Hijacker nach Trojaner EntfernungThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
26.07.2006, 16:29
Member
Beiträge: 11 |
||
|
||
26.07.2006, 19:50
Ehrenmitglied
Beiträge: 29434 |
#2
lade das und suche nach
http://virus-protect.org/artikel/tools/agentransack.html KillAndClean poste, was gefunden wird --------- loesche manuell: C:\WINDOWS\balloon.wav __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.07.2006, 20:51
Member
Themenstarter Beiträge: 11 |
#3
Hallo Sabina
thx für die Hilfe. Habe die Datei balloon.wav gelöscht. Der Kill an Klean Report sah so aus. Dieser Beitrag wurde am 30.07.2006 um 13:25 Uhr von Florianus editiert.
|
|
|
||
26.07.2006, 22:29
Ehrenmitglied
Beiträge: 29434 |
#4
mit dem Kill & Clean scanner hast du dir im Grunde den Rechner zerschossen....
das ist kein serioeser scan ! http://www.f-secure.com/blacklight/ starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei -> poste den report Download FixWareout http://downloads.subratam.org/Fixwareout.exe Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt -> posten __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.07.2006, 23:12
Member
Themenstarter Beiträge: 11 |
#5
Hallo Sabina
mit blacklight habe ich bereits gearbeitet, dieser hat 3 Files gefunden, welche ich renamed und dann gelöscht habe siehe Report vom 24.7. und heute 26.7.Der Fixwareout ver 1.003 Report siehe ganz unten. Dieser Beitrag wurde am 30.07.2006 um 13:25 Uhr von Florianus editiert.
|
|
|
||
26.07.2006, 23:36
Ehrenmitglied
Beiträge: 29434 |
#6
Dann starte blacklight nochmal und lasse alle Dateien, die es anzeigt umbenennen
Dann lass Blacklight den Rechner neu starten. poste das log http://virus-protect.org/winpfind.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
27.07.2006, 13:03
Member
Themenstarter Beiträge: 11 |
#7
Hallo Sabina
blacklight zeigt keine Dateien mehr an(siehe unten).Bei Winpfind hängte sich das Programm leider auf(auch im abgesicherten Modus). Meldung - Invalid Data Type for" - leider wurde keine Dateiname genannt. Spyware Doctor bleibt aber mit der gleichen Meldung hängen, dies geschieht bei der Datei mswsock.dll. Diese Datei kommt bei mir 2 mal vor. C Dieser Beitrag wurde am 30.07.2006 um 13:26 Uhr von Florianus editiert.
|
|
|
||
27.07.2006, 13:23
Ehrenmitglied
Beiträge: 29434 |
#8
killandclean (Information)
http://virus-protect.org/artikel/spyware/killandclean_remove.html ------------------------------------------------------------------------- 1. gehe in die registry Start -Ausfuehren - regedit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Network DisablePwdCaching 1 -> in 0 aendern siehe hier: DisablePwdCaching http://home.arcor.de/parabol60/index.htm?network.htm PC neustarten 2. C:\Dokumente und Einstellungen\ESCO_vom_Wieslauftal\Anwendungsdaten\kc.tmp - loeschen 3. lade spybot und poste den scanreport http://www.safer-networking.org/en/download/index.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
27.07.2006, 15:05
Member
Themenstarter Beiträge: 11 |
#9
Hallo Sabina
einmal vor und einmal nach Bereinigung, die registry habe ich geändert. Gruß Florian Dieser Beitrag wurde am 30.07.2006 um 13:26 Uhr von Florianus editiert.
|
|
|
||
27.07.2006, 15:18
Ehrenmitglied
Beiträge: 29434 |
#10
1.
desinstalliere: C:\Programme\FunWebProducts C:\Programme\MyWebSearch 2. dann loesche mit Spybot oder manuell in der Registry: HKEY_LOCAL_MACHINE\Software\Fun Web Products HKEY_LOCAL_MACHINE\Software\FocusInteractive HKEY_CLASSES_ROOT\CLSID\{147A976F-EEE1-4377-8EA7-4716E4CDD239} HKEY_CLASSES_ROOT\CLSID\{A4730EBE-43A6-443e-9776-36915D323AD3} HKEY_CLASSES_ROOT\Interface\{2E9937FC-CF2F-4F56-AF54-5A6A3DD375CC} HKEY_CLASSES_ROOT\Interface\{741DE825-A6F0-4497-9AA6-8023CF9B0FFF} 3. ueberpruefe, ob das Microsoft.WindowsSecurityCenter aktiviert ist. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
27.07.2006, 16:19
Member
Themenstarter Beiträge: 11 |
#11
Hallo Sabina
dies hat Spybot schon getan, siehe 2ter Scan Bericht oben nach Bereinigung. Nur das WindowsSecurityCenter ist noch deaktivert, da ich ZoneAlarm einsetze. Habe mal gehört, dass man es dann auschalten solle, da sich die Dinger nicht vertragen. soll ich es trotzdem aktivieren ? Gruß Florian |
|
|
||
27.07.2006, 21:45
Ehrenmitglied
Beiträge: 29434 |
#12
wenn du das WindowsSecurityCenter selbst deaktiviert hast, dann ist es o.k.
ich dachte, die viren haetten es bewerkstelligt. multiavtool. http://virus-protect.org/multiavtool.html * klicke "3" - McAfee -- es erscheint ein leeres DOS-Fenster. bei der Eingabe "3" im MULTIAVTOOL muss eine Internetverbindung vorhanden sein - man muss eingeben, was gescannt werden soll - C:\Windows\System32 dann beginnt der Scan, man sollte dann auch scannen lassen: - C:\Windows - C:\ * klicke "6 --> der PC wird neustarten --> suche die 3 Scanreporte in C:\AV-CLS und kopiere sie, ---------------------------------- * klicke "1" nun beginnt der Scan von Sophos * klicke "2" , nun beginnt der Scan von Trend Micro poste dann auch diese Reports __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.07.2006, 18:20
Member
Themenstarter Beiträge: 11 |
#13
Hi also zunächst einmal
haben dies Scans weitere Trojaner "aufgescheucht" SPR/Tool.Madtol.D;SPR/Doubios.Handle1,HEUR/Hijacker Bedenklich, dass 1 davon im Verzeichnis von Hijacker (V06RGa02406) war und einer im Verzeichnis von SmitfraudFix(Prozess.exe) . Na ja Vielleicht auch Fehlarlarme. SPR/Tool.Madtol war im System Volume Information als a005001.exe . Da gibt leider einige Dateien die so ähnlich heißen A008700.exe usw.... [ Dieser Beitrag wurde am 30.07.2006 um 13:27 Uhr von Florianus editiert.
|
|
|
||
29.07.2006, 01:15
Ehrenmitglied
Beiträge: 29434 |
#14
Florianus
1. Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren) 2. wende das an (auch die Datentraegerbereinigung machen lassen) + poste das log http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
29.07.2006, 13:13
Member
Themenstarter Beiträge: 11 |
#15
Hallo Sabina
die A000..exe/a00...dll aus System volume Information scheinen weg, siehe ganz unten blau. Dieser Beitrag wurde am 30.07.2006 um 13:28 Uhr von Florianus editiert.
|
|
|
||
könnte da mal jemand drüber schauen, aber mir die Vollversion von Syware Doctor besorgt und er hat einges endeckt, unter anderem den Trojaner
Trojan.Qhost. Er hat dies auch erfolgreich beseitigt. Aber nun weiß ich nicht,
ob ides alles ist. Hijacker hat diesen Report ausgeworfen. Der Google Bar wurde übrigens von Syware Doctor installiert.