Hildegard

Member
  • Content Count

    12
  • Joined

  • Last visited

Posts posted by Hildegard


  1. Moin,

     

    Na, den Beta Tester Preis des Jahres hab ich wohl sicher ;)

     

    Wo nix ist, ist nix :D :D  Danke!!

     

     

    Aber ein paar offene Fragen hätte ich noch, bestenfalls teile ich die in kleinere handliche Portionen :ph34r:

     

     

    1. Sind das hier für mein System, genauer gefragt für mich und meine Nutzung legitime Einträge?

    Genauer gefragt, warum auf einmal alles Syswow64,AMD64, Windows Shell usw... ?

     

     

    0.6s C:\Windows\SysWOW64\ieframe.dll
    0.0s C:\Windows\System32\ieframe.dll

     

              4.0s C:\Windows\winsxs\amd64_microsoft-windows-ie-antiphishfilter_31bf3856ad364e35_11.2.9600.16476_none_ddee586780c80950\
              4.0s C:\Windows\winsxs\x86_microsoft-windows-ie-antiphishfilter_31bf3856ad364e35_11.2.9600.16476_none_81cfbce3c86a981a\
              4.0s C:\Windows\winsxs\amd64_microsoft-windows-ie-htmlrendering_31bf3856ad364e35_11.2.9600.16476_none_f59f54ac3732f833\
              4.0s C:\Windows\winsxs\wow64_microsoft-windows-ie-htmlrendering_31bf3856ad364e35_11.2.9600.16476_none_fff3fefe6b93ba2e\

    4.9s C:\Windows\System32\catroot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Package_for_KB2898785~31bf3856ad364e35~amd64~~11.2.1.0.cat

    11.9s C:\Windows\winsxs\FileMaps\$$_system32_spp_tokens_ppdlic_0f09ba294211a24b.cdf-ms

     

     

     

    2. Diese überschneidungen der Sprache im Betriebssystem, ich mein vor ein paar Wochen war die Mischung 80% Englisch, 20% Deutsch. :D

    Heute ist es umgekehrt, also 80% deutsch, und 20% Englisch :ph34r:. Und diese dann recht stümperhaft übersetzt, siehe Screenshot 1 + 2.

     

    Normal?

     

     

    3. Die Keylogger (Screenshot Keylogger), hoffentlich auch kein Grund zur Sorge??  :ph34r:

     

     

    4. Was hattest du erhofft zu finden in der MBR? (rein Intressenhalber :) :) :) )

     

     

     

    Den Bayan.i.safe sehe ich eher als "Bauernopfer", will ich aber auch nicht vorenthalten....

     

     

    Banyan.iSafe: [sBI $F8D66FFE] Program directory (Directory, nothing done)
      C:\Program Files (x86)\iSafe\
      Directory.subfile=C:\Program Files (x86)\iSafe\Log\bugreport.zip
      Directory.subfile.size=10243
      Directory.subfile.md5=73A8D3A94F3FC439E46671AD941146CC
      Directory.subfile.filedate=1387472981
      Directory.subfile.filedatetext=2013-12-19 18:09:40
      Directory.subfile=C:\Program Files (x86)\iSafe\Log\iSafeKrnlCall.log
      Directory.subfile.size=590
      Directory.subfile.md5=C3D1B9E615310008286BAE1DD32A2D1E
      Directory.subfile.filedate=1387472992
      Directory.subfile.filedatetext=2013-12-19 18:09:51
      Directory.subfile=C:\Program Files (x86)\iSafe\Log\iSafeSvc.LOG
      Directory.subfile.size=1566
      Directory.subfile.md5=FB71EBBF85190F40E8A331A8A45BD48F
      Directory.subfile.filedate=1387472986
      Directory.subfile.filedatetext=2013-12-19 18:09:46

     

     

     

    Danke nochmal für den Support !!!

     

    Grüße,

     

    eure Hildegard ;)

     


  2. Detected Windows version: 6.1 Build 7601 Service Pack 1
    Driver connection handle: 0x0000027C
    1 valid drive(s) found.
     
    Details for Disk 0 - KINGSTON SV300S37A60G Rev 505ABBF1:
      Device name              : \\.\PhysicalDrive0
      Geometry (C/H/S)         : 7297/255/63
      Boot loader reputation   : Known Good (Windows 7)
      Cross view comparison    : Passed
      Partition table integrity: Passed
     
      Boot loader hashes
        SHA-1                  : 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79
        MD5                    : A36C5E4F47E84449FF07ED3517B43A31
     
     


  3. Autsch,

     

    gleich Ihr "Lieblingsthema"....... :wub:  :wub:  :wub:

     

    Anyway, es bleibt dabei, anderenfalls bin ich reif für die Klinik..... :ph34r: :ph34r: :ph34r:

     

    Es wurde intern wie extern, rauf und runter formatiert, schnell und langsam gewiped und das alles mit diversen Tools innerhalb und ausserhalb von Windows, von mir und zwecks Kontrolle auch von meinem Nachbarn.

     

    Ein Android Mini PC welcher ebenfalls infiziert wurde hat gemeldet, das sich Malware in den geschützten Speicher eingeschrieben hat.... wie weit das als "Schlupfloch" vor dem "format c:" Befehl dienen könnte bin ich fachlich nicht im stande zu beurteilen.....  <_<

     

    Seit zwei Tagen beschäftige ich mich auch wieder mit dem Netbook meiner Mutter welches ebenfalls infiziert und auch formatiert wurde, doch dieses gehört nicht in diesen Thread und ich verkneif mir mal lieber mein laienhaftes Beobachtungs-, bzw. Erkenntnissprotokoll..... bis auf die Kleinigkeit das sich hier wie dort ein OS wechsel vollzieht, von Win7 nach WinXp, siehe Screenshot 1+2, und Hitman die gleichen Dateien "meldet" (Screenshot 3) und übrigens auch das Wort "geschützter Speicher" fällt..... <_<

     

    Der Inder (Screenshot 4), hat mein 16 stelliges Facebook Passwort vermutlich von Gaya persönlich ins Ohr geflüstert bekommen, da legst die nieda  :D  :D  :D.

     

    Die angeforderte Emsisoft MBR Master Aufgabe erledige ich jetzt im Anschluss, muss mich erstmal neu verkabeln da ich wieder einmal mit Tails unterwegs bin....

     

     

    "Lieblingsthema" :P :P :P :P...... Wünsche auch "Frohe Weihnachten" ^_^.


  4. :D :D :D :D :D LOOOL  http://www.trojaner-board.de/145631-windows7-spyware-infekt-komplette-traffic-umleitung-versteckte-images-eventueller-hardwaregestuetzter-backdoor-3.html

     

    :P :P  :P  :P Meister, bei deinem Humor könnte man glatt auf die Idee kommen dein Name sei Markus und du vertikkst die "blauen Pillen" von Joanna Rutkowska.

     

    ;)  ;)  ;)

     

     

    Zitat:
    meine Oma ist am Montag gestorben und ich brauchte eine Auszeit.
    Mein Beileid.
    Zitat:
    Was ist nur aus dem guten alten Format C: geworden
    Das hilft auch weiterhin tadellos

     

     

    Anyway,

     

    Die hundertzwanzigste Nachtschicht war nicht ganz umsonst wie du eventuell aus Zeile 2 entnehmen konntest  :ph34r:  :ph34r:.

     

    Was denkst du, könnte das bei mir hier ein Virtual Machine Based Rootkit (VMBR) sein? :ph34r: :ph34r:

     

     

    Gruß aus dem Dschungel :D :D

     

     

     

    Anhänge: Eigentlich selbsterklärend bis auf DSCN0702.JPG. Dieser Screenshot ist beim Ladevorgang der S&D2 Boot CD entstanden.... 

     


  5. Moin, "wieder" ausgeführt wie aufgegeben.... 

     

    Combofix ist ohne Fehlermeldung durchgelaufen, lediglich der Moment wo der cmd Bildschirm "blau" wird hat sich über 30 Min hingezogen.....

     

    Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

     

    Auch diese ist "ausgeblieben".....  :ph34r:  :ph34r:

     

     

    Zeitlich bist du vermutlich ziemlich unter Druck, doch bitte ich Dich bei passender Gelegenheit ein kurzes Feedback rüberkommen zu lassen.

    Ich mein das ganze geht mir schon derbe an die Nieren..... 

     

    Auch wenn ich nicht dein Fachwissen vorweisen kann, bin ich verglichen mit "Otto normal" schon "fähig" und meine häusliche IT liegt mir mindestens genau so am Herzen wie dir deine.

     

    Na ja, zurück zum Thema...

     

    Ich finde die unstimmigkeit über den format c: Befehl als Allheilmittel sollten wir ggf. weiter ausführen....

     

    Wenn ich dir doch schreibe unzählige male, auf unterschiedlichste Art und Weise die Festplatte formatiert zu haben, (gewiped (schnell und lang (über Nacht also)), intern, extern, über Linux und von Dateiformat A, nach B und zurück und und und..... 

     

    Und du sagst, format c funktioniert, dann muss das doch signifikant den Radius von möglichen Schädlingen eingrenzen???

     

    Falls nicht, bleiben doch nur folgende Schritte sofern man das ganze hier Ernst nimmt.

     

    Mich formatieren lassen, OS neuaufsetzen und Log Dateien anfordern.

     

    - Bleibt es bei meiner Aussage, dann entschuldige bitte meine direkte Ansprache, "sollte deine Neugierde bezüglich der bei mir platzierten Schadsoftware eigentlich "geweckt sein". 

     

    - Bleibt es bei Deiner Aussage, bist du mich "los" und alle sind zufrieden.

     

    Danke für deinen Support nochmal, bin dir dafür echt dankbar und empfinde das alles nicht als selbverständlich das du das machst!!

     

    :ph34r:  :ph34r:  :ph34r:  :ph34r:

     

    Anhänge:

     

    Prozesse.PNG - Screenshot der laufenden Prozesse beim ausführen von Combofix.

    jo.jo + 2.PNG + Zertifikat 1 + Zertifikat 2 = ist mir so aufgefallen  

    dateiscreen: Habe ich mal ausgeführt.... 


  6. So, zurück von der Messdienerversammlung  :ph34r:  :ph34r:

     

    Hab da schon noch ein zwei Fragen....  :blush:

     

    Also, z.B.:

     

    1. Sind mir diese Ordner, bzw. Systemrelevanten Dateipfade "neu", sprich unbekannt für mich " winsxs syswow64 appdata amd64 Roaming shell32 "

    - Siehe Beispielhaft 1.1 bis 1.3

     

    2. Diese Form von Fehlermeldungen, bzw. "Warnungen", insbesondere geladene Module und Dateipfade sind mir auch "neu".

     

    Siehe restliche Screenshots und Log Dateien von Hitman, sowie Aufrufe mich mal im Forum zu melden ( Foto 2), davon gab es übrigens diverse....

     

    3. Sind das etwa "Augen" in der Namensbezeichnung ("Hitman - Befunde_Sind das ...png) ???  :D  :D  Da legst di echt nieda.....  :D  :D

     

    4. Das virtuelle Keyboard bootet sicherlich auch nicht aus langeweile, ah ja, die Ordnungsnummer Fehlermeldung kommt seit kurzem regelmäßig

    ....   <_<  <_<  <_<

     
    5.  Ich war ja auch fleissig und habe mich mal mit Hitman und VirusTotal beschäftigt  :ph34r:  :ph34r:  :ph34r:  und was OnlineAmor so durchwinkt..... und so  :ph34r:  :ph34r:
    Siehe " *txt und *log Dateien".
     
    6. Installierte Programme "uninstall list", auch "kurios" in meinen Augen. Dazu kommt das ich "Microsoft Visual C" Komponenten nicht deinstallieren kann, er verlangt nach einem Datenträger....  :mad:  Genau so wie "Catalyst Control Center" usw.....
     
     
     
    Und wer noch Zeit und Lust hast findet hier noch ein paar "ältere" Screenshots....: https://plus.google.com/photos/117179433350802152239/albums/5958107339085443745
     
     

     

     

     

     

     


  7. Fix mit FRST

    Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

    Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

    ProxyEnable: Internet Explorer proxy is enabled.

    ProxyServer: localhost:21320

    Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

    • Starte nun FRST erneut und klicke den Fix Button.
    • Das Tool erstellt eine Fixlog.txt.
    • Poste mir deren Inhalt.

     

    Erledigt..... und nun?   :ph34r:  :ph34r:  

     

     

     

    ****

     

     

    Versteh ich nicht  :)

     

    Ja mei, da legst di nieder.....  :wub:   :D   :wub:  :D  :wub:

     

     

    Grüße,

     

    :ph34r:  :ph34r:  :ph34r:


  8. Moin Supporter.

     

    Also, Log`s im Anhang. 

     

    Weil ich das Passwort für Avast unschön vergessen habe aufzuschreiben, habe ich es vorhin deinstallieren müssen.

     

    Oh Wunder, siehe da, auf einmal "funktioniert" Update + Registrierung und Online Amor....  :rolleyes:  :rolleyes:  :rolleyes:

     

    Die Flachzange hat aber immer noch "Zugriff"   :wub:  :wub:  :wub:

     

    Ein neuer Scan heute hat, "oh Wunder" 13 cookies gefunden, siehe ebenfalls angehängte Log.....

     

    Danke!!

     

     


  9. Sehr geehrtes Emsisoft Support Team.   :ph34r:

     

    Ich beschäftige mich schon länger mit der ausfindig machung, bw. benennung des mir auferlegten Trojaner Systems (Erfolglos). :angry:

     

    Um so glücklicher bin ich endlich bei euch angekommen zu sein   :D   :D   :D

     

    Bei mir läuft ein wirklich mieses Spyware System, doch lange rede kurzer Sinn, im Anhang die Log Dateien. 

     

    Ich würde, bzw. kann direkt eine Lizenz erwerben, jedoch bin ich aktuell froh das die Konfiguration jetzt erstmal läuft und ohne Supportanweisung ändere ich daran nur ungern etwas.

     

      

     

    Das Programm lässt sich nicht updaten (Es konnte keine Verbindung zum Update Server.....)

     

    Die Firewall gibt beim Programmstart eine "Host Fehler", Fehlermeldung aus.

     

    Leider habe ich bisher das Emergency Kit ausgeführt, ohne "Desktop" Überlagerung + gefundene Dateien in Qarantäne verschoben.  <_<

     

    Freue mich auf euer Feedback!

     

    :ph34r: