Log File zeigt einige evtl. böse Dateien |
||
---|---|---|
#0
| ||
17.04.2005, 17:52
...neu hier
Beiträge: 7 |
||
|
||
17.04.2005, 20:11
Member
Beiträge: 1132 |
#2
Hallo Marion H.,
Du hast ja schon eine gute Vorarbeit geleistet! Fixe mit HJT (Häkchen setzen und "Fix checked" drücken) die beiden O16-Einträge, die als "evtl. böse" eingestuft wurden und die Du nicht kennst. Gehe mit dem Win Explorer zu C:\Windows\Downloaded Program Files und suche, ob Du Preloader.dll dort findest. Wenn ja => löschen Lade Dir eScan Erkennungstool http://www.mwti.net/antivirus/free_utilities.asp Erstelle einen Ordner c:\bases das Programm in den Ordner c:\bases entpacken und danach Update mit kavupd.exe durchführen (kann eine Weile dauern) Starte den Rechner im abgesicherten Modus (F8 drücken beim Booten) http://www.tu-berlin.de/www/software/virus/savemode.shtml Das Programm mit "mwav.exe"(oder: "mwavscan.com" ) starten. Überall die Häkchen setzen bei: All Files, Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder C:\WINDOWS, Include Subdirectories => und dann "Scan clean" klicken. Nach abgeschlossenem Scan in den Normalmodus zurückgehen, das Log öffnen und (Bearbeiten => Suchen) nach Zeilen mit "infected" (ohne die Anführungszeichen) suchen. Jede einzelne Zeile, die Du findest, abkopieren und posten. Am Ende des Log steht die Zusammenfassung, die bitte auch posten. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
17.04.2005, 21:56
...neu hier
Themenstarter Beiträge: 7 |
#3
Hallo Heron,
danke für Deine Antwort. Ich werde es mir ausdrucken und morgen abend mal durchlaufen lassen. eScan habe ich mir schon heruntergeladen und im nicht abgesicherten Modus laufen lassen. Beim ersten Mal in der vorgegebenen Einstellung, da wurde mir angezeigt, daß "Alexa Spyware/Adaware" gefunden wurde. Dazu hat Antivir mir immer einen Hinweis gegeben, aber auch gesagt, daß es wohl harmlos sei? Beim zweiten Mal habe ich alle Dateien scannen lassen. Das hat allerdings mein System extrem belastet und eeeewig gedauert, so daß ich nach knapp 30.000 gescannten Dateien in mehr als 1 Stunde abgebrochen habe. Bis dato kamen 4 Meldungen: - Die Alexa-Meldung von oben - 1 x Win32.NetSky.q in meinem alten Mailprogramm, daß ich nicht mehr nutze. Die Mail mit dem Virus habe ich nicht geöffnet, also kann er mein System auch nicht infiziert haben - Auf dem Desktop: "coolscrl.exe not-a-virus: AdAware-saveNow.ar" Virus - Auf dem Desktop: "gpfont.exe tagged as not-a-virus Tool Win32Reboot" Letztes habe ich jetzt gelöscht - Mal gucken, ob die Meldung beim nächsten Scan noch einmal angezeigt wird. Kann damit soweit schon einmal jemand etwas anfangen? |
|
|
||
17.04.2005, 22:02
Member
Beiträge: 1132 |
#4
Lasse bitte den Scan im abgesicherten Modus vollständig durchlaufen (auch wenn es lange dauert!) und poste die als "infected" gefundenen Dateien sowie die Zusammenfassung aus dem Log. Du musst schon ein wenig Disziplin zeigen und exakt das tun was gepostet wird, ansonsten ist es nahezu unmöglich, Dir zu helfen.
Hast Du die O16-Einträge gefixt? Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
17.04.2005, 22:11
...neu hier
Themenstarter Beiträge: 7 |
#5
Hallo Heron,
das hatte ich schon vor dem Lesen Deiner Antwort gemacht - Wie geschrieben werde ich es morgen abend nochmal genau nach Deiner Anweisung machen, muß jetzt gleich erst mal ins Bett. Ebenso die O16-Einträge. Ich melde mich dann mit den Logfiles. Da ich auf mich selber nicht antworten kann, muß ich diesen Beitrag editieren: Hi! Ich wollte nur mal ein kurzes Update geben: Nachdem ich Escan gestern für ca. 22 Stunden laufen hatte, habe ich den Scan abgebrochen, da es ca. 3 Stunden bei ein und derselben Datei hängenblieb. Da ich das Programm, zu dem die Datei gehörte, eh schon länger löschen wollte, habe ich das nun getan und werde den Scan spätestens am Wochenende noch einmal laufen lassen. Ich hoffe, dann läuft er durch, und zwar schneller... Viele Grüße Marion Dieser Beitrag wurde am 20.04.2005 um 16:38 Uhr von Marion H. editiert.
|
|
|
||
24.04.2005, 10:53
...neu hier
Beiträge: 2 |
#6
hat sich inzwischen was ergeben? mich würde auch interessieren, warum escan zwischendrin dann plötzlich "stehen bleibt".
das problem hatte ich auch mal, aber nach löschen einiger dateien lief escan dann wenigstens durch. jemand einen tip woran das liegen kann? |
|
|
||
24.04.2005, 11:01
...neu hier
Themenstarter Beiträge: 7 |
#7
Hi Lottchen,
ich hab mich gestern nochmal an das Escan rangetraut, vorher alles gelöscht, was unnötig ist. Cache, Temps etc. geleert, das Proggy, wo es letztes Mal hängenblieb etc. Tja - Gestern abend angefangen und innerhalb von ca. 30 Minuten hat es über 19.000 Dateien gescannt, im flotten Tempo. Monitor ausgestellt, ab ins Bett und was soll ich sagen? Heute morgen, nach ca. 10 Stunden hing er wieder bei 44.204 Dateien. Habe dann wieder abgebrochen, weil sich über eine Stunde nichts getan hat, obwohl er lt. Licht am PC die ganze Zeit gearbeitet hat. Die Scan-Zeit wurde dann auch wieder nur mit 8 Stunden + angegeben - Wahrscheinlich heißt daß, er hing schon ca. 2 Stunden an der Datei? Es war übrigens C:\NVIDIA\Win9x\41.09.\*.* Notepad ist wieder abgestürzt, als ich mir das Logfile ansehen wollte... Any idea? *seufz* Marion |
|
|
||
24.04.2005, 13:00
Member
Beiträge: 1132 |
#8
Vergiss mal eScan für den Moment.
Lade Dir AdAware http://www.lavasoft.de/support/download/ und update es. Mache einen kompletten Systemscan und poste das Log Versuche einen Online-Scan zu machen http://www.pandasoftware.com/activescan/com/activescan_principal.htm poste auch hier das Log. Gruß Heron edit: Habe auch mal ein wenig gegooglet mit dem Begriff "PMS/Dldr.OTXloader", Ebenfalls nichts gefunden. Aber mit "OTXloader" bin ich fündig geworden. Steht irgendwie (?) mit aggressiver Spyware im Zusammenhang. In dem Thread http://www.techsupportforum.com/computer/topic/46648-1.html hat jemand das gleiche Problem wie Du. Arbeite einmal die Empfehlungen von greyknight17 ab. Das sieht sehr gut aus. Um es kurz zu machen: Lade Dir die KillBox http://www.bleepingcomputer.com/files/killbox.php herunter Öffne die Killbox => Delete File on Reboot => und kopiere nacheinander die nachfolgenden Dateien mit kompletter Pfadangabe hinein, drücke das rote Kreuz und wenn angefragt wird, ob der Rechner neu gestartet werden soll, dann antworte mit "no" usf. bis zur letzten Datei, dann mit "yes" antworten c:\windows\downloaded program files\otxmedia.dll c:\windows\downloaded program files\preloader.dll CCleaner http://www.ccleaner.com/ccdownload.asp Benutze die Standardeinstellungen wie sie sind => Analysieren => Starte CCleaner. Löscht die Surfspuren, Temp-Dateien etc. __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch Dieser Beitrag wurde am 24.04.2005 um 15:49 Uhr von Heron editiert.
|
|
|
||
25.04.2005, 09:30
...neu hier
Themenstarter Beiträge: 7 |
#9
Danke Heron, werde ich heute abend alles mal machen. Melde mich dann wieder!
VG Edit: So, da bin ich wieder - Der Reihe nach: 1.) Adaware hab ich ja schon drauf. Habe ein Update gemacht und laufen lassen. Log File: Lavasoft Ad-aware Personal Build 6.181 Logfile created on ienstag, 26. April 2005 18:48:52 Created with Ad-aware Personal, free for private use. Using reference-file :01R347 26.10.2004 ______________________________________________________ Ad-aware Settings ========================= Set : Activate in-depth scan (Recommended) Set : Safe mode (always request confirmation) Set : Scan active processes Set : Scan registry Set : Deep scan registry 26.04.05 18:48:52 - Scan started. (Custom mode) Deep scanning and examining files (C ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ Cydoor Object recognized! Type : Folder Object : C:\WINDOWS\Anwendungsdaten\Qualcomm\Eudora\EudPriv\Ads\AdCache Disk scan result for C:\ ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ New objects : 0 Objects found so far: 1 19:06:15 Scan complete Summary of this scan ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ Total scanning time :00:17:22:760 Objects scanned :128283 Objects identified :1 Objects ignored :0 New objects :1 Die Datei hab ich jetzt erst einmal in die Qurantäne gesteckt. 2.) Online Scan Hab ich versucht. Er läd auch die Software auf meinen PC - Beim ersten Mal gab es jedoch eine Fehlermeldung. Wenn er nun "scannt", braucht er nicht einmal 1 Sekunde und zeigt dann an: Scanned: Yes Files: 0 Message: 0 Irgendwas stimmt da also nicht. 3.) Hab das Trojaner-Programm runtergeladen, daß dieser greyknight empfiehlt und laufen lassen. Er hat nur 10 "Suspicicous Files" gefunden. Suspicious, weil sie eine Doppelendung haben. 1 x in der Mozilla Setup 1.03.exe und 9 x in einer Word-Datei. Ich vermute, das wird ein darin verwendetes Bild sein. 4.) Kill Box Er findet die beiden von Dir genannten Dateien nicht in dem Verzeichnis? 5.) Installiert und laufen lassen. Alle Temps etc. gelöscht. Und nu? Fragende Grüße Marion Dieser Beitrag wurde am 26.04.2005 um 21:55 Uhr von Marion H. editiert.
|
|
|
||
27.04.2005, 11:37
...neu hier
Beiträge: 2 |
||
|
||
27.04.2005, 17:04
Member
Beiträge: 1132 |
#11
@Marion H.
Hast Du den Panda Online-Scan gemacht. Wenn ja, bitte Log posten. Poste bitte noch einmal ein aktuelles HJT Log. Lade Dir Kaspersky Trial Version herunter http://www.kaspersky.com/trials?chapter=154373188 und scanne Dein System nach dem Updaten des Progs. Berichte, was gefunden wurde. @Lottchen HijackThis 1.99.1 http://www.downloads.subratam.org/hijackthis.zip http://www.spywareinfo.com/~merijn/files/hijackthis.zip Installiere das Programm in einem eigenen Ordner. Starte das Programm mit der HijackThis.exe-Datei => Scan drücken => Save Log drücken => der Texteditor mit dem Log öffnet sich. Den gesamten Text abkopieren und hierher posten. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch Dieser Beitrag wurde am 27.04.2005 um 17:08 Uhr von Heron editiert.
|
|
|
||
27.04.2005, 17:07
...neu hier
Themenstarter Beiträge: 7 |
#12
Hi Heron,
zum Panda Online Scan ich zitiere mich mal selber: Zitat 2.)Hab also kein Log. Gibt es noch einen anderen empfehlenswerten Online Scan? |
|
|
||
27.04.2005, 17:11
Member
Beiträge: 1132 |
#13
Hi Marion,
Du bist aber fix. Versuche es mal mit Kaspersky Trial (siehe oben). Weitere Online-Scans Symantec http://security.symantec.com/default.asp? f-secure http://support.f-secure.com/enu/home/ols.shtml McAfee FreeScan www.mcafee.com/myapps/mfs/default.asp Trend-Micro http://de.trendmicro-europe.com/consumer/products/housecall_launch.php http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php BitDefender www.bitdefender.com/scan/Msie/index.php Gruß Heron edit: Eine Idee ist mir gerade noch gekommen. Lade Dir einmal F-Secure Rootkit Säuberungstool (Beta) http://www.f-secure.com/blacklight/cure.shtml herunter und Scanne Deinen Rechner damit. edit1: Zitat Online ScanWie lautete denn die Fehlermeldung? __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch Dieser Beitrag wurde am 27.04.2005 um 22:00 Uhr von Heron editiert.
|
|
|
||
08.06.2005, 12:07
...neu hier
Themenstarter Beiträge: 7 |
#14
Hi Heron,
sorry, daß ich mich so lange nicht gemeldet habe, aber irgendwie wußte ich die letzten Wochen nicht, wo mir der Kopf steht... Ich habe mittlerweile AntiVir bei mir komplett deinstalliert und jetzt erst einmal die 30-Tage Trial-Version von Kapersky drauf. Diese hat beim vollständigen Scan nichts gefunden. Allerdings kam die folgende Meldung: C:\....\Related.htm password-protected c:\...\sbRecovery.ini c:\...\sbRecovery.reg c:\...\sbRecovery.ini c:\...\sbRecovery.reg ... Aus dieser Schleife kam ich erst raus, als ich "Skip Archive" geklickt habe und dann hat er weiter gescannt. Was kann das gewesen sein? Übrigens reinigt der Kapersky mir auch die Virenverseuchten Mails wieder, was AntiVir ja nicht mehr gemacht hatte... Die gereinigten Mails sind dann im Spam-Ordner meines zwischengeschalteten Spam-Filters zu finden. Die anderen Online-Scans habe ich noch nicht laufen lassen. Das F-Secure Rootkit Säuberungstool (Beta) kann ich nicht laufen lassen, da ich noch Win 98 habe, es aber erst ab Win 2000 ist. Ich denke, ich werde über kurz oder lang mal ein Format C machen müssen... :-( Viele Grüße Marion |
|
|
||
08.06.2005, 12:58
Member
Beiträge: 1132 |
#15
Hi Marion,
welcome back! Lade Dir zu Adaware auch noch Spybot S&D herunter Spybot S&D http://www.safer-networking.org/de/download/index.html Update Adaware, Spybot und Kaspersky. Gehe in den abgesicherten Modus (bei Win98: Rechner neu starten und beim Hochfahren CTRL- oder SHIFT- Taste drücken bis das Auswahlmenü erscheint). Scanne mit allen drei Programmen im abgesicherten Modus. Boote den Rechner neu und scanne noch einmal im Normalmodus. Poste ein aktuelles HJT-Log. Warum sich Kaspersky an dem Archiv aufhängt kann ich so auch nicht sagen. Vielleicht hat jemand anderer eine Idee. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
Eure Seite ist mir empfohlen worden, da ich ein paar Probleme mit meinem PC habe. Ich denke, ich muß erst mal ein wenig ausholen:
Zunächst einmal wird mir jetzt schon seit einigen Monaten von meinem AntiVir nicht mehr per Blue Screen gemeldet, wenn ich einen Virus reinbekomme. Ich habe das Programm schon 2 oder 3 x deinstalliert, neu heruntergeladen und neu installiert, aber das hat nichts gebracht. Ein Posting im AntiVir-Forum hat leider auch keine Erklärung dafür gebracht.
Vor ein paar Tagen ging ich auf Arbeitsplatz > C: > Eigenschaften > Laufwek aufräumen und da öffnete sich ein AntiVir-Warnfenster mit folgender Meldung:
Zitat
Ich habe PMS/Dldr.OTXloader mal bei Google eingegeben, aber da wurde nichts gefunden. Ich hab die Datei dann erst einmal in den Quarantäne-Bereich verschoben und gelöscht.
Am nächsten Morgen beim Hochfahren forderte mich Freenet auf einmal auf, online zu gehen. Habe ich natürlich nicht gemacht, zumal ich sonst auch immer per DFÜ-Verbindung online gehe.
Ich war also "offiziell" nicht online, und trotzdem wurde lt. Zonealarm Daten rausgesandt??
Auf Empfehlung habe ich mir jetzt mal "Hijackthis" runtergeladen und drüberlaufen lassen. Den Logfile habe ich dann online überprüfen lassen, wo mir bei einigen Dateien "eventuell böse" angezeigt wird.
Da mir aber gesagt wurde, die Auswertung wäre nicht unbedingt zuverlässig, wäre es toll, wenn hier noch einmal jemand drüberschauen könnte. Die Auswertung findet Ihr hier:
http://www.hijackthis.de/logfiles/13694fb73ea60640f30a00da01e236e7.html
Was sollte ich Eurer Meinung nach jetzt löschen? Bzw. wie "fixe" ich gegebenenfalls?
Bei den gelben Fragezeichen sind mir übrigens die folgenden Programme bekannt:
http://dzt-schulung.net-pioneer.biz/elearning/Mplay.cab
C:\Programme\FinePixViewer\QuickDCF.exe
Epson (mein Drucker) wird auch erwähnt - Ich nehme an, der File ist okay?
Ich hoffe, jemand hier kann mir helfen?
Danke und viele Grüße
Marion
Nachtrag:
Ich habe WIN 98 drauf.