Nein den Trojaner bin ich noch nicht los. Ein Glück, dass du dich meldest , ich wollte schon formatieren. Also danke für das dritte Script, werde es gleich austesten.
Was muss ich machen, um den Trojaner loszuwerden?
Nein den Trojaner bin ich noch nicht los. Ein Glück, dass du dich meldest , ich wollte schon formatieren. Also danke für das dritte Script, werde es gleich austesten.
Was muss ich machen, um den Trojaner loszuwerden?
Das kam bei dem Test raus:
ZitatAlles anzeigenPAccess has been started...
searching files: *
skipped, Pointer DACL = 0 -> C:\ProgramData\AirportMania
skipped, Pointer DACL = 0 -> C:\ProgramData\FarmFrenzy2
skipped, Pointer DACL = 0 -> C:\ProgramData\NVIDIA
skipped, Pointer DACL = 0 -> C:\ProgramData\FarmFrenzy2\profiles
skipped, Pointer DACL = 0 -> C:\ProgramData\FarmFrenzy2\sys
skipped, Pointer DACL = 0 -> C:\ProgramData\FarmFrenzy2\profiles\00000001.save
skipped, Pointer DACL = 0 -> C:\ProgramData\FarmFrenzy2\profiles\00000001.xml
skipped, Pointer DACL = 0 -> C:\ProgramData\FarmFrenzy2\profiles\profiles.xml
skipped, Pointer DACL = 0 -> C:\ProgramData\FarmFrenzy2\sys\settings.xml
skipped, Pointer DACL = 0 -> C:\ProgramData\NVIDIA\NvStarted
skipped, Pointer DACL = 0 -> C:\Users\All Users\AirportMania
skipped, Pointer DACL = 0 -> C:\Users\All Users\FarmFrenzy2
skipped, Pointer DACL = 0 -> C:\Users\All Users\NVIDIA
skipped, Pointer DACL = 0 -> C:\Users\All Users\FarmFrenzy2\profiles
skipped, Pointer DACL = 0 -> C:\Users\All Users\FarmFrenzy2\sys
skipped, Pointer DACL = 0 -> C:\Users\All Users\FarmFrenzy2\profiles\00000001.save
skipped, Pointer DACL = 0 -> C:\Users\All Users\FarmFrenzy2\profiles\00000001.xml
skipped, Pointer DACL = 0 -> C:\Users\All Users\FarmFrenzy2\profiles\profiles.xml
skipped, Pointer DACL = 0 -> C:\Users\All Users\FarmFrenzy2\sys\settings.xml
skipped, Pointer DACL = 0 -> C:\Users\All Users\NVIDIA\NvStarted
skipped, Pointer DACL = 0 -> C:\Users\''MeinNAme''\AppData\Local\Adobe\Updater6\AUTrans.xml
listing...
C:\System Volume Information
C:\Windows\System32\LogFiles\WMI\RtBackup
finished!
Die PPfiles Datei habe ich jetzt auch durchgewälzt, und alle Dateien, die Bilddateien, die dort aufgelistet waren, waren alles von Programmen und sonstigen Sachen
Hier sind die Downloadlinks vom neuen Scan
Drivers.txt
D:
File-Upload.net - Drivers.txt
Eventlog.txt
D:
File-Upload.net - Eventlog.txt
Files.txt
D:
File-Upload.net - Files.txt
Firewall.txt
D:
File-Upload.net - Firewall.txt
Hidden.txt
D:
File-Upload.net - Hidden.txt
MD5.txt
D:
File-Upload.net - MD5.txt
Modules.txt
D:
File-Upload.net - Modules.txt
pAccess.txt
D:
File-Upload.net - pAccess.TXT
ppFiles.txt
D:
File-Upload.net - ppFiles.txt
ppRegistry.txt
D:
File-Upload.net - ppRegistry.txt
Processes.txt
D:
File-Upload.net - Processes.txt
Scripting.txt
D:
File-Upload.net - Scripting.txt
Services.txt
D:
File-Upload.net - Services.txt
Threads.txt
D:
File-Upload.net - Threads.txt
Warnings.txt
D:
File-Upload.net - Warnings.txt
Sorry, hatte deinen Beitrag übersehen.
Das sieht nicht großartig auffällig aus.
Mache folgendes:
Hier sind die beiden Dateien:
File-Upload.net - log---Editor.txt
File-Upload.net - AntiMalwareScan.txt
Ich sehe im LOG nicht, was Malwarebytes genau gefunden hat. Hast du die von Malwarebytes gefundenen Sachen gelöscht?
ja, aber irgendwie auch meine Browser
Das dürfte eher Combofix gewesen sein - ich glaub der mag CA nicht und hat eine VB6 DLL gekillt.
Da es sowieso Probleme mit den Zertifikaten von CA gibt, würde ich die Browser neu installieren.
Wäre wichtig zu wissen, welche Dateien Malwarebytes gelöscht hat und welche Registryschlüssel genau entfernt wurde.
Oh ja hab die hälfte vergessen:
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{147A976F-EEE1-4377-8EA7-4716E4CDD239} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
c:\$Recycle.Bin\s-1-5-21-3657265591-2132989593-580079877-1000\$RG718AH.exe (Backdoor.IRCBot.WR) -> Quarantined and deleted successfully.
c:\Users\"Mein Name"\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\J617YGYR\kuko[1].exe (Backdoor.IRCBot.WR) -> Quarantined and deleted successfully.
c:\Users\"Mein Name"\Desktop\"MeinName"\Spiele\games\battelfield bad company 2\rld-bbc2.exe (RiskWare.Tool.HCK) -> Quarantined and deleted successfully.
Alles anzeigen
ähm irgendwie funktioniert überhaupt kein Programm mehr, dann kommt immer folgende Meldung: es wurde versucht einen reegistrirschlüssel einem unzulässigen vorgang zu unterziehen der zum löschenmakiert wurde.
Das LOG sieht gar nicht gut aus. Rechner neu aufsetzen. Du hast dir zwischendurch (ich glaube, nach der Facebook Sache) einen Backdor eingefangen. Desweiteren scheint da was zu sein, was nach einem Keygen aussieht.
Nach dem Neuaufsetzen sämtliche Passwörter ändern - EBAY, EMAIL,...
Lade dir keine Keygens runter und auch Programmerweiterungen und Patches nur von der Seite des (Spiele-) Herstellers!
Sachen wie Keygens können denjenigen, der das zum Download stellt, bis zu 50000€ Bußgeld kosten. Sowas erstellt keiner aus Menschenfreundlichkeit. Du kannst davon ausgehen, dass in solchen Sachen in der Regel ein Backdoor sitzt, mit dem man früher oder später versuchen wird, dir Geld aus der Tasche zu ziehen.
MMh keine schönen Nachrichten, von einem KeyGen weiß ich nichts.
Kann auch ein Patch mit einer Malware drin sein. Wie gesagt: Nichts laden, was nicht von der Homepage des Herstellers kommt.
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!