Ständige Werbepopups oder leere IE-Browserfenster in der Taskleiste??Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
22.09.2004, 08:51
Member
Beiträge: 1095 |
||
|
||
22.09.2004, 10:04
Ehrenmitglied
Beiträge: 29434 |
#47
Zitat paff posteteDa war natuerlich fuer jemand anderes bestimmt....Das kommt davon, wenn man an mehreren Threads gleichzeitig arbeitet..... <<<< Ich hab immer noch Probleme ... - CPU 100% ausgelastet (hab NAV komplett von der Platte entfernt) - NT-Autorität/System hat mir schon 2x den Computer heruntergefahren!?<<< Gruss Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 22.09.2004 um 10:07 Uhr von Sabina editiert.
|
|
|
||
22.09.2004, 11:23
Member
Beiträge: 1095 |
#48
Zitat Da war natuerlich fuer jemand anderes bestimmtDann einfach den Artikel löschen Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
22.09.2004, 11:25
Ehrenmitglied
Beiträge: 29434 |
#49
Wuerde ich ja gern, aber es ist echt nervend:
Sie können diesen Post nicht mehr löschen, da das Zeitlimit überschritten wurde. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.09.2004, 08:20
Member
Beiträge: 18 |
#50
Hi
Logfile of HijackThis v1.98.2 Scan saved at 08:17:37, on 23.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\DOKUME~1\asterios\LOKALE~1\Temp\mwavscan.com C:\Programme\Messenger\msmsgs.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\WINDOWS\system32\crypserv.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\DOKUME~1\asterios\LOKALE~1\Temp\kavss.exe C:\Dokumente und Einstellungen\asterios\Eigene Dateien\Programme\HijackThis.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hispeed.ch/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.bluewin.ch/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\asterios\LOKALE~1\Temp\mwavscan.com" /s O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Startup: server[1].exe O4 - Global Startup: hpoddt01.exe.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: Packard Bell - {1D49B7D4-524D-4ac9-BC34-B4822CAE4BB1} - C:\Apps\IECustom\script.htm O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: ConferenceRoom Java Client - http://irc1.bluewin.ch/java/cr.cab O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = mydomain.com O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.57.146.14 |
|
|
||
23.09.2004, 08:27
Ehrenmitglied
Beiträge: 29434 |
#51
@zorbas
Fixe , damit es aus dem Autostart kommt (muss da nicht sein) O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\asterios\LOKALE~1\Temp\mwavscan.com" /s mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 23.09.2004 um 11:48 Uhr von Sabina editiert.
|
|
|
||
23.09.2004, 08:40
Member
Beiträge: 18 |
#52
Danke.
Habs gerade noch gemacht und auch das Antivir gedownloadet. Ist mein Pc jetzt ganz sauber? Und mein Bruder darf nie mehr an meinen Pc. Das ganze war jetzt sehr anstregend. |
|
|
||
23.09.2004, 08:51
Ehrenmitglied
Beiträge: 29434 |
#53
Hi @zorbas
Ich habe deinen Thread nicht begleitet, aber dennoch folgende Tipps: 1.Lade :#AdAware (free) http://www.lavasoft.de/support/download/ VOR jedem Scanvorgang das Programm Updaten! WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!. Files, die Adaware findet, können bedenkenlos gelöscht werden. 2.Deaktiviere die Wiederherstellung, boote und aktiviere sie wieder. http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 3. Surfe nicht mehr mit dem IE #Alternativbrowser zum IE Firefox http://www.mozilla.org/products/firefox/download.html?http%3A//ftp.mozilla.org/pub/mozilla.org/firefox/releases/0.10/Firefox%20Setup%201.0PR.exe Opera http://www.opera7.de/ 4.ANTS 2.1 (scanne die Festplatte und mache auch den Trojaner-Port-scann. http://www.pcbusiness-online.de/common/dtt/file.php?areaid=12&orderby=Title&dsp_start=0&fileid=1547 Dann poste das HijackThis-Log mit den Infos von ANTS 2.1. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.09.2004, 08:51
Member
Beiträge: 1095 |
#54
@zorbas
Dieses hier macht mir noch Kopfzerbrechen O4 - Startup: server[1].exe Such mal bitte die Datei und prüfe SIe hier http://www.kaspersky.com/remoteviruschk.html oder schick Sie an virus@protecus.de mit Link zu diesem Thread bitte Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
23.09.2004, 09:14
Member
Beiträge: 18 |
#55
Habs auf dieser seite geprüft.
Scanned file: SERVER[1].EXE-050CB490.pf SERVER[1].EXE-050CB490.pf - OK Statistics: Known viruses: 99585 Updated: 23-09-2004 File size (Kb): 24 Virus bodies: 0 Files: 1 Warnings: 0 Archives: 0 da hab ich noch eins gefunden das nur server1 heisst. hab ich im autostart gefunden. Scanned file: server[1].exe server[1].exe - OK Statistics: Known viruses: 99586 Updated: 23-09-2004 File size (Kb): 4 Virus bodies: 0 Files: 1 Warnings: 0 Archives: 0 jetzt kommen wieder solche pop ups fenster |
|
|
||
23.09.2004, 09:35
Member
Beiträge: 1095 |
#56
@zorbas
Schick bitte die "server[1].exe" an virus@protecus.de Wenn du die Antwort hast poste diese bitte zusammen mit einem neuen HiJackThis Logfile hier rein. Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
23.09.2004, 09:40
Member
Beiträge: 18 |
#57
Zitat paff posteteoKay. muss ich da auf etwas achten oder so? |
|
|
||
23.09.2004, 09:48
Member
Beiträge: 1095 |
#58
@zorbas
zippe die Datei am besten und dann Ab damit Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
23.09.2004, 11:42
Member
Beiträge: 18 |
#59
Hi
Hier die antwort : Hallo zorbas bei deiner Datei handelt es sich um "TrojanDownloader.Win32.Small.wg" Logfile of HijackThis v1.98.2 Scan saved at 11:48:18, on 23.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\Explorer.EXE C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\crypserv.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Recycler\WINLOGON.EXE C:\Dokumente und Einstellungen\asterios\Eigene Dateien\Programme\HijackThis.exe C:\Programme\Internet Explorer\iexplore.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hispeed.ch/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.bluewin.ch/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Startup: ISTactivex.dll O4 - Startup: server[1].exe O4 - Global Startup: hpoddt01.exe.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: Packard Bell - {1D49B7D4-524D-4ac9-BC34-B4822CAE4BB1} - C:\Apps\IECustom\script.htm O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: ConferenceRoom Java Client - http://irc1.bluewin.ch/java/cr.cab O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_adult.cab O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = mydomain.com O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.57.146.14 Dieser Beitrag wurde am 23.09.2004 um 11:49 Uhr von zorbas editiert.
|
|
|
||
23.09.2004, 12:19
Moderator
Beiträge: 7805 |
#60
Das ist wohl auch noch eine "Problemdatei": C:\Recycler\WINLOGON.EXE schicke die Dateibitte auch mal ein und fixe noch das:
O4 - Startup: ISTactivex.dll O4 - Startup: server[1].exe O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_adult.cab und deine "O17" Eintraege kommen mir auch suspekt vor... __________ MfG Ralf SEO-Spam Hunter |
|
|
||
Zitat
Häh__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware