ja
Dann deinstallier mal das Avast über Systemsteuerung > Software und installier mal das Microsoft Essential Security und aktiviere die Windows Firewall.
Das sollte erstmal für Win XP reichen. Dann nochmal die
Auslastung überprüfen.
Download Microsoft Essential Security:
http://www.microsoft.com/de-de/download/details.aspx?id=5201
Hast Du auch schon einmal Dein System nach Schädlingen untersucht ?
Downloade Dir mal Malewarebytes, update es und führe einen Vollscan durch. Logfile dann posten.
Download Malewarebytes:
http://www.chip.de/downloads/Malwarebytes-Anti-Malware_27322637.html
Um Windows-Firewall zu aktivieren, gehe folgendermaßen vor:
Klicke auf Start und auf Ausführen, gebe in das Feld Öffnen die Zeichenfolge Firewall.cpl ein, und klicke auf OK.
Klicke auf der Registerkarte Allgemein auf Aktiv (empfohlen).
Klicke auf OK.
habe das malware-programm nach 2std 45min abgebrochen, werde es morgen nochmal starten.
ergebnis bis jetzt:
24.07.2013 22:56:56
MBAM-log-2013-07-25 (01-42-34).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 189014
Laufzeit: 2 Stunde(n), 44 Minute(n), 42 Sekunde(n) [Abgebrochen]
Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateien: 3
C:\System Volume Information\_restore{391197E0-8C57-4C06-9C98-32E013C26E86}\RP294\A0195869.dll (Adware.BProtector) -> Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\jasmin1\Desktop\blauer usb\weißer stick\Neuer Ordner\Programme\GIMPPortable\App\gtk\lib\pango\1.4.0\modules\pango-tibetan-fc.dll (Trojan.Agent.CPL) -> Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\jasmin1\Eigene Dateien\Downloads\ccleaner.exe (PUP.Adware.Domalq) -> Keine Aktion durchgeführt.
(Ende)
kenne die dateien nicht, wobei ich dazu sagen muss, dass zumindest die unteren beiden wahrscheinlich meiner mitbewohnerin gehören
soll/kann/muss ich die löschen?
Sofort Einträge löschen, da noch keine Aktion durchgeführt wurde.
Neustart durchführen und dies durchführen:
Toolbars und Adware entfernen
Danach wieder Neustart und Malewarebytes nochmals durchführen.
Dann Ergebnisse posten.
100%ig sicher kannst Du aber nicht sein, ob tief im System noch irgendwelche Schadlinge lauern.
100%ig sicher kannst Du aber nicht sein, ob tief im System noch irgendwelche Schadlinge lauern.
kann ich da noch was machen, um sicher zu gehen oder bleibt immer ein restrisiko?
die einträge sind jetzt alle gelöscht- toolbars und adware auch. malwarebytes werde ich über nacht laufen lassen und morgen die ergebnisse posten
hier das ergebnis des zweiten durchlaufs. habe die beiden gefundenen dateien gelöscht
Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 365709
Laufzeit: 1 Stunde(n), 45 Minute(n), 39 Sekunde(n)
Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung: 1
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.
Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateien: 1
C:\System Volume Information\_restore{391197E0-8C57-4C06-9C98-32E013C26E86}\RP296\A0198180.dll (Trojan.Agent.CPL) -> Keine Aktion durchgeführt.
(Ende)
Der erste Eintrag mit:
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter
hängt mit der nichtaktivierten Firewall zusammmen.
Ab in die Quarantäne bzw. löschen, Firewall aktivieren.
Der zweite bösartige Prozess könnte mit Roque Killer beendet werden:
http://www.chip.de/downloads/RogueKiller_49169075.html
Danach nochmal Malwarebytes durchführen.
Hast Du AdwareCleaner auch durchgeführt ?
Sollte dies alles nicht zum Erfolg führen, ist es wohl am Sichersten, wenn Du Dein OS neu aufsetzt, damit alle schädlichen Einträge mal entfernt werden und Du dann ein ganz sauberes System vorfindest.
Davon dann ein Image erstellen auf externem Medium und Du hast dann ernorme Zeitersparnisse im Falle eines Falles.
firewall wird mir als aktiv angezeigt (habe ich dort nachgeschaut, was du mir vorgestern erklärt hast)
adware-cleaner habe ich genutzt
werde mir dann jetzt den roque killer runterladen und starten
dann hoffe ich mal, dass das erfolgreich ist, von dem letzten was du schreibst, verstehe ich leider nicht viel.
Sollte dies alles nicht zum Erfolg führen, ist es wohl am Sichersten, wenn Du Dein OS neu aufsetzt, damit alle schädlichen Einträge mal entfernt werden und Du dann ein ganz sauberes System vorfindest.
Davon dann ein Image erstellen auf externem Medium und Du hast dann ernorme Zeitersparnisse im Falle eines Falles.
was mir noch aufgefallen ist:
- wenn ich neu starte, wird mir angezeigt, dass ich neue hardware habe und ein assistent zur installation von treibern öffnet sich. da ich nichts neues habe, bin ich erstmal auf abbrechen gegangen. meldet sich aber bei jedem neustart
- unter msconfig und system sollte ich ja alle häkchen außer vom virenprogramm entfernen. ctfmon.exe setzt sich selbst immer wieder (5x probiert) neue haken.
- bei google chrome habe ich eine neue startseite, die sich auch nicht ändert, wenn ich eine andere startseite einstelle: www1.delta-search.com
rogue killer zeigt mir folgendes an:
¤¤¤ Böswillige Prozesse : 0 ¤¤¤
¤¤¤ Registry-Einträge : 1 ¤¤¤
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> GEFUNDEN
¤¤¤ Geplante Tasks : 2 ¤¤¤
[V1][ROGUE ST] Plus-HD-1.3-firefoxinstaller.job : C:\Programme\Plus-HD-1.3\Plus-HD-1.3-firefoxinstaller.exe - /installxpi /agentregpath='Plus-HD-1.3' /extensionfilepath='C:\Programme\Plus-HD-1.3\31257.xpi' /appid=31257 /srcid='000173' /subid='0' /zdata='0' /bic=824D954AE79944B9A0E6FA78C81DACE6IE /verifier=a77d9010d6be26b280abc818fe1b88a4 /installerversion=1_27_153 /installerfullversion=1.27.153.7 /installationtime=1373993997 /statsdomain=hxxp://stats.datasrvstats.com /errorsdomain=hxxp://errors.datasrvstats.com /waitforbrowser=300 /extensionid=509508ef-0b14-4616-a557-0d58601be33d@c4a581e9-0ea6-46db-a185-58e021ee138c.com /extensionversion=0.91 /prefsbranch=a509508ef0b144616a5570d58601be33dc4a581e90ea646dba18558e021ee138ccom31257 /updateurl=hxxps://w9u6a2p6.ssl.hwcdn.net/plugin/ff/update/31257.rdf /allusers /allprofiles /externallog='' [7]
- -> GEFUNDEN[V1]
- -> GEFUNDEN
¤¤¤ Autostart-Einträge : 0 ¤¤¤
¤¤¤ Web-Browsern : 0 ¤¤¤
¤¤¤ Bestimmte Dateien / Ordner: ¤¤¤
¤¤¤ Treiber : [GELADEN] ¤¤¤
[Address] IRP[IRP_MJ_DEVICE_CONTROL] : atapi.sys -> HOOKED ([Address] \SystemRoot\System32\drivers\sdcplh.sys @ 0xF79E5A08)
[Address] IRP[IRP_MJ_INTERNAL_DEVICE_CONTROL] : atapi.sys -> HOOKED ([Address] \SystemRoot\System32\drivers\sdcplh.sys @ 0xF79E5684)
¤¤¤ Externe Hives: ¤¤¤
¤¤¤ Infektion : ¤¤¤
¤¤¤ Hosts-Datei: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts
127.0.0.1 localhost
¤¤¤ MBR überprüfen: ¤¤¤
+++++ PhysicalDrive0: TOSHIBA MK1234GSX +++++
--- User ---
[MBR] 8b16fae19d57b0b82614809277927f98
[BSP] 63cc686ee906c724ff3db6a6ea170df6 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 114470 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Abgeschlossen : << RKreport[0]_S_07262013_131046.txt >>
und das ergebnis von malwarebytes
26.07.2013 13:28:18
mbam-log-2013-07-26 (13-28-18).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 316884
Laufzeit: 1 Stunde(n), 21 Minute(n), 38 Sekunde(n)
Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)
(Ende)
- unter msconfig und system sollte ich ja alle häkchen außer vom virenprogramm entfernen. ctfmon.exe setzt sich selbst immer wieder (5x probiert) neue haken.
ctfmon.exe lässt sich nur durch den ctfmon remover entfernen, sonst trägt sich der unnütze ctfmon wieder automatisch ein:
Download ctfmon.exe hier:
http://www.chip.de/downloads/CTFMON-Remover_29018580.html
und dieses delta search geht so aus Chrome weg:
http://www.deltasearchremoval.com/de/entfernen-delta-search-from-chrome
Das Log von Malewarebytes sieht recht gut aus.
Ein Image ist ein Abbild Deines Systems nach Neuinstallierung wird dieses dann auf eine externe Festplatte installiert und kann in wenigen Minuten nach einem "Befall" auf Deine Systempartition zurückgespielt werden. Aber das kommt z.Zt. bei Dir nicht in Betracht,
da Du nicht neu installiert hast.
Also erst die beiden vorgeschlagenen Tips durchführen.
« Windows 7: Acer Laptop bootet nicht von CD | Hilfe alles schwarz » | ||