Problem (Startseite ändert sich von selbst, Pop-Ups)

#61 Nun suchst du eine "kavupd.exe" und anklicken.(kann auch unter Start<Ausfuehren<%temp% sein oder in C:\bases)
<Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen)

Wenn das Updaten abgeschlossen ist, gehst du in den abgesicherten Modus, suchste ine mwav.exe (ist der Scanner), setzt alle Haeckchen und <<<Scann.

Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#62 Ich hab ein großes problem kann mir wer helfen? ich kenn mich nicht so mit computern aus! ich werde immer auf andere seiten weitergeleitet und kann mir bitte jemand helfen, damit das wieder verschwindet?
HijackThis hat mir das hier rausgegeben:


Logfile of HijackThis v1.98.2
Scan saved at 18:38:25, on 19.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartService.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\mnmsrvc.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\Dit.exe
C:\Program Files\Windows SyncroAd\SyncroAd.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Program Files\Windows SyncroAd\WinSync.exe
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\Dokumente und Einstellungen\Amberg\Anwendungsdaten\dsk?.exe
C:\Programme\NoURL\NoURL.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: CHelper Object - {2B3452C5-1B9A-440F-A203-F6ED0F64C895} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKCU\..\Run: [msmc] C:\WINDOWS\System32\msmc.exe
O4 - HKCU\..\Run: [Rlos] C:\Dokumente und Einstellungen\Amberg\Anwendungsdaten\dsk?.exe
O4 - Startup: NoURL.lnk = C:\Programme\NoURL\NoURL.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: v2cab - http://15203.searchmiracle.com/cab/v2cab.cab
O16 - DPF: {00000000-0000-0000-0000-000020040000} - ms-its:mhtml:file://c:\foo.mht!http://66.98.208.89/x3x/sat.chm::/11699.exe
O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=0da080d5500794adaf7bd788910a0f715cb205306b835f4b8f192be0413a500c300acc3411fc31891c57d6609453f2eeffd58ee2:f5902efd87050fdef30654e7b5354c8d
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B489229D-607D-4F14-BE2F-1CB14084E8E6}: NameServer = 62.104.191.241 62.104.196.134


Kann mir bitte wer helfen?????

mfg
F.

#63 Hallo@fab86

Fixe, dann neustarten:

O2 - BHO: CHelper Object - {2B3452C5-1B9A-440F-A203-F6ED0F64C895} - (no file)
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe
O4 - HKCU\..\Run: [msmc] C:\WINDOWS\System32\msmc.exe
O4 - HKCU\..\Run: [Rlos] C:\Dokumente und Einstellungen\Amberg\Anwendungsdaten\dsk?.exe
O16 - DPF: v2cab - http://15203.searchmiracle.com/cab/v2cab.cab
O16 - DPF: {00000000-0000-0000-0000-000020040000} - ms-its:mhtml:file://c:\foo.mht!http://66.98.208.89/x3x/sat.chm::/11699.exe
O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=0da080d5500794adaf7bd788910a0f715cb205306b835f4b8f192be0413a500c300acc3411fc31891c57d6609453f2eeffd58ee2:f5902efd87050fdef30654e7b5354c8d
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab

neustarten und direkt in den abgesicherten Modus (mit Internet) gehen.

#Loesche:
C:\Program Files\Windows SyncroAd\SyncroAd.exe
C:\Program Files\Windows SyncroAd\WinSync.exe
C:\Dokumente und Einstellungen\Amberg\Anwendungsdaten\dsk?.exe

#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
1. Start<Ausfuehren<cleanmgr
#Click Temporary Internet Files, O.K

Internetexplorer reinigen:
1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und Internet-Optionen.
2. Auf der Registerkarte Allgemein klicken Sie im Bereich Temporäre Internetdateien auf den Button Cookies löschen.
3.Temporaere Internet-Dateien<Dateien loeschen

#Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.
#Nachrichtendienst
Starttyp-Empfehlung: DEAKTIVIERT
"Überträgt NET SEND- und Warndienstnachrichten zwischen Clients und Servern.
(wird auch von Spyware-Software "gekapert"

Das eScan AV Toolkit (mwav.exe) herunterladen,
http://www.rokop-security.de/board/index.php?showtopic=3867
*
und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. (oder unter Start<Ausfuehren<%temp% die kavupd.exe suchen) und anklicken
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives
<und "Scan " klicken.
<Öffne die mwav.log -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten,

Dann poste das Log noch mal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#64 Das hat er alles gefunden:


File c:\windows\system32\rmtqrkpe.dll infected by "TrojanDownloader.Win32.Agent.bh" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\msmc.exe infected by "Trojan.Win32.Small.i" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\dialerX.exe tagged as not-a-virusornWare.Dialer.SexFiles.e. No Action Taken.
File C:\WINDOWS\fwj.exe tagged as not-a-virus:AdWare.180Solutions. No Action Taken.
File C:\WINDOWS\winres.dll infected by "TrojanDownloader.Win32.IstBar.eq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\msmc.exe infected by "Trojan.Win32.Small.i" Virus. Action Taken: No Action Taken.
File C:\3.exe infected by "TrojanDownloader.Win32.IstBar.eq" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Amberg\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\ar3.jar-588fab9e-680b549f.zip infected by "Trojan.Java.ClassLoader.i" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Amberg\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\counter.jar-5b38b92d-51d3a4bb.zip infected by "Trojan.Java.Shiwow" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Amberg\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\jar\ar3.jar-58581c27-3b50a5bf.zip infected by "Trojan.Java.ClassLoader.i" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Amberg\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\jar\ar3.jar-77402a30-49d882d1.zip infected by "Trojan.Java.ClassLoader.i" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Amberg\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\jar\archive.jar-487b52a0-3c91afa6.zip infected by "Trojan.Win32.StartPage.mf" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Amberg\Lokale Einstellungen\Temp\~6880688068.tmp infected by "TrojanDownloader.Win32.Siboco" Virus. Action Taken: No Action Taken.
File C:\explorer.cab infected by "Trojan.Win32.Dialer.ek" Virus. Action Taken: No Action Taken.
File C:\info6.cab infected by "Trojan.Win32.Dialer.t" Virus. Action Taken: No Action Taken.
File C:\info6_s.cab infected by "Trojan.Win32.Dialer.t" Virus. Action Taken: No Action Taken.
File C:\Programme\pl.exe infected by "TrojanDownloader.Win32.Small.fo" Virus. Action Taken: No Action Taken.
File C:\Programme\WAV to MP3 Encoder\m3_bbi6009.exe tagged as not-a-virus:AdWare.BargainBuddy.a. No Action Taken.
File C:\Programme\WAV to MP3 Encoder\MthreeTopText_ezStub.exe tagged as not-a-virus:AdWare.EZula.p. No Action Taken.
File C:\RECYCLER\NPROTECT\00012921.DLL tagged as not-a-virus:AdWare.WinAD. No Action Taken.
File C:\RECYCLER\NPROTECT\00012924.OCX tagged as not-a-virus:AdWare.MediaTickets.d. No Action Taken.
File C:\temp\msbbhook.dll tagged as not-a-virus:AdWare.180Solutions. No Action Taken.
File C:\temp\WebRebates_Auto_InstallSilent_Euro.exe tagged as not-a-virus:AdWare.WebRebates.b. No Action Taken.
File C:\WINDOWS\dialerX.exe tagged as not-a-virusornWare.Dialer.SexFiles.e. No Action Taken.
File C:\WINDOWS\Downloaded Program Files\rundlg32.dll tagged as not-a-virus:AdWare.Toolbar.SBSoft.f. No Action Taken.
File C:\WINDOWS\Downloaded Program Files\v2.dll tagged as not-a-virus:AdWare.ToolBar.EliteBar.l. No Action Taken.
File C:\WINDOWS\fwj.exe tagged as not-a-virus:AdWare.180Solutions. No Action Taken.
File C:\WINDOWS\system32\msmc.exe infected by "Trojan.Win32.Small.i" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\winres.dll infected by "TrojanDownloader.Win32.IstBar.eq" Virus. Action Taken: No Action Taken.
File D:\Downloads\backups\backup-20041020-115726-354.dll tagged as not-a-virus:AdWare.WinAD. No Action Taken.
File D:\Downloads\backups\backup-20041020-115726-856.dll tagged as not-a-virus:AdWare.MediaTickets.d. No Action Taken.
File D:\Downloads\Kazaa171gu_en.exe tagged as not-a-virus:AdWare.Cydoor. No Action Taken.
File D:\Downloads\wavtomp3.exe tagged as not-a-virus:AdWare.EZula.p. No Action Taken.
File D:\Tools\DiVX Video\DivX505Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.


Wed Oct 20 13:53:18 2004 => Total Files Scanned: 71287
Wed Oct 20 13:53:18 2004 => Total Virus(es) Found: 34
Wed Oct 20 13:53:18 2004 => Total Disinfected Files: 0
Wed Oct 20 13:53:18 2004 => Total Files Renamed: 0
Wed Oct 20 13:53:18 2004 => Total Deleted Files: 0
Wed Oct 20 13:53:18 2004 => Total Errors: 169
Wed Oct 20 13:53:18 2004 => Time Elapsed: 00:48:25
Wed Oct 20 13:53:18 2004 => Virus Database Date: 2004/10/20
Wed Oct 20 13:53:18 2004 => Virus Database Count: 107014


Und nun????

#65 Hallo @fab86

oeffne das HijackThis:

<HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
c:\windows\system32\rmtqrkpe.dll <PC neustarten

<HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\WINDOWS\System32\msmc.exe <PC neustarten

<HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\WINDOWS\dialerX.exe <PC neustarten

<HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\WINDOWS\fwj.exe <PC neustarten

Das machst du noch mit:
<C:\WINDOWS\winres.dll
<C:\3.exe
<C:\explorer.cab
<C:\info6.cab
<C:\info6_s.cab
<C:\Programme\pl.exe
<C:\temp\msbbhook.dll
<C:\temp\WebRebates_Auto_InstallSilent_Euro.exe
<C:\WINDOWS\Downloaded Program Files\rundlg32.dll
<C:\WINDOWS\Downloaded Program Files\v2.dll
<C:\RECYCLER\NPROTECT\00012921.DLL
<C:\RECYCLER\NPROTECT\00012924.OCX

Das ist auf einer anderen Festplatte...musst du dort manuell suchen und loeschen:
D:\Downloads\wavtomp3.exe

#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
1. Start<Ausfuehren<cleanmgr
#Click Temporary Internet Files, O.K
#Temporary Files

#Leere den Papierkorb

# AboutBuster
www.malwarebytes.biz/AboutBuster.zip
Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm ausführen

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!

#dann scannst du noch mal mit eScan und postest die infizierten Dateien.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#66 Was tun mit Trojaner in Java VM
http://java.com/en/download/help/cache_virus.jsp
__________
MfG Argus

#67 Hallo @Arnold

Internetexplorer reinigen:
1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und Internet-Optionen.
2. Auf der Registerkarte Allgemein klicken Sie im Bereich Temporäre Internetdateien auf den Button Cookies löschen.
3.Temporaere Internet-Dateien<Dateien loeschen

Datentraegerbereinigung: und Loeschen der Temporary-Dateien
1. Start<Ausfuehren<cleanmgr
#Click Temporary Internet Files, O.K
#Temporary Files

#Winsweep (Browser-Reinigung)..leert auch das Java-Cache
http://www.winsweep.de/down.htm
Klicke auf die Grafik , da erscheint der Download.
Dann musst du das Tool nicht kaufen, sondern einfach ab und zu "System reinigen" anklicken.
Dann das Tool wieder aus dem Autostart nehmen (mit dem HijackThis oder
Start<Ausfuehren<msconfig<Systemstart das Heackchen vor Winsweep rausnehmen.

Das eScan AV Toolkit (mwav.exe) herunterladen,
http://www.rokop-security.de/board/index.php?showtopic=3867
Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten, bzw die Dateien im abgesicherten Modus loeschen (die Killbox dazu verwenden) Auch muss man die Eintraege in der Registrierung per Hand entfernen

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#68 Hab alles so gemacht wie du es gesagt hast und das Weiterleiten auf andere seiten ist weg, danke!!!
eScan zeigt aber noch an:

File C:\Dokumente und Einstellungen\Amberg\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\ar3.jar-588fab9e-680b549f.zip infected by "Trojan.Java.ClassLoader.i" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Amberg\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\counter.jar-5b38b92d-51d3a4bb.zip infected by "Trojan.Java.Shiwow" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Amberg\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\jar\ar3.jar-58581c27-3b50a5bf.zip infected by "Trojan.Java.ClassLoader.i" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Amberg\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\jar\ar3.jar-77402a30-49d882d1.zip infected by "Trojan.Java.ClassLoader.i" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Amberg\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\jar\archive.jar-487b52a0-3c91afa6.zip infected by "Trojan.Win32.StartPage.mf" Virus. Action Taken: No Action Taken.

wie geht das noch weg?

#69 Hallo @fab86

Internetexplorer reinigen:
1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und Internet-Optionen.
2. Auf der Registerkarte Allgemein klicken Sie im Bereich Temporäre
Internetdateien auf den Button Cookies löschen.
3.Temporaere Internet-Dateien<Dateien loeschen

Datentraegerbereinigung: und Loeschen der Temporary-Dateien
1. Start<Ausfuehren<cleanmgr
#Click Temporary Internet Files, O.K
#Temporary Files

#Winsweep (Browser-Reinigung)..leert auch das Java-Cache
http://www.winsweep.de/down.htm
Klicke auf die Grafik , da erscheint der Download.
Dann musst du das Tool nicht kaufen, sondern einfach ab und zu "System reinigen" anklicken.
Dann das Tool wieder aus dem Autostart nehmen (mit dem HijackThis oder
Start<Ausfuehren<msconfig<Systemstart das Heackchen vor Winsweep rausnehmen.

Dann scanne noch mal mit eScan (nach dem Leeren des Java-Caches)

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#70 Hallo!
Danke es funktioniert wieder alles so wie es soll hab nur noch eine Frage!
Bei eScan zeigt er nicht nur die Viren an sondern auch die Errors. Wofür ist das oder was bedeutet das? Kriegt man das auch weg?

mfg
f.

#71 Hallo @fab86

Die Fehler haben nichts mit Viren zu tun. Ich muesste das Log sehen, um mehr darueber sagen zu koennen.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#72 Hallo

habe seit gestern auch das Problem, das ich online gleich auf eine Seite umgeleitet werde und meine Startseite nicht gespeichert wird.

Logfile of HijackThis v1.98.2
Scan saved at 13:30:04, on 26.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\MSI\Live Update 3\LMonitor.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\kdx\KHost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Fussi\Eigene Dateien\hijackthis1982\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Fussi\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Fussi\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Fussi\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Fussi\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Fussi\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Fussi\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\Ipswitch\WS_FTP Pro\wsbho2k0.dll
O2 - BHO: (no name) - {FF981FB4-BD8C-453D-95BA-812189F4BE86} - C:\WINDOWS\System32\kgkh.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [kdx] C:\WINDOWS\kdx\KHost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steam] "c:\programme\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Spy Watcher] C:\PROGRA~1\SPYCLE~1\SpyWatcher.exe -S
O4 - Global Startup: PC Alert 4.lnk = C:\Programme\MSI\PC Alert 4\PCAlert4.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - http://www.gamespot.com/KDX22/download/kdx.cab
O18 - Filter: text/html - {C83E4C3E-817A-49AC-8D90-7E23B4C5549B} - C:\WINDOWS\System32\kgkh.dll
O18 - Filter: text/plain - {C83E4C3E-817A-49AC-8D90-7E23B4C5549B} - C:\WINDOWS\System32\kgkh.dll

Bitte um Hilfe

#73 Hallo@Fussi22

oeffne das HijackThis<scan< hake an< fix< PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Fussi\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Fussi\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Fussi\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Fussi\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Fussi\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Fussi\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {FF981FB4-BD8C-453D-95BA-812189F4BE86} - C:\WINDOWS\System32\kgkh.dll
O4 - HKLM\..\Run: [kdx] C:\WINDOWS\kdx\KHost.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - http://www.gamespot.com/KDX22/download/kdx.cab
O18 - Filter: text/html - {C83E4C3E-817A-49AC-8D90-7E23B4C5549B} - C:\WINDOWS\System32\kgkh.dll
O18 - Filter: text/plain - {C83E4C3E-817A-49AC-8D90-7E23B4C5549B} - C:\WINDOWS\System32\kgkh.dll

neustarten

#oeffne das HijackThis.
HijackThis<Config<Misc Tools<Delete a file on reboot<
reinkopieren: C:\WINDOWS\System32\kgkh.dll <PC neustarten

#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
<Start<Ausfuehren<cleanmgr
#Click Temporary Internet Files, O.K
#Temporary Files, O.K

# AboutBuster
www.malwarebytes.biz/AboutBuster.zip
Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm ausführen

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.

#CWShredder 1.59
http://www.chip.de/downloads/c_downloads_11353799.html
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.

#TraXEx 2.2 ist ein zuverlässiges Sicherheits-Programm für alle aktuellen Internet-Browser und Windows.
TraXEx löscht Spuren, die Ihr Internet-Browser beim Surfen auf Ihrem PC hinterläßt
http://www.almisoft.de/traxex2.htm

#Mache die WindowsUpdates
Start<Programme<WindowsUpdates

#Internet Explorer 6 Service Pack 1
http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6

Dann stelle eine neue Startseite ein und poste das Log noch mal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#74 So hab alles gemacht.

Hier der LOG

Logfile of HijackThis v1.98.2
Scan saved at 18:55:33, on 26.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\MSI\Live Update 3\LMonitor.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\SPYCLE~1\SpyWatcher.exe
C:\Programme\MSI\PC Alert 4\PCAlert4.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Dokumente und Einstellungen\Fussi\Eigene Dateien\hijackthis1982\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\Ipswitch\WS_FTP Pro\wsbho2k0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steam] "c:\programme\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Spy Watcher] "C:\PROGRA~1\SPYCLE~1\SpyWatcher.exe" -S
O4 - Global Startup: PC Alert 4.lnk = C:\Programme\MSI\PC Alert 4\PCAlert4.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll

Vielen Dank für die schnelle Hilfe.

Hoffe es ist nun alles OK

#75 Fussi22

Stelle bitte unter <Internetoption< eine Startseite ein und poste das Log noch mal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit