|
trojaner bringt immer fehlermeldung Guten Tag, also als ich heute im I-net surfte, wurde ich (ich weiß nicht warum) auf eine Seite weitergeleitet. Auf einmal wurde JAVA gestartet und der Taskmanager sah irgendwie komisch aus. So habe ich einfach den Stecker gezogen und wieder angemacht. Kaspersky hat einen Trojaner (namen weiß ich net) gefunden und angeblich entfernt. So jedesmal wenn ich ein Programm beende, kommt die Fehlermeldung, dass der prozess "xyz" beendet werden musste. ich habe auch versucht avira zu installieren, die ganzen prozesse von avira wurden aber immer beendet (immer mit der fehlermeldung von windows) . könnt ihr mir bitte helfen? zumal ich nicht viel Ahnung von PCs habe. Mit freundlichen Grüßen Kola HiJackthis Logfile: Code: Logfile of Trend Micro HijackThis v2.0.4 |
aloadas liegt unteranderem daran das du kaum updates zu instalieren scheinst, da muss man sich nicht wundern :-( Systemscan mit OTL download otl: http://filepony.de/download-otl/ Doppelklick auf die OTL.exe (user von Windows 7 und Vista: Rechtsklick als Administrator ausführen) 1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output 2. Hake an "scan all users" 3. Unter "Extra Registry wähle: "Use Safelist" "LOP Check" "Purity Check" 4. Kopiere in die Textbox: netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL explorer.exe iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT 5. Klicke "Scan" 6. 2 reporte werden erstellt: OTL.Txt Extras.Txt beide posten |
okay hier die Extrat.txt, aber OTL.txt will der nicht hochladen, weil zu groß. was soll ich tun? |
wie wäre es mit teilen, oder packen? :-) |
ja stimmt, hehe. dumm von mir :) |
na passt schon :-) • Starte bitte die OTL.exe • Kopiere nun das Folgende in die Textbox. :OTL :Files WINDOWS\system32\config\systemprofile\Anwendungsdaten\Twaintree C:\Dokumente und Einstellungen\Mehti\Anwendungsdaten\Twaintree :Commands [purity] [EMPTYFLASH] [emptytemp] [Reboot] • Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren. öffne arbeitsplatz, öffne C: dann _OTL dort rechtsklick auf moved files wähle zu moved files.rar oder zip hinzufügen. lade das archiv in unserem upload channel hoch. http://www.trojaner-board.de/54791-a...ner-board.html |
okay hier die meldung (datei habe ich schon im channel hochgeladen): All processes killed ========== OTL ========== ========== FILES ========== File\Folder WINDOWS\system32\config\systemprofile\Anwendungsdaten\Twaintree not found. C:\Dokumente und Einstellungen\Mehti\Anwendungsdaten\Twaintree folder moved successfully. ========== COMMANDS ========== [EMPTYFLASH] User: All Users User: Default User User: LocalService User: Mehti ->Flash cache emptied: 241956 bytes User: NetworkService Total Flash Files Cleaned = 0,00 mb [EMPTYTEMP] User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: LocalService ->Temp folder emptied: 65984 bytes ->Temporary Internet Files folder emptied: 49286 bytes User: Mehti ->Temp folder emptied: 127920990 bytes ->Temporary Internet Files folder emptied: 4920084 bytes ->Java cache emptied: 11298782 bytes ->Flash cache emptied: 0 bytes User: NetworkService ->Temp folder emptied: 49600 bytes ->Temporary Internet Files folder emptied: 52210 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 1119339 bytes %systemroot%\System32 .tmp files removed: 2951 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 163198 bytes RecycleBin emptied: 1948718257 bytes Total Files Cleaned = 1.997,00 mb OTL by OldTimer - Version 3.2.22.3 log created on 03192011_174440 Files\Folders moved on Reboot... Registry entries deleted on Reboot... |
danke hat geklappt. machst du onlinebanking /einkäufe oder sonst was wichtiges mit dem pc? |
onlinebanking nicht, einkäufe werden per überweisung gemacht... also ich arbeite ja mit dem pc, wichtig ist er schon :-) |
du hast nen trojaner drauf, der es auf alle möglichen daten abgesehen hatt. wir können nicht 100 %ig garantieren das wir das system sauber bekommen. dies wäre aber logischerweise nötig. deswegen: daten sichern und formatieren. ich erkläre wie das system in zukunft richtig abzusichern ist, denn eine solche infektion ist vermeidbar mit einfachen mitteln. |
okay, das werde ich tun, aber da ich nicht alleiniger benutzer bin, wird das noch ein bisschen dauern. aber ich habe da noch ein paar fragen: 1) ist der trojaner jetzt weg oder hast du nur das alles analysiert? 2)wo gibt es deine tipps zu lesen? 3)da ich nicht die öglichkeit habe sofort zu formatieren, ist es möglich das system noch tiefgreifender zu analysieren, um zu sehen, ob da noch etwas ist? Vielen Dank erstmal, du hast mir sehr geholfen! |
der trojaner ist noch nicht vollständig weg. die möglichkeit zu analysieren gibts, aber damit ist immernoch nicht garantiert das er wirklich weg ist. download malwarebytes: Malwarebytes instalieren, öffnen, registerkarte aktualisierung, programm updaten. schalte alle laufenden programme ab, trenne die internetverbindung. registerkarte scanner, komplett scan, funde entfernen, log posten. zu den tipps kommen wir wenn die daten gesichert sind und du formatierst. |
hier log-file: Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 6107 Windows 5.1.2600 Service Pack 2 Internet Explorer 6.0.2900.2180 19.03.2011 19:37:54 mbam-log-2011-03-19 (19-37-46).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 180106 Laufzeit: 14 Minute(n), 34 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 3 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 4 Infizierte Verzeichnisse: 0 Infizierte Dateien: 5 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\SVCWINSPOOL (Backdoor.IRCBot) -> No action taken. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\SVCWINSPOOL (Backdoor.IRCBot) -> No action taken. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\sysdrv32 (Backdoor.Bot) -> No action taken. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (PUM.Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\system volume information\_restore{152d5307-417a-4ac4-9111-e11c5f216bb7}\RP69\A0020308.exe (Spyware.Passwords.XGen) -> No action taken. c:\WINDOWS\system32\cmdow.exe (PUP.Tool) -> No action taken. c:\WINDOWS\system32\config\systemprofile\lokale einstellungen\temporary internet files\Content.IE5\C94L6123\bts[1].exe (Trojan.FakeAlert.Gen) -> No action taken. c:\WINDOWS\system32\config\systemprofile\lokale einstellungen\temporary internet files\Content.IE5\O9G7C1QX\inc[1].exe (Trojan.FakeAlert.Gen) -> No action taken. c:\WINDOWS\ufdata2000.log (Malware.Trace) -> No action taken. soll ich die daten in der Quarantäne löschen??? |
nein in der quarantäne können sie bleiben. zum schluss: bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
also mittlerweile habe ich den pc neu aufgestzt. dennoch bedanke ich mich noachmals, du hast mir sehr geholfen :-) vielleicht kannst du mir jetzt ein paar tipps geben (wolltest du ja, nachdem ich formatier habe). mit freundlichen grüßen Kola |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 21:37 Uhr. |
Copyright ©2000-2025, Trojaner-Board