|
Internet funktioniert nach Trojanerentfernung durch Malewarebytes nicht mehr ! Hallo liebes Trojaner Team, ich habe folgendes Problem : Seit einigen Tagen hatte ich die Fakesoftware von Antimaleware Doctor auf meinen PC. Diese habe ich dann durch Angaben aus euren Forum entfernen können. Und zwar habe ich erst durch die Software rkill den Prozess vom AMW Doctor unterbunden und dann mit Malewarebytes entfernt. ---------------------------------------------------------------- Hier der Log von Mbam: Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 5363 Windows 5.1.2600 Service Pack 3 Internet Explorer 7.0.5730.13 27.01.2011 16:49:06 mbam-log-2011-01-27 (16-49-06).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 164219 Laufzeit: 14 Minute(n), 37 Sekunde(n) Infizierte Speicherprozesse: 1 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 8 Infizierte Registrierungswerte: 3 Infizierte Dateiobjekte der Registrierung: 2 Infizierte Verzeichnisse: 0 Infizierte Dateien: 8 Infizierte Speicherprozesse: c:\program files\daemon tools searchbar\Search.exe (Adware.WhenU) -> 2052 -> Unloaded process successfully. Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\IJKUK66HMN (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\NtWqIVLZEWZU (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\X3EKEPXJP2 (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WhenUSearch (Adware.WhenU) -> Value: WhenUSearch -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\56avmd10100ctrl.exe (Trojan.FakeAlert) -> Value: 56avmd10100ctrl.exe -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\IJKUK66HMN (Trojan.FakeAlert) -> Value: IJKUK66HMN -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Bad: (93.188.163.208,93.188.160.128) Good: () -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{A247FC7D-1115-4D42-A836-19C36302A767}\NameServer (Trojan.DNSChanger) -> Bad: (93.188.163.208,93.188.160.128) Good: () -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\program files\daemon tools searchbar\Search.exe (Adware.WhenU) -> Quarantined and deleted successfully. c:\documents and settings\***\application data\303c9d1ef2272ef1cb1711aba65d5310\56avmd10100ctrl.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. c:\documents and settings\***\local settings\Temp\noaexwcsrm.tmp (Trojan.Hiloti.Gen) -> Quarantined and deleted successfully. c:\documents and settings\***\local settings\Temp\msgpl_0154.exe (Adware.Agent) -> Quarantined and deleted successfully. c:\documents and settings\***\local settings\temporary internet files\Content.IE5\Z901OPO1\updtlink700cor[1].exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. c:\WINDOWS\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> Quarantined and deleted successfully. c:\WINDOWS\Tasks\{62c40aa6-4406-467a-a5a5-dfdf1b559b7a}.job (Trojan.FakeAlert) -> Quarantined and deleted successfully. c:\WINDOWS\Tasks\{bbaeaeaf-1275-40e2-bd6c-bc8f88bd114a}.job (Trojan.Downloader) -> Quarantined and deleted successfully. -------------------------------------------------------------------- Nach dem Neustart war zwar der Antimaleware Doctor weg, aber das Internet funktioniert nicht mehr - Seiten Ladefehler. Als ich die Netzwerkeinstellungen überprüfen wollte, kam folgende Fehlermeldung : The Network Connections Folder was unable to retrieve the list of Network adapters on your machine. Please make sure that the Network Connections service is enabled and running. Ich bin gerade dabei einen kompletten Scan von Mbam durchzuführen falls ihr diesen benötigt. (aktueller status : 12min laufzeit - 1 infiziertes objekt). Ich hoffe allerdings das sich das Problem, jetzt schon lösen lässt. Falls ihr weitere Informationen benötigt, sagt nur Bescheid. Danke für eure Hilfe im Vorraus. Mit freundlichen Grüßen. |
Poste das Log vom Vollscan wenn es durch ist. Danach OTL ausführen: Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
|
Hey Arne, danke erstmal für die Hilfe. Hier die von dir geforderten files. Zu erst das Mbamlog. (Welcher zwar vollständig ist, aber kürzer wirkt, weil vermutlich ein großteil durch den quickscan gefixt wurde) Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 5363 Windows 5.1.2600 Service Pack 3 Internet Explorer 7.0.5730.13 27.01.2011 19:07:50 mbam-log-2011-01-27 (19-07-50).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 337028 Laufzeit: 1 Stunde(n), 50 Minute(n), 51 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 4 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\documents and settings\Admin\application data\303c9d1ef2272ef1cb1711aba65d5310\upd_debug.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. c:\programme\hd_speed.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. c:\system volume information\_restore{d779008f-8bd4-4fe5-b86b-d6c940b601ca}\RP471\A0057298.dll (Trojan.Hiloti.Gen) -> Quarantined and deleted successfully. c:\system volume information\_restore{d779008f-8bd4-4fe5-b86b-d6c940b601ca}\RP473\A0057364.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. Die beiden OTL logs sind etwas größer und findest du deshalb im Anhang.. (hoffe das das funktioniert) liebe grüße. |
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. |
Hey Arne, hier der Log vom OTL FIX im Anhang. Danke bis hierhin ! Edit: Je nachdem ob ich am Wochenende noch im Büro bin, kann es sein das ich erst am Montag auf weitere Instruktionen reagieren kann. Wollte nur das du Bescheid weißt. |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Hey, ich kann den CCleaner nicht öffnen weil AVG Free Antivir installiert ist. Der CCleaner bittet mich dieses zu deinstallieren oder ein anderes Programm zu benutzen. Ich habe das Programm natürlich vorher beendet. Warum trotzdem diese Meldung? Als ich dann versucht habe AVG zu deinstallieren, kam folgende Fehlermeldung : Arbeitsplatz: Installation fehlgeschlagen Installation: Fehler: Aktion Registryschlüssel HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows: Erstellen eines Registry-Schlüssels... fehlgeschlagen. Error 0x80070005 Wie fahre ich denn nun weiter fort? Langsam eilt es, weil es sich um den Firmen Pc handelt und daran natürlich fleißig gearbeitet werden muss. |
Zitat:
Wenn es eilt und ein Firmen-PC ist, meinst du nicht auch, dass ein Forum evtl nicht ganz so geeignet sein könnte? :balla: Schau auf der AVG-Homepage nach, da gibt es einen Uninstaller. |
Hey, ich sehe auch gerade ComboFix und CCleaner ist doch eigentlich was ganz anderes oder? Aufjedenfall hat die Deinstallation von AVG funktioniert und ComboFix läuft gerade. Im Anhang findest du die Log-Datei. Ich konnte die Wiederherstellungskonsole nicht installieren, weil ich ja über keine Internetverbindung verfüge. (Bzw das ja nicht geht). Es gibt noch die Möglichkeit eine Windowsboot-Disk Datei mit ComboFix auszuführen um sie zu installieren. Ging aber leider nicht. Eine Reihe Fehlermeldungen das er die IE oder Firefox.exe nicht findet. Ich weiß jetzt nicht wie wichtig die Konsole für den weiteren Verlauf ist. Hast du sonst eine Idee ? (fyi : Keine Windows CD vorhanden) Btw: Nicht jede Firma hat einen Informatiker oder gleich eine ganze Abteilung dafür. Von daher ist dieses Forum, welches ich sehr schätze, der beste Weg. Ein Techniker anforderen braucht Zeit und kostet zuviel Geld. Ist doch schön, wenn euch soviele User vertrauen ;) |
Gehe auf die Microsoft Seite => http://support.microsoft.com/?scid=kb%3Bde%3B310994&x=21&y=12 Wähle den Download, der für dein Betriebssystem bestimmt ist: Hinweis: Für WinXP Sp3 wähle die Sp2 Version. http://i94.photobucket.com/albums/l8...ungskonsol.png Lade die Datei herunter und speichere diese mit dem original Namen, neben ComboFix.exe ab (bzw. cofi.exe wenn umbenannt) http://i94.photobucket.com/albums/l8...onsole_ani.gif Nun schließe alle offenen Programme und Fenster, inklusive der Antiviren und Antimalware Programme. Dies ist notwendig, damit kein Program den Suchlauf von ComboFix behindert.
|
Ok, ist erledigt. Hatte ich eigentlich wie oben beschrieben ja schon versucht. Aber aufeinmal hat es geklappt. Wie geht es jetzt weiter ? |
Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
Kurze Verständnisfrage : Wenn ich wie du sagtest, den Online Teil von Osam überspringen soll, dann erstellt das Programm aber auch kein log File das ich dir posten kann. Jedenfalls verstehe ich es so aus der Anleitung. Also was tun? |
Ok, vielleicht nur falsch verstanden. Ich hab jetzt denk ich alles. Ob das Osam Log richtig ist, siehst du hier : OSAM Logfile: Code: Report of OSAM: Autorun Manager v5.0.11926.0Alle anderen Files sind im Anhang. Danke nochmal für deine Unterstützung. |
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 18:50 Uhr. |
Copyright ©2000-2025, Trojaner-Board