Problem (Startseite ändert sich von selbst, Pop-Ups) |
||
---|---|---|
#0
| ||
04.09.2004, 13:04
Ehrenmitglied
Beiträge: 29434 |
||
|
||
04.09.2004, 13:04
Ehrenmitglied
Beiträge: 29434 |
#32
Hallo @Bela B.
scanne mit dem HijackThis, fixe, was ich poste, dann sofort neustarten R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowws.cc/hp.htm?id=543 R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\s7clzghtoemtr.dll O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack O4 - HKLM\..\Run: [Network Security Guard] C:\WINDOWS\System32\sgcmu7itz0ijr1.exe O4 - HKLM\..\Run: [cleaner] C:\WINDOWS\System32\clnba32keuk57.exe O4 - HKLM\..\Run: [conscorr] C:\WINDOWS\conscorr.exe O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe O4 - HKLM\..\Run: [STOPzilla] "C:\Programme\STOPzilla!\Stopzilla.exe" /autorun O4 - HKCU\..\Run: [Spyware Begone] H:\BT++\freescan.exe -FastScan O16 - DPF: {CA034DCC-A580-4333-B52F-15F98C42E04C} (Downloader Class) - http://www.stopzilla.com/_dow O20 - AppInit_DLLs: e01z800ipi531.tlb ivcypkw153sc.tlb 8zoywhmx5l1u5.tlb dsjw7x6jao4fbl.tlb xovk7bk6 neustarten 1.Ueberpruefe mit Kaspersky http://www.kaspersky.com/remoteviruschk.html C:\WINDOWS\System32\sgcmu7itz0ijr1.exe (gibt es zweimal) C:\WINDOWS\conscorr.exe 2. Deinstalliere (und loesche danach alles, was du von den Tools findest) <Spyware Begone< <STOPzilla< <C:\Programme\BullsEye Network\bin\bargains.exe< 3.Loesche unter <Internetoption< die TemporaryInternetfiles (auch die Offline) 4.Lade: http://www.diamondcs.com.au/index.php?page=apm Close all windows except HijackThis and fix the lines above. <start APM. <waehle: explorer.exe SUCHE: C:\WINDOWS\System32\s7clzghtoemtr.dll In the lower window find and rightclick the BHO from the HijackThis log klicke auf:Unload DLL und click OK . 5.suche und loesche: C:\WINDOWS\System32\s7clzghtoemtr.dll 6.<Escan<Virenscanner http://www.rokop-security.de/board/index.php?showtopic=3867 #Lade eScan (entpacke in C:\bases..die du selbst erstellst) http://www.mwti.net/antivirus/free_utilities.asp Nun suchst du eine "kavupd.exe" und anklicken.(kann auch unter Start<Ausfuehren<%temp% sein) <Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen) #Gehe in den abgesicherten Modus http://www.bsi.de/av/texte/winsave.htm <den Scanner mit der "mwav.exe starten. Alle Häkchen setzen und "Scan clean" klicken. normal neustarten 7.Deaktiviere die Wiederherstellung http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 8.scanne noch mal mit mwav.exe und kopiere aus dem Virenlog die infizierten Fies ab und poste sie. (und das neue Log vom HijackThis, sowie die Infos von Kaspersky) MFG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 04.09.2004 um 13:38 Uhr von Sabina editiert.
|
|
|
||
04.09.2004, 13:07
Member
Beiträge: 16 |
#33
You're clean!
Kaspersky Anti-Virus has not detected any viruses at this time in the file you submitted. However, only a fully-functional antivirus solution with regularly updated virus definitions can ensure comprehensive protection against malware. If you do not have an antivirus solution installed, you may wish to consider purchasing one today. Download a trial version of Kaspersky Anti-Virus Purchase Kaspersky Anti-Virus in our E-Store Purchase Kaspersky Anti-Virus from a certified partner Scanned file: sgcmu7itz0ijr1.exe sgcmu7itz0ijr1.exe - OK Statistics: Known viruses: 98391 Updated: 04-09-2004 File size (Kb): 68 Virus bodies: 0 Files: 1 Warnings: 0 Archives: 0 Suspicious: 0 You're clean! Kaspersky Anti-Virus has not detected any viruses at this time in the file you submitted. However, only a fully-functional antivirus solution with regularly updated virus definitions can ensure comprehensive protection against malware. If you do not have an antivirus solution installed, you may wish to consider purchasing one today. Download a trial version of Kaspersky Anti-Virus Purchase Kaspersky Anti-Virus in our E-Store Purchase Kaspersky Anti-Virus from a certified partner Scanned file: conscorr.ini conscorr.ini - OK Statistics: Known viruses: 98391 Updated: 04-09-2004 File size (Kb): 1 Virus bodies: 0 Files: 1 Warnings: 0 Archives: 0 Suspicious: 0 Dieser Beitrag wurde am 04.09.2004 um 13:08 Uhr von Bela B. editiert.
|
|
|
||
04.09.2004, 13:11
Ehrenmitglied
Beiträge: 29434 |
#34
C:\WINDOWS\sgcmu7itz0ijr1.exe
C:\WINDOWS\conscorr.exe Verdächtige Dateien sende bitte an virus@free-av.de . Diese virulenten Dateien packe falls möglich in ein Zip-Archiv und versehe dieses mit dem Passwort "virus". Dann arbeite die anderen Punkte alle ab. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 04.09.2004 um 13:16 Uhr von Sabina editiert.
|
|
|
||
04.09.2004, 13:18
Member
Beiträge: 16 |
#35
Wo finde ich die Temporary Internetfiles?
|
|
|
||
04.09.2004, 13:19
Ehrenmitglied
Beiträge: 29434 |
#36
u.a.unter <Internetoptionen<
_________________________________________________________________________ Leere die folgenden Ordner: C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\*.* C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\*.* C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\*.* C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Verlauf\*.* C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Verlauf\History.IE5\*.* C:\Dokumente und Einstellungen\Default User\Recent\*.* C:\Dokumente und Einstellungen\Username\Cookies\*.* C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\*.* C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temporary Internet Files\*.* C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Verlauf\*.* C:\Dokumente und Einstellungen\Username\Recent\*.* C:\Dokumente und Einstellungen\LocalService\Cookies C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temp\*.* C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\*.* C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\*.* C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\*.* C:\D앯kumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\*.* C:\Dokumente und Einstellungen\NetworkService\Cookies\*.* C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temp\*.* C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\*.* C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\*.* C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4XEZWTUZ\*.* C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Verlauf\History.IE5\*.* C:\WINDOWS\Internet Logs\*.txt ( Alle Textdateien ) mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 04.09.2004 um 13:21 Uhr von Sabina editiert.
|
|
|
||
04.09.2004, 13:21
Member
Beiträge: 16 |
#37
???
Komisch also ich hab keinen Ordnen der Internetoptionen heisst. |
|
|
||
04.09.2004, 13:23
Ehrenmitglied
Beiträge: 29434 |
#38
Systemsteuerung<Internetexplorer<
oder der direkte Pfad, wie oben gepostet. Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 04.09.2004 um 13:36 Uhr von Sabina editiert.
|
|
|
||
04.09.2004, 13:25
Member
Beiträge: 16 |
#39
Also ich hab von denen oben angegeben Pfaden nur den Cookies alle anderen hab ich nicht.
|
|
|
||
04.09.2004, 13:32
Ehrenmitglied
Beiträge: 29434 |
#40
Du hast doch bestimmt unter Systemsteuerung die Option<Internetoption<Inhalte<Temporaryinternetfiles<
http://www.muenster.de/~hotline/einstellungen/iexplorer.html mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 04.09.2004 um 13:40 Uhr von Sabina editiert.
|
|
|
||
04.09.2004, 13:41
Ehrenmitglied
Beiträge: 29434 |
#41
Dann gehe in die registry
Start<Ausfuehren<regedit HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows poste, was unter diesem Schluessel verzeichnet steht: <AppInit_DLLs < _____________________________________________________________________ und dann alle anderen Punkt abarbeiten (!) mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 04.09.2004 um 13:42 Uhr von Sabina editiert.
|
|
|
||
04.09.2004, 13:44
Member
Beiträge: 16 |
#42
Was sollte dort stehen?
Unter Typ steht RegSZ mehr steht da nicht dabei. |
|
|
||
04.09.2004, 14:03
Ehrenmitglied
Beiträge: 29434 |
#43
ist o.k.
nun C:\WINDOWS\sgcmu7itz0ijr1.exe C:\WINDOWS\conscorr.exe Verdächtige Dateien sende bitte an virus@free-av.de . Diese virulenten Dateien packe falls möglich in ein Zip-Archiv und versehe dieses mit dem Passwort "virus". Dann arbeite die anderen Punkte alle ab. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 04.09.2004 um 14:04 Uhr von Sabina editiert.
|
|
|
||
04.09.2004, 14:06
Member
Beiträge: 16 |
#44
Und was bringt mir dass wenn ich die Dateien dort hinschicke?
|
|
|
||
04.09.2004, 14:07
Ehrenmitglied
Beiträge: 29434 |
#45
Weil es wahrscheinlich ein neuer Wurm ist, wird alles analysiert und beim naechsten Virenupdate, wird die Malware erkannt und geloescht.
__________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 19.12.2004 um 16:22 Uhr von Sabina editiert.
|
|
|
||
http://www.kaspersky.com/remoteviruschk.html
C:\WINDOWS\System32\sgcmu7itz0ijr1.exe (gibt es zweimal)
C:\WINDOWS\conscorr.exe
mfg
Sabina
__________
MfG Sabina
rund um die PC-Sicherheit