Windows Security Center Popup |
||
---|---|---|
#0
| ||
21.06.2005, 15:01
Ehrenmitglied
Beiträge: 29434 |
||
|
||
21.06.2005, 15:07
Ehrenmitglied
Beiträge: 29434 |
#47
Zitat exon01 posteteDanke fuer den Link __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.06.2005, 17:44
Member
Themenstarter Beiträge: 64 |
#48
nochmal danke für eure hilfe.
ich hab mir überlegt das ich mich vielleicht immer wieder anstecke da ich den IE benutze, drum hab ich mir heut firefox runter geladen. installation klappt wunderbar nur ich kann ihn nicht ausführen, die firefox.exe verschwindet. wenn ich bei der installation ein häckchen bei "starte firefox" mache geht, aber sobald ich ihn einmal zu mache gehts nicht mehr. ich hab die datein gelöscht die exon01 gepostet hat. und hier der pfind log: Files found with this application may be legitimate. Only remove files that you know are malware related. Checking the C:\WINDOWS folder C:\WINDOWS\unSpySweeper.exe: UPX! Checking the C:\WINDOWS\SYSTEM32 folder C:\WINDOWS\SYSTEM32\ntfsnlpa.exe: UPX! Checking all directories under the C:\WINDOWS\SYSTEM32\drivers folder Checking the C:\Dokumente und Einstellungen\All Users\Start Menu\programs\Startup\ folder Checking the C:\Dokumente und Einstellungen\All Users\Application Data folder Checking the C:\Dokumente und Einstellungen\Alex\Start Menu\programs\Startup\ folder Checking the C:\Dokumente und Einstellungen\Alex\Application Data folder |
|
|
||
21.06.2005, 21:54
Ehrenmitglied
Beiträge: 29434 |
#49
wau, wir haben ihn gefunden !!!!!!!!!
loesche mit der KIllbox: C:\WINDOWS\SYSTEM32\ntfsnlpa.exe C:\WINDOWS\UNSPYS~1.EXE <---suchen (ich habe den kompletten Namen nicht, aber wenn du eine findest mit: UNSPYS...... poste mir den kompletten Namen und loesche sie auch . __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.06.2005, 08:41
Member
Themenstarter Beiträge: 64 |
#50
die exe ist die deinstallations datei von spysweeper, ich habs aber sicherheit halber auch gelöscht. ich hab auch alle anderen datein gelöscht die du in diesen thread mir gesagt hast, fast alle waren da.
diese rad.dll ist jetzt noch immer da, kaum war der rechner im windows kam ein install fenster, dass das ding wieder installiet hat und ich habs nicht abrechen können. achja, firefox geht jetzt! Dieser Beitrag wurde am 22.06.2005 um 08:53 Uhr von daishi editiert.
|
|
|
||
22.06.2005, 08:54
Ehrenmitglied
Beiträge: 29434 |
#51
C:\WINDOWS\SYSTEM32\ntfsnlpa.exe
hast du das geloescht ?'?? das war wichtig, dass du es tust. um die Rad...mach dir keine Sorgen, du hast das Programm seit 2004 auf dem Rechner ...es hatte nichts mit der Verseuchung zu tun. sind die PopUps weg ???????????????? __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.06.2005, 12:45
Member
Themenstarter Beiträge: 64 |
#52
ja im augenblick sieht alles gut aus, herzlichen dank nochmal!
|
|
|
||
23.06.2005, 07:20
...neu hier
Beiträge: 3 |
#53
Just for Info:
Bei mir lief das System schon stabil seit meinem letzten Eintrag. Trotzdem hab' Ich nun auch die C:\WINDOWS\SYSTEM32\ntfsnlpa.exe gelöscht, nachdem dies Sabina empfohlen hatte. Eine "unspy.." Datei gibt's bei mir nicht. Das daishi die Firefox.exe nicht sehen konnte, scheint genauso kontrolliert zu sein, wie die Sache bei mir mit der Killbox.exe. Falls bei diashi das system nun auch wieder läuft, könnte sabina vielleicht eine Zusammenfassung der Problembehebung hier posten? Ich hab' beim stöbern im www festgestellt, dass dieses Problem nun vermehrt auftritt, aber kaum jemand eine Lösung hat!!! Auch ich kann im Nachhinein kaum mehr nachvollziehen, was nun wirklich die "Erlösung" herbeigeführt hat. Auf jeden Fall "Hut ab" vor Sabina, die (der?) sich dermassen bemüht hat. |
|
|
||
23.06.2005, 09:26
Member
Themenstarter Beiträge: 64 |
#54
also es scheit das ding ist wirklich weg, ich hab bis jetzt kein einziges mal mehr ein popup gehabt, möcht micht nomal danke @sabina
|
|
|
||
23.06.2005, 11:22
Ehrenmitglied
Beiträge: 29434 |
#55
ZUSAMMENFASSUNG:
O1 - Hosts: 69.64.35.177 auto.search.msn.com + werbung für ein online casino ------------------------------------------------------- Files Found in all users startup Folder............ ------------------------ Files Found in all users windows Folder............ ------------------------ C:\WINDOWS\svcproc.exe: UPX! C:\WINDOWS\unSpySweeper.exe: UPX! --------------------------------------------------------------------- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVCPROC] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVCPROC\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVCPROC\0000] "Service"="SvcProc" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SvcProc] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SvcProc\Security] usw...... ----------------------------------------------------------------------- Dont delete file's in the section without guidance If any doubt back them up first * UPX! C:\WINDOWS\System32\CISVVC.EXE * UPX! C:\WINDOWS\UNSPYS~1.EXE »»»»» lagitamate file's can/will show in this section. C:\System Volume Information\_restore{926C12F4-2D33-4219-8ECB-7BD61D7EEF60}\RP278\A0043065.exe -> Trojan.Nail -> Gesäubert mit Backup C:\System Volume Information\_restore{926C12F4-2D33-4219-8ECB-7BD61D7EEF60}\RP278\A0043066.exe -> Spyware.BetterInternet ------------------------------------------------------------ Adware:Adware/CWS C:\Dokumente und Einstellungen\All Users\Favoriten\Spyware Uninstall.url Adware:Adware/CWS C:\Dokumente und Einstellungen\All Users\Favoriten\XXX personal photos.url C:\WINDOWS\LastGood\Downloaded Program Files\BridgeX.inf C:\WINDOWS\inf\fastvideoplayer.inf C:\WINDOWS\LastGood\INF\fastvideoplayer.inf D:\Eigene Dateien\Download\anti spy tools\backups\backup-20041023-101554-328.inf C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G5W5M70L\Nailfix[1].zip D:\Eigene Dateien\Download\anti spy tools\Nailfix.zip HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ INFECTION WARNING! "System" = "csizz.exe" [null data] Windows Registry Editor Version 5.00 Zitat [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] Zitat REGEDIT4C:\WINDOWS\SYSTEM32\cisvvc.exe C:\WINDOWS\SYSTEM32\rdsndin.exe --> wurde nie angezeigt Checking the C:\WINDOWS\SYSTEM32 folder C:\WINDOWS\SYSTEM32\ntfsnlpa.exe: UPX! C:\WINDOWS\System32\CISVVC.EXE C:\WINDOWS\svcproc.exe C:\WINDOWS\SYSTEM32\ntfsnlpa.exe C:\WINDOWS\SYSTEM32\rdsndin.exe D:\Eigene Dateien\Download\anti spy tools\Nailfix.zip C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G5W5M70L\Nailfix[1].zip __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.07.2005, 18:49
...neu hier
Beiträge: 1 |
#56
Hallo,
ich hab mir jetzt den Thread komplett durchgelesen, habe dasselbe Problem (also einmal dieses Windows Security Center PopUp und den gelben Ballon - "you may be at risk" - unten in der Taskleiste) und habe andere Programme installiert, weswegen die Lösungsvorschläge hier kaum weiterhelfen. Ich wäre ENORM dankbar, wenn mir auch jemand helfen könnte. Folgendes hat Hijack geliefert: [edit] Hab mit Hijackthis.de mal eben die schlimmsten Einträge gefixt, die da angegeben wurden. [/edit] Logfile of HijackThis v1.99.1 Scan saved at 19:01:49, on 05.07.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\SOUNDMAN.EXE D:\Tools\aTuner\aTuner.exe D:\treiber\creative audio\PROGRAM\CTMIX32.EXE C:\Programme\Lexmark X5100 Series\lxbabmgr.exe C:\Programme\Lexmark X5100 Series\lxbabmon.exe D:\Tools\Cyberlink DVD Solution\PowerDVD\PDVDServ.exe C:\Programme\Ahead\InCD\InCD.exe D:\Tools\Musicmatch\mmtask.exe C:\Programme\Java\jre1.5.0_01\bin\jusched.exe C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe C:\PROGRA~1\mcafee.com\agent\mcagent.exe c:\progra~1\mcafee.com\vso\mcvsescn.exe C:\PROGRA~1\mcafee.com\mps\mscifapp.exe C:\PROGRA~1\McAfee\SPAMKI~1\MSKAgent.exe C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe C:\WINDOWS\System32\ctfmon.exe D:\Tools\Spybot\TeaTimer.exe D:\Tools\Rainlander\Rainlendar.exe c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wdfmgr.exe c:\PROGRA~1\mcafee.com\vso\mcshield.exe D:\Tools\eMule\emule.exe C:\Programme\Outlook Express\msimn.exe C:\PROGRA~1\McAfee\SPAMKI~1\MskClnt.exe K:\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Tools\Adobe Acrobat Reader 6.0.1\ActiveX\AcroIEHelper.dll O2 - BHO: McBrwHelper Class - {227B8AA8-DAF2-4892-BD1D-73F568BCB24E} - c:\programme\mcafee.com\mps\mcbrhlpr.dll O2 - BHO: McAfee PopupKiller - {3EC8255F-E043-4cae-8B3B-B191550C2A22} - c:\programme\mcafee.com\mps\popupkiller.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\Tools\Spybot\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [CloneCDElbyCDFL] "d:\tools\Clone CD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [aTuner] D:\Tools\aTuner\aTuner.exe -autostart O4 - HKLM\..\Run: [CreativeMixer] d:\treiber\creative audio\PROGRAM\CTMIX32.EXE /t O4 - HKLM\..\Run: [Lexmark X5100 Series] "C:\Programme\Lexmark X5100 Series\lxbabmgr.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RemoteControl] "d:\Tools\Cyberlink DVD Solution\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [mmtask] d:\Tools\Musicmatch\mmtask.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe" O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe O4 - HKLM\..\Run: [MPSExe] c:\PROGRA~1\mcafee.com\mps\mscifapp.exe /embedding O4 - HKLM\..\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MSKAgent.exe O4 - HKLM\..\Run: [MSKDetectorExe] C:\PROGRA~1\McAfee\SPAMKI~1\MSKDetct.exe /startup O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe O4 - HKLM\..\Run: [Admanager Controller] C:\Program Files\Admanager Controller\AdManCtl.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] d:\Tools\Spybot\TeaTimer.exe O4 - Startup: Rainlendar.lnk = D:\Tools\Rainlander\Rainlendar.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Tools\Adobe Acrobat Reader 6.0.1\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = D:\Tools\Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\tools\Office\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Tools\ICQ\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Tools\ICQ\ICQLite\ICQLite.exe O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4519/mcfscan.cab O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - McAfee, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe O23 - Service: McAfee SpamKiller Server (MskService) - McAfee Inc. - C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe Dieser Beitrag wurde am 05.07.2005 um 19:03 Uhr von Erzengel editiert.
|
|
|
||
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Zitat
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken).Die Datei "fix.reg" auf dem Desktop doppelklicken. und sofort den PC neustarten
Download pfind
http://www.bleepingcomputer.com/files/pfind.php
extract the files to a folder of there own, a good place would be
C:\Pfind, open the folder and run pfind.bat
C:\pfind.txt <---posten bitte
__________
MfG Sabina
rund um die PC-Sicherheit