Hijack + Virenmeldungen + seltsame Windows Viren Meldung |
||
---|---|---|
#0
| ||
25.03.2005, 18:44
...neu hier
Beiträge: 3 |
||
|
||
25.03.2005, 20:51
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo@Raumland
•eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen Gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml G:\WINDOWS\39.exe <--loeschen G:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\G507WN87\<--loeschen und mache einen Komplettscann mit Antivirus (keine Quarantaene--> alles loeschen lassen) Optionen--> Konfiguration-->Heuristik-->win32 Datei-heuristik--> aktivieren--> auf Mittel stellen [X] Speicher [X] Bootsektor Suchlaufwerke [ ] Unbekannte Bootsektoren melden [X] Alle Dateien [ ] Programmdateien und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen : Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory -->und "Scan " klicken. •Gehe wieder in den Normalmodus: •mache bitte folgendes: nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein •jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw. •und ganz unten steht die zusammenfassung, diese auch hier posten --------------------- HijackThis http://www.downloads.subratam.org/hijackthis.zip http://www.spywareinfo.com/~merijn/files/hijackthis.zip Lade/entpacke HijackThis in einem Ordner -->None of the above, just start the program --> Save--> Savelog -->es öffnet sich der Editor --> oder: Do a system scan and save a logfile --> Save--> Savelog -->es öffnet sich der Editor --> nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.03.2005, 14:19
...neu hier
Themenstarter Beiträge: 3 |
#3
AntiVir (auf dem neusten Stand) hat bei mir 8 Viren gefunden 7 hat es sofort gelöscht den 8ten beim neustart.
mwav.txt: Sat Mar 26 02:39:12 2005 => File G:\WINDOWS\System32\systr.dll infected by "Trojan-Downloader.Win32.Agent.ko" Virus. Action Taken: No Action Taken. Sat Mar 26 02:39:15 2005 => File G:\WINDOWS\System32\offfhelp.dll infected by "Virus.Win32.Bayan-based" Virus. Action Taken: No Action Taken. Sat Mar 26 02:39:16 2005 => File G:\WINDOWS\System32\systr.dll infected by "Trojan-Downloader.Win32.Agent.ko" Virus. Action Taken: No Action Taken. Sat Mar 26 02:40:05 2005 => File G:\WINDOWS\System32\autoiadv.dll infected by "Virus.Win32.Bayan-based" Virus. Action Taken: No Action Taken. Sat Mar 26 02:40:18 2005 => File G:\WINDOWS\System32\dmimc009.dll infected by "Virus.Win32.Bayan-based" Virus. Action Taken: No Action Taken. Sat Mar 26 02:40:27 2005 => File G:\WINDOWS\System32\guninst.exe infected by "not-a-virus:AdWare.Serpo.g" Virus. Action Taken: No Action Taken. Sat Mar 26 02:41:20 2005 => File G:\WINDOWS\System32\spoolsrv32.exe infected by "Trojan.Win32.TopAntiSpyware.h" Virus. Action Taken: No Action Taken. Sat Mar 26 02:41:21 2005 => File G:\WINDOWS\System32\srpcsrv32.dll infected by "Trojan.Win32.TopAntiSpyware.h" Virus. Action Taken: No Action Taken. Sat Mar 26 02:41:29 2005 => File G:\WINDOWS\System32\txfdb32.dll infected by "Trojan.Win32.TopAntiSpyware.h" Virus. Action Taken: No Action Taken. Sat Mar 26 03:06:26 2005 => File G:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Opera\Opera7\profile\global.dat infected by "Trojan-Downloader.JS.gen" Virus. Action Taken: No Action Taken. Sat Mar 26 03:06:41 2005 => File G:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\Counter.class-1209b91d-6bb20a28.class infected by "Trojan.Java.ClassLoader.ab" Virus. Action Taken: No Action Taken. Sat Mar 26 03:34:25 2005 => Scanning Folder: G:\Programme\AVPersonal\INFECTED\*.* Sat Mar 26 04:14:55 2005 => File G:\System Volume Information\_restore{7FB44BBE-D4E7-4DF1-B1CA-46E0D5B90188}\RP146\A0222677.dll infected by "Trojan-Proxy.Win32.Small.bk" Virus. Action Taken: No Action Taken. Sat Mar 26 04:39:00 2005 => ***** Scanning complete. ***** Sat Mar 26 04:39:00 2005 => Total Files Scanned: 131305 Sat Mar 26 04:39:00 2005 => Total Virus(es) Found: 35 Sat Mar 26 04:39:00 2005 => Total Disinfected Files: 0 Sat Mar 26 04:39:00 2005 => Total Files Renamed: 0 Sat Mar 26 04:39:00 2005 => Total Deleted Files: 0 Sat Mar 26 04:39:00 2005 => Total Errors: 69 Sat Mar 26 04:39:00 2005 => Time Elapsed: 02:00:04 Sat Mar 26 04:39:00 2005 => Virus Database Date: 2005/03/24 Sat Mar 26 04:39:00 2005 => Virus Database Count: 123152 Sat Mar 26 04:39:00 2005 => Scan Completed. Logfile of HijackThis v1.99.1 Scan saved at 14:19:14, on 26.03.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: G:\WINDOWS\System32\smss.exe G:\WINDOWS\system32\winlogon.exe G:\WINDOWS\system32\services.exe G:\WINDOWS\system32\lsass.exe G:\WINDOWS\system32\svchost.exe G:\WINDOWS\System32\svchost.exe G:\Programme\Ahead\InCD\InCDsrv.exe G:\WINDOWS\system32\spoolsv.exe G:\WINDOWS\Explorer.EXE G:\Programme\AVPersonal\AVWUPSRV.EXE G:\WINDOWS\system32\crypserv.exe G:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe G:\WINDOWS\System32\nvsvc32.exe G:\WINDOWS\System32\sstray.exe G:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE G:\Programme\Logitech\iTouch\iTouch.exe G:\programme\powerstrip\pstrip.exe G:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe G:\Programme\Ahead\InCD\InCD.exe G:\Programme\Spybot - Search & Destroy\TeaTimer.exe G:\WINDOWS\system32\NOTEPAD.EXE G:\WINDOWS\system32\ZoneLabs\vsmon.exe G:\Programme\Mozilla Firefox\firefox.exe G:\WINDOWS\system32\NOTEPAD.EXE G:\Dokumente und Einstellungen\Administrator\Desktop\Security\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/250/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - G:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - G:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [EM_EXEC] G:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [zBrowser Launcher] G:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [PowerStrip] g:\programme\powerstrip\pstrip.exe O4 - HKLM\..\Run: [QuickTime Task] "G:\WINDOWS\System32\qttask.exe" -atboottime O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe O4 - HKLM\..\Run: [Zone Labs Client] G:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [NeroFilterCheck] G:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] G:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [VOBRegCheck] G:\WINDOWS\System32\VOBREGCheck.exe -CheckReg O4 - HKLM\..\Run: [TrojanScanner] G:\Programme\Trojan Remover\Trjscan.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] G:\Programme\Spybot - Search & Destroy\TeaTimer.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\WINDOWS\System32\msjava.dll O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - G:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/en-us/4,0,0,81/mcinsctl.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093478652750 O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/en-us/1,0,0,19/mcgdmgr.cab O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab O21 - SSODL: NTDBGTOOL - {8C2E9B64-DF55-4E3D-8C9E-CF9B5E2B5508} - G:\WINDOWS\System32\offfhelp.dll O23 - Service: Adobe LM Service - Unknown owner - G:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - G:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - G:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Crypkey License - Kenonic Controls Ltd. - G:\WINDOWS\SYSTEM32\crypserv.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - G:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: Macromedia Licensing Service - Unknown owner - G:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - G:\WINDOWS\System32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - G:\WINDOWS\system32\ZoneLabs\vsmon.exe Danke |
|
|
||
26.03.2005, 18:15
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo@Raumland
Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen http://virusscan.jotti.org/ G:\WINDOWS\System32\mmrtkrnl.exe Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten •KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" -------------------------------------------------------------------------------------------------------------------- G:\WINDOWS\39.exe G:\Program Files\TopAntiSpyware G:\WINDOWS\desktop.html G:\WINDOWS\Web\desktop.html G:\WINDOWS\SSICO.ICO G:\r.exe G:\WINDOWS\System32\systr.dll G:\WINDOWS\System32\offfhelp.dll G:\WINDOWS\System32\autoiadv.dll G:\WINDOWS\System32\dmimc009.dll G:\WINDOWS\System32\guninst.exe G:\WINDOWS\System32\spoolsrv32.exe G:\WINDOWS\System32\srpcsrv32.dll G:\WINDOWS\System32\txfdb32.dll G:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Opera\Opera7\profile\global.dat G:\System Volume Information\_restore{7FB44BBE-D4E7-4DF1-B1CA-46E0D5B90188}\RP146\A0222677.dll PC neustarten G:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Opera\Opera7\profile\global.dat<--ueberpruefe, ob das weg ist Der Trojaner versucht, Dateien von einem remoten Speicherort herunterzuladen und zu starten. Die Dateinamen der von dem Trojaner benutzten Komponenten sind runsvc32.exe, spoolsrv32.exe und srpcsrv32.dll. Die heruntergeladenen Dateien werden in C:\r.exe gespeichert. falls du es findest: •G:\Program Files\TopAntiSpyware •G:\WINDOWS\desktop.html •G:\WINDOWS\Web\desktop.html •G:\r.exe so kann man C:\WINDOWS\Web\desktop.html loeschen Geht auf Start -> Einstellungen -> Systemsteuerung und klickt dort auf "Anzeige" Darin gibt es ein Register "Desktop" und die Möglichkeit "Desktop anpassen". Darin wiederum klickt ihr auf das Register "Web" und entfernt dort "Security" in der Liste •G:\WINDOWS\Web\desktop.html •G:\WINDOWS\SSICO.ICO •G:\Dokumente und Einstellungen\User\\Desktop\! Protect Your Data.url •G:\Dokumente und Einstellungen\User\\Favorites\! Smart Security.url •G:\Dokumente und Einstellungen\User\\Recent\! Smart Security.url •G:\Dokumente und Einstellungen\User\\Start Menu\! Secure Yourself.url #ClaerProg..lade die neuste Version <1.4.1 http://www.clearprog.de/downloads.php <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Cookies - Verlauf - Temporäre Internetfiles (Cache) #TuneUp2004 (30 Tage free) http://www.tuneup.de/products/tuneup-utilities/ Cleanup repair -->TuneUp Diskcleaner Cleanup repair -->Registry Cleaner Onlinescanns --> dann "infected"alles loeschen/im abgesicherten Modus http://security.symantec.com/default.asp? http://housecall.trendmicro.com/ http://www.pandasoftware.com/activescan/ -- __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.03.2005, 17:27
...neu hier
Themenstarter Beiträge: 3 |
#5
Ich glaube alle Viren sind weg.
housecall läuft gerade noch .... File: MMRTKRNL.EXE Status: MIGHT BE INFECTED/MALWARE (Sandbox emulation took a long time and/or runtime packers were found, this is suspicious. Normally programs aren't packed and don't force the sandbox into lengthy emulation. Do realize no scanner issued any warning, the file can very well be harmless. Caution is advised, however.) Packers detected: - AntiVir No viruses found Avast No viruses found AVG Antivirus No viruses found BitDefender No viruses found ClamAV No viruses found Dr.Web No viruses found F-Prot Antivirus No viruses found Fortinet No viruses found Kaspersky Anti-Virus No viruses found mks_vir No viruses found NOD32 No viruses found Norman Virus Control No viruses found Danke Danke Danke |
|
|
||
14.04.2005, 10:13
...neu hier
Beiträge: 9 |
#6
Zitat Raumland postete Dieser Beitrag wurde am 14.04.2005 um 11:09 Uhr von Juna editiert.
|
|
|
||
14.04.2005, 12:11
Ehrenmitglied
Beiträge: 29434 |
#7
Hallo@Juna
Im abgesicherten Modus musst du auf keinen Link gehen, sondern einfach nur mit escan scannen und dann laut Anweisung alles rauskopieren, was infiziert ist. G:\WINDOWS\39.exe<--loeschen G:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\G507WN87\X[1].exe<--loeschen HijackThis http://www.downloads.subratam.org/hijackthis.zip http://www.spywareinfo.com/~merijn/files/hijackthis.zip Lade/entpacke HijackThis in einem Ordner -->None of the above, just start the program --> Save--> Savelog -->es öffnet sich der Editor --> oder: Do a system scan and save a logfile --> Save--> Savelog -->es öffnet sich der Editor --> nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.04.2005, 21:55
...neu hier
Beiträge: 9 |
#8
Hi Sabina
ok ich hab den escan grad vorhin beendet! 26virenmeldungen! anti-virscan habe ich auch durchgeführt, 3 DIAL/Generics wurden gelöscht, sonst hat antivir nix mehr entdeckt...! ich weiß nicht genau was du mit G:\WINDOWS\39exe und dem anderen gemeint hast, aber das laufwerk G gibts auf meinem laptop nicht! ich hab überall gesucht und nix entdeckt was dem ähnlich sein könnte! den scan hab ich jedoch gemacht und dann, keine ahnung wie, hab ich den hijackthiseditor geöffnet, mit diesem ergebnis: Logfile of HijackThis v1.99.1 Scan saved at 21:45:03, on 13.04.05 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\ATI2PLAB.EXE C:\WINDOWS\SYSTEM\SA3DSRV.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\ATIPTAAB.EXE C:\WINDOWS\SYSTEM\ATI2CWXX.EXE C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPLPR.EXE C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPENH.EXE C:\PROGRAMME\COMPAQ\EASY ACCESS BUTTON SUPPORT\CPQEADM.EXE C:\COMPAQ\INTERNET\CISRVR.EXE C:\CPQS\BWTOOLS\SCCENTER.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE C:\WINDOWS\LOADQM.EXE C:\PROGRAMME\WINAMP\WINAMPA.EXE C:\PROGRAMME\ICQLITE\ICQLITE.EXE C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE C:\PROGRAMME\COMPAQ\EASY ACCESS BUTTON SUPPORT\BTTNSERV.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\COMPAQ\EASY ACCESS BUTTON SUPPORT\EAUSBKBD.EXE C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\WINWORD.EXE C:\PROGRAMME\COMPAQ\ON-SCREEN DISPLAY\OSD.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\PROGRAMME\WEBDE\SMARTSURFER2.3\SMARTSURFER.EXE C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE C:\PROGRAMME\WINRAR\WINRAR.EXE C:\WINDOWS\TEMP\RAR$EX00.683\HIJACKTHIS.EXE C:\WINDOWS\MSAGENT\AGENTSVR.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.presario.net/scripts/redirectors/presario/srchredir.dll?c=2c99&lc=0407&s=search&i=deu R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/185/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.presario.net/scripts/redirectors/presario/srchredir.dll?c=2c99&lc=0407&s=search&i=deu R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.presario.net/scripts/redirectors/presario/srchredir.dll?c=2c99&lc=0407&s=search&i=deu R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.presario.net/scripts/redirectors/presario/srchredir.dll?c=2c99&s=search&query=%s&i=enu R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.web.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://desktop.presario.net/scripts/redirectors/presario/deskredir.dll?c=1c00&lc=0407&s=consumer&ap=b201 O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN TOOLBAR\01.01.1629.0\DE\MSNTB.DLL O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [AtiPTA] Atiptaab.exe O4 - HKLM\..\Run: [Ati2cwxx] Ati2cwxx.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [CPQEASYACC] C:\Programme\Compaq\Easy Access Button Support\cpqeadm.exe O4 - HKLM\..\Run: [EACLEAN] C:\Programme\Compaq\Easy Access Button Support\eaclean.exe O4 - HKLM\..\Run: [Aureal A3D Interactive Audio Init] A3dInit.exe O4 - HKLM\..\Run: [Compaq Internet Setup] C:\Compaq\Internet\InetWizard.exe /RUN O4 - HKLM\..\Run: [CISrvr Program] C:\COMPAQ\INTERNET\CISRVR.EXE O4 - HKLM\..\Run: [Service Connection] c:\cpqs\bwtools\sccenter.exe O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [ATIPOLAB] ati2plab.exe O4 - HKLM\..\RunServices: [Aureal A3D Interactive Audio] sa3dsrv.exe O4 - HKCU\..\Run: [MsnMsgr] "c:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O15 - Trusted Zone: *.iframe.biz O15 - Trusted Zone: *.newiframe.biz O15 - Trusted Zone: *.sp2F***.biz O15 - Trusted Zone: *.sp2admin.biz O15 - Trusted Zone: *.windupdates.com O15 - Trusted Zone: *.c4tdownload.com O15 - Trusted Zone: *.overpro.com O15 - Trusted Zone: *.megapornix.com O15 - Trusted Zone: *.awmdabest.com O16 - DPF: Interface Chat Voila - http://chat10.x-echo.com/version5/Applet/vchatsign.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/286be158a22555397405/netzip/RdxIE601_de.cab ich hoff mal des war richtig..... gruß, Juna* |
|
|
||
14.04.2005, 23:52
Ehrenmitglied
Beiträge: 29434 |
#9
Hallo@Juna
einzelne "exe" ueberpruefen http://www.virustotal.com/flash/index_en.html A3dInit.exe • Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen http://virusscan.jotti.org/de/ A3dInit.exe Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.presario.net/scripts/redirectors/presario/srchredir.dll?c=2c99&lc=0407&s=search&i=deu R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/185/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.presario.net/scripts/redirectors/presario/srchredir.dll?c=2c99&lc=0407&s=search&i=deu R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.presario.net/scripts/redirectors/presario/srchredir.dll?c=2c99&lc=0407&s=search&i=deu R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.presario.net/scripts/redirectors/presario/srchredir.dll?c=2c99&s=search&query=%s&i=enu R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://desktop.presario.net/scripts/redirectors/presario/deskredir.dll?c=1c00&lc=0407&s=consumer&ap=b201 O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file) O4 - HKLM\..\Run: [Aureal A3D Interactive Audio Init] A3dInit.exe O4 - HKLM\..\RunServices: [Aureal A3D Interactive Audio] sa3dsrv.exe O15 - Trusted Zone: *.iframe.biz O15 - Trusted Zone: *.newiframe.biz O15 - Trusted Zone: *.sp2F***.biz O15 - Trusted Zone: *.sp2admin.biz O15 - Trusted Zone: *.windupdates.com O15 - Trusted Zone: *.c4tdownload.com O15 - Trusted Zone: *.overpro.com O15 - Trusted Zone: *.megapornix.com O15 - Trusted Zone: *.awmdabest.com O16 - DPF: Interface Chat Voila - http://chat10.x-echo.com/version5/Applet/vchatsign.cab neustarten CWShredder http://www.intermute.com/spysubtract/cwshredder_download.html * Double-click on CWShredder.exe. * Click "Fix ->" and click "OK" at the prompt. scanne noch mal mit escan und kopiere alles raus, was infected ist. + silentrunners http://www.silentrunners.org/sr_download.html gehe auf: Zitat: Click here to download a zip file. hier die Erklaerung: http://www.silentrunners.org/sr_scriptuse.html klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor--> und poste alles, was angezeigt wird. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.04.2005, 14:51
...neu hier
Beiträge: 9 |
#10
Hi@sabina!
also ich hab zwei exedateien dieses typs gefunden... This is a report processed by VirusTotal on 04/15/2005 at 14:48:08 (CET) after scanning the file "A3dInit.exe" file. Antivirus Version Update Result AntiVir 6.30.0.7 04.15.2005 no virus found AVG 718 04.15.2005 no virus found BitDefender 7.0 04.15.2005 no virus found ClamAV devel-20050307 04.15.2005 no virus found DrWeb 4.32b 04.15.2005 no virus found eTrust-Iris 7.1.194.0 04.15.2005 no virus found eTrust-Vet 11.7.0.0 04.15.2005 no virus found Fortinet 2.51 04.15.2005 no virus found F-Prot 3.16b 04.15.2005 no virus found Ikarus 2.32 04.15.2005 no virus found Kaspersky 4.0.2.24 04.15.2005 no virus found McAfee 4469 04.14.2005 no virus found NOD32v2 1.1063 04.15.2005 no virus found Norman 5.70.10 04.14.2005 no virus found Panda 8.02.00 04.15.2005 no virus found Sybari 7.5.1314 04.15.2005 no virus found Symantec 8.0 04.15.2005 no virus found VBA32 3.10.3 04.14.2005 no virus found Datei: A3dInit.exe Status: EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.) Entdeckte Packprogramme: - AntiVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden mks_vir Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden VBA32 Keine Viren gefunden soll ich den escan im abgs. modus machen? gruß Juna Dieser Beitrag wurde am 15.04.2005 um 15:05 Uhr von Juna editiert.
|
|
|
||
15.04.2005, 15:29
Ehrenmitglied
Beiträge: 29434 |
#11
Hallo@Juna
Hast du eine: (For Aureal based 3D soundcards.????????????) Wenn ja--> nicht fixen--> wenn nein--> fixen O4 - HKLM\..\Run: [Aureal A3D Interactive Audio Init] A3dInit.exe O4 - HKLM\..\RunServices: [Aureal A3D Interactive Audio] sa3dsrv.exe PC neustarten suche bitte die zwei Datein (A3dInit.exe)--> rechtsklick-->Eigenschaften + Erstellungsdatum suche auch die: sa3dsrv.exe--> rechtsklick-->Eigenschaften + Erstellungsdatum (For Aureal based 3D soundcards.????????????) den Silentrunner-Scann mache im Normalmodus) (den escan mache im abgesicherten Modus)-->kopiere dann alles infected raus) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.04.2005, 18:16
...neu hier
Beiträge: 9 |
#12
hi sabina!
ich glaub das ich des hab, ich habs jedoch gefixt! wie krieg ich heraus ob ichs wirklich habe?! bei systemsteuerung ist jedenfalls ein aurealA3D-for-compaq-symbol!!! A3dInit.exe (1) Erstelltonnerstag, 16. Dezember 1999 09:57:53 A3dInit.exe (2) Donnerstag, 16. Dezember 1999 09:57:53 sa3dsrv.exe Erstelltonnerstag, 16. Dezember 1999 09:57:52 noch was: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.presario.net/scripts/redirectors/presario/srchredir.dll?c=2c99&lc=0407&s=search&i=deu R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/185/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.presario.net/scripts/redirectors/presario/srchredir.dll?c=2c99&lc=0407&s=search&i=deu R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.presario.net/scripts/redirectors/presario/srchredir.dll?c=2c99&lc=0407&s=search&i=deu R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.presario.net/scripts/redirectors/presario/srchredir.dll?c=2c99&s=search&query=%s&i=enu R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://desktop.presario.net/scripts/redirectors/presario/deskredir.dll?c=1c00&lc=0407&s=consumer&ap=b201 ---->kann ich nicht löschen!!!! kommt immer wieder!! außerdem, kann ich nicht den e-scan-inhalt kopieren weil sich der editor nicht öffnen lässt! ich hab dir noch mal die hijackthiseditorergebnisse kopiert: Logfile of HijackThis v1.99.1 Scan saved at 18:29:22, on 14.04.05 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\ATI2PLAB.EXE C:\WINDOWS\SYSTEM\SA3DSRV.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\ATIPTAAB.EXE C:\WINDOWS\SYSTEM\ATI2CWXX.EXE C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPLPR.EXE C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPENH.EXE C:\PROGRAMME\COMPAQ\EASY ACCESS BUTTON SUPPORT\CPQEADM.EXE C:\COMPAQ\INTERNET\CISRVR.EXE C:\CPQS\BWTOOLS\SCCENTER.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE C:\WINDOWS\LOADQM.EXE C:\PROGRAMME\WINAMP\WINAMPA.EXE C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE C:\PROGRAMME\COMPAQ\EASY ACCESS BUTTON SUPPORT\BTTNSERV.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\COMPAQ\EASY ACCESS BUTTON SUPPORT\EAUSBKBD.EXE C:\PROGRAMME\COMPAQ\ON-SCREEN DISPLAY\OSD.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\PROGRAMME\WEBDE\SMARTSURFER2.3\SMARTSURFER.EXE C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE C:\PROGRAMME\WINRAR\WINRAR.EXE C:\WINDOWS\TEMP\RAR$EX08.827\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.presario.net/scripts/redirectors/presario/srchredir.dll?c=2c99&lc=0407&s=search&i=deu R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/185/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.presario.net/scripts/redirectors/presario/srchredir.dll?c=2c99&lc=0407&s=search&i=deu R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.presario.net/scripts/redirectors/presario/srchredir.dll?c=2c99&lc=0407&s=search&i=deu O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN TOOLBAR\01.01.1629.0\DE\MSNTB.DLL O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [AtiPTA] Atiptaab.exe O4 - HKLM\..\Run: [Ati2cwxx] Ati2cwxx.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [CPQEASYACC] C:\Programme\Compaq\Easy Access Button Support\cpqeadm.exe O4 - HKLM\..\Run: [EACLEAN] C:\Programme\Compaq\Easy Access Button Support\eaclean.exe O4 - HKLM\..\Run: [Compaq Internet Setup] C:\Compaq\Internet\InetWizard.exe /RUN O4 - HKLM\..\Run: [CISrvr Program] C:\COMPAQ\INTERNET\CISRVR.EXE O4 - HKLM\..\Run: [Service Connection] c:\cpqs\bwtools\sccenter.exe O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [ATIPOLAB] ati2plab.exe O4 - HKLM\..\RunServices: [Aureal A3D Interactive Audio] sa3dsrv.exe O4 - HKCU\..\Run: [MsnMsgr] "c:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/286be158a22555397405/netzip/RdxIE601_de.cab Silent Runner: "Silent Runners.vbs", revision 35, http://www.silentrunners.org/ Operating System: Windows 98 Output limited to non-default values, except where indicated by "{++}" This script requires WMI, which can be downloaded at: http://tinyurl.com/jbxe gruß juna Dieser Beitrag wurde am 15.04.2005 um 23:32 Uhr von Juna editiert.
|
|
|
||
16.04.2005, 17:49
Ehrenmitglied
Beiträge: 29434 |
#13
Hallo@Juna
Ja, wenn du mir nicht posten kannst, was der escan anzeigt.......das ist schlecht.....so weiss ich nicht, was zu loeschen ist..... ------------------------------------------------------------------------ Loeschen temporaere Dateien --> loesche die Dateien in den Ordnern, nicht die ordner selbst C:\WINDOWS\Temp\ C:\Temp\ C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\ C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5 [loesche nicht die index.dat) CCleaner--> loesche alle *temp-Datein http://www.ccleaner.com/ccdownload.asp •AboutBuster--> suche und poste das Scannlog www.malwarebytes.biz/AboutBuster.zip #Ad-aware SE Personal 1.05 Updated http://fileforum.betanews.com/detail/965718306/1 Laden--> Updaten-->scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann CWShredder http://www.intermute.com/spysubtract/cwshredder_download.html * Double-click on CWShredder.exe. * Click "Fix ->" and click "OK" at the prompt. * CWShredder will scan and clean your system of CWS files. * Click "Next->" and then "Exit". Log-->"make Report" •Search&Destroy http://www.safer-networking.org/de/download/index.html Spybot - Search && Destroy process list report,-->bitte abkopieren und posten •Online-Scann (Panda) http://www.pandasoftware.com/activescan/com/activescan_principal.htm (berichte vom Scann) #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.04.2005, 18:50
...neu hier
Beiträge: 9 |
#14
also ich hab versucht ein paar raus zu schreiben, bin aber dann auf den falschen knopf gekommen, aber hier sind die wichtigsten von escan, viele kamen doppelt vor:
C:\WINDOWS\System32\systr.dll --->Trojan.downloader.Win32.Agent.ko File Sytem found infected by IEHijacker.Hotoffers "Spyware/Adware" Virus File C:\WINDOWS\preunist.EXE not a virus Tool.Win32.Reboot C:\WINDOWS\msxmidi.exe -->Trojan.Downloader.Win32.Zdesnado.a C:\WINDOWS\SYSTEM\comonbaby.exe --> Porn.Dialer.Win32.Salc "Virus C:\WINDOWS\TEMPOR~1\CONTENT.IE5\CP830JGN\todlesif[1] ---> Trojan.Downloader.VBS.Psyme.q C:\WINOWS\OPTIONS\CABS\OLS\AOL\AOL4ODE.EXE --> Tool.Win32.Reboot C:\WINDOWS\SYSTEM\MSO\sysnew.exe --->Trojan.daownloader.Win32.Zdesnado.a C:\WINDOWS\TemporaryInternetFiles\Content.IE5\CP830JGN\todlesif[1] ---> Trojan.Downloader.VBS.Psyme.q ich denk das warn die wichtigsten |
|
|
||
16.04.2005, 19:12
Ehrenmitglied
Beiträge: 29434 |
#15
Hallo@Juna
????????????'' Windows\System32\ oder Windows\System\ ??? Zitat C:\WINDOWS\System32\systr.dll --->Trojan.downloader.Win32.Agent.ko •KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\System\systr.dll C:\WINDOWS\System32\systr.dll C:\WINDOWS\System\mt.exe C:\WINDOWS\System\popup_bl.dll C:\WINDOWS\System\serch_hook.dll C:\WINDOWS\System\setup.exe C:\WINDOWS\System\toolband_atl.dll C:\WINDOWS\msxmidi.exe C:\WINDOWS\SYSTEM\comonbaby.exe C:\WINDOWS\SYSTEM\MSO\sysnew.exe PC neustarten C:\WINDOWS\TemporaryInternetFiles\Content.IE5\CP830JGN\todlesif[1]<--loeschen #Ad-aware SE Personal 1.05 Updated http://fileforum.betanews.com/detail/965718306/1 Laden--> Updaten-->scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann •Online-Scann (Panda) http://www.pandasoftware.com/activescan/com/activescan_principal.htm (berichte vom Scann) #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein + poste das neue Log vom HijackTHis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
also mir wurde in einem anderen Forum geraten hier einmal mit meinem Problem zu kommen. Hoffe hier kann mir einer Helfen.
1. AntiVir schlägt alle stunde Alarm mit 2 Meldungen nacheinander.
In der ersten Meldung steht:
G:\WINDOWS\39.exe ist das Trojanische Pferd TR\Drop32.Smal.UE.3
und in der zweiten Meldung steht:
G:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\G507WN87\X[1].exe ist das Trojanische Pferd TR\Drop32.Smal.UE.3
2. Windows fehler Fenster:
Error #317 - Microsoft Windows Security Warning:
Your Windows is corrupted with spyware virus.
You must patch your PC urgently to protect your system.
Private info is accessed by ports:
-8080
-3128
You can patch your PC for free now and delete all spyware viruses.
Click OK to choose and download free spyware removal using AntiSPY.
<OK> <Abbrechen>
3. Mein IE hat als neue Startseite hxxp://www.hotoffers.info/250/ ändern kann ich es nicht. Diese Seite öffnet sich auch ab und zu einfach so mal ohne das ich was gedrückt habe.
Bin am verzweifeln hab schon so vieles probiert bekomme es aber einfach nicht weg. Bitte helft mir bevor ich mein PC aus dem Fenster werfen muss!
Danke im Vorraus