Trojaner von AntiVir gefunden.Textdatei zur Prüfung kopiert.Und nun? |
||
---|---|---|
#0
| ||
27.06.2010, 11:21
Member
Themenstarter Beiträge: 18 |
||
|
||
27.06.2010, 19:53
Member
Beiträge: 420 |
#17
Hi, da sind noch Reste von Gdata. Versuch mal sie mit dem Programm da zu entfernen:
http://www.computerbild.de/download/G-Data-AVCleaner-2011-2887946.html Ansonsten würd ich noch Kaspersky Online Scanner vorschlagen: http://www.kaspersky.com/kos/eng/partner/default/kavwebscan.html |
|
|
||
28.06.2010, 09:39
Moderator
Beiträge: 5694 |
#18
Hallo Gittchen. Bin heute Abedn wieder zurück.
Werde dann die nächsten Schritte posten. |
|
|
||
28.06.2010, 21:48
Moderator
Beiträge: 5694 |
#19
Schritt 1
Fixen mit OTL • Starte bitte die OTL.exe. Vista-User mit Rechtsklick "als Administrator starten" • Kopiere nun den Inhalt in die Textbox. Code :OTL• Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Run Fix Button. • Klick auf . • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument. Kopiere nun den Inhalt hier in Code-Tags in Deinen Thread Schritt 2 Erneuter Systemscan mit OTL • Doppelklick auf die OTL.exe • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output • Unter Extra Registry, wähle bitte Use SafeList • Klicke nun auf Run Scan links oben • Wenn der Scan beendet wurde werden 2 Logfiles erstellt • Poste die Logfiles in Code-Tags hier in den Thread. |
|
|
||
29.06.2010, 21:07
Member
Themenstarter Beiträge: 18 |
#20
Bin froh das du wieder da bist...
Schritt 1: All processes killed ========== OTL ========== Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\qfwlahnopcdmgrgyhmaeTaskMgr deleted successfully. ========== COMMANDS ========== [EMPTYTEMP] User: Administrator ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: administrator.SOEHLDE ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Flash cache emptied: 0 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: pdl ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 89963858 bytes ->Flash cache emptied: 635 bytes User: User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 347008 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 86,00 mb OTL by OldTimer - Version 3.2.6.0 log created on 06292010_205711 Files\Folders moved on Reboot... Registry entries deleted on Reboot... Schritt 2: Code OTL logfile created on: 29.06.2010 21:05:29 - Run 4 |
|
|
||
29.06.2010, 21:25
Moderator
Beiträge: 5694 |
#21
Schritt 1
Fixen mit OTL • Starte bitte die OTL.exe. Vista-User mit Rechtsklick "als Administrator starten" • Kopiere nun den Inhalt in die Textbox. Code :OTL• Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Run Fix Button. • Klick auf . • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument. Kopiere nun den Inhalt hier in Code-Tags in Deinen Thread Schritt 2 Malware mit Dr. Web CureIt! beseitigen Downloade Dr. Web CureIt! und speichere es auf Deinem Desktop. Dr. Web CureIt! ist für alle Computer mit MS Windows 95OSR2/ 98/Me/NT 4.0/2000/XP/2003/Vista Betriebssysteme geeignet. • Schalte Dein Antiviren-Programm ab. • Starte die launch.exe durch Doppelklick. • Dr. Web CureIt! legt nun automatisch einen eigenen Order in Deinem Userprofil an: C:\Dokumente und Einstellungen\<DeinBenutzername>\DoctorWeb • Klicke auf "Starten". • Breche die Schnellüberprüfung ab. (durch Klick auf den viereckigen grünen Button (rechts in der Mitte). • Stelle bei dem Reiter "Scannen" auf "Komplett scannen" um. • Starte nun den Komplett-Scan durch Klick auf den dreieckigen Button. • Wenn Funde gemacht werden, bitte desinfizieren lassen, sollte das nicht möglich sein, die Funde verschieben lassen. • Wenn der Scan beendet ist und Funde zu verzeichnen waren: im Menü auf Datei und Berichtliste speichern und als DrWeb.cvs auf Deinem Desktop speichern. • Poste den Inhalt von DrWeb.cvs hier in den Thread. Schritt 3 Bestehen zur Zeit noch probleme? |
|
|
||
29.06.2010, 22:48
Member
Themenstarter Beiträge: 18 |
#22
Ich fange mal mit Schritt 3 an. Es bestehen im Augenblick keine Probleme, glaube ich zumindest. Im Netz gibt es teilweise Anzeigeprobleme.. sonst alles Tutti. AntiVir zeigt auch keinerlei Warnungen mehr.
Werde morgen Schritt 1 und 2 posten....muss mal ein wenig schlafen:-) Habe ich eigentlich schon mal DANKE gesagt?!!! Gruss Gittchen |
|
|
||
30.06.2010, 21:14
Member
Themenstarter Beiträge: 18 |
#23
Guten Abend, hier wie versprochen Schritt 1:
All processes killed ========== OTL ========== Service AntiVirusKit Client stopped successfully! Service AntiVirusKit Client deleted successfully! File File not found not found. Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session manager\\BootExecute:autocheck autochk * deleted successfully. ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:74699137 deleted successfully. ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP66B5EAE deleted successfully. ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:2B99FE60 deleted successfully. ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:4CF61E54 deleted successfully. ========== COMMANDS ========== [EMPTYTEMP] User: Administrator ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: administrator.SOEHLDE ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: pdl ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 23758209 bytes ->Flash cache emptied: 434 bytes User: User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 483 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 23,00 mb OTL by OldTimer - Version 3.2.6.0 log created on 06302010_211039 Files\Folders moved on Reboot... Registry entries deleted on Reboot... |
|
|
||
01.07.2010, 11:39
Moderator
Beiträge: 5694 |
#24
Und Schritt 2 und 3
|
|
|
||
01.07.2010, 22:43
Member
Themenstarter Beiträge: 18 |
#25
Schritt 3 siehe Mail 22, Schritt 2 kommt Sonntag, dauert sehr lange....und ich muss auf Wochenendreise.
|
|
|
||
01.07.2010, 22:45
Moderator
Beiträge: 5694 |
#26
Dann geniess die Reise und poste mir das Log wenn es soweit ist
|
|
|
||
11.07.2010, 02:26
Member
Themenstarter Beiträge: 18 |
#27
Guten Abend...fröhlich wieder zurück und gleich Dr.Web mit nicht so guten Ergebnissen:
hpospd08.exe C:\Programme\HP\Digital Imaging\bin Trojan.DownLoad2.10008 Nicht desinfizierbar.Verschoben. A0112678.exe C:\System Volume Information\_restore{74EF429A-CE4C-4AC9-B0F0-9415868618E9}\RP1077 Trojan.DownLoad2.10008 Nicht desinfizierbar.Verschoben. Und nun??? |
|
|
||
11.07.2010, 21:00
Moderator
Beiträge: 5694 |
#28
Schritt 1
CCleaner installieren und einstellen • CCleaner ist ein Bereinigungstool, welches für Windows 98/NT4/ME/2000/XP/2003/Vista geeignet ist. • CCleaner löscht unnötige Dateien und säubert die Registrierung. • Falls Du die aktuelle Version schon hast, kannst Du den Download und die Installation natürlich überspringen. • CCleaner (Slim ohne Toolbar) herunterladen und installieren. • CCleaner starten und => unter options settings => german einstellen. • Gehe auf den Button links oben "Cleaner" => Reiter "Windows" setze Häkchen wie folgt: alle außer "Eingabefeld Verlauf" und bei Erweitert nur ein Häkchen bei "Alte Prefetchdaten" und "Benutzerdefinierte Dateien und Ordner". • Wechsel zum Reiter "Anwendungen", dort alle Häkchen setzen außer bei Firefox/Mozilla (falls vorhanden) "Gespeicherte Formulardaten". Schritt 2 Registry mit CCleaner bereinigen Gehe links auf den Button "Einstellungen" und kontrolliere, ob bei "Erweitert" ein Haken bei "Zeige Aufforderung für ein Backup der Registry" vorhanden ist, falls nicht, bitte anhaken. Zur Registry-Bereinigung klicke links auf "Registry", setze alle Häkchen und starte die Suche unten mit dem Button "nach Fehlern suchen". Die gefundenen Fehler kannst Du durch den Button "Fehler beheben" entfernen lassen. Diesen Vorgang wiederholen, bis keine Fehler mehr gefunden werden. Den Rechner neu starten. Teile uns hier mit, wie viele Fehler bereinigt wurden. Schritt 3 Tool-Bereinigung mit OTL Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.• Bitte lade Dir (falls noch nicht vorhanden) [url="http://oldtimer.geekstogo.com/OTL.exe]OTL von OldTimer[/url] herunter. • Speichere es auf Deinem Desktop. • Doppelklick auf OTL.exe um das Programm auszuführen. • Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen. • Klicke auf den Button "Bereinigung" • OTL fragt eventuell nach einem Neustart. Sollte es dies tun, so lasse dies bitte zu.Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell. |
|
|
||
17.07.2010, 13:27
Member
Themenstarter Beiträge: 18 |
#29
CC Cleaner hat insegesamt 355 Fehler gefunden.
Schritt 3 habe ich ebenfalls durchgeführt, alle Programme sind entfernt. Und nun? |
|
|
||
19.07.2010, 02:02
Moderator
Beiträge: 5694 |
#30
Wie läuft die Kiste?
|
|
|
||
ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time: 2010/06/27 11:13
Program Version: Version 1.3.5.0
Windows Version: Windows XP SP3
==================================================
Drivers
-------------------
Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xEF35E000 Size: 98304 File Visible: No Signed: -
Status: -
Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xF8A45000 Size: 8192 File Visible: No Signed: -
Status: -
Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xEDE95000 Size: 49152 File Visible: No Signed: -
Status: -
Hidden/Locked Files
-------------------
Path: C:\hiberfil.sys
Status: Locked to the Windows API!
Path: c:\windows\temp\etilqs_gbshtvzdhhusjogse5vn
Status: Allocation size mismatch (API: 16384, Raw: 0)
Path: c:\windows\temp\etilqs_hcxvj1uf2cmv786chf7w
Status: Allocation size mismatch (API: 4096, Raw: 0)
Path: c:\windows\temp\etilqs_zhzbfvjrfdeti8fabwtl
Status: Allocation size mismatch (API: 512, Raw: 0)
Path: c:\dokumente und einstellungen\pdl\lokale einstellungen\temp\~df2419.tmp
Status: Allocation size mismatch (API: 24576, Raw: 0)
Path: c:\dokumente und einstellungen\pdl\lokale einstellungen\temp\~df5295.tmp
Status: Allocation size mismatch (API: 16384, Raw: 0)
Path: c:\dokumente und einstellungen\pdl\lokale einstellungen\temp\~df5e73.tmp
Status: Allocation size mismatch (API: 458752, Raw: 16384)
Path: c:\dokumente und einstellungen\pdl\lokale einstellungen\temp\~dfea20.tmp
Status: Allocation size mismatch (API: 16384, Raw: 0)
SSDT
-------------------
#: 025 Function Name: NtClose
Status: Hooked by "C:\WINDOWS\system32\drivers\HookCentre.sys" at address 0xf8824d10
#: 031 Function Name: NtConnectPort
Status: Hooked by "<unknown>" at address 0x82d39838
#: 041 Function Name: NtCreateKey
Status: Hooked by "C:\WINDOWS\system32\drivers\HookCentre.sys" at address 0xf8823d70
#: 053 Function Name: NtCreateThread
Status: Hooked by "<unknown>" at address 0xf8c256f4
#: 063 Function Name: NtDeleteKey
Status: Hooked by "C:\WINDOWS\system32\drivers\HookCentre.sys" at address 0xf8825150
#: 065 Function Name: NtDeleteValueKey
Status: Hooked by "C:\WINDOWS\system32\drivers\HookCentre.sys" at address 0xf8825380
#: 098 Function Name: NtLoadKey
Status: Hooked by "<unknown>" at address 0xf8c25712
#: 119 Function Name: NtOpenKey
Status: Hooked by "C:\WINDOWS\system32\drivers\HookCentre.sys" at address 0xf8824dd0
#: 122 Function Name: NtOpenProcess
Status: Hooked by "C:\WINDOWS\system32\drivers\HookCentre.sys" at address 0xf88256f0
#: 128 Function Name: NtOpenThread
Status: Hooked by "<unknown>" at address 0xf8c256e5
#: 193 Function Name: NtReplaceKey
Status: Hooked by "<unknown>" at address 0xf8c2571c
#: 204 Function Name: NtRestoreKey
Status: Hooked by "<unknown>" at address 0xf8c25717
#: 247 Function Name: NtSetValueKey
Status: Hooked by "C:\WINDOWS\system32\drivers\HookCentre.sys" at address 0xf8824e30
#: 257 Function Name: NtTerminateProcess
Status: Hooked by "<unknown>" at address 0xf8c256ef
==EOF==