Oje Schmarotzer Viren oder so was

SportGoofy · 26.08.2008

Hi!

Zum zweiten Mal in meinem gesamten Computerleben (seit->85)
hab ich wieder ein Virus/Trojaner auf dem Rechner.

Leider kenn ich mich jetzt da gar nicht aus.
Hab schon mal oben in den FAQ geschaut und das
MS-Entfernungsprogramm gestartet - hat aber nix gefunden.

Also Antivir meldet mir z.B. TR/FakeScanner.F
die auf eine Datei im versteckten Ordner Lokale Einstellungen/Temp verweist.
Dateiname .ttb.tmp /.ttb3.tmp / .ttb4.tmp
Wenn ich die lösche ist nach kurzer Zeit eine andere mit z.B. .ttb5 vorhanden.

Edit (und ein leeres Fenster mit ziddu.com wird geöffnet -
keine Ahnung, ob das was damit zu tun hat)

Weiß jemand Rat was nun zu tun ist?

schrauber · 26.08.2008

hi,

ich kann dir helfen, aber leider erst heut Abend. Bin noch auf der Arbeit.

gruss

schrauber

SportGoofy · 26.08.2008

Das wäre nett

schrauber · 26.08.2008

Here we go

1.Schritt
Kannst Du auf Deinem Computer alles sehen?
Im Windows-Explorer >Extras >Ordneroptionen >den Reiter Ansicht >Versteckte Dateien und Ordner >alle Dateien und Ordner anzeigen aktivieren und >Extras >Ordneroptionen >den Reiter Ansicht >Dateien und Ordner >Geschützte Systemdateien ausblenden (empfohlen) deaktivieren.

2.Schritt
Lade Dir das Programm Hijackhtis von hier

Hijackthis muss in einem eigenen Ordner installiert werden, damit die Backup-Funktion genutzt werden kann.

Starte Hijackthis, wähle do a system scan and save a logfile. Es wird sich ein Notepadfenster mit dem Logfile öffnen, dieses bitte hier in Deinen Thread kopieren.

3.Schritt
SilentRunners
Lade SilentRunners von dieser Seite auf den Desktop runter.

Alle Programme schließen und SilentRunners starten.
In der Abfrage nein wählen, damit die supplementary searches ebenfalls ausgeführt werden.
Die weitere Abfrage mit ja bestätigen.
Nun warten, bis SilentRunners mit einem Fenster bestätigt fertig zu sein, dies kann einige Zeit dauern.
Das Logfile findest Du danach auf dem Desktop. Dessen Inhalt posten.

Mit diesem Tool können wir Veränderungen in der Registrierung feststellen, die wir dann manuell beheben.

4.Schritt
Um zu erfahren, was sich auf Deinem System alles für Programme verbergen, gehe bitte wie folgt vor:

Erstelle eine Uninstall list mit HijackThis

Öffne HijackThis

Klick open the Misc Tools section

Klick Open Uninstall Manager

Klick Save List (jetzt wird eine uninstall_list.txt im Ordner Hijackthis angelegt.)

Diese Datei öffnest Du, und kopierst ihren Inhalt hier in deinen Thread.

Setze bitte alle Deine Logs in Code-Tags, das geht so: Schreibe

[ code]

Zum Vergrößern anklicken....

dann Dein Log, und dann

[ /code]

Zum Vergrößern anklicken....

ohne die Leerzeichen in den Klammern.

gruß

schrauber

Andreas_S. · 27.08.2008

Servus

Werte deine HijackThis mal aus

http://www.hijackthis.de/#anl

da sind schon mal 2 bedenkliche Einträge:

----------------------------------------------------------------------------------------------------------------
C:\WINDOWS\system32\drivers\svchost.exe
Schädlich Der angebliche Systemprozess läuft nicht im System32 Ordner und ist deshalb als schädlich einzustufen. Prozess läuft nicht im System32 Ordner

O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe
Unbedingt fixen! Added by the ZAPCHAS-V TROJAN! Note - this is not the legitimate svchost.exe process which is always located in the System (9x/Me) or System32 (NT/2K/XP) folder and should not normally figure in Msconfig/Startup! This file is located in a Office related

------------------------------------------------------------------------------------------------------------------

Die svchost.exe darf nur im System32 Ordner sein!

http://www.frankn.com/html/svchost_exe.html

http://support.microsoft.com/kb/314056/de

Andreas_S. · 27.08.2008

Hallo Goofy

da meine zu verwaltenden Rechner mit eingeschränkten Benutzerrechten laufen sind Vieren und Trojaner kein so wichtiges Thema und kann Dir deshalb da nicht so weiterhelfen, da gibts hier bessere Leute hier die Dir bei der Bereinigung deines Systems helfen können.

Ich würde mal versuchen den Regeintrag

O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe

mit HijackThis zu fixen

und die svchost.exe

C:\WINDOWS\system32\drivers\svchost.exe

zu löschen, wenn sie sich nicht löschen lässt im abgesicherten Modus versuchen, oder mit einer BartPE

http://www.pcwelt.de/downloads/tools_utilities/system-utilities/108595/bart_pe/

oder Knoppix CD

http://www.chip.de/downloads/Knoppix-DVD-Ausgabe_15930601.html

das System starten und dort versuchen zu löschen.

Am besten aber du sicherst Deine Daten und setzt den Kübel neu auf!
Gruß
Andreas

W.E. · 27.08.2008

@SportGoofy
warte bitte auf schrauber.

Andreas hat zwar grundsätzlich recht, es macht aber wenig sinn, in schraubers reinigungsaktion einzugreifen - zumal du dich mit ihm darauf geeinigt hast.

schrauber gehört nun allerdings zu den wenigen glücklichen leuten, die noch einen arbeitsplatz haben.....

schrauber · 27.08.2008

hi,

du kannst neuaufsetzen, oder bis heut Abend warten. Mittags kann ich nur kurz antworten, mehr gibt mein iPhone nicht her

SportGoofy · 27.08.2008

Da warte ich doch mal

SportGoofy · 27.08.2008

Sollte eigentlich schon lange deinstalliert sein ???
Hab meinen Rechner allerdings schon lange nicht mehr gesäubert.
Kann das auch nur ein Eintrag sein?

Edit:
Upps - tja wenn es hilft - ist deinstalliert

Grog · 27.08.2008

Verstehe ich nicht, warum man nicht einfach sein System neu aufsetzen kann, das dauert eine halbe Stunde und der Rechner ist sauber.

Das wird nichts, da hilft auch Hijack nicht.

SportGoofy · 28.08.2008

Auweia

Erst mal danke für deine Mühe :1.
Werde mich da mal heute durcharbeiten
und dann morgen starten.
Berichte dann hier.

Edit:

Eine Datei jusched im Java Ordner läßt sich nicht löschen ???
Wird gerade benutzt

Hab nur den normalen Messenger - nicht Plus

Außer Azureus den ich gelöscht habe hab ich kein Filesharing-Tools drauf.
Sind schon länger gelöscht - tauchen auch nicht unter Programme auf.
Alte Einträge?

Kann das so bleiben?
Den Rest hab ich jetzt bis zur Stelle Lade das SDFix

schrauber · 28.08.2008

jepp, mach jetzt erstmal die beiden tools, um den rest können wir uns später kümmern.

SportGoofy · 29.08.2008

Beim Link SDFix - Access denied ???

W.E. · 29.08.2008

stimmt.

dann hol es von hier:
http://www.bleepingcomputer.com/files/sdfix.php
oder hier:
http://www.myantispyware.com/2007/11/09/sdfix-free-trojan-remover-tool/ (bisschen runterscrollen)

schrauber · 29.08.2008

das Problem ist, ich darf keine deeplinks setzen, d.h. du darfst meine Links nicht klicken, du musst sie in den Browser kopieren, mit dem Teil was in den Klammern steht.

W.E. · 29.08.2008

@schrauber
mit copy & paste isses dasselbe. hast du dir mal meine links angesehen, würde die version von dort auch gehen?

schrauber · 29.08.2008

http://downloads.andymanchesta.com/RemovalTools/ SDFix.exe

das muss gehen. [br][br]Erstellt am: 29.08.08 um 14:49:29

[br]Mann, ich wollt es schreiben dass es nicht klickbar ist, jetzt bekomm ich gleich wieder nen anpfiff

pfiff ... ist aber anklickbar ;D
*Direktdownload geändert*

SportGoofy · 29.08.2008

Ok komme heute nicht mehr dazu - werde dann morgen damit loslegen

schrauber · 29.08.2008

alles klar.

anmerkung:

es ist eile geboten, ich weiß noch immer nicht was alles nachgeladen wurde von deinem untermieter, dass weiß ich erst nach den zwei tools. und ganz wichtig!

in der angegebenen reihenfolge abarbeiten.

gruß

schrauber

Oje Schmarotzer Viren oder so was

SportGoofy

schrauber

SportGoofy

schrauber

Andreas_S.

Andreas_S.

W.E.

schrauber

SportGoofy

SportGoofy

Grog

SportGoofy

schrauber

SportGoofy

W.E.

schrauber

W.E.

schrauber

SportGoofy

schrauber

Oje Schmarotzer Viren oder so was

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums