Beiträge von hornor

Wow; Ihr seid ja wirklich klasse.
Das Programm hat 18 infizierte Objekte entdeckt, obwohl der Norton gestern zweimal drüber war und "optimalen Schutz" behauptet hat.
Habe dazu allerdings eine Frage: beim Malware-Scan wurden 237.495 Objekte durchsucht, und wenn der Norton scant meldet der über 300.000 gecheckte Dateien. Was ist der Unterschied zwischen den "Objekten" und den "Dateien"?
...und hier der Bericht:
************************************************************************************
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3913
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

25.03.2010 20:40:41
mbam-log-2010-03-25 (20-40-41).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 237495
Laufzeit: 47 minute(s), 52 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 8
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 5
Infizierte Verzeichnisse: 1
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: c:\windows\system32\sdra64.exe -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: system32\sdra64.exe -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (Userinit.exe) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\WINDOWS\system32\lowsec (Stolen.data) -> Delete on reboot.

Infizierte Dateien:
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Delete on reboot.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Delete on reboot.
C:\WINDOWS\system32\sdra64.exe (Spyware.Zbot) -> Delete on reboot.
*******************************************************************************************************
Habe jetzt allerdings alles schon entfernen lassen.
Dann "Neustart, damit auch die letzten vier in obiger Liste die sich -laut Meldung von Maleware- nicht entfernen ließen, nach dem Neustart nicht installiert werden.

Bin ich damit jetzt "clean" (soweit das natürlich überhaupt möglich ist) und kann z.B. mein Online-Banking wieder aktivieren lassen?

Also, es foxt wieder.
Allen die mir hier Tipps gegeben haben ein herzliches Dankeschön!

Habe heute morgen festgestellt, dass sich -vermutlich in der Zeit als ich mit dem IE im Netz war- ein Trojaner auf meiner Platte eingenistet hatte. (Danke MS )

Habe dann den Norton zweimal drübergejagt und das SP III aufgespielt. War zwar 'ne ellenlange Tortur mit mehreren Abbrüchen und Neustarts, aber jetzt scheint alles wieder ok zu sein.

Danke nochmal.

Im Normalmodus lässt sich der Browser nicht öffnen, und im abgesicherten Modus findet er den Server nicht.

Habe bei der Installation angegeben, dass FF der Standardbrowser sein soll.

Wenn ich im Normalmodus über die T-On-Software im Netz bin ist ja wohl der IE aktiv, weil das deren Standard-Browser ist. Kann das irgendwie zusaamenhängen?

Also funktioniert im abgesicherten Modus nicht.
Da funktioniert allerdings auch IE und T-On (Breitband T-DSL) nicht.

+hmm+...äh*räusper* nee, "natürlich" nicht.
Hol ich gleich nach und mach Meldung.

hi boardrider,
dafür schonmal besten Dank.
Das Extracting hat im abgesicherten Modus funktioniert, wenngleich ich nicht über die F8 da rein bin, sondern über Start>Ausführen>Msconfig.exe.
Der in der von dir verlinkten Seite angegebene Zeitpunkt mit Monitortext "Windows wird gestartet" zum F8 betätigen liegt nämlich zeitlich viel weiter hinten, da ist alles schon gebootet und muß nur noch der Benutzername eingegeben werden.
Allerdings "springt" der Fux jetzt noch nicht an; weder bei direktem Anklicken noch über die Taste mit dem Haus.

Hast du da auch eine Idee, woran es liegen könnte?

hallo, danke erstmal, werd ich mal versuchen; bin da ziemlich "blond" und hoffe ich kriegs hin.
Was soll "beachte Netzwerkunterstützung" heissen? Soll ich die Installation mit oder ohne Netzwerkunterstützung versuchen?

Hallo mal vorweg,
ich "ahne", dass ich mit meinem web.deFF-Problem hier ebenfalls hingehöre.
Bis vor zwei Tagen funktionierte der FF sehr gut; irgendwann dann kam ganz kurz so ein web-de-Fenster mit "Web.de sucht nach Aktualisierungen" (oder so ähnlich) das aber gleich wieder weg war. Und dann ging der Troubble los, das ich den FF nicht öffnen konnte.
Und so gings weiter:
Habe die alte web.de-FF Version gelöscht (inkl. Profilordner) , aber in dem Windows-Verzeichnis "Software" bleibt noch ein Element namens "web.de FirefoxPaket", dass aber im Gegensatz zur restlichen in diesem Ordner befindlichen Software keinen Button "entfernen" hergibt. Das Teil ist da einfach drin, und ich komme nicht dran. (Wobei ich natürlich auch nicht sicher bin, ob ich das für andere Web-de-Features nicht benötige; hab u.a. da auch 'ne Homepage für eine caritative Einrichtung die ich betreue.)

Ich bekomme dann zwar das neue FF-Programm (von der offiziellen) Mozilla-Site in meinen Programm-Ordner, aber wenn ich "Ausführen" will, blinkt ganz kurz das "%-extracting"-Fenster auf, fängt aber nicht an zu "extracten" :wink:

Die weiter oben beschriebene Systemwiederherstellung funktioniert aus mir unverständlichen Gründen auch nicht. Ich kann zwar den Wiederherstellungszeitpunkt eingeben, dann wird auch der ganze Ablauf korrekt durchgeführt, und nach dem automatischen Wiederhochfahren kommt: "Die Systemwiederherstellung konnte nicht [komplett?] durchgeführt werden."

Die in einem vorigen Beitrag gennanten Ordner mit diesen langen Ziffern- und Buchstabenfolgen finde ich ebenfalls nicht auf "C"

Hat hier irgendjemand eine Idee, wie ich den FF mit dem ich bisher super zufrieden bin, hier wieder auf den Rechner bekomme?
Besten Dank schon mal vorab.

Betriebssystem: WIN Xp Home SP II