Notebook wird sehr langsam. Verdacht auf Spyware |
||
---|---|---|
#0
| ||
31.01.2009, 23:10
Member
Beiträge: 15 |
||
|
||
01.02.2009, 00:45
Ehrenmitglied
Beiträge: 6028 |
#2
Anscheinend wurde ein Infizierter USB-stick oder USB produkt benutzt
cfscript Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Zitat Registry::CFScript.txt mit der rechten Maustaste auf das Symbol von Combofix ziehen Combofix noch mal anwenden poste dann nach Neustart das neue Log __________ MfG Argus |
|
|
||
01.02.2009, 00:52
Member
Themenstarter Beiträge: 15 |
#3
Danke, mach ich sofort.
*edit* Combifix läuft grad auf dem infizierten Rechner nach Argus´Beschreibung. Zitat CFScript.txt mit der rechten Maustaste auf das Symbol von Combofix ziehen Dieser Beitrag wurde am 01.02.2009 um 01:05 Uhr von benni3 editiert.
|
|
|
||
01.02.2009, 00:52
Moderator
Beiträge: 5694 |
#4
>>
Du hast einen verseuchten USB Stick benutzt. wende Flash_Disinfector an - der Stick muss eingestöpselt sein - infizierten Stick mit FlashDis. "behandeln" http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe >> Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Du solltest jetzt auf dem Desktop diese Datei cfscript.txt finden. Zitat KILLALL::cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen wende combofix noch mal an und poste das Log. >> Arbeite datfindbat ab - poste von jedem log nur die Daten der letzten drei Monate: http://www.virus-protect.org/datfindbat.html >> Lade Agentransack und gib unter DATEINAME folgendes ein: help.exe (Ich weiss nicht ob es unter Vista funktioniert) Gruss Swiss |
|
|
||
01.02.2009, 01:31
Member
Themenstarter Beiträge: 15 |
#5
Zitat benni3 postetehier die 3 logs: Zitat ComboFix 09-01-31.01 - Viola 2009-02-01 0:58:29.2 - NTFSx86log2 Zitat ComboFix 09-01-31.01 - Viola 2009-02-01 1:07:08.3 - NTFSx86log3 Zitat ComboFix 09-01-31.01 - Viola 2009-02-01 1:16:58.4 - NTFSx86Wenn ich das richtig verstanden habe hat Tonstudio das gleiche gesagt. Nur, dass ich zusätzlich noch den infizierten Stick säbern soll oder? Und das mit datfindbat. das würde ich nach einem kurzen feedback dann auch noch machen. Kann das auch anstelle des Sticks eine infizierte externe Festplatte gewesen sein? an dem lappi steigt die externe HDD auch manchmal kurz aus als wenn der USB Stecker einen Wackelkontakt hätte. Könnt ihr mit den logs so schon etwas anfangen? Meine Mom schläft und ich komm jetzt nicht an ihre USB Sticks ran. Allerdings tauschen wir auch untereinander und ich würde dann mal meine alle checken. |
|
|
||
01.02.2009, 02:06
Ehrenmitglied
Beiträge: 6028 |
#6
Ich würde gerne diesen Rechner als Versuchskaninchen benutzen
Lada mal RAV (Anhang) herunter und scanne diesen Lappi oder deins und melde mal ob was gefunden wurde __________ MfG Argus |
|
|
||
01.02.2009, 02:16
Member
Themenstarter Beiträge: 15 |
#7
können wir das morgen machen? Meine Freundin drängelt jetzt rum, dass ich ins bett kommen soll^^.
Danke schonmal für die Hilfe, wir können die Kiste hier morgen gern als Versuchskaninchen nutzen. |
|
|
||
01.02.2009, 02:20
Ehrenmitglied
Beiträge: 6028 |
||
|
||
01.02.2009, 13:13
Member
Themenstarter Beiträge: 15 |
#9
So, Guten Morgen! Ich bin wieder da und lass jetzt mal RAV durchlaufen.
*edit* ist das normal, dass das sehr lange dauert? der Balken unten geht hin und her und daneben steht "Your computer is clean" Hatte nach 1,5 Stunden mal abgebrochen und dann aber nochmal neu suchen lassen. Dieser Beitrag wurde am 01.02.2009 um 15:01 Uhr von benni3 editiert.
|
|
|
||
01.02.2009, 16:18
Ehrenmitglied
Beiträge: 6028 |
||
|
||
01.02.2009, 16:21
Member
Themenstarter Beiträge: 15 |
#11
Hab noch keinen USB Stick drin. RAV läuft jetzt immernoch. (seit 3 Stunden)
Soll ich abbrechen und mal mit USB Stick laufen lassen? Wenn ja, für wie lange? Ich hab ja mehrere Sticks die ich testen könnte. *edit*Ok, hab jetzt erst gerafft, wie RAV funzt. der dritte Stick war infiziert. Ich starte den Anderen Rechner neu ond poste dann das Ergebnis. *edit2* virus found e:/autorun.inf virus found in memory e:/autorun.inf virus deleted successfully e:/autorun.inf virus deleted successfully ich teste den stick jetzt nochmal, danach häng ich ne externe HDD mal dran. Dieser Beitrag wurde am 01.02.2009 um 16:53 Uhr von benni3 editiert.
|
|
|
||
01.02.2009, 17:24
Ehrenmitglied
Beiträge: 6028 |
#12
Ich denke das RAV dazu benutzt wird um vorher die Sticks zu überprüfen ob die nicht infiziert sind
Benutze nachher das Tool wie von Tonstudio beschrieben http://board.protecus.de/t36072.htm#315019 __________ MfG Argus |
|
|
||
01.02.2009, 19:25
Member
Themenstarter Beiträge: 15 |
#13
Also bei Flash_Disinfector gab es am Ende kein Log. Nur die Meldung "DONE"
Ich werd jetzt die weiteren Schritte durchführen (CCleander, datfind.bat) *edit* datfind.bat Verzeichnis von c:\ 01.02.2009 19:28 0 dirdat.txt 01.02.2009 17:07 172 curr_ver.tmp 01.02.2009 16:46 535.875.584 hiberfil.sys 01.02.2009 16:46 805.306.368 pagefile.sys 01.02.2009 01:21 9.845 ComboFix.txt 31.01.2009 22:16 281 boot.ini Verzeichnis von C:\WINDOWS\system32 01.02.2009 16:47 1.158 wpa.dbl 19.01.2009 16:46 191 oeminfo.ini 19.01.2009 16:46 22.198 OEMLogo.bmp 19.01.2009 16:31 148.888 javaws.exe 19.01.2009 16:31 144.792 javaw.exe 19.01.2009 16:31 73.728 javacpl.cpl 19.01.2009 16:31 144.792 java.exe 19.01.2009 16:31 410.984 deploytk.dll 13.01.2009 07:04 60.808 S32EVNT1.DLL 26.10.2008 11:50 383.588 perfh009.dat 26.10.2008 11:50 53.942 perfc009.dat 26.10.2008 11:50 64.994 perfc007.dat 26.10.2008 11:50 395.074 perfh007.dat 26.10.2008 11:50 906.376 PerfStringBackup.INI 21.10.2008 14:29 6.944 jupdate-1.6.0_07-b06.log Verzeichnis von C:\WINDOWS 01.02.2009 16:47 159 wiadebug.log 01.02.2009 16:46 1.353.047 WindowsUpdate.log 01.02.2009 16:46 50 wiaservc.log 01.02.2009 16:46 2.048 bootstat.dat 01.02.2009 16:44 32.620 SchedLgU.Txt 01.02.2009 01:19 227 system.ini 21.10.2008 13:41 657 explorer.exe.manifest Verzeichnis von C:\DOKUME~1\Viola\LOKALE~1\Temp 01.02.2009 19:15 62 null 01.02.2009 16:52 246 jusched.log 01.02.2009 16:48 16.384 Perflib_Perfdata_91c.dat *edit2* Agent Ransack hat 3 help.exe Dateien gefunden. MSOHELP.EXE C:\Programme\Microsoft Office\office11\1031\MSOHELP.EXE winhelp.exe C:\Windows\ help.exe C:\Windows\system32\ Dieser Beitrag wurde am 01.02.2009 um 19:50 Uhr von benni3 editiert.
|
|
|
||
01.02.2009, 19:58
Moderator
Beiträge: 5694 |
#14
>>
Lasse folgende Datei bei www.VIRUSTOTAL.com/de prüfen und poste das Ergebnis: C:\Windows\system32\help.exe Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren >> mache einen Onlinescan mit eset + poste den report http://virus-protect.org/artikel/tools/eset-nod.html Grus Swiss |
|
|
||
01.02.2009, 20:05
Ehrenmitglied
Beiträge: 6028 |
#15
RAV darfst du behalten hat seine Arbeit gut gemacht
Entferne via Software J2SE Runtime Environment 5.0 Update 11 J2SE Runtime Environment 5.0 Update 6 Java 2 Runtime Environment, SE v1.4.2_05 Java(TM) 6 Update 3 Java(TM) 6 Update 5 Java(TM) 6 Update 7 __________ MfG Argus |
|
|
||
Problembeschreibung / Symptome ?
Naja, das ist das Notebook meiner Mutter. So detailliert kann ich das deswegen nicht beschreiben. Auf jeden Fall wird alles immer sehr langsam und es dauert manchmal Minuten bis sich ein fenster öffnet oder schließt. Manchmal hilft dann nur noch der Neustart.
2.
Temporäre Dateien beseitigen
Hab ich gemacht
3.
mache einen Scan mit Malwarebytes -
Zitat
4.Combofix
Zitat
5.Erstellen eines Hijackthis-Logfiles
Zitat
6.Erstellen einer Uninstall Liste
Zitat
Könnt ihr mir bitte helfen? Danke vorab für eure Mühe!