Win32/Trats.A Trojaner |
||
---|---|---|
#0
| ||
21.01.2008, 11:38
Member
Beiträge: 13 |
||
|
||
21.01.2008, 11:49
Moderator
Beiträge: 7805 |
#2
Bitte poste einmal den Rest Reporte aus diesem Thread. http://board.protecus.de/t23187.htm
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
21.01.2008, 15:34
Member
Themenstarter Beiträge: 13 |
#3
Hallo raman,
danke für deinen Hinweis. 1. ATF Cleaner erfolgreich durchgeführt. 2. ComboFix hat zwar eine halbe Ewigkeit gedauert, aber seitdem läuft mein PC viel schneller (.txt Datei ist im Anhang) 3. HiJackThis-Log. Zitat Logfile of HijackThis v1.99.13b. Zitat Adobe Acrobat - Reader 6.0.2 Update4. datfind.txt Zitat . Anhang: ComboFix.txt Dieser Beitrag wurde am 21.01.2008 um 15:50 Uhr von Freak-X-Heav editiert.
|
|
|
||
21.01.2008, 15:54
Moderator
Beiträge: 7805 |
#4
Folgendes bitte als cfscript.txt speichern und dann wie auf dem Bild beschrieben auf die Combofix.exe ziehen und den dann neu erstellten Combofix Report posten.
Code file:: __________ MfG Ralf SEO-Spam Hunter |
|
|
||
21.01.2008, 16:35
Member
Themenstarter Beiträge: 13 |
#5
Hier der gewünschte ComboFix.log
Zitat ComboFix 08-01-20.1 - *** 2008-01-21 16:00:27.3 - NTFSx86 |
|
|
||
21.01.2008, 16:51
Moderator
Beiträge: 7805 |
#6
Hat nicht alles so geklappt, wie ich mir das vorgestellt habe, aber macht nix:
Loesche bitte folgende Datei: C:\WINDOWS\system32\drvxih.dll Dann hake in Hijackthis folgende Eintraege an und druecke fix checked: O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe" O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask .exe" -atboottime O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask .exe" -atboottime O23 - Service: Microsoft cache control (MSControlService) - Unknown owner - C:\WINDOWS\system32\windows (file missing) Du hast durch den Befall einige Startdateien(O4 Eintraege) verloren, die du falls benoetigt, nachinstallieren musst. Poste dann bitte ein neues Hijackthis Log und mache einen Kontrollscan mit Kaspersky(neuste Version laden) http://downloads5.kaspersky-labs.com/devbuilds/AVPTool/ und Drweb cureit: http://freedrweb.com/ Berichte, was noch wo gefunden wird. Funde von Drweb bitte ersteinmal nicht loeschen __________ MfG Ralf SEO-Spam Hunter |
|
|
||
21.01.2008, 16:55
Member
Themenstarter Beiträge: 13 |
#7
Ich werd heut wahrscheinlich nicht mehr antworten können. Morgen gleich in der Früh bin ich wieder da.
PS: Müssen die Einträge im Hijackthis nicht im "Abgesicherten Modus" gefixt werden? Werde dann morgen weitere Berichte abliefern |
|
|
||
21.01.2008, 17:00
Moderator
Beiträge: 7805 |
||
|
||
22.01.2008, 09:40
Member
Themenstarter Beiträge: 13 |
#9
Hallo raman,
C:\WINDOWS\system32\drvxih.dll gelöscht HiJackThis-Log nach dem Fixen der 7 Einträge: Zitat Logfile of HijackThis v1.99.1 Zitat O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask .exe" -atboottimewurden aus der Liste nicht entfernt. Wurden wohl repariert, aber da hast du bestimmt mehr Ahnung als ich. Kaspersky Lab Tool hat bei mir nicht funktioniert. Versuche in der nächsten Zeit den im abgesicherten Modus zu starten. Dr.Web gab 1 Meldung aus: 1 Riskware: dwrcs.exe in c:\windows\system32 Program.RemoteAdmin Brauch die Datei nicht unbedingt, kann deshalb deinstalliert werden, falls sie irgendwie schädlich auf mich wirken sollte. Sonst keine Meldungen. Dieser Beitrag wurde am 22.01.2008 um 09:51 Uhr von Freak-X-Heav editiert.
|
|
|
||
22.01.2008, 09:51
Moderator
Beiträge: 7805 |
#10
Versuche die Eintraege ebenfalls im abgesicherten Modus zu loeschen. Ansonsten kannst du fuer die Eintraege auch msconfig nehmen.
Deinstalliere combofix durch Start/Ausfuehren und der eingabe von combofix /u __________ MfG Ralf SEO-Spam Hunter |
|
|
||
hab mir am Freitag einen Trojaner eingefangen. Soll angeblich WIN32/Trats.A heißen.
Bin mir jetzt nicht sicher ob es in dieses Forum hier reingehört, wenn falsch, dann bitte verschieben
Zitat
Wegen Sicherheitsgründen entferne ich die Domäne und meinen Computernamen (werden durch *** ersetzt).Mein PC ist seitdem sehr langsam geworden. Auf dem Desktop erschienen 2 weitere Objekte: "Help und Support Center" und "Windows Update".
Außerdem liegen auf meinem C-Laufwerk Dateien mit den Namen "pos1A0.tmp" bis "pos820.tmp" und es werden meiner Meinung immer mehr.
Würde nur ungern meinen PC formatieren, darum bitte um schnelle Hilfe