|
You last visited: Today at 21:12
Advertisement
PC Infiziert (?/!)
Discussion on PC Infiziert (?/!) within the Technical Support forum part of the Off-Topics category.
10/27/2011, 11:10
|
#1
|
elite*gold: 8 
Join Date: Oct 2011
Posts: 656
Received Thanks: 1,895
|
PC Infiziert (?/!)
Hey Liebes Technical Support Team!
Ich habe seit ein paar tagen das Problem das sich bei fast allen datein die ich starte 1. die Datei um ca 70 KB Größer wird und beim VirusTotal 34/43 Ergiebt. und 2. Sich die selbe datei mit immer der gleichen Größe [55 KB] Erstellt, die auch beim VirusTotal 34/43 ergiebt.
So dann habe ich Malwarebytes mal über mein System laufen lassen, das fand 19 Bedrohungen, ich habe Malwarebytes geupdated und Die Viren entfernen lassen, darauf PC Neu gestartet. Nun habe ich das Problem das Dauerhaft 2 Viren Angezeigt werden, Ich drücke immer auf "Entferne Auswahl" , starte PC Neu mache einen erneuten Scan und die Viren werden wieder Angezeigt.
VirusTotal von der Datei die sich erstellt:
VirusTotal von der Datei die ca 75 KB Größer wird:
Malwarebytes Log von den 2 Viren die immer und immer wieder Gefunden aber nicht Entfernt werden:
Code:
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org
Datenbank Version: 8022
Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421
27.10.2011 10:53:32
mbam-log-2011-10-27 (10-53-32).txt
Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 177001
Laufzeit: 5 Minute(n), 36 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (userinit.exe,,c:\program files (x86)\microsoft\desktoplayer.exe) Good: (userinit.exe) -> Quarantined and deleted successfully.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
c:\program files (x86)\microsoft\desktoplayer.exe (Trojan.Agent) -> Quarantined and deleted successfully.
Bild von meinem Autostart: [64 Bit]
Bild meiner Prozesse: [64 Bit]
Ich hoffe ihr könnt mir schnell helfen dar ich gerade nicht wirklich Lust darauf habe, mein System neu zu machen.
|
|
|
|
10/27/2011, 11:47
|
#2
|
elite*gold: 0
Join Date: Jun 2010
Posts: 143
Received Thanks: 24
|
Sofern der Editor geöffet ist, scheint alles in Ordnung. rundll32.exe wirkt verdächtig, da es meiner Meinung nach eher ein SYSTEM Prozess sein müsste. Sind das wirklich alle Prozesse? - Ich glaube nicht. - Das reicht nicht um einen Rechner laufen zu lassen.
Ich kann dir so erstmal: empfehlen.
Der Vorteil: Das Programm ist ein wenig effektiver in der Registry - Bereinigung. Hat bei mir auch eine hartnäckige Kiste wegbekommen. Ansonsten kann ich dir zum Beispiel mal empfehlen ein Programm zu suchen, was ausgehende Verbindungen überprüft. Bei mir übernimmt das Proxifier, da ich grundsätzlich mit einem SOCKS unterwegs bin. Anonymous lässt grüßen!
Berichte von Fortschritten!
//EDIT: AVAST bringt bei dir absolut gar nichts, da der Binärcode des Trojaners vor der Überprüfung des Programmes NOCH crypted ist.
|
|
|
|
|
10/27/2011, 12:02
|
#3
|
elite*gold: 8
Join Date: Oct 2011
Posts: 656
Received Thanks: 1,895
|
Quote:
Originally Posted by Elexarie
Sofern der Editor geöffet ist, scheint alles in Ordnung. rundll32.exe wirkt verdächtig, da es meiner Meinung nach eher ein SYSTEM Prozess sein müsste. Sind das wirklich alle Prozesse? - Ich glaube nicht. - Das reicht nicht um einen Rechner laufen zu lassen.
Ich kann dir so erstmal: empfehlen.
Der Vorteil: Das Programm ist ein wenig effektiver in der Registry - Bereinigung. Hat bei mir auch eine hartnäckige Kiste wegbekommen. Ansonsten kann ich dir zum Beispiel mal empfehlen ein Programm zu suchen, was ausgehende Verbindungen überprüft. Bei mir übernimmt das Proxifier, da ich grundsätzlich mit einem SOCKS unterwegs bin. Anonymous lässt grüßen!
Berichte von Fortschritten!
//EDIT: AVAST bringt bei dir absolut gar nichts, da der Binärcode des Trojaners vor der Überprüfung des Programmes NOCH crypted ist. |
Hier das ergebnis von diesem Trojaner Remover:
|
|
|
|
|
10/27/2011, 12:07
|
#4
|
elite*gold: 0
Join Date: Jun 2010
Posts: 143
Received Thanks: 24
|
Das ist der Pre-Scan glaub ich - der hat sich direkt nach der Installation ausgeführt, oder?
Starte nochmal deinen Rechner neu und lasse ihn erneut durchlaufen. Hat er immernoch nichts gefunden, kannst du das Programm runterschmeißen.
Danach möchte ich, dass du ihn erneut startest dann, direkt nach dem Startup einen Screenshot von ALLEN -> (inkl. Prozesse aller Benutzer anzeigen) Prozessen machst. Stell mir bitte ein, dass ich die PID's sehen kann (Process ID's)
Den gibst du mir dann erstmal.
Danach folgendes: Windowstaste + R -> cmd -> netstate -ano
Dann erneut einen Screenshot machen und mir vllt. per PN senden, sofern du das nicht preisgeben willst.
Das mach erstmal. Bis gleich. Viel Erfolg.
|
|
|
|
|
10/27/2011, 12:24
|
#5
|
elite*gold: 8
Join Date: Oct 2011
Posts: 656
Received Thanks: 1,895
|
Erneuter Scan nach dem System Neustart:
Gleiche wie vorhin..
Prozesse die nach dem System Neustart geöffnet sind:
Netstate:
Da kommt bei mir ein fehler:
|
|
|
|
|
10/27/2011, 13:19
|
#6
|
elite*gold: 0
Join Date: Jun 2010
Posts: 143
Received Thanks: 24
|
Ups. Ohne das e am Ende.
Quote:
Mein Fehler.
Okay. Du kannst beruhigt sein. Du bist nicht infiziert. Also deine Prozesse sehen gut aus.
Deine Malware - Meldung sehen auch korrekt aus. Das ist mir eben nicht aufgefallen, aber das einzige, was wichtig ist, ist:
Code:
Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden)
Infizierte Speichermodule: (Keine bösartigen Objekte gefunden)
Das sich mal in die Registry was verirrt - Okay, irgendwie doof, aber du hast keine Prozesse die sich irgendwie extern ausbreiten, denn das benötigt ein Prozess -> Speicher. Und das wäre aufgelistet.
Wenn du ganz sicher gehen willst, hol dir mal das Programm Proxifier und einen beliebigen HTTP SOCKS 5 - > GOOGLE. Dann einrichten und wenn dann irgendwelche Verbindung siehst, während du nichts tust, dann schrei nochmal. Ansonsten ist eig. keine Gefahr ersichtlich.
|
|
|
|
|
10/27/2011, 13:31
|
#7
|
elite*gold: 5
Join Date: Sep 2010
Posts: 9,927
Received Thanks: 4,387
|
Quote:
Originally Posted by Elexarie
Du bist nicht infiziert.
|
Abgesehen von einem dicken Wurm schon.
Neu aufsetzen ist angesagt. Kann es sein, dass du ein Problem hast _TradEmArk_ ™ ?
Es scheint mir so, dass du hier öfters Themen dieser Art erstellst. Vieleicht solltest du dein Onlineverhalten mal ändern.
|
|
|
|
|
10/27/2011, 13:39
|
#8
|
elite*gold: 8
Join Date: Oct 2011
Posts: 656
Received Thanks: 1,895
|
Quote:
Originally Posted by Diablo_
Abgesehen von einem dicken Wurm schon.
Neu aufsetzen ist angesagt. Kann es sein, dass du ein Problem hast _TradEmArk_ ™ ?
Es scheint mir so, dass du hier öfters Themen dieser Art erstellst. Vieleicht solltest du dein Onlineverhalten mal ändern.
|
Habe ich schon, ich Downloade nichts und nehme auch nichts an
Ich weiss nicht wie ich mir diesen Virus eingefangen habe.
Ich gehe auch nicht auf Seriöse seiten nur ElitePVP,YouTube und Google
|
|
|
|
|
10/27/2011, 13:47
|
#9
|
elite*gold: 5
Join Date: Sep 2010
Posts: 9,927
Received Thanks: 4,387
|
Quote:
Originally Posted by _TradEmArk_ ™
Habe ich schon, ich Downloade nichts und nehme auch nichts an
Ich weiss nicht wie ich mir diesen Virus eingefangen habe.
Ich gehe auch nicht auf Seriöse seiten nur ElitePVP,YouTube und Google
|
Vieleicht schließt du ja Wecheldatenträger an, die schon seit längerem infiziert sind.
Auf seriöse Seiten darfst du ja gehen, auf unseriöse Seiten solltest du nicht gehen.
Nichts desto trotz musst du (wieder) dein System neu aufsetzen.
|
|
|
|
|
10/27/2011, 19:13
|
#10
|
elite*gold: 273
Join Date: Sep 2010
Posts: 1,831
Received Thanks: 786
|
Quote:
Originally Posted by _TradEmArk_ ™
Erneuter Scan nach dem System Neustart:
Gleiche wie vorhin..
Prozesse die nach dem System Neustart geöffnet sind:
Netstate:
Da kommt bei mir ein fehler:
|
Weil es Netstate nicht gibt nur Netstat, davon abgesehen hilft eine Prozess liste gar nichts, da sich die meisten Viren in andere Prozesse injizieren, und
somit nicht wirklich von normalen systemprozessen zu unterscheiden sind.
Gibt nur eine gute Lösung->
Win(oder anderes OS) CD rein und alles neu installieren.
Desweiteren werden leider auch auf Elitepvpers & Youtube sehr viele Viren verbreitet,
die oft auch von Virenscannern unerkannt bleiben.
Am besten probierst du nicht sofort jeden neuen Hack,Bot, etc. aus sondern wartest 1-2Tage
schaust dir die Kommentare an und probierst ihn dann erst.
|
|
|
|
|
10/27/2011, 19:19
|
#11
|
elite*gold: 0
Join Date: Apr 2011
Posts: 3,944
Received Thanks: 368
|
Ist bei dem start deines Rechner's schon der standard browser offen?
|
|
|
|
|
10/27/2011, 19:22
|
#12
|
elite*gold: 40
Join Date: Feb 2011
Posts: 1,886
Received Thanks: 582
|
Wenn du via Prozessliste etwas herausfinden willst musst du (abgesehen vom Antivir) ALLE Autostarteinträge entfernen und den PC neustarten.
Aber die sichere lösung ist und bleibt neuaufsetzen inklusive komplett formatierung und idealerweise neuerstellen der Partitionen.
|
|
|
|
|
10/28/2011, 12:57
|
#13
|
elite*gold: 8
Join Date: Oct 2011
Posts: 656
Received Thanks: 1,895
|
Habe PC Neu gemacht.
Thread kann geschlossen werden.
|
|
|
|
 |
Similar Threads
|
Computer Infiziert?
10/25/2011 - Technical Support - 4 Replies
Hallo
können sie sagen ob da virus auf computer ist?
nicht mein computer sondern von einen guten freund
hijickthis:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 11:04:46, on 25.10.2011
Platform: Windows 7 (WinNT 6.00.3504)
|
PC Virus infiziert
08/20/2011 - Technical Support - 19 Replies
Habe ein tool heruntergeladen 'was anscheinend kein tool war' und hat meine admin rechte vom pc gesperrt, kann keine systemwiederherstellung, abgesicherter modus funktioniert nicht und ich weiß ja wie die infizierte datei heisst und im /user/appdat/temp... usw. aber hab auch kein zugriff allgemein der Boot c: ist im arbeitsplatz nicht zu sehen nur D: wo meine recovery dateien drauf sind.
edit: auch der taskmanager hat er als erstes gesperrt.
Jemand einen tipp für mich wie ich die datei...
|
Infiziert?
08/04/2011 - Technical Support - 2 Replies
Heute habe ich mal gedacht ich mache einfach mal einen Anti Malware Bytes vollständigen suchdurchlauf & HiJackThis.
Ich kann daraus eher nicht entziffern ob ich nun einen Virus habe oder nicht, hoffe ihr könnt mir das verraten :)
Anti MalwareBytes:
Malwarebytes' Anti-Malware 1.51.1.1800
Malwarebytes : Free anti-malware, anti-virus and spyware removal download
Datenbank Version: 7373
|
Bin ich infiziert ?
07/21/2011 - Technical Support - 12 Replies
Hallo Comunity,
ich hab heute mal meine Gestarteten Hintergrunds Programme angeguckt und direkt 2 aus gemacht , die kamen mir verdächtig vor jetzt ist die Frage ist es normal brauch man es oder ist es virus ?
Daten die ihr villeicht wissen müsst :
Windows Vista 32 Bit
1024 Arbeitspeicher
Kaspersky internet schutz 2011
Tune Up 2011
Tohsiba Satelite
|
Bin ich infiziert?
07/11/2011 - WarRock - 11 Replies
Hallo,
Habe eben den king 7 gesehen hier http://www.elitepvpers.com/forum/warrock-hacks-bot s-cheats-exploits/1296693-11-7-11-king7-vip-bullet s-inv-bone-art-no-dealy-u-ammo.html
Habe ihn NUR GELADEN!
Dann habe ich das .rar upgeloadet mit virustotal und da kommt das es berits geuploadet ist bla...
Dannn habe ich die datei gescannt mit antivir und es wurde ein spy.gen festgestellt dsa ist doch ein virus?
Bin ich nun getroffen und benutzt er wieder andere ip's?
Bitte um hilfe!
Und bitte...
|
All times are GMT +1. The time now is 21:17.
|
|
