Problem (Startseite ändert sich von selbst, Pop-Ups)

#0
04.09.2004, 13:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#31 1.Ueberpruefe mit Kaspersky
http://www.kaspersky.com/remoteviruschk.html
C:\WINDOWS\System32\sgcmu7itz0ijr1.exe (gibt es zweimal)
C:\WINDOWS\conscorr.exe

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.09.2004, 13:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#32 Hallo @Bela B.

scanne mit dem HijackThis, fixe, was ich poste, dann sofort neustarten

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowws.cc/hp.htm?id=543
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\s7clzghtoemtr.dll
O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack
O4 - HKLM\..\Run: [Network Security Guard] C:\WINDOWS\System32\sgcmu7itz0ijr1.exe
O4 - HKLM\..\Run: [cleaner] C:\WINDOWS\System32\clnba32keuk57.exe
O4 - HKLM\..\Run: [conscorr] C:\WINDOWS\conscorr.exe
O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [STOPzilla] "C:\Programme\STOPzilla!\Stopzilla.exe" /autorun
O4 - HKCU\..\Run: [Spyware Begone] H:\BT++\freescan.exe -FastScan
O16 - DPF: {CA034DCC-A580-4333-B52F-15F98C42E04C} (Downloader Class) - http://www.stopzilla.com/_dow
O20 - AppInit_DLLs: e01z800ipi531.tlb ivcypkw153sc.tlb 8zoywhmx5l1u5.tlb dsjw7x6jao4fbl.tlb xovk7bk6

neustarten

1.Ueberpruefe mit Kaspersky
http://www.kaspersky.com/remoteviruschk.html
C:\WINDOWS\System32\sgcmu7itz0ijr1.exe (gibt es zweimal)
C:\WINDOWS\conscorr.exe


2. Deinstalliere (und loesche danach alles, was du von den Tools findest)
<Spyware Begone<
<STOPzilla<
<C:\Programme\BullsEye Network\bin\bargains.exe<

3.Loesche unter <Internetoption< die TemporaryInternetfiles (auch die Offline)

4.Lade:
http://www.diamondcs.com.au/index.php?page=apm
Close all windows except HijackThis and fix the lines above.
<start APM.
<waehle: explorer.exe
SUCHE:
C:\WINDOWS\System32\s7clzghtoemtr.dll
In the lower window find and rightclick the BHO from the HijackThis log
klicke auf:Unload DLL und click OK .

5.suche und loesche:
C:\WINDOWS\System32\s7clzghtoemtr.dll

6.<Escan<Virenscanner
http://www.rokop-security.de/board/index.php?showtopic=3867
#Lade eScan (entpacke in C:\bases..die du selbst erstellst)
http://www.mwti.net/antivirus/free_utilities.asp
Nun suchst du eine "kavupd.exe" und anklicken.(kann auch unter Start<Ausfuehren<%temp% sein)
<Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen)
#Gehe in den abgesicherten Modus
http://www.bsi.de/av/texte/winsave.htm
<den Scanner mit der "mwav.exe starten. Alle Häkchen setzen und "Scan clean" klicken.

normal neustarten

7.Deaktiviere die Wiederherstellung
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924
8.scanne noch mal mit mwav.exe und kopiere aus dem Virenlog die infizierten Fies ab und poste sie.
(und das neue Log vom HijackThis, sowie die Infos von Kaspersky)

MFG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 04.09.2004 um 13:38 Uhr von Sabina editiert.
Seitenanfang Seitenende
04.09.2004, 13:07
Member

Beiträge: 16
#33 You're clean!
Kaspersky Anti-Virus has not detected any viruses at this time in the file you submitted.

However, only a fully-functional antivirus solution with regularly updated virus definitions can ensure comprehensive protection against malware. If you do not have an antivirus solution installed, you may wish to consider purchasing one today.

Download a trial version of Kaspersky Anti-Virus

Purchase Kaspersky Anti-Virus in our E-Store

Purchase Kaspersky Anti-Virus from a certified partner


Scanned file: sgcmu7itz0ijr1.exe

sgcmu7itz0ijr1.exe - OK


Statistics:
Known viruses: 98391 Updated: 04-09-2004
File size (Kb): 68 Virus bodies: 0
Files: 1 Warnings: 0
Archives: 0 Suspicious: 0

You're clean!
Kaspersky Anti-Virus has not detected any viruses at this time in the file you submitted.

However, only a fully-functional antivirus solution with regularly updated virus definitions can ensure comprehensive protection against malware. If you do not have an antivirus solution installed, you may wish to consider purchasing one today.

Download a trial version of Kaspersky Anti-Virus

Purchase Kaspersky Anti-Virus in our E-Store

Purchase Kaspersky Anti-Virus from a certified partner


Scanned file: conscorr.ini

conscorr.ini - OK


Statistics:
Known viruses: 98391 Updated: 04-09-2004
File size (Kb): 1 Virus bodies: 0
Files: 1 Warnings: 0
Archives: 0 Suspicious: 0
Dieser Beitrag wurde am 04.09.2004 um 13:08 Uhr von Bela B. editiert.
Seitenanfang Seitenende
04.09.2004, 13:11
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#34 C:\WINDOWS\sgcmu7itz0ijr1.exe
C:\WINDOWS\conscorr.exe

Verdächtige Dateien sende bitte an virus@free-av.de . Diese virulenten Dateien packe falls möglich in ein Zip-Archiv und versehe dieses mit dem Passwort "virus".

Dann arbeite die anderen Punkte alle ab.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 04.09.2004 um 13:16 Uhr von Sabina editiert.
Seitenanfang Seitenende
04.09.2004, 13:18
Member

Beiträge: 16
#35 Wo finde ich die Temporary Internetfiles?
Seitenanfang Seitenende
04.09.2004, 13:19
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#36 u.a.unter <Internetoptionen<
_________________________________________________________________________
Leere die folgenden Ordner:

C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Verlauf\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Verlauf\History.IE5\*.*
C:\Dokumente und Einstellungen\Default User\Recent\*.*
C:\Dokumente und Einstellungen\Username\Cookies\*.*
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\*.*
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temporary Internet Files\*.*
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Verlauf\*.*
C:\Dokumente und Einstellungen\Username\Recent\*.*
C:\Dokumente und Einstellungen\LocalService\Cookies
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temp\*.*
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\*.*
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\*.*
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\*.*
C:\D앯kumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\*.*
C:\Dokumente und Einstellungen\NetworkService\Cookies\*.*
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temp\*.*
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\*.*
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\*.*
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4XEZWTUZ\*.*
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Verlauf\History.IE5\*.*
C:\WINDOWS\Internet Logs\*.txt ( Alle Textdateien )

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 04.09.2004 um 13:21 Uhr von Sabina editiert.
Seitenanfang Seitenende
04.09.2004, 13:21
Member

Beiträge: 16
#37 ???
Komisch also ich hab keinen Ordnen der Internetoptionen heisst.
Seitenanfang Seitenende
04.09.2004, 13:23
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#38 Systemsteuerung<Internetexplorer<
oder der direkte Pfad, wie oben gepostet.
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 04.09.2004 um 13:36 Uhr von Sabina editiert.
Seitenanfang Seitenende
04.09.2004, 13:25
Member

Beiträge: 16
#39 Also ich hab von denen oben angegeben Pfaden nur den Cookies alle anderen hab ich nicht.
Seitenanfang Seitenende
04.09.2004, 13:32
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#40 Du hast doch bestimmt unter Systemsteuerung die Option<Internetoption<Inhalte<Temporaryinternetfiles<

http://www.muenster.de/~hotline/einstellungen/iexplorer.html

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 04.09.2004 um 13:40 Uhr von Sabina editiert.
Seitenanfang Seitenende
04.09.2004, 13:41
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#41 Dann gehe in die registry
Start<Ausfuehren<regedit
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows
poste, was unter diesem Schluessel verzeichnet steht:
<AppInit_DLLs <
_____________________________________________________________________
und dann alle anderen Punkt abarbeiten (!)

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 04.09.2004 um 13:42 Uhr von Sabina editiert.
Seitenanfang Seitenende
04.09.2004, 13:44
Member

Beiträge: 16
#42 Was sollte dort stehen?
Unter Typ steht RegSZ mehr steht da nicht dabei.
Seitenanfang Seitenende
04.09.2004, 14:03
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#43 ist o.k.

nun
C:\WINDOWS\sgcmu7itz0ijr1.exe
C:\WINDOWS\conscorr.exe

Verdächtige Dateien sende bitte an virus@free-av.de . Diese virulenten Dateien packe falls möglich in ein Zip-Archiv und versehe dieses mit dem Passwort "virus".

Dann arbeite die anderen Punkte alle ab.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 04.09.2004 um 14:04 Uhr von Sabina editiert.
Seitenanfang Seitenende
04.09.2004, 14:06
Member

Beiträge: 16
#44 Und was bringt mir dass wenn ich die Dateien dort hinschicke?
Seitenanfang Seitenende
04.09.2004, 14:07
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#45 Weil es wahrscheinlich ein neuer Wurm ist, wird alles analysiert und beim naechsten Virenupdate, wird die Malware erkannt und geloescht.
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 19.12.2004 um 16:22 Uhr von Sabina editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »