Verdacht auf Schädlinge (aufmerksam durch "n.exe") |
||
---|---|---|
#0
| ||
04.02.2010, 18:58
Member
Beiträge: 17 |
||
|
||
06.02.2010, 01:24
Moderator
Beiträge: 5694 |
#2
Schritt 1
XPAntispy Bei der Durchsicht der Logfiles habe ich gesehen, dass Du XPAntispy installiert hast. Das erhöht einerseits die Sicherheit, kann uns aber andererseits bei der Bereinigung hinderlich sein. Alle mit XPAntispy gemachten Änderungen müssen rückgängig gemacht werden, indem Du unter "Profile" das Systemprofil auf Systemstandard einstellst. Nach Beendigung der Bereinigung kannst Du in XPAntispy wieder Dein gewohntes Profil einstellen. Schritt 2 Java aktualisieren Deine Javaversion ist nicht aktuell. Da einige Schädlinge (z. B. Vundo) über Java-Exploits in das System eindringen, deinstalliere zunächst alle vorhandenen Java-Versionen über Systemsteuerung => Software => deinstallieren. Starte den Rechner neu. Downloade nun die Offline-Version von Java (Java SE Runtime Environment (JRE) 6 Update 18) von [url=http://java.sun.com/javase/downloads/index.jsp]SUN[/url]. Wenn Du auf Download geklickt hast, erscheint eine Seite, wo Du das Betriebssystem auswählen musst (also Windows) und ein Häkchen bei "I agree" setzen musst. Dann auf den Button "Continue" klicken. Dort die jre-6u18-windows-i586.exe downloaden und anschließend installieren, eventuell angebotene Toolbars nicht mitinstallieren. Schritt 3 • Eset Online Scanner (NOD32) • Unterstützte Betriebssysteme: Microsoft Windows 98/ME/NT 4.0/2000/XP und Windows Vista • Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten. • Voraussetzung: Internet Explorer (IE) 5.0 oder höher • Haken bei "YES, I accept the Terms of Use" machen • Start • ActiveX-Steuerelement installieren • Start • Signaturen werden heruntergeladen • Haken machen bei "Remove found threads" • Haken machen bei "Remove found threads" und "Scan unwanted applications" • Scan • Scanende • Browser schließen • Explorer öffnen • C:\Programme\EsetOnlineScanner\log.txt • Log hier posten • Deinstallation: Systemsteuerung => Software => Eset Online Scanner entfernen. Schritt 4 Rootkitscan mit RootRepeal • Gehe hierhin, scrolle runter und downloade RootRepeal.zip. • Entpacke die Datei auf Deinen Desktop. • Doppelklicke die RootRepeal.exe, um den Scanner zu starten. • Klicke auf den Reiter Report und dann auf den Button Scan. • Mache einen Haken bei den folgenden Elementen und klicke Ok. . Drivers Files Processes SSDT Stealth Objects Hidden Services Shadow SSDT . • Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen. • Wähle C:\ und klicke wieder Ok. • Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld. • Wenn der Suchlauf beendet ist, klicke auf Save Report. • Speichere das Logfile als RootRepeal.txt auf dem Desktop. • Kopiere den Inhalt hier in den Thread. Schritt 5 Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop >Doppelklick auf die OTL.exe -->Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen >Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output >Unter Extra Registry, wähle bitte Use SafeList >Klicke nun auf Run Scan links oben >Wenn der Scan beendet wurde werden 2 Logfiles erstellt >Poste die Logfiles in Code-Tags hier in den Thread. |
|
|
||
06.02.2010, 18:48
Member
Themenstarter Beiträge: 17 |
#3
Hallo Swisstreasure,
Ich freue mich sehr über deine Antwort Habe nun alles so befolgt wie beschrieben. Ich hatte komplett vergessen, dass noch XP Antispy installiert ist. Hat mir wahrscheinlich aufgrund der benutzerdefinierten Einstellungen abundzu kleinere Probleme verursacht. Hier die Ergebinsse: ESET Online Scanner (Log): Zitat ESETSmartInstaller@High as downloader log:RootRepeal (Log): Zitat ROOTREPEAL (c) AD, 2007-2009OTL (Logs): OTL-Log Zitat OTL logfile created on: 06.02.2010 18:31:10 - Run 1Extras-Log Zitat OTL Extras logfile created on: 06.02.2010 18:31:10 - Run 1 |
|
|
||
07.02.2010, 01:24
Moderator
Beiträge: 5694 |
#4
C:\Programme\Bonjour\mDNSResponder.exe
Bei Dir läuft Bonjour, welches von Apple ungefragt z. B. bei iTunes oder Safari-Browser mitinstalliert wird. Das Programm wird von vielen Usern gar nicht gebraucht. Ich habe bei Wikipedia ausführliche Informationen zu dem Programm Bonjour gefunden und beschreibe Dir im Anschluss, wie man das Programm wieder deinstallieren kann, falls das über den normalen Weg Systemsteuerung - Software nicht möglich ist. Solltest Du es nicht brauchen, bitte zunächst versuchen, es über Systemsteuerung => Software zu deinstallieren. Sollte das nicht möglich sein, fahre wie folgt fort: • Start => ausführen => dort reinschreiben: services.msc => OK => es öffnet sich das "Dienste"-Fenster. "Bonjour Dienst" in der Liste auswählen und "Beenden" ausführen. • Kommandozeile öffnen: Start => ausführen => cmd reinschreiben und ins Verzeichnis "<Systemvolume>\Programme\Bonjour" wechseln, z. B. mit dem Kommando: cd "C:\Programme\Bonjour" • Folgendes Kommando eingeben: mDNSResponder -remove • Danach kannst Du den Ordner C:\Programme\Bonjour löschen. Wenn das so nicht klappt, gehe auf diese Seite, lade Dir lspfix.zip runter und entpacke das Archiv auf Deinen Desktop. Wenn Du kein Zip-Programm hast, kannst Du auch LSPFix.exe und spfix.txt runterladen. Starte LSPFix.exe, schiebe mit dem >>-Button die mdnsnsp.dll nach rechts, da sie muss raus, hake "I know what i'm doing" an und klicke auf "Finish". Rechner neu starten. Der Ordner C:\Programme\Bonjour\ sollte sich nun löschen lassen. Datei-Überprüfung Folgende Datei/en (siehe Codebox) bei VirusTotal online überprüfen lassen. Dafür musst Du jede Datei einzeln über den Button "Durchsuchen" und "Senden der Datei" nach VirusTotal hochladen und prüfen lassen. Wenn VirusTotal die Datei empfangen hat, wird sie diese mit mehreren Anti-Virus-Scannern prüfen und die Ergebnisse anzeigen. Sollte VirusTotal melden, dass die Datei bereits überpüft wurde, lasse sie trotzdem über den Button "Analysiere die Datei" erneut prüfen. Zitat C:\Dokumente und Einstellungen\Reptile\Anwendungsdaten\setup.exeWenn das Ergebnis vorliegt, den kleinen Button "Filter" links oberhalb der Ergebnisse drücken, dann das Ergebnis (egal wie es aussieht und dabei auch die Zeilen mit Namen und Größe der Datei, MD5 und SHA1 kopieren) hier posten. Solltest Du die Datei/en nicht finden oder hochladen können, dann teile uns das ebenfalls mit. Solltest Du die Datei/en nicht finden, überprüfe, ob folgende Einstellungen richtig gesetzt sind. Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop. • [color="red]BleepingComputer[/color] • ForoSpyware **NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird** • Doppel-klicke auf ComboFix.exe und folge den Aufforderungen. • Wenn ComboFix fertig ist, wird es ein Log für dich erstellen. • Bitte füge das C:\ComboFix.txt Log, zusammen mit einem neuen RSIT Log deiner Antwort im Forum bei, so dass wir uns diese analysieren können. |
|
|
||
07.02.2010, 13:00
Member
Themenstarter Beiträge: 17 |
#5
-Bonjour gelöscht
Hier die Logs zu dem VirusTotal Scan: "setup.exe"-Datei: Zitat Datei setup.exe empfangen 2010.02.07 10:58:52 (UTC)"convert.exe-Datei": Zitat Datei convert.exe empfangen 2010.02.07 11:07:21 (UTC)Combo-Fix Log: Zitat ComboFix 10-02-06.03 - Reptile 07.02.2010 12:17:47.2.2 - x86Bemerkung: Nachdem Combofix den PC neustarten lassen hat, hat Avast plötzlich gemeldet,dass folgende Datei identifiziert wurde: C:\WINDOWS\system32\drivers\atapi.sys In den Container konnte ich sie nicht verschieben. Wahrscheinlich weil Combo-Fix damit beschäftig war. Die Datei habe ich nun so gelassen wie sie ist. Nicht gelöscht, nicht in den Container verschoben. Zuguterletzt die RSIT-Logs: log.txt Zitat Logfile of random's system information tool 1.06 (written by random/random)info.txt Zitat info.txt logfile of random's system information tool 1.06 2010-02-07 12:47:12PS: Erfreulicherweise läuft mein Windows Media Player jetzt wieder blitzschnell Der PC ist mittlerweile auch wieder sehr schnell geworden. Dieser Beitrag wurde am 07.02.2010 um 13:15 Uhr von Reptile_05 editiert.
|
|
|
||
07.02.2010, 19:57
Moderator
Beiträge: 5694 |
#6
CombiFix entfernen
Start > Ausführen> Kopiere rein combofix /uninstall OK Schritt 1 Wieso sind diese Ports geöffnet? Hattest du einmal BitComet? Zitat [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] Schritt 2 Scan mit SystemLook Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop. Download Mirror #1 - Download Mirror #2 • Doppelklick auf die SystemLook.exe, um das Tool zu starten. Vista-User mit Rechtsklick und als Administrator starten. • Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools: Code :filefind• Klicke nun auf den Button Look, um den Scan zu starten. • Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten. • Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert. Schritt 3 Bei Dir scheint sich etwas im Master Boot Record festgesetzt zu haben, wie das obige Ergebnis zeigt. Du hast jetzt zwei Möglichkeiten, den Master Boot Record (MBR) wieder in Ordnung zu bringen, die erste zeigt Dir auf, wie Du das mit Windows eigenen Mitteln machen kannst, die zweite, wie es mit dem Tool mbr.exe zu machen ist. MBR wiederherstellen Entweder so: • Lege die Installations-CD von XP oder Windows 2000 in das CD-Laufwerk ein und starte den Computer neu. • Bootet der Computer nicht von CD, musst Du im BIOS-Setup des PCs die Boot-Reihenfolge umstellen, so dass die CD vor der Festplatte verwendet wird. • Während des Bootens erkennt das Startprogramm auf der CD eine gegebenenfalls vorhandene bootfähige Partition auf der Festplatte, stoppt das Hochfahren und fährt erst auf einen beliebigen Tastendruck hin mit dem Booten fort. • Beim ersten Bildschirm des Windows-Setup-Programms wähle "R" und im nächsten Screen "K" für das Laden der Wiederherstellungskonsole. • Nun gebe folgenden Befehl ein: • fixmbr oder so: • Kopiere die Datei mbr.exe nach C:\Windows\system32 • Start => ausführen => cmd (da reinschreiben) => OK • es öffnet sich ein Dosfenster • bitte dort nach dem Prompt eingeben: mbr.exe -f (Enter drücken) • und ggfs. den Anweisungen folgen. Schritt 4 Rootkit-Suche mit Gmer Was sind Rootkits? Wichtig: Bei jedem Rootkit-Scans soll/en: • alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein, • keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen), • nichts am Rechner getan werden, • nach jedem Scan der Rechner neu gestartet werden. • Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten! Lade Dir Gmer von dieser Seite herunter (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern. • Gmer ist geeignet für => NT/W2K/XP/VISTA. • Alle anderen Programme sollen geschlossen sein. • Starte gmer.exe (hat einen willkürlichen Programm-Namen). • Vista-User mit Rechtsklick und als Administrator starten. • Gmer startet automatisch einen ersten Scan. • Sollte sich ein Fenster mit folgender Warnung öffnen: Code WARNING !!! • Unbedingt auf "No" klicken, anschließend über den Copy-Button das bisherige Resultat in die Zwischenablage zu kopieren. • Füge das Log aus der Zwischenablage mit STRG + V in Deine Antwort in Deinem Thread ein. . • Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware", • Hake an: System, Sections, IAT/EAT, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files. • Wichtig: "Show all" darf nicht angehakt sein! • Starte den Scan durch Drücken des Buttons "Scan". Mache nichts am Computer während der Scan läuft. • Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet. • Füge das Log aus der Zwischenablage in Deine Antwort hier ein (mit STRG + V). Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst! Nun das Logfile in Code-Tags posten. Schritt 5 Nun kontrollieren wir den Master Boot Record,ob alles in Ordnung ist: • Downloade die MBR.exe von Gmer und • speichere das Programm auf Deinem Desktop. • Mache einen Doppelklick auf das Programm, um es zu starten. • Wenn Dein Antiviren-Programm anschlägt, bitte ignorieren bzw. die Aktion zulassen. • Nun wirst Du ein Logfile auf Deinem Desktop namens mbr.log finden. • Poste mir den Inhalt dieser Logdatei hier in den Thread. |
|
|
||
08.02.2010, 22:22
Member
Themenstarter Beiträge: 17 |
#7
Ja das stimmt, ich hatte Bitcomet vor Urzeiten auf dem Rechner installiert. Unheimlich, wieviele Schwachstellen es gibt. Lassen sich diese schließen?
Hier der Log zu "SystemLook": Code SystemLook v1.0 by jpshortstuff (11.01.10) Welch ein Glück das es auch den Alternativweg gibt, den MBR wieder in Ordnung zu bringen. Ich kann die XP-CD momentan nämlich unerklärlicherweise nicht finden. Gmer Log: Ich hoffe ich habe richtig verstanden, dass ein Klick auf Scan beim Gmer-tool nicht vorgesehen ist. Beim öffnen des Tools war der Scan nach 3Sek. fertig. Nach dem Scan, als ich den PC neustarten wollte, hat der Rechner sich aufgehängt. Musste ihn per Knopfdruck ausschalten. Beim 2. Versuch, dasselbe. Code
MBR Log: Code
|
|
|
||
08.02.2010, 23:33
Moderator
Beiträge: 5694 |
#8
Schritt 1
Datei-Überprüfung Folgende Datei/en (siehe Codebox) bei VirusTotal online überprüfen lassen. Dafür musst Du jede Datei einzeln über den Button "Durchsuchen" und "Senden der Datei" nach VirusTotal hochladen und prüfen lassen. Wenn VirusTotal die Datei empfangen hat, wird sie diese mit mehreren Anti-Virus-Scannern prüfen und die Ergebnisse anzeigen. Sollte VirusTotal melden, dass die Datei bereits überpüft wurde, lasse sie trotzdem über den Button "Analysiere die Datei" erneut prüfen. Zitat C:\WINDOWS\system32\ZoneLabs\srescan.sysWenn das Ergebnis vorliegt, den kleinen Button "Filter" links oberhalb der Ergebnisse drücken, dann das Ergebnis (egal wie es aussieht und dabei auch die Zeilen mit Namen und Größe der Datei, MD5 und SHA1 kopieren) hier posten. Solltest Du die Datei/en nicht finden oder hochladen können, dann teile uns das ebenfalls mit. Solltest Du die Datei/en nicht finden, überprüfe, ob folgende Einstellungen richtig gesetzt sind. Schritt 2 Lade den Avenger herunter und entzippe ihn auf den Desktop. Nicht gezippt direkt als EXE ist der Avenger hier erhältlich. Starte die avenger.exe durch Doppelklick und akzeptiere mit OK die Nutzungsbedingungen. Füge den Inhalt der folgenden Codebox vollständig und unverändert bei "Input script here" ein und klicke auf "Execute". Beantworte die Frage, ob Du sicher bist, dass das Skript ausgeführt werden soll mit "Ja". Code
Beantworte die Frage zum Neustart des Rechners (Reboot now?) ebenfalls mit "Ja". Nachdem der Rechner neu gestartet ist (das kann auch zweimal nötig sein und passieren!) und das DOS-Fenster, das der Avenger geöffnet hat, wieder geschlossen ist, öffnet Avenger Deinen Editor mit dem Avengerlog, zu finden auch unter C:\avenger.txt. Den Inhalt bitte posten. Ein Backup der entfernten Objekte wurde als C:\avenger\backup.zip angelegt. Schritt 3 Berichte wie die Kiste läuft |
|
|
||
09.02.2010, 14:51
Member
Themenstarter Beiträge: 17 |
#9
Schritt 1
VirusTotal Log: Zitat Datei srescan.sys empfangen 2010.02.09 13:22:58 (UTC)Schritt 2 Avenger Log: Zitat Logfile of The Avenger Version 2.0, (c) by Swandog46Schritt 3 Ersteinmal möchte ich mich wirklich herzlich bei dir bedanken !!! Ich weiß sehr deine Hilfe zu schätzen und möchte, wenn auch nur wenig, etwas dem Forum/Dir spenden. Einfach zu helfen ohne eine Forderung, find ich klasse Meine Rechnerladezeiten generell (Windowsmedia Player einbezogen) sind um ein vielfaches schneller geworden. Freut mich wirklich sehr !! Momentan gibt es keine negativen Auffälligkeiten mehr. PS: Falls die Wartungsarbeit hiermit fertig ist, hätte ich noch eine Frage(n). Falls nicht, heben diese sich ja vielleicht noch auf |
|
|
||
09.02.2010, 16:23
Moderator
Beiträge: 5694 |
#10
Danke für deine netten Worte
Noch nicht ganz. Die Frage kannst Du aber denoch schon stellen wenn Du willst. Mach nun folgendes: Schritt 1 F-Secure Onlinescanner Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten. • Unterstützte Betriebssysteme: Windows 2000, Windows XP und Windows Vista (32bit) • Bitte den Internet Explorer unbedingt mit Rechtsklick auf das Icon und als Administrator starten. • Einen Haken bei "I have read and accepted the license terms". • Den Button "Install" drücken. • IE-User müssen die Installation des ActiveX Elements erlauben und auf "Installieren" klicken. • Firefox-User müssen die Installation des Firefox Addons erlauben und anschließend den Firefox neu starten. • Den Button "Start" drücken. • "Full Scan" einstellen und den Button "Start" drücken. • Die Signaturen werden heruntergeladen. • Der Scan beginnt automatisch. • Scanende (Finish). • Bei Funden benutze => Automatische Bereinigung (Automatically) • und klicke auf den Button "Next". • Bericht anzeigen, indem Du auf den Button "Full report" klickst. • Menü => Datei => Seite speichern unter • Dateityp auf Textdatei umstellen und • auf dem Desktop als f-secure.txtspeichern. • Log hier posten.Deinstallation • Firefox: Addon über Extras => F-Secure deinstallieren. • Schritt 2 Führe erneut ein Scan mit GMER durch un poste mir das neue Log. Schritt 3 System mit Windows-eigenen Mitteln bereinigen Datenträger bereinigen • Start => ausführen => cleanmgr (reinschreiben) => OK • Wähle das zu bereinigende Laufwerk aus => OK • "Datenträger bereinigen"-Fenster öffnet sich. Es wird berechnet, wieviel Platz freigemacht werden kann. • Es öffnet sich das Fenster mit den zu löschenden Dateien. • Bei den zu löschenden Bereichen einen Haken machen. • Vergewissere Dich, dass Temporary Files, Temporary Internet Files und Papierkorb geleert werden => OK Temporäre Ordner bereinigen • Start => ausführen => temp (reinschreiben) => OK • Es öffnet sich der Windows-Explorer mit dem Verzeichnis => den Inhalt manuell löschen Damit hast Du den Inhalt von C:\Windows\Temp gelöscht • START => ausführen => %temp% (reinschreiben) => OK • Es öffnet sich der Windows-Explorer mit dem Verzeichnis => den Inhalt manuell löschen Damit hast Du den Inhalt der temporären Dateien Deines Benutzerkontos gelöscht. IE Cache leeren • Start => Systemsteuerung => Internetoptionen • Reiter Allgemein => Browserverlauf => löschen • Temporäre Internetdateien, Cookies und Verlauf löschen Firefox Cache leeren • Firefox starten => Extras => Einstellungen • Erweitert => Netzwerk => Bei Offline-Speicher auf Jetzt leeren klicken • Firefox beenden. Temporäre Java-Dateien löschen • Schließe alle Browser • Öffne Start => Systemsteuerung => Java • Unter dem Reiter "Allgemein" => Temporäre Internet-Dateien • Einstellungen => Dateien löschen => OK Wenn gemeldet wird, dass einzelne Dateien nicht gelöscht werden konnten, weil sie in Gebrauch sind, ist das in Ordnung. |
|
|
||
09.02.2010, 19:10
Member
Themenstarter Beiträge: 17 |
#11
Bevor ich nun den F-Secure Onlinescann durchführe,eine Frage zum Scann selbst:
Wenn Firewall u.ä. ausgeschaltet sind während einer bestehenden Internetverbindung, können doch alle (installiererten) Anwendungen/Außenstehende, die ja eigentlich von Zonealarm blockiert sind, nun frei, bestimmte Informationen meines PCs abfragen, oder ? |
|
|
||
09.02.2010, 20:22
Moderator
Beiträge: 5694 |
#12
Solange du nicht aktiv während des Scans umhersurfst ist das kein Problem. Die Firewall von XP kannst du in dieser Zeit ja aktiviert haben. Zonealarm verhindert ja den Datentransfer welcher nicht gwollt ist von Dir aber wenn du nicht aktiv bist dann gibts auch keinen.
|
|
|
||
10.02.2010, 17:30
Member
Themenstarter Beiträge: 17 |
#13
F-Secure Onlinescanner Log:
Zitat ScanberichtDie 5 Nichtbereinigten Dateien stammen von einem Programm welches ich auf meinem PC installiert habe. Kann natürlich bei Erfordernis gelöscht werden. Beim Gmer-Scann habe ich wieder lediglich das Tool geöffnet und bloß auf Copy geklickt: Gmer Log: Zitat GMER 1.0.15.15281 - http://www.gmer.netFolgende Dateien haben sich mit dem Befehl "%temp%" im "Temp" Ordner nicht löschen lassen: Perflib_Perfdata_bf0 Perflib_Perfdata_cf8 Perflib_Perfdata_d00 WCESLog Vielleicht irgendwas von ActiveSync ? |
|
|
||
10.02.2010, 17:45
Moderator
Beiträge: 5694 |
#14
Sieht doch super aus
Also bei GMER musst du scannen lassen und dann das neue Log einfügen. hast du das gemacht? Kommt halt immer darauf an, woher du die Programme hast. Bei Nichtgebrauch besser deinstallieren. Aber mache noch folgendes, nimmt mich wunder was andere Scanner meinen: Datei-Überprüfung Folgende Datei/en (siehe Codebox) bei VirusTotal online überprüfen lassen. Dafür musst Du jede Datei einzeln über den Button "Durchsuchen" und "Senden der Datei" nach VirusTotal hochladen und prüfen lassen. Wenn VirusTotal die Datei empfangen hat, wird sie diese mit mehreren Anti-Virus-Scannern prüfen und die Ergebnisse anzeigen. Sollte VirusTotal melden, dass die Datei bereits überpüft wurde, lasse sie trotzdem über den Button "Analysiere die Datei" erneut prüfen. Wenn das Ergebnis vorliegt, den kleinen Button "Filter" links oberhalb der Ergebnisse drücken, dann das Ergebnis (egal wie es aussieht und dabei auch die Zeilen mit Namen und Größe der Datei, MD5 und SHA1 kopieren) hier posten. Solltest Du die Datei/en nicht finden oder hochladen können, dann teile uns das ebenfalls mit. Solltest Du die Datei/en nicht finden, überprüfe, ob folgende Einstellungen richtig gesetzt sind. Zitat C:\PROGRAMME\GEMEINSAME DATEIEN\AVSMEDIA\MOBILEUPLOADER\UPLOADER.EXE C:\PROGRAMME\AVSMEDIA\VIDEOTOOLS\VIDEOCONVERTER\CAPTUREWIZARD.EXE |
|
|
||
10.02.2010, 22:52
Member
Themenstarter Beiträge: 17 |
#15
-Auf Scan habe ich nicht geklickt. Beim Öffnen startete von selbst ein Scan von ein paar Sekunden.
Habe dann einfach auf Copy geklickt und habe den Bericht hier gepostet. -Hmm? Die Dateien sind nicht mehr zu finden. Dementsprechend ist anzunehmen,dass sie gelöscht wurden. Da sonst in allen Ordnen alle anderen Inhalte/Dateien vorhanden sind. |
|
|
||
In den vergangenen Monaten habe ich schon des öfteren das Gefühl gehabt, dass mit meinem Rechner etwas nicht stimmt.
Dieses Gefühl kam aufgrund der langen Ladezeiten bei jeglichen Aktivitäten zustande. Nunja. Ärgerlich, dass ich jetzt erst die Initiative ergreife etwas zu tun. Aber besser als nie.
Auffälligkeiten der Vergangenheit waren:
-extrem lange Verzögerungen beim Windows Media Player (neuste Version)
-Firefox oftmals sehr langsam (Neue Version: 3.5.7)
-PC im allgemeinen oftmals langsam (früher nicht)
Als ich eben den PC herunterfahren wollte, kam plötzlich eine Fehlermeldung, die besagte, dass es ein Problem gibt, ein gewisses Programm zu beenden.
Es war das klassische Fehler-Fenster, ähnlich wie hier zu sehen
http://img194.imageshack.us/img194/8231/lukefilewalkerfehlermel.jpg
Das Prgramm hieß lediglich "n". Wahrscheinlich "n.exe".
Laut der Rechecrche im Internet nach der Bezeichnung, handelt es sich um ein Passwort-Klau Trojaner. Ob es sich bei mir wirklich um die "n.exe" Datei handelt kann ich jedoch nicht sagen. Auf jeden Fall wird gerade mein PC vom Pandaonline-Scanner
gecheckt und ich erstelle erschrocken fest, dass es schon "bösartige" Funde gibt.
Hier mal meine bisherige Vorgehensweise und deren Ergebnisse:
1. Beseitigung von temporären Dateien mit der von Windows gelieferten Datenträgerbereinigung (außer alte Dateien komprimieren)
2. Panda Activescan 2.0 (Onlinescan):
Log:
Zitat
Mit den Dateien habe ich nach der Suche noch nichts gemacht.3. Scan mit Malwarebytes. Während der Suche hat mein "Avast" Programm plötzliche Schädlinge gefunden. Ich habe sie infolgedessen in den Container verschoben.
Avast-Funde (Dateien liegen nun im Container) :
C:WINDOWS\system32\Drivers\wineoqc.sys
C:\WINDOWS\Temp\C.tmp
C:\WINDOWS\system32\Spool\prtprocs\w32x86\B.tmp
Malwarebytes' Anti-Malware Log:
Zitat
Diese eine Datei habe ich dann entfernen lassen. Hoffe es war kein Fehler.4. Das "Gmer" Tool lässt meinen PC leider während der Suche immer komplett abstürzen,sodass ich den PC radikal ausschalten muss. Habe versucht beim PC-Neustart in den Abgesicherten Modus zu gelangen, um es von dort aus zu starten. Leider kommt dann die Meldung,dass es nicht funktioniert hat.
5. Hijackthis-Logfiles
Logfile (aus folgender Option "None of the above just start the program"):
Zitat
6. Uninstall Liste (aus der Option "Open the Misc Tools section")Log:
Zitat
Ich wäre euch überaus dankbar, für jede Hilfe die kommt.Liebe Grüße Reptile_05