Adware verdacht Ultimate Defender / AV Scann nicht moeglich |
||
---|---|---|
#0
| ||
01.05.2008, 22:18
...neu hier
Beiträge: 4 |
||
|
||
01.05.2008, 22:44
Moderator
Beiträge: 7805 |
#2
Hier helfen nur die Punkte 1, 2 und 3 :
http://board.protecus.de/t23188.htm __________ MfG Ralf SEO-Spam Hunter |
|
|
||
02.05.2008, 00:38
...neu hier
Themenstarter Beiträge: 4 |
#3
CCleaner ausgeführt.
Combofix funktioniert nicht. Durch Maleware geblockt. Hijackthis funktioniert nicht. Durch Maleware geblockt. Selbst im Abgesicherten Modus funktionieren die Programme nicht. datafind.bat Log . . . Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten . . Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: XXXX-XXXX Verzeichnis von C:\WINDOWS\system32 01.05.2008 21:56 0 tmp.txt 01.05.2008 21:56 1.906 tmp.reg 01.05.2008 21:28 308.712 winivstr.exe 01.05.2008 21:10 6.656 univrs32.dat 01.05.2008 21:10 88.566 nvapps.xml 01.05.2008 21:09 6.144 cru629.dat 01.05.2008 21:09 18.432 braviax.exe 01.05.2008 21:03 18.432 braviax_.exe 01.05.2008 19:41 107.832 PnkBstrB.exe 29.04.2008 23:19 1.374 wpa.dbl 27.04.2008 19:18 153.976 FNTCACHE.DAT 19.04.2008 13:45 310 2008-04-19-11-36-03.053-VBoxSVC.exe-3572.log 10.04.2008 18:24 22.528 MSWINSCK.oca 10.04.2008 18:21 29.184 MSINET.oca 06.04.2008 14:39 43.520 CmdLineExt03.dll 30.03.2008 18:51 432.856 perfh009.dat 30.03.2008 18:51 80.270 perfc007.dat 30.03.2008 18:51 448.918 perfh007.dat 30.03.2008 18:51 67.560 perfc009.dat 30.03.2008 18:51 1.043.642 PerfStringBackup.INI 23.03.2008 04:30 75.876 winsys.exe 22.03.2008 16:27 2.996 rgml.dll 21.03.2008 23:54 0 asfiles.txt 21.03.2008 23:38 2.550 Uninstall.ico 21.03.2008 23:38 1.406 Help.ico 21.03.2008 23:38 30.590 pavas.ico 19.03.2008 02:05 0 1.exe 19.03.2008 02:02 75.876 1 04.03.2008 23:37 18.944 wk32.dll 04.03.2008 23:37 3.584 ic32.dll 20.02.2008 22:49 198.656 COMDLG32.OCX 20.02.2008 22:49 389.120 actskn43.ocx 20.02.2008 22:49 77.824 ANSSLPLUS.dll 20.02.2008 22:49 372.736 ANSMTP.dll 11.02.2008 21:51 5.204 SysPr.prx 11.02.2008 21:35 51.733 plugin1.dat 01.02.2008 00:13 90.112 QuickTimeVR.qtx 01.02.2008 00:13 57.344 QuickTime.qts 2199 Datei(en) 469.199.094 Bytes 0 Verzeichnis(se), 75.822.604.288 Bytes frei . . . Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: XXXX-XXXX Verzeichnis von C:\DOKUME~1\ROOT~1.POL\LOKALE~1\Temp 02.05.2008 00:46 107.785 datfind.txt 02.05.2008 00:40 16.384 Perflib_Perfdata_a40.dat 01.05.2008 21:28 71.680 Binaries1.zip 01.05.2008 20:54 6.328 java_install_reg.log 01.05.2008 18:48 72.192 ~e5.0001 28.04.2008 21:22 24.516 SIntfNT.dll 28.04.2008 21:22 19.924 SIntf32.dll 28.04.2008 21:22 12.067 SIntf16.dll 28.04.2008 21:22 36.864 CmdLineExt02.dll 06.04.2008 15:51 40.448 CmdLineExt03.dll 25.03.2008 14:57 45.056 sres.dll 25.03.2008 14:53 696.320 cres.dll 25.03.2008 14:53 2.502.656 cshell.dll 22.03.2008 18:50 136.194 dd_RGB9RAST_x86.msi35AC.txt 22.03.2008 15:32 32.768 swt-awt-win32-3346.dll 11.02.2008 02:24 4.608 i4jdel0.exe 26 Datei(en) 5.469.424 Bytes 0 Verzeichnis(se), 75.822.624.768 Bytes frei . . . Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: XXXX-XXXX Verzeichnis von C:\WINDOWS 02.05.2008 00:07 754 WORDPAD.INI 01.05.2008 21:10 159 wiadebug.log 01.05.2008 21:10 50 wiaservc.log 01.05.2008 21:09 2.048 bootstat.dat 01.05.2008 21:09 6.144 cru629.dat 01.05.2008 21:09 18.432 braviax.exe 01.05.2008 21:07 862 win.ini 01.05.2008 21:07 227 system.ini 01.05.2008 21:03 18.432 braviax_.exe 01.05.2008 21:02 32.556 SchedLgU.Txt 01.05.2008 16:57 69 NeroDigital.ini 20.04.2008 12:52 335 mozregistry.dat 12.04.2008 21:54 316.640 WMSysPr9.prx 10.04.2008 18:25 95 vbaddin.ini 10.04.2008 18:17 4.161 ODBCINST.INI 10.04.2008 18:17 926 ODBC.INI 10.04.2008 18:17 1.309 vb.ini 23.03.2008 02:58 55.296 services.exe 12.02.2008 23:14 1.191 pftp.ini 11.02.2008 18:08 418 Proxyrama.INI 111 Datei(en) 58.816.323 Bytes 0 Verzeichnis(se), 75.822.612.480 Bytes frei . . . Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: XXXX-XXXX Verzeichnis von C:\WINDOWS\temp . . . Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: XXXX-XXXX Verzeichnis von C:\WINDOWS\Downloaded Program Files 26.02.2008 15:59 487.424 oscan82.ocx 26.02.2008 15:42 7.724 lang.ini 07.02.2008 14:06 1.248 oscan8.inf 16 Datei(en) 1.211.984 Bytes 0 Verzeichnis(se), 75.822.616.576 Bytes frei . . . breviax_.exe ist entstanden da ich die Datei im Abgesicherten Modus umbenannt habe, aber er hat ein recovery drinne. Dieser Beitrag wurde am 02.05.2008 um 00:50 Uhr von Accler editiert.
|
|
|
||
02.05.2008, 00:43
Ehrenmitglied
Beiträge: 6028 |
#4
RVAXO
Download: RVAXO by Smeenk,zum Desktop RVAXO.zip entpacken Starte dein Recher in abgesicherten Modus Öffne die Datei RVAXO und doppelklick “RunMe.cmd” Moeglich startet der Uninstaller von ein Roquescanner schliesse es nicht ab aber lass es seine Arbeit tun Dein Rechner wird neu gestartet, das cmd-fenster von RVAXO oeffnet sich von neuem Und warte bis ein logfile sich oeffnet:C:\RVAXO-results.log Poste dessen inhalt hier ins Forum Wenn dein Rechner nicht neu startet mach es manuel sowie auch RunMe.cmd Malwarebytes Anti-Malware Download MBAM Doppelklick mbam-setup und waehle Deutsch ,das Program wird jetzt ge-updatet Waehle bei Reiter “Scanner”> "Schnell Scan durchfuehren" . Waehle alle Laufwerke>Scan laufen lassen Wenn am Ende infizierungen gefunden werden,anhaacken und entfernen lassen Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt) Poste dessen inhalt hier ins Forum Note: Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK Danach wird gefragt den Rechner neu zu starten,lass es zu __________ MfG Argus |
|
|
||
02.05.2008, 01:10
...neu hier
Themenstarter Beiträge: 4 |
#5
o.O Okey. Ich wusste zwar das ich mir ab und an etwas einfange, aber das es jetzt schon CIA und PorRat ist. Depremierend.
Code Malwarebytes' Anti-Malware 1.11Hoffentlich habe ich jetzt nichts falsches gemacht. Er wollte die Windows CD von mir. Code Malwarebytes' Anti-Malware 1.11RVAXO Log folgt. Super. Sollte jetzt weg sein. Kaspersky springt wieder an. Danke euch. Dieser Beitrag wurde am 02.05.2008 um 01:20 Uhr von Accler editiert.
|
|
|
||
02.05.2008, 05:51
Moderator
Beiträge: 7805 |
||
|
||
02.05.2008, 10:59
Ehrenmitglied
Beiträge: 29434 |
#7
Hallo,
Virustotal http://www.virustotal.com/flash/index_en.html C:\WINDOWS\system32\winsys.exe C:\WINDOWS\system32\rgml.dll Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren ------------- scheint diese Verseuchung zu sein... http://www.sophos.com/security/analyses/viruses-and-spyware/trojspywadax.html einige dateien sind von Malwarebyts nicht erkannt worden... also: Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere in das weisse Feld: Zitat Drivers to disable:schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten) Klicke: Execute bestätige, dass der Rechner neu gestartet wird - klicke "yes" nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen -------------------------------- «« gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein «« wende combofix an, Warnmeldung wegklicken + poste den report hier http://virus-protect.org/artikel/tools/combofix.html -------------------------------- «« inwieweit die bootstat.dat zur Malware gehört, muss man erst rausfinden...solange nicht entfernen... 01.05.2008 21:09 2.048 bootstat.dat 01.05.2008 21:09 6.144 cru629.dat 01.05.2008 21:09 18.432 braviax.exe __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.05.2008, 13:52
...neu hier
Themenstarter Beiträge: 4 |
#8
WOW. Bei euch wird Maleware ja regelrecht geschlachtet.
Okey, wenn ihr mir schon anbietet mein PC auseinander zu nehmen, dann nehme ich das Angebot gerne an. Da lernt man nie aus. Combofix Code ComboFix 08-05-01.1 - Root 2008-05-02 13:06:28.1 - NTFSx86Hijackthis Code Logfile of Trend Micro HijackThis v2.0.2C:\WINDOWS\system32\winsys.exe http://www.virustotal.com/de/analisis/fdfde43350de56ca99922604e8ad04d9 C:\WINDOWS\system32\rgml.dll http://www.virustotal.com/de/analisis/c0d7f3f76be8d29361a74410bcdacd32 Den Combofix Log nach dem ich Avenger angewand habe, gibs gleich. THX: Accler <edit> Combofix Log: Code ComboFix 08-05-01.1 - Root 2008-05-02 14:03:48.2 - NTFSx86War das jetzt eigentlich das volle Programm oder könnt ihr Maleware noch mehr quälen? LG: Accler </edit> Dieser Beitrag wurde am 02.05.2008 um 14:15 Uhr von Accler editiert.
|
|
|
||
02.05.2008, 14:55
Ehrenmitglied
Beiträge: 29434 |
#9
Hallo,
prüfe bei virus-total: C:\WINDOWS\system32\drivers\oreans32.sys ------------------------------------- Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere in das weisse Feld: Zitat Registry keys to delete:schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten) Klicke: Execute bestätige, dass der Rechner neu gestartet wird - klicke "yes" nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen --- «« wende datfindbat an + poste die daten bis November 2007 http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
eigentlich bekomme ich so etwas immer alleine in den Griff, aber nun bin ich mit meinem Latein am ende. Ich hab mir heute einen Trojan Zlop eingefangen. Der bleib ne Zeit lang inaktiv und ist jetzt ausgebrochen. Er hat mir ein Adware draufgehauen. wahrscheinlich Ultimate Defender. Kaspersky geht nicht mehr an. Er zeigt mir auch kein Error wenn ich es öffnen will. Onlinescanner gehen alle nicht. HOSTS ist auser localhost und ein Eintrag für ne Spiel sauber. Ich gehe davon aus ich hab mir den in ner dll eingefangen. Wäre nice wenn ihr mir helfen könntet.
SmitFraudFix Report
Code
Code
Die hab ich bereits gelöscht. Aber ausser ner Schönheitsnote bekomm ich ja nun auch nix dafür.Hier noch ne paar Pics von Spyhunter 3:
http://img3.imagebanana.com/view/4o7xw11/4portecus.gif
Die winsys.exe is meine. Neu programmiert, AV an und als Keylogger "enttarnt". Interessant :-/. Was alles in den Feldern darüber steht, wollt ihr gar nicht sehen. Das tut ja mir schon weh. Die kommen schnappe ich mir sobald dieser Adware runter ist.
Mfg:
Accler