Forum
Tipps
News
Menu-Icon

 :o

was wurde händisch gelöscht !!!!

nicht alles was CF anzeigt ist auch malware !!!!

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

habe folgendes gelöscht :
fast alles vom bereich "gerade erstellte dateien":

2009-05-20 21:26 . 2009-05-20 21:26   --------   d---a-w   c:\windows\logo1_.exe
2009-05-20 21:26 . 2009-05-20 21:26   --------   d---a-w   c:\windows\rundl132.dll
2009-05-20 21:26 . 2009-05-20 21:26   --------   d---a-w   c:\windows\rundll16.exe
2009-05-20 21:26 . 2009-05-20 21:26   --------   d---a-w   c:\windows\zts2.exe
2009-05-20 21:26 . 2009-05-20 21:26   --------   d---a-w   c:\windows\system32\iifgfgf.dll
2009-05-20 21:26 . 2009-05-20 21:26   --------   d---a-w   c:\windows\system32\systems.txt
2009-05-20 21:26 . 2009-05-20 21:26   --------   d---a-w   c:\windows\system32\vcmgcd32.dll
2009-05-19 22:42 . 2009-05-19 22:42   --------   d-----w   c:\dokumente und einstellungen\jan\.housecall6.6
2009-05-19 22:14 . 2009-05-19 22:14   664   ----a-w   c:\windows\system32\d3d9caps.dat

ich meine, .exe dateien die zufällig dann erstellt werden wenn ich mir einen virus einfange dazu noch äusserst suspekte namen ist für mich ein ziemlich klarer fall. ich denke mir windows wird nicht soo oft exe dateien im windows und system32 ordner erstellen - ausserdem gehen ja bei exe dateien eh alle alarmglocken an.
und dann "housecall" versteht sich von selbst das  sowas gelöscht wird oder ? gut der war eh im profilordner da weiss mans eh.


ansonsten noch aus dem find3m bericht

2009-05-20 21:25 . 2009-05-20 21:25   626688   ----a-w   c:\windows\system32\msvcr80.dll
2009-05-20 21:25 . 2009-05-20 21:25   548864   ----a-w   c:\windows\system32\msvcp80.dll
2009-05-20 21:25 . 2009-05-20 21:25   28672   ----a-w   c:\windows\system32\eEmpty.exe
2009

da alle zur gleichen zeit erstellt wurden + eine .exe datei dabei war für mich die sache auch klar

aber der log steht doch auch hier im thread ich meine das ist so offensichtlich das mich da nachfragen doch etwas wundert jetzt.

« Letzte Änderung: 21.05.09, 22:12:00 von jan.kr »

na dann mach mal weiter
und wenn dein system dann nichts mehr macht nicht weinen !

wenn dir niemand sagt was du löschen sollst dann lösch auch nichts ;)

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

also hört sich bei diesen dateien bzw ordnern für dich nichts suspekt an ? hättest nicht mal den "housecall" ordner gelöscht oder wie ?? wundert mich jetzt aber wirklich

 klar hör ich schon auf experten aber bei so offensichtlichen sachen kann man auch mal selbst zugreifen. 

das waren 1000% viren(rückstände?) das merkt jeder sofort der sich auch nur etwas mit windows auskennt. also ich als nicht-experte habs zumindest beim ersten blick auf die log sofort bemerkt das die einträge so nicht von windows stammen sondern vom virus. normalerweise erstellt windows nicht alle naslang dll und exe dateien und wenn dann auf einmal ein halbes dutzend erstellt wird wirst du nicht nachdenklich? dazu kommen noch ausgefallene namen - ich mein das sieht man einfach, und wer einen ordner namens HOUSECALL nicht löscht der sollte nie wieder in die nähe eines PCs gelassen werden. auch rundll16.exe ist eigentlich schon so ein fall
da brauch man doch wirklich nur 1+1 zusammenzählen (wenn überhaupt)

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

frage steht aber nach wie vor : wieso hat combofix diese einträge nicht gelöscht ? und waren es tote reste oder ...? ich denke mal gefahr bestand nicht mehr sonst hättet ihr ja schon alarm geschlagen aber warum diese ordner + dateien nun noch dort waren interessiert mich.

« Letzte Änderung: 21.05.09, 22:32:38 von jan.kr »

 

Zitat
PS
übrigens habe ich malmware gar nicht als Standardschutz aktiv. habe im hintergrund immer antivir aktiv laufen. malmware nutze ich nur bei befall. irgendwie kommt mir es so vor als wenn malmware mehr findet als antivir allerdings weiss ich nicht wie es umgekehrt wäre wenn ich malmware immer aktiv hätte
Malwarebytes ist kein Ersatz für ein Anti-Virenprogramm! Am besten schützt brain.exe oder, wenn das nicht vorhanden ist, ein Kaufprogramm wie G-Data oder Kaspersky KIS-2009.

brain.exe gibt es hier:

http://brain.yubb.de/

C.
http://housecall.trendmicro.com/uk/
;)

jedoch solltest du immer darauf achten was du löscht und nicht "raten"
ausserdem kann das die nächsten Schritte des helfers beinflussen

http://www.trojaner-board.de/37039-ordner-unter-windows-logo1_-exe-rundl132-dll-rundll16-exe-zts2-exe.html
 

Auch CF kennt nicht immer alles
normaler weise gibt es jz ein script was CF noch löschen soll und wenn du da von hand umherloscht ist das script falsch :)

EGJ wird dir die nächsten schritte schon sagen 
« Letzte Änderung: 21.05.09, 22:34:45 von Larusso »

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

ok sorry  ;D - dann waren es also nicht rückstände des virus sondern der virusbekämpfung , naja immerhin.
bleibe aber dabei das man solche (offensichtlich nicht zu windows/system gehörende) sachen ohne weiteres löschen kann und sogar sollte da IN DIESEM FALLE vorsicht besser als nachsicht.

 

Zitat
normaler weise gibt es jz ein script was CF noch löschen soll und wenn du da von hand umherloscht ist das script falsch  
Auch an der Vatertags-Wanderung unberechtigt teilgenommen? Klingt-und liest sich zumindest so.

C.

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

@ carpenter

da kann ich dir nicht zustimmen - habe G data mal als zweitlizens installiert oder besser versucht - hat nämlich in einem neu aufsetzten des systems geendet da während der installation abgebrochen und es weder vor noch zurück ging. mein vater hat es drauf aber :
1. es verbraucht 10x so viele systemresourcen wie zb antivir + malmware
2. es findet auch nicht mehr oder weniger bzw schlägt nicht öfter an als FREEWARE - es bietet KEINEN besseren schutz
3. malmware IST ein antivirenprogramm - was sollte es sonst sein
also ziehe ich malmware jederzeit vor da es bisher spitzenmässige arbeit beim scannen leistet und wirklich sehr viel findet.

 

Zitat
3. malmware IST ein antivirenprogramm - was sollte es sonst sein
Genau das ist es eben nicht!
Aber wenn du meinst..........

Ist ja nicht mein Rechner, daher egal.

C.

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button
Auch an der Vatertags-Wanderung unberechtigt teilgenommen? Klingt-und liest sich zumindest so.

C.

muss zugeben diese aussage habe ich auch nicht verstanden. zumal ich habe ja nicht mal dateien gelöscht die von combofix in ein "löschscript" aufgenommen würden/wurden also eigentlich dieses besagte script gar nicht tangieren wenn ich es richtig verstanden habe

anmerken muss ich noch das im oben geposteten link http://www.trojaner-board.de/37039-ordner-unter-windows-logo1_-exe-rundl132-dll-rundll16-exe-zts2-exe.html auch heftig kritik an diesen ordnern im windows + system verzeichnis geübt wurde die wohl viren simulieren sollen von daher kann man es mir nicht übel nehmen diese gelöscht zu haben. über escan hab ich somit gestern und heute viel schlechtes gelesen ( dazu sind es auch noch riesen-dateien) stichwort panikmache und virensimulation

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button
Genau das ist es eben nicht!
Aber wenn du meinst..........

Ist ja nicht mein Rechner, daher egal.

C.

deshalb kam ja noch der nebensatz hinterher "was sollte es sonst sein" hehe
also ?

jetzt bin ich mal gespannt  ;D

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Jetzt kannste erstmal ein neues Combofix Logfile machen!! >:(

 


« Windows Vista: Trojaner Win32Agent Bypass.gen!GIst das ein Angriff aus dem Netz? »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Multiprozessor Rechner
Multiprozessorsysteme oder Multiprozessor-Rechner sind Computer, die mehr als einen Hauptprozessor (CPU) zur Ausführung von Aufgaben verwenden. Sie ermöglichen ...

Logfile
Eine Log-Datei ist eine Datei mit einer Art Protokoll, dass Aufschluss gibt über jegliche Aktivität auf einem Rechner. Das automatrisch geführte Protokoll ...