Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   system tool (https://www.trojaner-board.de/96102-system-tool.html)

derfium 27.02.2011 14:12
hey
ich habe seit gestern aben das fake-programm "system tool" auf meinem laptop.. :( ich hab jetzMalewarebytes gurchlaufen lassen und die 7 infizierten dateien gelööscht.. nach dem neustart gabs keine anzeichen von der spyware (normales hintergrundbild, etc..) is jetzt alles weg??
die logdatei hab ich angehängt..
danke im vorraus für die antworten.. :)

so hab jetzt auch noch OTL durchlaufen lassen.. hier die logs

cosinus 27.02.2011 21:49
Zitat:
c:\Windows\kmservice.exe (RiskWare.Tool.CK)
Wasndas und wofür brauchst du das?

derfium 28.02.2011 18:05
erstmal danke für die antwort und auf deine frage.. ich hab kein plan was das ist.. kann mich auch nicht erinnern dass ich das jemals gesehen habe oder grar geöffnet oder heruntergeladen..
derfum

cosinus 28.02.2011 20:29
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
O4:64bit: - HKLM..\Run: []  File not found
O4 - HKCU..\Run: [RegistryBooster]  File not found
O32 - HKLM CDRom: AutoRun - 1
O33 - MountPoints2\{60d9a16e-bd0d-11df-b882-002318a35d5c}\Shell - "" = AutoRun
O33 - MountPoints2\{60d9a16e-bd0d-11df-b882-002318a35d5c}\Shell\AutoRun\command - "" = E:\Autorun.exe
[2011.02.26 23:35:28 | 000,000,000 | ---D | C] -- C:\ProgramData\aIhJpHp06504
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

derfium 28.02.2011 22:15
hey ich hab auf fixen geklickt und konnte dann kein logfile mehr offnen weil der sofort gesagt hat ich muss den pc neu starten.. hab nach dem neustart (alles im abgesicherten modus) die file geöffnet.. hoffe es is alles richtig..
danke
derfium
Zitat:
All processes killed
========== OTL ==========
64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\RegistryBooster deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{60d9a16e-bd0d-11df-b882-002318a35d5c}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{60d9a16e-bd0d-11df-b882-002318a35d5c}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{60d9a16e-bd0d-11df-b882-002318a35d5c}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{60d9a16e-bd0d-11df-b882-002318a35d5c}\ not found.
File E:\Autorun.exe not found.
Folder C:\ProgramData\aIhJpHp06504\ not found.
========== COMMANDS ==========
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 41044 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Marcel
->Temp folder emptied: 35739656 bytes
->Temporary Internet Files folder emptied: 55825033 bytes
->Java cache emptied: 3630346 bytes
->FireFox cache emptied: 30285052 bytes
->Opera cache emptied: 12040366 bytes
->Flash cache emptied: 2851230 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 155648 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 2689100 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 67832 bytes
RecycleBin emptied: 2165 bytes

Total Files Cleaned = 137,00 mb


OTL by OldTimer - Version 3.2.22.1 log created on 02282011_220624

cosinus 01.03.2011 14:36
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

derfium 01.03.2011 15:04
hey der sagt mir dass ich nocht antivir desktop im hintergrund laufen hab.. wie kann ich des ausmachen?

cosinus 01.03.2011 15:29
Wenn der Regenschirm geschlossen ist, kannst das ignorieren.

derfium 01.03.2011 15:48
da ich meinen pc aber im abgesicherten modus starte seh ich keinen regenschirm..
und jetzt startet er im abgesicherten modus gar nicht mehr.. :( beim starten drücke ich f8 und wähle "abgesicherter modus mir netzwerktreibern" und dann wird er ganz schwarz und da steht was er alles offnet.. und da bleibt er dann hängen.. :( leider bin ich kein pc experte und weiß nicht was ich machen soll..


ok er startet im abgesicherten modus ganz normal..

cosinus 01.03.2011 15:54
Ja und wieso erwähnst du das mit dem abgesicherten Modus jetzt erst :confused:
Geht der normale Modus nicht mehr?

derfium 01.03.2011 15:57
ich habe doch schon geschrieben dass ich ihn immer im abgesicherten modus starte.. und da hing er jetz nur einmal.. jetz fuktioniert er.. oder soll ich ganz normal starten?? der normale geht noch..

cosinus 01.03.2011 16:30
Zitat:
hab nach dem neustart (alles im abgesicherten modus) die file geöffnet..
Das war zuvor die einzige Passage mit "abgesicherter Modus" :balla:
Mach bitte alles im normalen Modus. Nur wenn man explizit den abgesicherten erwähnt, solltest du Windows in diesem Modus starten.

derfium 01.03.2011 16:40
ok.. das heißt ich soll den normalen modus starten und cofi durchlaufen lassen?

cosinus 01.03.2011 16:43
Ja genau so :D

derfium 01.03.2011 17:25
so is jetz im normalen modus durchgelaufen..
hier der log:


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:14 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131