Website öffnet sich jedesmal beim Start von IE |
||
---|---|---|
#0
| ||
11.02.2005, 17:13
...neu hier
Beiträge: 6 |
||
|
||
11.02.2005, 18:59
Member
Beiträge: 239 |
#2
Hallo, lade dir das Tool AdAware, Spybot und CWShredder und scan damit
dein PC. Vor dem Start aber unbedingt das update von AdAware, Spybot und CWShredder laden. Anschließend starte dein Antivirenprogramm. Danach lade dir HijackThis, stelle es in einen seperaten Ordner und starte das Programm. Die dabei erzeugte Logfile bitte speichern und hier posten. Rolfs |
|
|
||
11.02.2005, 20:29
...neu hier
Themenstarter Beiträge: 6 |
#3
Hallo Rolfs,
erstmal danke für die schnelle Antwort. Spybot hat 14 Probleme gefunden - wie kommt es, dass Trend Micro die nicht mitbekommen hat? Ist das Progi murks? Obwohl Spybot die Probleme gefixed hat, öffnet sich weiterhin die Website wie oben beschrieben... Anyway, hier das Log: Logfile of HijackThis v1.99.0 Scan saved at 20:25:04, on 11.02.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Trend Micro\Internet Security\pccguide.exe C:\Programme\Trend Micro\Internet Security\PCClient.exe C:\Programme\Trend Micro\Internet Security\TMOAgent.exe C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\WEB.DE\FreePhone\SIPPS.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Trend Micro\Internet Security\Tmntsrv.exe C:\Programme\Trend Micro\Internet Security\tmproxy.exe C:\Programme\Trend Micro\Internet Security\PccPfw.exe C:\Programme\WEB.DE\FreePhone\AddOn.bin D:\Eigene Dateien\dummy\hijackthis\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\Internet Security\pccguide.exe" O4 - HKLM\..\Run: [PCClient.exe] "C:\Programme\Trend Micro\Internet Security\PCClient.exe" O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Programme\Trend Micro\Internet Security\TMOAgent.exe" /run O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SIPPS] C:\Programme\WEB.DE\FreePhone\SIPPS.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab O16 - DPF: {11111111-1111-1111-1111-511111193457} - file://c:\x.cab O16 - DPF: {11111111-1111-1111-1111-511111193458} - file://c:\x.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/24ffb1bfd8e4860e3e23/netzip/RdxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105288655124 O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Trend Micro Personal Firewall - Trend Micro Incorporated. - C:\Programme\Trend Micro\Internet Security\PccPfw.exe O23 - Service: Trend NT Realtime Service - Trend Micro Incorporated. - C:\Programme\Trend Micro\Internet Security\Tmntsrv.exe O23 - Service: Trend Micro Proxy Service - Trend Micro Incorporated. - C:\Programme\Trend Micro\Internet Security\tmproxy.exe Dieser Beitrag wurde am 11.02.2005 um 20:31 Uhr von gers editiert.
|
|
|
||
11.02.2005, 21:06
Member
Beiträge: 669 |
#4
Update dein System per www.windowsupdate.com
Lade folgendes Programm herunter und update es: eScan http://www.mwti.net/antivirus/free_utilities.asp Erster Schritt: Deaktiviere die Systemwiederherstellung (Arbeitsplatz => Rechtsklick => Eigenschaften). Nach erfolgter Reinigung des Systems nicht vergessen, wieder zu aktivieren! Diagnose und Vorbereinigung: Deaktiviere den Virenwächter, falls vorhanden, und führe mit AdAware und Spybot S&D im abgesicherten Modus (Rechner neu starten und F8 drücken beim Booten) einen vollständigen Systemscan durch. Markiere (Häkchen setzen) und lösche alle gefundenen kritischen Objekte (AdAware: "Next", Spybot S&D: "markierte Probleme beheben" drücken) (DSO Exploit im Spybot S&D kannst Du vernachlässigen, ist ein Bug im Programm. Wenn Du willst, kannst Du ihn mit dem Fix von hier beseitigen, ist für die Funktion von Spybot aber nicht notwendig). Lese dir aufmerksam die Informationen auf folgender Seite zu eScan durch: http://www.trojaner-info.de/hijacker/escan.shtml Update und scanne mit eScan entsprechend der Beschreibung für die Version 4.5.1 oder jünger von trojaner-info. Setze im eScan alle Häkchen, außer bei "Folder" und wähle bei "Drives" "All Local Drives" aus und ein paar Zeilen darunter "Scan All Files" anstelle von "Program Files". Drücke dann den Scan-Button um den Vorgang zu starten (das kann je nach Größe deiner Festplatten ziemlich lange dauern, aber unbedingt zu Ende scannen lassen und nicht abbrechen!). Lass dir danach das eScan-Log anzeigen und speichere es ab. Öffne es mit dem Editor und suche per Suchfunktion nach "infected". Kopiere alle betroffenen Zeilen vollständig und poste sie hier im Forum (komlpetter Pfad + Datei, sowie Art der Infektion!) Virenwächter danach wieder aktivieren! HijackThis-Einträge: Weiterhin im abgesicherten Modus (F8 drücken beim Booten): Öffne deinen TaskManager, suche unter den Prozessen nach: RUNDLL32.EXE Wenn dieser Prozess läuft, beende ihn, wenn nicht, gut, weiter mit dem nächsten Schritt. Scanne mit HijackThis und fixe folgende Einträge (Häkchen setzen und "fix checked" drücken) Zitat O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initializeLöschen von Dataien: KillBox http://www.bleepingcomputer.com/files/killbox.php Suche nach der Datei RUNDLL32.EXE mit Hilfe der Windows Suchfunktion. Merke dir den exakten Pfad, wenn du fündig wirst. Öffne die Killbox => Delete File on Reboot => und kopiere nacheinander die nachfolgenden Dateien mit kompletter Pfadangabe hinein, drücke das rote Kreuz und wenn angefragt wird, ob der Rechner neu gestartet werden soll, dann antworte mit "no" usw. bis zur letzten Datei, dann mit "yes" antworten Zitat c:\ied_s7.cabBitte arbeite diese Schritte sorgfältig ab. Erstelle danach ein neues HijackThis-Log und poste es zusammen mit den anderen angeforderten Informationen (eScan-Ergebnisse). __________ "life's a bitch, turn around and she'll backstab you for a buck." |
|
|
||
11.02.2005, 21:58
...neu hier
Themenstarter Beiträge: 6 |
#5
mann, ist das kompliziert...
ich finde die RUNDLL32.EXE zweimal, und zwar in: C:\WINDOWS\SoftwareDistribution\Download\fa6fb01ac82a6e60ca928c584157ebda C:\WINDOWS\system32 soll killbox BEIDE löschen? Und dann finde ich noch einige Dateien, die so und ähnlich lauten: C:\WINDOWS\Prefetch\RUNDLL32.EXE-12E6ED95.pf was ist damit? |
|
|
||
11.02.2005, 22:12
Member
Beiträge: 669 |
#6
C:\WINDOWS\system32\RUNDLL32.EXE ist ok (gehört zu Windows)
ebenso die Dateien im Prefetch-Ordner. C:\WINDOWS\SoftwareDistribution\Download\fa6fb01ac82a6e60ca928c584157ebda\rundll32.exe Lade diese Datei bitte einmal hier hoch: http://virusscan.jotti.org/ poste danach das Ergebnis. Lösche vorerst noch keine der rundll32-Versionen __________ "life's a bitch, turn around and she'll backstab you for a buck." |
|
|
||
11.02.2005, 22:17
...neu hier
Themenstarter Beiträge: 6 |
#7
kein Virus gefunden, sagt jotti.org
|
|
|
||
11.02.2005, 22:24
Member
Beiträge: 669 |
#8
Die Originale System-Datei rundll32.exe von Windows liegt im Ordner:
C:\windows\System32 Alles andere ist hochgradig verdächtig und sollte gelöscht werden. Führe weiterhin die restlichen oben aufgeführten Schritte aus. __________ "life's a bitch, turn around and she'll backstab you for a buck." |
|
|
||
12.02.2005, 08:58
...neu hier
Themenstarter Beiträge: 6 |
||
|
||
obwohl ich eine Firewall und einen Virenscanner habe (Trend Micro Internet Security) habe ich folgendes Problem:
jedes Mal, wenn ich den IE öffne, öffnet sich ein weiteres Fenster und es wird dort eine Seite geladen (in der Regel www.oldgames.se oder so ähnlich, in letzter Zeit www.filost.com).
Der oben angesprochene Virenscanner findet nichts. Was tun?