|
mehrere Schadsoftware und (fast) kein Programm lässt sich mehr öffnen Hallo alle, auf dem PC meiner Schwester sind mehrere Schadsoftwareprogramme. Sie war im Urlaub und nahm die Meldungen wohl nicht sehr ernst weshalb ich euch jetzt auch leider keine Namen nennen kann:headbang:. Im Moment lässt sich fast kein Programm mehr öffnen. Wenn man es versucht, erscheint entweder das "Öffnen mit" Fenster oder ein blauer Kasten mit der Überschrift "Systemsteuerung" und dem titel "C:\WINDOWS\system32\rundll32.exe Anwendung nicht gefunden." Im Abgesicherten Modus passiert dasselbe. PC ist ein Asus Netbook mit Windows XP Sp3 Danke für die Hilfe Multivitamin |
Welcher Scanner hat was gefunden? Hast du die Logs dazu noch? |
Danke für die Hilfe:dankeschoen: Gefunden wurde von AntiVir, Malwarebytes und Adaware. logs finde ich keine. gruss Multivitamin |
AntiVir im Hauptmenü unter Berichte/Ereignisse Malwarebytes im Reiter Logdateien |
:dankeschoen: aber es lässt sich leider kein Programm (inkl. Virenprogramme) mehr öffnen :nono: gruss Multivitamin |
Dann probier erstmal malwarebytes aus. Falls das nicht geht so: http://www.trojaner-board.de/82699-m...tet-nicht.html Ggf im Zusammenhang mit dem random installer probieren, falls man schon Probleme bei der Installation bzw. beim Download hat => http://malwarebytes.org/mbam-download-exe-random.php |
Ich habe jetzt alles ausprobiert, auch mit OT Helper. Ich kann auf Kill All Processes klicken und dies wird auch getan. Internet Explorer öffnet bei dem Klick nicht und wenn ich Start Misc Programm auswähle und dann MBAM wähle passiert nichts. Danke für die Hilfe Multivitamin |
Das gleiche auch im abgesicherten Modus mit Malwarebytes? |
ich bin jetzt im Abesichertem Modus über das Administrator Konto drin und es ging sofort mit dem Klick auf MBAM ohne es umzunennen zu müssen. Ist das richtig oder muss ich auf das "normale" Konto (auch mit Admin rechten):confused: :dankeschoen: für die Hilfe Multivitamin |
Der Administrator hat genügend Rechte ;) Speicher nach dem Scan das Log noch im abgesicherten Modus direkt auf C: oder dahin wo du es schnell wiederfindest. Im echten Modus, solltest du ihn wieder verwenden können, bist du nämlich nicht im Profil von "Administrator" sondern in deinem User. Jeder User hat seinen eigenen bereich. |
So ich habe jetzt das Logfile: Code: Malwarebytes' Anti-Malware 1.50.1.1100Danke für die Hilfe! Multivitamin |
Zitat:
Wenn nicht möglich, nimm den abgesicherten Modus mit Netzwerktreibern und mach es nochmal! Ansonsten im normalen Modus scannen wenn es geht! |
Hallo, so hab jetzt geupdatet und erneut gescannt (quickscan). Reicht ein Quickscan oder soll ich nochmal einen Full Scan machen? Diesmal wurde weniger gefunden als das letzte mal. Hier der Log: Code: Malwarebytes' Anti-Malware 1.50.1.1100 |
Ich will schon einen Vollscan sehen mit den aktuellen Signaturen. |
Hier der neue Scan: Code: Malwarebytes' Anti-Malware 1.50.1.1100Gruss Multivitamin |
Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
|
So OTL Scannt jetzt. Mir ist jetzt noch aufgefallen das das normale Windows XP style weg ist und es jetzt aussieht wie Windows 98. Dann ist noch ein Problem das manchmal beim Starten des Pc's nichts passiert auser einem schwarzen Bildschirm mit einem blinkenden Balken. Dann hilft nur noch Akku raus und neustarten. gruss Multivitamin |
Scan ist fertig: Code: OTL logfile created on: 10.04.2011 21:14:46 - Run 1Code: OTL Extras logfile created on: 10.04.2011 21:14:46 - Run 1Multivitamin |
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. |
Ich habe jetzt gefixt. Dann wollte er einen Neustart und das habe ich Akzeptiert. Dann Startete er neu - natürlich nicht im Abgesicherten Modus. Da wollte er dann OTL öffnen und ich sollte mit Ausführen bestätigen. Dies tat ich. Nur dann öffnete sich wieder dieses blöde "Öffnen mit..." Fenster.:headbang: natürlich hab ich jetzt auch kein Logfile! Was soll ich jetzt tun?? gruss Multivitamin |
Schau mal in den Ordner C:\_OTL :) |
Ahh gefunden :-D Code: All processes killedDanke für die Hilfe gruss Multivitamin |
Wir sind noch nicht fertig! Der Style ist erstmal dein kleinstes Problem! Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html |
Hier der Log: Code: 2011/04/10 22:07:11.0265 1752 TDSS rootkit removing tool 2.4.21.0 Mar 10 2011 12:26:28gruss Multivtamin |
Code: 2011/04/10 22:07:38.0468 1776 Detected object count: 1 |
Hallo, reicht es wenn ich den Scan im abgesicherten Modus durchführe weil sich im normalen Modus sich kein Programm öffnen lässt. Und im Abgesicherten Modus auch nur das dann neu dazugekommene "Administrator". Hier der Scan: Code: 2011/04/11 14:45:43.0359 1192 TDSS rootkit removing tool 2.4.21.0 Mar 10 2011 12:26:28Multivitamin |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Hallo, ich habe jetzt die CCleaner bereinigung gemacht und wollte Combofix Herunterladen. Auf dem Infizierten rechner lies sich das Programm nicht downloaden, es kam immer keine Netzwerkverbindung obwohl diese vorhanden war da ich auch in das Forum kam. Ich donloadete sie dann mit meinem PC und benannete sie manuell in cofi.exe um und speicherte sie dann über USB stick auf dem Desktop auf dem anderen pc. Dies lies sich auch starten jedoch lässt sich mein Antivir nicht deaktiviren. Ist das sehr wictig? Danke für die Hilfe Multivitamin |
Notfalls AntiVir deinstallieren. Wenn wir durch sind, kann der Virenscanner wieder installiert werden. |
So hier der log: Code: ComboFix 11-04-11.04 - Administrator 12.04.2011 20:58:34.1.2 - x86 NETWORKund bei dem Neustart stand bei combofx btte keine Programme öffnen aber es öffneten sich mindestens 5 Autostartprogramme (hier schonmal danke: Es öffnen sich wieder Programme :blabla:) Ist der Rechner jetzt wieder sauber?? Gruss Multivitamin |
Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code: File::4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. http://users.pandora.be/bluepatchy/m...s/CFScript.gif 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann! |
Hallo, Danke für die Hilfe bis jetzt!!! Hier habe ich das Logfile: Code: ComboFix 11-04-12.01 - Media 12.04.2011 21:51:26.2.2 - x86 |
Bitte mal den Avenger anwenden: 1.) Lade Dir von hier Avenger: Swandog46's Public Anti-Malware Tools (Download, linksseitig) 2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen: http://mitglied.lycos.de/efunction/tb123/avenger.png 3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code: Folders to delete:5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. 8.) Die Datei c:\avenger\backup.zip bei File-Upload.net - Ihr kostenloser File Hoster! hochladen und hier verlinken |
Hallo, schonmal danke für die Hilfe :heilig: Ich habe jetzt alles so gemacht wie beschrieben: Hier der Log: Code: Logfile of The Avenger Version 2.0, (c) by Swandog46hxxp://www.file-upload.net/download-3357515/backup.zip.html Vielen Dank für die Hilfe!!!! beste Grüße Multivitamin |
Führ CF bitte nochmal normal aus (ohne CFscript) - lad eine neue cofi.exe bitte vorher runter. |
Hallo!!! Hier habe ich das neue Log von Combofix: Code: ComboFix 11-04-12.02 - Media 13.04.2011 22:10:00.3.2 - x86Und vieleicht wo man so etwas herbekommt:confused: Danke für die Hilfe!!!!! Multivitamin |
SO ganz zufrieden bin ich noch nicht mit dem Log... Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
Hallo, ich hab die Logs erstellt jedoch ein Proble: wenn ich OSAM versuche zu öffnen erscheint folgende Fehlermeldung: Code: ---------------------------Soll ich es vileicht im Abgesicherten Modus probieren?? Hier der GMER Log: Code: GMER 1.0.15.15570 - hxxp://www.gmer.netund MBRCheck: Code: MBRCheck, version 1.2.3Danke für die Hilfe!!!! gruss Multivitamin |
Bitte mal den Avenger anwenden: 1.) Lade Dir von hier Avenger: Swandog46's Public Anti-Malware Tools (Download, linksseitig) 2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen: http://mitglied.lycos.de/efunction/tb123/avenger.png 3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code: Files to delete:5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. 8.) Probier nochmal OSAM aus und mach auch ein neues Log mit GMER |
Hallo, Hier der Log von Avenger: Code: Logfile of The Avenger Version 2.0, (c) by Swandog46Die anderen 2 Logs kommen nacher oder Morgen weil gmer vorhin schon 2 Stunden brauchte. gruss Multivitamin |
Dann reicht mir zur schnellen Prüfung heute erstmal, wenn du das gerade eben ausgeführt Avengerscript nochmal mit dem Avenger ausführt die neue Ausgabe wieder postest ;) |
Hallo, hier wieder der neue Log: Code: Logfile of The Avenger Version 2.0, (c) by Swandog46Gruss Multivitamin |
Geht OSAM jetzt? |
Hallo, nein es geht leider immer noch nicht :confused::headbang: soll ihc jetzt doch nocheinmal mit Gmer scannen?? gruss Multivitamin |
Das Problem ist, dass die Objekte immer wieder auftauchen... Lösch bitte OSAM, ich befürhcte das Teil wurde infiziert, lad dir wenn du OSAM noch ausführen sollst es neu runter. Lass mich mal was mit Avenger probieren, führ den Avenger nochmal aus aber mit diesem Script jetzt: Code: Files to replace with dummy: |
Hallo, hier habe ich den neuen Log: Code: Logfile of The Avenger Version 2.0, (c) by Swandog46Vielen Danke für deine Hilfe!!! Multivitamin |
So die dummies wurden gesetzt. Lade OSAM und GMER bitte neu runter und versuch diese Tools auszuführen |
Hallo! Hier sind die neuen Logs: GMER: Code: GMER 1.0.15.15570 - hxxp://www.gmer.netund OSAM: Code: Report of OSAM: Autorun Manager v5.0.11926.0gruss Multivitamin |
Zitat:
Willst du noch weitermachen oder formatieren :pfeiff: |
Hallo, ich würde wenn es unbedingt sein muss neu aufsetzen aber da gibt es zwei probleme: 1. meine Schwester hat irgendwie die xp CD Verdödelt ich hätte noch zwei (xp) recovery cd's von meinen pc'S aber kann ich einfach diese verwenden? 2. der "Aktivirungscode" der auf der Unterseide aufgedruckt ist ist soo verwischt das man ihn nicht mehr lesen kann. Ist der im System irgendwo gespeichert weil es ist ja eine legale Version und es wäre ja shcon blöd deswegen sich eine neue kaufen zu müssen. aber kannst du mit bitte noch sagen wo soetwas herkommt und wie man das nächste mal so viele(???) sachen verhindern kann. Ich weis nicht ob das jetzt viel ist aber mit den Funden die ICH auf meinen Pc's bis jetzt hatte (insgesammt 4 stück in vielen jahren) ist das doch relativ viel ;-) trozdem DANKE für die Hilfe die du dir bis jetzt gemacht hast!!! viele grüsse multivitamin |
Wir können noch eine Analyse mit OTLPE machen und dann einen Fix und hoffen, dass der Dreck nicht wieder auftaucht :) Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.
|
Hallo! so das Programm downloadet und ist dann in einer Stunde fertig. Mir ist dann noch etwas eingefallen was wohl von mir zimloch fahrlässig war ;):pfeiff: und zwar habe ich immer die logs auf einem USB stick gespeichert und dann über meinen PC gepostet. Kann es jetzt sein das ich meinen PC infiziert habe oder das sich der andere PC immer wieder damit selbst infiziert? Das booten von einem USB DVD Laufwerk dürfte ja kein PRoblem sein?! Und könnte man nicht einfach die dateien die immer wieder kommen mit Notepad öffnen und da dann die zahlen zum teil löschen und etwas anderes reinschreiben? Ich finds echt Super wie du mir hilfst!! gruss Multivitamin |
Zitat:
Wir sollten uns erst um einen Rechner kümmern. Mach bitte die OTLPE-Logs. |
Halo! Hier sind die 2 Logs Es waren die einzigen zwei neuen unter C:. Gut bei meinem PC kann nichts passiert sein da ich eigentlich nie mit Adminrechten dran bin. Hoffe es sind die richtigen Logs, da ich keine EXTRAS.TXT fnde. gruss Multivitamin |
Auha, da ist doch noch einiges! Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. |
HALLO!! Hier ist das neue LOG: Code: ========== OTL ==========Vielen Dank für de Hlfe die du dr machst!!!:heilig: gruss Multivitamin |
OTLPE noch am Laufen? Mach bitte neue OTL-Logs damit. |
Hallo! Sorry hat etwas gedauert aber her das neue Log (eine Datei mit dem Namen EXTRAS.TXT gibt es bei mir nicht) Code: OTL logfile created on: 4/19/2011 11:49:40 PM - Run gruss Multivitamin |
Etwas besser ist es schon. hast du Windows seitdem wieder normal gestartet? Bitte nochmal über OTLPE fixen: Code: :OTL |
Hallo! ich habe jetzt gefixt aber irgendwie ist das Log weg. Da war das nach dem Fixen offen ich hab neu gestartet aber unter c:/OTL.TXT steht nur das alte log. befindet sich das Log noch irgendwo?? gruss Multivitamin |
Ist nicht so wichtig. Mich interessiert was GMER nun im installierten Windows findet und OB OSAM STARTET! Bitte die alten OSAM-Geschichten löschen! NICHT AUSFÜHREN! Löschen und neu runterladen! |
Hallo, kann ich OSAM und GMER gleichzeitig ausführen oder nur einzeln weil es ja heist alle Programme schliesen? danke für alles Multivitamin |
Erste GMER -abwarten - dann OSAM versuchen |
HALLO! Mit GMER ist gescannt, bei OSAM kommt aber immer noch die Meldung das es infizert oder gecract sei. Hier der GMER LOG: Code: GMER 1.0.15.15570 - hxxp://www.gmer.net |
Zitat:
Wir sollten uns jetzt lieber damit abfinden, dass das System nicht mehr zu bereinigen ist. Falls du noch Daten sichern musst, so mach das über ein Live-System, folge dazu dem Artikel im 2. Link in meiner Signatur. Falls du unbedingt noch weiter probieren willst: Du könntest nochmal mal dieser Kaspersky Rescue Disk das System scannen => http://www.trojaner-board.de/83997-k...scue-disk.html Vorteil: Das System wird über ein anderes Betriebssystem gescannt, damit wird sichergestellt, dass kein evtl. aktiver Schädling die Scanergebnisse beeinflussen kann. |
Hallo! Wenn es wirklich nicht anders geht könnten wir auch neu aufsetzen. Aber da ist wieder ein Problem, die Version ist legal, aber der WINDOWS KEY ist total verwischt und lässt sich nicht mehr lesen :headbang: Ist der KEY iwo im System gespeichert? Und wird bei dem WIndows 7 Upgrade der "alte" XP Key benötigt? Jetzt noch eine wichtige Frage für mich: Woher bekommt man so viel mist?:stirn: EDIT: was stellt dieses Programm an? Trozdem danke für die mühedie du dir gemacht hast! gruss Multivitamin |
Versuch den Windows-Key hiermit auszulesen => Keyfinder | Magical Jelly Bean |
Hallo, so das mit dem KEY hat geklappt. Kann ich jetzt einfach eine WINDOWS XP Recovery cd von einem meiner PC's nehmen weil die andere wohl appanden gekommen scheint :aufsmaul: Zitat:
gruss Multivitamin |
Hallo! Der Pc ist jetzt neu aufgesetzt, funktioniert wieder alles Super :taenzer: Danke für die ganze Hilfe!! Aber kannst du mir bitte noch sagen wo man so viel Schrott her bekommt?? Danke für die Hilfe!! Gruss Multivitamin |
Zitat:
|
Hallo! Könnte man das in Windows nicht eigentlich so einstellen das man an dem Pc nichts machen kann auser ICQ und Facebook? Oder vllt einfach Linux drauf weil ICH damit bis jetzt eigentlich gar keine Probleme hatte (bis auf Spielen :crazy:). Hast du eine Idee für eine ganz kleine Distribution? Also Ubuntu ist zu Groß! Vieleicht hast du eine Idee:daumenhoc Auf jeden fall Danke für die ganze hilfe!! Mich selbst würde es ja sehr interesieren und ich würde gerne auch hier helfen, aber warte wie bei euch empfohlen erst mal bis ich die Schule fertig habe:blabla: Danke für die Hilfe Multivitamin |
Zitat:
Zitat:
|
Hallo! Ja also das mit den Paswörtern geht eher nciht da es ja nicht mein Pc ist und ich ja anderen das nicht einfach verbieten kann. Ich kenne Ubuntu auch, verwende das auch hauptsächlich wenn ich etwas arbeite, mit zu groß meine ich eher das man zu viel einstellen, instalieren... kann. Aber ich denke ich zih dann mal Ubuntu drauf. Oder was hältst du von Linpus? gruss Multivitamin |
Zitat:
Kann nicht einer als Admin ernannt werden? Zumindest einen Adminkonto erstellen mit sicherem Kennwort, dass jeder kennt, aber zum normalen Arbeiten benutzt JEDER SEIN EIGENES eingeschränktes Konto! Zitat:
|
Hmm ja ich kenn Ubuntu zimlich gut. Das Problem ist ja das der Pc nicht mir gehört. Es ist allein der meiner Schwester und ich kann jetzt ja nicht einfach hingehen und Passwörter erstellen und mit einem Adminkonto und anderen eingeschränkten wird sie es glaube ich nicht lange mitmachen. Was hältst du von dieser Distribution: hxxp://www.bablotech.com/wp-content/uploads/2009/08/linpus-lite.jpg hatte ich auf meinem bis ich auf Suse umgestiegen bin. Bootet schnell, man kann nicht viel einstellen... . Oder doch besser Ubuntu?:eek: Gruss Multivitamin |
Zitat:
Zitat:
|
Ich finde das ist große Geschmackssache mit den verschiedenen Distributionen. Ich mach vllt einfach mal beide (Ubuntu & Suse) und lass dann entscheiden. Ich selbst lebe wenn ich in Windows bin auch immer OHNE Adminrechte seit ich es gelernt habe... Zum Schluss noch eine Frage: Lohnt es sich überhaupt antivirenprogramme zu kaufen oder reicht die Freeware von Avira? Dane für die Hilfe =) gruss Multivitamin |
Freeware reicht dicke. Der Virenscanner ist eh keine entscheidende Komponente. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:47 Uhr. |
Copyright ©2000-2025, Trojaner-Board