Noch ein "Sanduhr-Problem" und mehr... |
||
---|---|---|
#0
| ||
31.03.2010, 23:38
...neu hier
Beiträge: 7 |
||
|
||
01.04.2010, 10:05
Moderator
Beiträge: 5694 |
#2
Backdoor Warnung
Da Dein Computer mit einer sog. Backdoor (Hintertür) infiziert ist, lies Dir diesen Beitrag sehr aufmerksam durch. Eine Backdoor versteckt sich durch ein Rootkit. Backdoors verursachen diverse Schäden in Windows und erlauben dem Angreifer die komplette Kontrolle über das infizierte System zu übernehmen. Sei Dir bewusst, dass der Angreifer neue Schädlinge bei Bedarf "nachladen" kann, dass er Tastatur-Eingaben mitloggen kann, dass er Programme ausführen kann und/oder sehen kann, was auf Deinem Bildschirm passiert. Daher lautet meine dringende Empfehlung, zu formatieren und Windows neu zu installieren. Das Thema wird sehr kontrovers diskutiert, aber viele Experten aus der "Security Comunity" sind sicher, dass ein einmal mit einer Backdoor infiziertes System auch nach einer Bereiniung nicht wieder als vertrauenswürdig anzusehen ist, denn es ist nicht das Gefährliche, was wir sehen, sondern das, was wir nicht sehen. Eine weitere Gefahr bei dieser Art von Infektion ist der Identitätsklau, denn diese Art von Schädling kann alle Deine Passwörter stehlen, E-Mail-Daten, Bankdaten, Karten-Nummern usw. durch Mitloggen der Tastatur-Eingaben ausspionieren. Mit diesem System auf keinen Fall mehr Online-Banking, Filesharing, Mailing oder Messaging betreiben. Bitte trenne den Computer während der Neuinstallation oder Bereinigung vom Internet (Netz und WLAN), denn wenn der Computer am Netz angeschlossen ist, kann der Angreifer das System weiter modifizieren und vorbeugende Maßnahmen treffen, damit eine Bereinigung so manipuliert wird, dass Fixes nicht so ausgeführt werden, wie vorgesehen. Tiefergehende Informationen zu diesem Thema findest Du bei Gehen Sie sicher ins Internet. Lasse mich wissen, ob Du den Rechner neu aufsetzt oder ob Du trotz obiger Warnung eine umfangreiche, langwierige Bereinigung versuchen möchtest, deren Ende sein könnte, dass das System trotz Bereinigungsversuch neu aufgesetzt werden muss. Zitat Da der Computer aktuell |
|
|
||
02.04.2010, 10:46
...neu hier
Themenstarter Beiträge: 7 |
#3
guten morgen,
mir blieb nichts anderes übrig als den pc neu aufzusetzen. ich konnte auch auf dieses board nicht mehr zugreifen. danke für die hilfe & und allen schöne ostertage.... |
|
|
||
02.04.2010, 13:47
Moderator
Beiträge: 5694 |
#4
Danke Dir für die Rückmeldung. Zumal es sowieso das sinnvollste war das System komplett neu aufzusetzen
Dir auch frohe Ostern. |
|
|
||
seit heute abend läuft irgendwas schief.
surfe mit firefox, hatte aber nach nach halber stunde screensaver "windows viren alarmnachrichten", die mich aufforderte ne exe runter zu laden ( exe natürlich nicht runtergeladen oder ausgeführt).
hat mich mühe gekostet, die popups zu schließen. daraufhin hatte ich 3 pornolink-verknüpfungen auf dem desktop. bei dateipfad öffnen führte der pfad zum ie.
ich schau den bigbrother-livestream von clipfish über einen externen player. damit das funktioniert, muss ich aber im ie den geschützten modus abschalten. ich benutze den ie also nur, um mich in mein livestream-abo einzuloggen, danach ist er aus.
außerdem gabs einige seltsame exes im taskmanager.
nach neustart meldet mein rechner jetzt immer "project1 funktioniert nicht" u." khvcol funktioniert nicht". googlen brachte mich nicht weiter.
windows meldet dann, dass die datenausführungsverhinderung "project1" geschlossen hat.
die vista-sanduhr ist nun ständig beim cursor aktiv, cpu auslastung ist wie gewohnt, der laptop dröhnt aber wie unter voller höchstleistung.
über eure hilfe würde ich mich sehr freuen!
merci
melanie
------------------------------------------------------------------------------------------------------------------------------
Schritt 2
temporäre dateien beseitigt
--------------------------------------------------------------------------------------------------------------------------------
Schritt 3:
Malwarebytes:
Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org
Datenbank Version: 3938
Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000
31.03.2010 21:14:42
mbam-log-2010-03-31 (21-14-42).txt
Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 101726
Laufzeit: 7 Minute(n), 13 Sekunde(n)
Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 2
Infizierte Registrierungsschlüssel: 8
Infizierte Registrierungswerte: 5
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 1
Infizierte Dateien: 35
Infizierte Speicherprozesse:
c:\lsass.exe (Trojan.Agent) -> Unloaded process successfully.
Infizierte Speichermodule:
C:\Windows\System32\jan6s8c.dll (Trojan.Downloader) -> Delete on reboot.
C:\Windows\System32\app_dll.dll (Trojan.Agent.Gen) -> Delete on reboot.
Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{a9ba40a1-74f1-52bd-f434-00b15a2c8953} (Trojan.Downloader) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{a9ba40a1-74f1-52bd-f434-00b15a2c8953} (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a9ba40a1-74f1-52bd-f434-00b15a2c8953} (Trojan.Downloader) -> Delete on reboot.
HKEY_CURRENT_USER\Software\YVIBBBHA8C (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Protection System (Rogue.ProtectionSystem) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\WEK9EMDHI9 (Trojan.Agent) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hsa8ffushf83hoigjhs98jgijg9sd8e (Trojan.Downloader) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{a9ba40a1-74f1-52bd-f434-00b15a2c8953} (Trojan.Downloader) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\idstrf (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\winid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\nofolderoptions (Hijack.FolderOptions) -> Delete on reboot.
Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions (Hijack.FolderOptions) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Infizierte Verzeichnisse:
C:\Program Files\Protection System (Rogue.ProtectionSystem) -> Quarantined and deleted successfully.
Infizierte Dateien:
C:\Windows\System32\jan6s8c.dll (Trojan.Downloader) -> Delete on reboot.
C:\Users\Melanie\AppData\Local\Temp\eehz439 .exe (Trojan.Downloader) -> Delete on reboot.
C:\patch.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\lecs.exe (Backdoor.IRCbot) -> Quarantined and deleted successfully.
C:\moodless.exe (Backdoor.IRCbot) -> Quarantined and deleted successfully.
C:\Windows\System32\srv.net (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Windows\System32\wuaucldt .exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Users\Melanie\AppData\Local\Temp\mdm.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\Melanie\AppData\Local\Temp\taskmgr.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\Melanie\AppData\Local\Temp\winamp.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\Melanie\AppData\Local\Temp\ecwmxnosra.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\Melanie\AppData\Local\Temp\goo944.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\Melanie\AppData\Local\Temp\avp .exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\Melanie\AppData\Local\Temp\nvsvc32.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\Melanie\AppData\Local\Temp\nxcasoemwr.exe (Trojan.Hiloti) -> Quarantined and deleted successfully.
C:\Users\Melanie\AppData\Local\Temp\z8uc366h5i6q62.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Windows\Temp\VRT4CF6.tmp (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\Windows\Temp\VRT7F7B.tmp (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\Windows\Temp\VRTC5A4.tmp (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\Users\Melanie\wuaucldt.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Program Files\Internet Explorer\js.mui (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Windows\System32\sshnas21.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Windows\System32\app_dll.dll (Trojan.Agent.Gen) -> Delete on reboot.
C:\Users\Melanie\.COMMgr\complmgr.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\Melanie\AppData\Local\Temp\wmpscfgs.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\Temp\wmpscfgs.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Program Files\Internet Explorer\wmpscfgs.exe (Trojan.Agent) -> Delete on reboot.
C:\Windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\lsass.exe (Trojan.Agent) -> Delete on reboot.
C:\Users\Melanie\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> Quarantined and deleted successfully.
C:\Windows\sc.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\Melanie\AppData\Local\Temp\jisfije9fjoiee.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Program Files\Adobe\acrotray .exe (Trojan.Agent) -> Delete on reboot.
C:\Windows\System32\wuaucldt.exe (Trojan.Agent) -> Quarantined and deleted successfully.
--------------------------------------------------------------------------------------------------------------------------------
Schritt 4
Gmer Report funktioniert nicht, obwohl als admin ausgeführt. habs 5 x probiert, ich bekomme nen bluescreen, und der rechner startet neu.
--------------------------------------------------------------------------------------------------------------------------------
Schritt 5
Hijackthis-Logfiles
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:09:41, on 31.03.2010
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal
Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Users\Melanie\AppData\Local\Temp\khvcol.exe
C:\Windows\system32\taskmgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\DllHost.exe
c:\lsass.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O3 - Toolbar: Snagit - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\Snagit 9\SnagitIEAddin.dll
O4 - HKLM\..\Run: [19620] C:\Users\Melanie\AppData\Local\Temp\khvcol.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Startup: Evernote.lnk = F:\Evernote3\EvernoteTray.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Add to &Evernote - res://C:\Program Files\Evernote\Evernote3.5\enbar.dll/2000
O9 - Extra button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Program Files\ICQ7.0\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Program Files\ICQ7.0\ICQ.exe
O9 - Extra button: Add to Evernote - {E0B8C461-F8FB-49b4-8373-FE32E92528A6} - C:\Program Files\Evernote\Evernote3.5\enbar.dll
O9 - Extra 'Tools' menuitem: Add to Evernote - {E0B8C461-F8FB-49b4-8373-FE32E92528A6} - C:\Program Files\Evernote\Evernote3.5\enbar.dll
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: app_dll.dll
O23 - Service: Com4Qlb - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4Qlb.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
--
End of file - 3383 bytes
--------------------------------------------------------------------------------------------------------------------------------
Schritt 6.
Erstellen einer Uninstall Liste
7-Zip 4.65
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Reader 9.3 - Deutsch
Advertisement Service
Apple Application Support
Apple Software Update
aTube Catcher
Broadcom 802.11-WLAN-Adapter
DivX Codec
DivX Converter
DivX Player
DivX Plus DirectShow Filters
DivX Plus Web Player
ESU for Microsoft Vista
Evernote
foobar2000 v0.9.5.2
HijackThis 2.0.2
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
HP Quick Launch Buttons 6.40 B2
HP QuickTouch 1.00 D2
HP Wireless Assistant
ICQ Contact Revealer 1.0
ICQ7
Java(TM) 6 Update 15
JDownloader
Last.fm 1.5.4.24567
Malwarebytes' Anti-Malware
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1
Microsoft Choice Guard
Microsoft Visual C++ 2005 Redistributable
Mozilla Firefox (3.6.2pre)
Mozilla Thunderbird (3.0.3)
MSVCRT
Notepad++
NVIDIA Drivers
QuickTime
Realtek 8169, 8168, 8101E and 8102E Ethernet Network Card Driver for Windows Vista
Realtek High Definition Audio Driver
RocketDock 1.3.5
Snagit 9.1.2
Streamripper (Remove only)
Synaptics Pointing Device Driver
VC80CRTRedist - 8.0.50727.4053
VLC media player 1.0.5
Winamp
Windows Live Anmelde-Assistent
Windows Live Call
Windows Live Communications Platform
Windows Live Essentials
Windows Live Essentials
Windows Live Messenger
Windows Live-Uploadtool
WinRAR archiver
Zattoo4 4.0.4
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Da ich ja nicht die einzige mit dem Sanduhr-Problem bin, hab ich die im thread empfohlenen schritte auch mal gemacht.
Java aktualisiert --> OK
--------------------------------------------------------------------------------------------------------------------------------
Systemscan mit OTL
Code
Extras.Txt
Code