassen. Es wurde immer wieder der gleiche Trojaner (sah zumindest für mich so aus) identifiziert und entfernt - beim letzten Mal war das Logfile aber sauber b) OLT laufen lassen Die Logfiles sind im Anhang. Ich kann den OLT nicht interpretieren - Hilfe! Bin ich den Trojaner jetzt los??? Danke!!! caecilia |
Hi, Achtung: Falls noch nicht erfolgt, von einem sauberen Rechner aus SOFORT alle Passwörter ändern (Ebay etc.). Die werden mit "abgefischt". Der Banker ist noch da: O36 - AppCertDlls: Dismtray - (C:\Windows\system32\charicli.dll) - C:\Windows\System32\charicli.dll () Datei hochladen: http://www.trojaner-board.de/54791-a...ner-board.html Folge den Anweisungen dort und lade die Datei: Code: C:\Windows\System32\charicli.dllIch möchte was probieren, Cureit sollte Ihn finden, falls nicht werden wir ihn mit OTL "ausheben"... Cureit: http://www.trojaner-board.de/59299-a...eb-cureit.html Nach Beendigung des Scans findes Du das Log unter %USERPROFILE%\DoctorWeb\CureIt.log. Bevor du irgendwelche Aktionen unternimmst, kopiere bitte den Inhalt des Logs und poste ihn. Die Log Datei ist sehr groß, ca. über 5MB Text. Benutzt einfach die Suche nach "infiziert" und kopiert betreffende Teile heraus, bevor Du sie postet. chris |
Hi Chris, super-vielen Dank für deine Nachricht! Dachte mir schon, dass es das noch nicht gewesen ist - mist. Werde gleich noch die Passwörter ändern und mich dann wieder melden. Danke!!! caecilia |
Hi, lade die Datei wie beschrieben bei uns hoch... Dann Dr. Web/Cureit laufen lassen... chris |
Ok, habe die Datei hochgeladen und lasse jetzt Dr. Web laufen. Der Scan hat auch bereits etwas gefunden - soll ich das dann gleich entfernen? Danke & LG |
Hi Chris, du hattest recht, genau in dieser "charicli.dll" Datei - lasse die jetzt desinfizieren und den Scan weiterlaufen. caecila |
Hi, gut, es ist lt. virustotal.com der einzigste scanner der das teil kennt... tzzz... Poste wie beschrieben das Log von Dr. Web (nur die Zeilen mit "infiziert") und erstelle und poste ein neues OTL-Log... chris |
Hi Chris, Quickscan von Dr. Web ist durchgelaufen, jetzt laeuft der Komplettscan - der dauert ewig, bitte nicht weggehen!!! caecilia |
Hi, und was sagt der gute Dr. Web? Poste danach bitte auch noch ein neues OTL-Log... chris |
Hi Chris, Dr. Web laeuft immer noch. Ist das normal, dass es so lange dauert? Der Scan laeuft jetzt ca. 9 h und wie es aussieht, braucht er noch mal 9 h. Er hat aber den "charicli.dll" gefunden und noch drei andere Sachen (java downloader?). Fuerchte ich werde das logfile erst morgen frueh posten koennen - bist Du morgen evtl. auch online??? Waere super... Vielen, vielen Dank! caecilia |
Hi, gegen Abend oder Nachmittag vielleicht... Du könntest offline gehen und dann Deinen eigenen Scanner/Guard abschalten, so wird wahrscheinlich alles zweimal gescannt, erst prüft der eine dann der andere Scanner die Datei... Java wird zur Zeit gerne verseucht bzw. liegt die Malware im deployment-cache... Den würde ich dann auch ganz löschen, nach ende des scanns: Deployment-Cache löschen: Folge den Anweisungen auf dieser Seite Virus im Cache-Verzeichnis von Java Runtime Environment (JRE) gefunden und dann dem Abschnitt "Lösung"... Allerdings sind 18h Laufzeit ungewöhnlich... chris |
Hi Chris, bin jetzt offline, allerdings kann ich meinen Virenscanner nicht unterbrechen, da der Dr. Web im erweiterten Schutzmodus arbeitet. Dr. Web arbeitet nur mit 26 kb/s. Liegt vermutlich an meinem eigenen Virenscanner, mist... Werde das dann mit dem Cache gleich nach dem Scan machen. Danke! Melde mich dann morgen mit den logs! LG caecila |
Hi, ok, bis heute Abend... Ich sollte jetzt auch Schluß machen.... chris |
Hi Chris, endlich ist der Komplettscan von Dr. Web durch. Hier die Teile vom log zu "infiziert": [Speicherscannen] Speichervorgang: C:\Windows\System32\svchost.exe:1036 infiziert mit BackDoor.Tdss.565 – beseitigt Master Boot Record HDD1 infiziert mit BackDoor.Tdss.4005 C:\Windows\system32\charicli.dll infiziert mit BackDoor.Spy.649 – gelöscht "Hier musste ich dann einen Neustart machen, um den "Master Boot Record HDD1 infiziert mit BackDoor.Tdss.4005" zu entfernen. Das, was jetzt kommt, interpretiere ich so, dass es entfernt wurde, ja?" Master Boot Record HDD1 - OK Active OS/2 or WinNT Boot Sector HDD1 - OK OS/2 or WinNT Boot Sector HDD1 - OK "Dann der Komplettscan" >C:\Documents and Settings\XXX\AppData\Local\Application Data\Temp\jar_cache2340189119492130117.tmp/cale/calecalea.class infiziert mit Java.Downloader.93 C:\Documents and Settings\XXX\AppData\Local\Application Data\Temp\jar_cache2340189119492130117.tmp - Archiv enthält infizierte Objekte – verschoben >C:\Documents and Settings\XXX\AppData\Local\Application Data\Temp\jar_cache933845442483268437.tmp/JavaUpdater.class infiziert mit Java.Downloader.106 C:\Documents and Settings\XXX\AppData\Local\Application Data\Temp\jar_cache933845442483268437.tmp - Archiv enthält infizierte Objekte – verschoben C:\Documents and Settings\XXX\Desktop\charicli.dll infiziert mit BackDoor.Spy.649 – gelöscht >C:\Documents and Settings\XXX\DoctorWeb\Quarantine\jar_cache2340189119492130117.tmp/cale/calecalea.class infiziert mit Java.Downloader.93 C:\Documents and Settings\XXX\DoctorWeb\Quarantine\jar_cache2340189119492130117.tmp - Archiv enthält infizierte Objekte – verschoben >C:\Documents and Settings\XXX\DoctorWeb\Quarantine\jar_cache933845442483268437.tmp/JavaUpdater.class infiziert mit Java.Downloader.106 C:\Documents and Settings\XXX\DoctorWeb\Quarantine\jar_cache933845442483268437.tmp - Archiv enthält infizierte Objekte – verschoben ============================================================================= Gesamtsitzungsstatistik ============================================================================= Gescannt: 1287175 Infiziert: 5 Modifikationen: 0 Verdächtig: 0 Adware: 0 Dialer: 0 Scherzprogramme: 0 Riskware: 0 Hacktools: 0 Desinfiziert: 0 Gelöscht: 1 Umbenannt: 0 Verschoben: 4 Ignoriert: 0 Geschwindigkeit:: 35 Kb/s Dauer:: 14:32:19 ============================================================================= Hat also nicht 19 h, sondern 14,5 h gedauert :) Als ich die Internetverbindung unterbrochen habe, ging es schneller. Ich habe jetzt noch die 4 Objekte im DoctorWeb\Quarantine. Die müssen noch gelöscht werden, ja? Ich hatte die empfohlenen Einstellungen für Dr. Web genutzt. Wie lösche ich die Dinger jetzt? Habe dann Deinen Rat befolgt und den Java Cache manuell gelehrt. Dann noch mal OLT laufen lassen, die Files sind anbei. Was machen wir jetzt? Danke & LG, caecilia |
Hi, JAVA Deine Javasoftware ist veraltet! Download Java-Downloads für alle Betriebssysteme Schliesse alle Programme auch Deinen Webbrowser Über "Start -> Einstellungen -> Systemsteuerung -> Software entferne alle älteren Versionen von Java Runtime Environment (JRE of J2SE) Auch auf C:\Programme\Java entfernen! Nachdem alles entfernt wurde --->Rechner neu starten Installiere jetzt vom Desktop aus die neue Version! OTL:
Code: :OTL
System Reparieren: Lade Dir "Advanced Windowscare Professional" von folgender Adresse: Advanced SystemCare Free Download Review for Windows XP/Vista/7 | IObit Installieren auf Deutsch, Yahoo-Toolbar etc. abwählen. Erstelle einen Systemwiederherstellungspunkt (Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen) oder lasse ihn automatisch erstellen. Lasse dann das gesamte System scannen und Bereinigen sowie Immunisieren. Damit werden einige Einträge wieder gerade gebogen, die von Trojaneren/Viren verbogen worden sind... Die Quarantäne von Cureit sollte sich unter C:\Dokumente und Einstellungen\<DeinBenutzername>\DoctorWeb befinden und kann gelöscht werden... chris |
Ok, mache ich sofort! Danke! |
Hi Chris, Quarantäne von CureIT ist gelöscht. Java habe ich deinstalliert und dann neu installiert. Dann OLT ausgeführt. Hier der Inhalt des Ergebnisfensters: All processes killed ========== OTL ========== Service vpnva stopped successfully! Service vpnva deleted successfully! File C:\Windows\System32\DRIVERS\vpnva.sys File not found not found. Service upperdev stopped successfully! Service upperdev deleted successfully! File C:\Windows\System32\DRIVERS\usbser_lowerflt.sys File not found not found. Error: No service named SASKUTIL was found to stop! Service\Driver key SASKUTIL not found. File File not found not found. Error: No service named SASDIFSV was found to stop! Service\Driver key SASDIFSV not found. File File not found not found. Service pccsmcfd stopped successfully! Service pccsmcfd deleted successfully! File C:\Windows\System32\DRIVERS\pccsmcfd.sys File not found not found. Error: No service named DwProt was found to stop! Service\Driver key DwProt not found. File File not found not found. Service DgiVecp stopped successfully! Service DgiVecp deleted successfully! File C:\Windows\System32\Drivers\DgiVecp.sys File not found not found. Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\WebCheck deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3595106d-80a4-11df-a923-00059a3c7a00}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3595106d-80a4-11df-a923-00059a3c7a00}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3595106d-80a4-11df-a923-00059a3c7a00}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3595106d-80a4-11df-a923-00059a3c7a00}\ not found. File E:\autorun.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{36b76c7d-ac1f-11df-a9cd-0021869871ab}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{36b76c7d-ac1f-11df-a9cd-0021869871ab}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{36b76c7d-ac1f-11df-a9cd-0021869871ab}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{36b76c7d-ac1f-11df-a9cd-0021869871ab}\ not found. File E:\autorun.exe not found. ========== COMMANDS ========== C:\Windows\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Public User: TanjaCaecilie ->Temp folder emptied: 812202777 bytes ->Temporary Internet Files folder emptied: 131377330 bytes ->Java cache emptied: 46458 bytes ->FireFox cache emptied: 56377798 bytes ->Apple Safari cache emptied: 1391616 bytes ->Flash cache emptied: 68845 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 273700138 bytes RecycleBin emptied: 10430896 bytes Total Files Cleaned = 1.226,00 mb [EMPTYFLASH] User: All Users User: Default User: Default User User: Public User: ->Flash cache emptied: 0 bytes Total Flash Files Cleaned = 0,00 mb OTL by OldTimer - Version 3.2.16.0 log created on 10232010_205917 Files\Folders moved on Reboot... Registry entries deleted on Reboot... Die "%systemroot%\_OTL" habe ich nicht gefunden... Jetzt mache ich weiter mit Advanced Windowscare Professional, ja??? |
Hi Chris, erst mal noch ein riesiges :dankeschoen:, dass Du am heute Abend da warst! Ich habe jetzt den "Advanced Windowscare Professional" laufen lassen, alle identifizierten Probleme wurden behoben. Bin ich jetzt tatsächlich Viren- und Trojaner-frei??? LG, caecilia |
Hi, eine Garantie kann Dir keiner geben, das ist so ein Spiel mit Hase und Igel... die einen geben vor und wir hecheln hinterher... (röchel...)... Also aufpassen und noch ein paar Ratschläge beachten: Rechner absichern: Zusätzlich zu Avira und der Windows-Firewall noch Threadfire-free Herunterladen Kostenlos). Zum Surfen Firefox mit den PlugIns "WOT" (http://filepony.de/?q=WOT) und "NoScript" (http://filepony.de/download-noscript//)) verwenden, einen "Guest"-Account (keine Adminrechte! XP: (Schritt 6: Eingeschränkte Rechte für Viren - Schritt für Schritt: Windows XP absichern - CHIP Online, Vista/Win7: Windows-7-Anleitung: Benutzerkonten anlegen und verwalten - NETZWELT) anlegen. chris |
Hi Chris, habe Deine Ratschläge befolgt, DANKE! Du wast super! Das Notebook funktioniert wieder 1a. Würde mich gerne auch richtig bedanken, habe gerade dem Board gespendet. LG, caecilia |
Hi, dann sage ich mal im Namen des Boards: Danke Und Dir noch einen schönen Tag, Gruß, chris |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 15:59 Uhr. |
Copyright ©2000-2025, Trojaner-Board