Hallo valeska.
der Fix wurde nicht richtig durchgefuehrt. Nimm diessmal den Anhang und kopiere den in das grosse Feld von OTL.
ciao, andreas
Hallo valeska.
der Fix wurde nicht richtig durchgefuehrt. Nimm diessmal den Anhang und kopiere den in das grosse Feld von OTL.
ciao, andreas
hey,
ich habe es nochmal durchlaufen lassen, ergebnis sieht glaube ich besser aus.
danke valeska
Hallo valeska,
2.) Rechner startet neu, Windows "normal" starten und berichten, ob der Sperrbildschirm noch erscheint.
ciao, andreas
Hallo andreas,
der Sperrbildschirm ist weg. Für otl-fix schon fast normal neu gestartet, jetzt auch nach aus- und an machen. aber eine Fehlermeldung:
C:\Users\LYDIAS-1\AppDataLocal\Temp\install_0_msi.exe
das ist ein msi-(U100) netbook.....
Desktop sieht glaube ich normal aus, habe aber noch nichts geöffnet.
gruß, valeska
Hallo valeska,
der Sperrbildschirm ist weg.
Schritt 1: Entsperren, so dass du wieder "normal" starten kannst. Erledigt.
Die Internetmafia geben den Schaedlingen gerne Namen, die falsch sind. Das hat ueberhaupt nichts mit deinem Netbook zu tun. Warte ab bis Malwarebytes fertig ist, dann ist auch die Fehlermeldung weg.aber eine Fehlermeldung:
C:\Users\LYDIAS-1\AppDataLocal\Temp\install_0_msi.exe
das ist ein msi-(U100) netbook.....
Schritt 2: Schaedlinge killen. Offen.
Schritt 3: Sicherheitsluecken schließen. Offen.
Schritt 4: Aufraeumen und Absicherung. Offen.
1.) Welcher Browser wird benutzt?
2.) Bereinigung mit Malwarebytes' Anti-Malware (Komplett-Scan)
Mache bitte mit Malwarebytes' Anti-Malware einen Komplett-Scan nach dieser Anleitung und poste das Logfile hier in den Thread.
3.) Malware-Scan mit Emsisoft Anti-Malware
Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.
Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.
Deinstalliere Emsisoft.
4.) ESET Online Scanner
Vorbereitung
- Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
- Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.
- Vista/Win7-User: Bitte den Browser unbedingt als Administrator starten.
Los geht's
- Lade und starte Eset Smartinstaller
- Haken setzen bei YES, I accept the Terms of Use.
- Klick auf Start.
- Haken setzen bei Remove found threads und Scan archives.
- Klick auf Start.
- Signaturen werden heruntergeladen, der Scan beginnt automatisch.
- Finish drücken.
- Browser schließen.
- Explorer öffnen.
- C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
- Logfile hier posten.
- Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
- Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset
ciao, andreas
hallo andreas,
habe meine hausarbeiten hier noch nicht ganz fertig, Teillösung:
1. Malwarebytes hat ergeben:
Anbieter: Trojan.Ransom.Gen
Kategorie: File
Ort: C:\Users\**\AppData\Roaming\Microsoft\Windows...
bringt das was?
2. Emisoft hat lange geladen, sagt mir beim Öffnen aber, dass für Win7 Servicepack 1 nötig wäre - laut Internetseite ist dem nicht so. finde auch kein Service...1
wie soll ich da verfahren?
danke, valeska
Hallo valeska,
Hast du das entfernen lassen?bringt das was?
Eigentlich moechte ich das komplette Log von Malwarebytes haben. Starte Malwarebytes => Karte: Logdateien => Doppelklick auf den entsprechenden Eintrag => kompletten Text hier reinkopieren.
Emsisoft ueberspringen, weiter mit Eset.wie soll ich da verfahren?
ciao, andreas
Code:Malwarebytes Anti-Malware (Test) 1.62.0.1300 www.malwarebytes.org Datenbank Version: v2012.08.15.06 Windows 7 x86 NTFS Internet Explorer 9.0.8112.16421 Lydia Schimpf :: VALESKA [Administrator] Schutz: Aktiviert 15.08.2012 18:15:36 mbam-log-2012-08-15 (18-15-36).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 287304 Laufzeit: 1 Stunde(n), 15 Minute(n), 51 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 1 C:\Users\Lydia Schimpf\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk (Trojan.Ransom.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende)Code:2012/08/15 18:08:24 +0200 VALESKA Lydia Schimpf MESSAGE Starting protection 2012/08/15 18:08:25 +0200 VALESKA Lydia Schimpf MESSAGE Executing scheduled update: Daily 2012/08/15 18:08:37 +0200 VALESKA Lydia Schimpf MESSAGE Protection started successfully 2012/08/15 18:08:40 +0200 VALESKA Lydia Schimpf MESSAGE Starting IP protection 2012/08/15 18:08:51 +0200 VALESKA Lydia Schimpf MESSAGE IP Protection started successfully 2012/08/15 18:11:06 +0200 VALESKA Lydia Schimpf MESSAGE Starting database refresh 2012/08/15 18:11:06 +0200 VALESKA Lydia Schimpf MESSAGE Stopping IP protection 2012/08/15 18:11:30 +0200 VALESKA Lydia Schimpf MESSAGE Scheduled update executed successfully: database updated from version v2012.07.03.05 to version v2012.08.15.06 2012/08/15 18:21:33 +0200 VALESKA Lydia Schimpf MESSAGE IP Protection stopped 2012/08/15 18:21:56 +0200 VALESKA Lydia Schimpf MESSAGE Database refreshed successfully 2012/08/15 18:21:56 +0200 VALESKA Lydia Schimpf MESSAGE Starting IP protection 2012/08/15 18:22:06 +0200 VALESKA Lydia Schimpf MESSAGE IP Protection started successfully
Hallo valeska,
so ist viel besser.
Die Fehlermeldung beim Start wird nicht mehr kommen.
ciao, andreas
Hallo andreas,
habe die Sachen gemacht, hier der log.txt von Emisoft.
ich nutze Internet Explorer.
die gefundene Sache nach dem Malware Programm habe ich entfernt.
Emisoft deinstalliert.
langsam macht es Spaß, bitte nächstes ;-)
danke, valeskaCode:ESETSmartInstaller@High as CAB hook log: OnlineScanner.ocx - registred OK # version=7 # iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330) # OnlineScanner.ocx=1.0.0.6583 # api_version=3.0.2 # EOSSerial=4b7e2a35f09cd94fb0aa9b01997ae660 # end=finished # remove_checked=true # archives_checked=true # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2012-08-16 08:41:34 # local_time=2012-08-16 10:41:34 (+0100, Mitteleuropäische Sommerzeit) # country="Germany" # lang=1031 # osver=6.1.7600 NT # compatibility_mode=1797 16775165 100 94 261180 81636203 325272 0 # compatibility_mode=5893 16776573 100 94 933 96730538 0 0 # compatibility_mode=8192 67108863 100 0 944 944 0 0 # scanned=127385 # found=5 # cleaned=5 # scan_time=7150 C:\_OTL\MovedFiles\08152012_164540\C_Users\Lydia Schimpf\AppData\Local\Temp\install_0_msi.exe Variante von Win32/Reveton.I Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert) 00000000000000000000000000000000 C I:\Eigene Dateien\LimeWire\Saved\overload zappacosta.wma möglicherweise Variante von Win32/Agent.NTUFNLO Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert) 00000000000000000000000000000000 C I:\Eigene Dateien\LimeWire\Saved\overload.wma möglicherweise Variante von Win32/Agent.IIJHCBR Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert) 00000000000000000000000000000000 C I:\Kopien Netbook 11_11\Beuth\beuth\Krankenhaus\Ly\SoftonicDownloader_fuer_pccontrol.exe Variante von Win32/SoftonicDownloader.A Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert) 00000000000000000000000000000000 C I:\Kopien Netbook 11_11\Beuth\SoSe 11\schmidt\Krankenhaus\Ly\SoftonicDownloader_fuer_pccontrol.exe Variante von Win32/SoftonicDownloader.A Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert) 00000000000000000000000000000000 C
Berechtigungen
Lesezeichen