IE Absturz + nervende Popups |
||
---|---|---|
#0
| ||
07.06.2005, 19:41
Member
Beiträge: 17 |
||
|
||
08.06.2005, 15:57
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo@Demidrin
Lade: rkfiles.zip http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip -->entpacken--> gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml -->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich das DOS-Fenster schliesst--->poste C:\log.txt DLLCompare http://downloads.subratam.org/DllCompare.exe <klick: Locate.com button. wenn der Scan beendet ist <klick:Compare button <klick: und erstelle das Log--->bitte posten Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der 20 letzten Tage raus einzeln reinkopieren: cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit cd\ cd %temp%\ dir /a:-d /o:-d > %systemdrive%\systemtemp.txt start %systemdrive%\systemtemp.txt cls exit cd\ cd %windir% dir /a:-d /o:-d > %systemdrive%\system.txt start %systemdrive%\system.txt cls exit cd\ dir /a:-d /o:-d > %systemdrive%\sys.txt start %systemdrive%\sys.txt cls exit __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.06.2005, 17:04
Member
Themenstarter Beiträge: 17 |
#3
Ok, danke für die schnelle Antwort, hier die Logs:
DllCompar Log: Zitat * DLLCompare Log version(1.0.0.127)rkfiles.zip: Zitat C:\Dokumente und Einstellungen\Sebastian\Desktopsys.txt: Zitat Volume in Laufwerk C: hat keine Bezeichnung.system32.txt: Zitat Volume in Laufwerk C: hat keine Bezeichnung.system.txt Zitat Volume in Laufwerk C: hat keine Bezeichnung.systemtemp.txt Zitat Volume in Laufwerk C: hat keine Bezeichnung.P.S.: Ich hatte jetzt zwischendurch den IE als Standardbrowser ausgenommen und Opera als Standardbrowser eingesetzt. Daraufhin ist dieser immer abgestürtzt. Dann hab ich das bei Opera wieder ausgestellt, und er läuft wieder einwandfrei... Könnte es was mit dem Problem oben zu tun haben? Dieser Beitrag wurde am 08.06.2005 um 17:36 Uhr von Demidrin editiert.
|
|
|
||
08.06.2005, 17:52
Ehrenmitglied
Beiträge: 29434 |
#4
22.05.2005 18:27 2.368 SVKP.sys
C:\WINDOWS\system32\SVKP.sys imsins.BAK C:\WINDOWS\imsins.BAK->ADS:itbtt Virus: Trojan:Win32/Agent.BQ ----------------------------------------------------------------------------- W32/Surila-B ist ein Netzwerkwurm, der versuchen kann, einen Link zu sich oder zu href="/virusinfo/analyses/w32mydoomw.html">W32/MyDoom-W an ICQ-Kontakte zu senden. W32/Surila-B legt die Hauptkomponente von sich als dx32cxlp.exe im Windows-Systemordner und im "Alle Benutzer"-Autostart-Ordner sowie als systemst.exe im Windows-Systemordner ab. Der Wurm legt außerdem weitere Komponenten von sich in iexpl1orer.exe und SVKP.sys im Windows-Systemordner ab. W32/Surila-B erstellt den folgenden Registrierungseintrag: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ iestart = <Pfad zu iexp1orer.exe> Zusätzlich erstellt W32/Surila-B einen Dienst namens SVKP, der dafür sorgt, dass die Datei SVKP.sys ausgeführt wird, wenn der Dienst startet, z. B. beim Systemstart. ---------------------------- oder: W32.Mugly.B Weiters werden folgende Dateien im Systemordner angelegt: attached.zip //Kopier des Wurms, die als Email Attachment versendet wird winit.exe //Dies ist eine Kopie des Wurms W32.Spybot.Worm uglym.jpg //Das Bild das angezeigt wird. ANSMTP.DLL //Die Email Engine bszip.dll //Archiv Engine SVKP.sys Nimmt folgende Änderungen an der Registry durch: Erzeugt die folgenden Registry Keys: HKEY_CLASSES_ROOT\ANSMTP.MassSender HKEY_CLASSES_ROOT\ANSMTP.MassSender.1 HKEY_CLASSES_ROOT\ANSMTP.OBJ HKEY_CLASSES_ROOT\ANSMTP.OBJ.1 HKEY_CLASSES_ROOT\CLSID\{253664FB-EDFC-4AC6-BD69-B322F466AEED} HKEY_CLASSES_ROOT\CLSID\{887A577B-406B-48FF-80CB-70752BFCD7B4} HKEY_CLASSES_ROOT\TypeLib\{DE6317F7-6EF0-45C2-88D1-8E09415817F1} HKEY_CLASSES_ROOT\Interface\{68B8DCDB-EFA4-420A-BB8A-71B9892A2063} HKEY_CLASSES_ROOT\Interface\{1E98666F-6260-42C9-B846-32B20FDEFE7B} HKEY_CLASSES_ROOT\Interface\{A5F6C90C-ABE4-4C57-A421-8C5A202AA9F8} HKEY_CLASSES_ROOT\Interface\{B13281CF-8778-4C98-AE23ABBA4637A33D} HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SVKP um ein neues Service zu erstellen und den dazugehörigen Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\SVKP http://www.ikarus-software.at/portal/modules.php?name=Virenlexikon&suche=w&submit=suche&show=W32.Mugly.B ANSMTP.DLL bszip.dll SVKP.sys ---------------------------------------------------- •Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Doppelklick:regsrch.vbs reinkopieren: SVKP Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.06.2005, 19:03
Member
Themenstarter Beiträge: 17 |
#5
Hier das Ergebnis der Suche:
Zitat REGEDIT4 |
|
|
||
08.06.2005, 21:34
Ehrenmitglied
Beiträge: 29434 |
#6
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Zitat REGEDIT4Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken. •Download Registry Search Tool :--> noch einmal http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Doppelklick:regsrch.vbs reinkopieren: SVKP Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) reinkopieren: dx32cxel Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) suche /falls du es findest--> schreibe es mir, dann loeschen C:\WINDOWS\system32\ANSMTP.DLL C:\WINDOWS\system32\bszip.dll C:\WINDOWS\system32\SVKP.sys C:\WINDOWS\system32\dx32cxlp.exe C:\WINDOWS\imsins.BAK C:\WINDOWS\imsins.log -------------------------------------------------- imsins.BAK:vjkce [FUND!] Ist das Trojanische Pferd TR/Dldr.Agent.AP.3 imsins.log:dsehq --------------------------------------------------- HKEY_LOCAL_MACHINE\System\CurrentControlSet\ Services\dx32cxel __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.06.2005, 22:08
Member
Themenstarter Beiträge: 17 |
#7
Hab das mit der fixme.reg gemacht...
Ok, hier die neue SVKP - Log: Zitat REGEDIT4dx32cxel - Log: Zitat nix gefundenDiese Dateien habe ich gefunden: Soll ich die jetzt löschen? Zitat C:\WINDOWS\system32\SVKP.sys |
|
|
||
08.06.2005, 23:02
Ehrenmitglied
Beiträge: 29434 |
#8
du musst leider in die Registry gehen und den Dienst manuell loeschen:
gehe in den abgesicherten modus, dann Start-->Ausfuehren--> regedit suche/loesche: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVKP HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVKP HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVKP HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SVKP HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVKP HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SVKP falls du es findest : # HKEY_CLASSES_ROOT\AppID\{F6BDB4E5-D6AA-4D1F-8B67-BCB0F2246E21} # HKEY_CLASSES_ROOT\AppID\WStart.DLL # HKEY_CLASSES_ROOT\WStart.WHttpHelper # HKEY_CLASSES_ROOT\WStart.WHttpHelper.1 # HKEY_CLASSES_ROOT\CLSID\{9896231A-C487-43A5-8369-6EC9B0A96CC0 # HKEY_LOCAL_MACHINE\Software\WSoft # HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9896231A-C487-43A5-8369-6EC9B0A96CC0} Sollte man Probleme haben, die Einträge zu löschen, Klicke auf Bearbeiten-->Berechtigung und klicke dann auf Vollzugriff -->[Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen. PC neustarten dann loesche: C:\WINDOWS\system32\SVKP.sys C:\WINDOWS\imsins.BAK C:\WINDOWS\imsins.log C:\WINDOWS\System32\tmp3.txt C:\WINDOWS\System32\tcpservice2.exe C:\WINDOWS\System32\wstart.dll (Adware:Adware/Admess No disinfected C:\WINDOWS\System32\tmp3.txt) kannst du herausfinden , wozu das gehoert ???? C:\WINDOWS\{00000000-00000000-0000000C-00001102-00000004-00531102}.CDF C:\WINDOWS\{00000000-00000000-0000000C-00001102-00000004-00531102}.BAK ------------------------------- dann noch einmal: •Download Registry Search Tool :--> noch einmal http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Doppelklick:regsrch.vbs reinkopieren: SVKP Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.06.2005, 12:40
Member
Themenstarter Beiträge: 17 |
#9
Alle aufgelisteten Registry - Einträge gelöscht, bis auf diese, die nicht gefunden habe:
Zitat HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVKPAlle Dateien wurden gelöscht, bis auf die, die ich net gefunden habe: Zitat C:\WINDOWS\System32\tcpservice2.exe Zitat C:\WINDOWS\{00000000-00000000-0000000C-00001102-00000004-00531102}.CDFDazu kann ich nicht viel sagen: - Es wird mit dem Viewer der Channelsdefinition geöffnet - hat komische Phrasen drinne, Beispiel: Zitat ActivePreset Church al þþDie Registry Suche ergabe folgendes: Zitat REGEDIT4 |
|
|
||
09.06.2005, 13:08
Ehrenmitglied
Beiträge: 29434 |
#10
Removed Stream! C:\WINDOWS\OpPrintServer.INI:oyupcz
•AboutBuster http://virus-protect.org/antispywaretools.html 4. Klicke auf "Start". (Warte bis der initiale ADS Scan fertig ist.) 5. Klicke "Yes", um zu erlauben, dass jede IE-Anwendung beendet wird. (Warte bis der about:blank Scan fertig ist.) 6. Klicke auf "Ok", um den Scan nochmal laufen zu lassen. 7. Klicke auf "Yes", um zu erlauben, dass jede IE-Anwendung beendet wird. 8. Klicke auf "Yes", um die zweite Runde zu beginnen. 9. Klicke auf "Save log" (speichere das Logfile). 10. Klicke auf "Exit". poste das Log --------------------------------------------------------------------------- die Verseuchung war +- am 22.5. 22.05.2005 19:49 3.778.236 {00000000-00000000-0000000C-00001102-00000004-00531102}.CDF 22.05.2005 19:49 3.778.236 {00000000-00000000-0000000C-00001102-00000004-00531102}.BAK 22.05.2005 19:35 2 tmp3.txt 22.05.2005 18:27 2.368 SVKP.sys also, das beste: loeschen C:\WINDOWS\{00000000-00000000-0000000C-00001102-00000004-00531102}.CDF C:\WINDOWS\{00000000-00000000-0000000C-00001102-00000004-00531102}.BAK in den temporaeren Dateien loeschen: C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp 22.05.2005 20:43 143.872 11cf7c.mst 22.05.2005 19:21 58.368 178bd8.mst Zitat [HKEY_USERS\S-1-5-21-1220945662-813497703-1343024091-1003\Software\Microsoft\Search Assistant\ACMru\5603]•MRU-Clear XP 1.2 Windows merkt sich von jedem Benutzer die zuletzt benutzten Dateien und ausgeführten Funktionen. Diese Einstellungen werden nicht in einer extra Datei, sondern in der Registrierdatenbank abgelegt. Auf diese MRU-Einträge der einzelnen USER kann aber auch ein anderer Benutzer über die Registry zugreifen und so feststellen, was der Anwender denn so als letztes auf seinem Rechner gemacht hat. Diese MRU-Listen können Sie mit MRU-Clear XP anzeigen und löschen. http://www.ok-s.de/download/download.html dann arbeite das bitte ab:--> falls du den escan schon geladen hast (deinstalliere ihn vorher) http://virus-protect.org/escan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.06.2005, 13:21
Member
Themenstarter Beiträge: 17 |
#11
Ok, Dateien hab ich gelöscht...
Escan werd ich noch machen, sobald ich dazu komme... Wenn ich noch was finde meld ich mich hier nochmal... Ansonsten hab ich das Gröbste überstanden, oder? Auf jeden Fall, herzlichen, herzlichen Dank für die Hilfe, Sabina!! Mfg Demidrin |
|
|
||
09.06.2005, 13:24
Ehrenmitglied
Beiträge: 29434 |
#12
nun, das Groebste scheint ueberstanden zu sein, allerdings ist es sehr muehselig, aus der Fuelle der Dateien die Malware "rauszufischen" ....und ich bin ja kein Virenscanner
Du musst also noch mit Virenscannern arbeiten und vor allem, du solltest die Windowsupates machen (SP2) und mit einem eingeschraenkten Benutzerkonto arbeiten) http://virus-protect.org/administrator.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Ich hab folgendes Problem:
Ich vor kurzem ausversehen auf ne Werbung geklickt, darauf hin wurde ich mit irgendwelchen Sachen vollgebommt, welche ich aber mit Antivir geblockt habe. Doch leider funktionierte danach mein IE net mehr. Es kam immer diese Fehlermeldung:
Zitat
Dazu diese Signatur:Zitat
Das ansich wäre nicht das schlimmste, da ich ja auch andere Explorer benutzen kann...Aber in regelmäßigen Abständen tauchen immer abwechselnd ein Werbepopup (irgendwas mit gamblingkey.com) oder eine Sicherheitswarnung die mich über Spyware aufklärt auf englisch auf (mein System ist auf deutsch eingestellt).
Hab schon mit Lavasoft Adaware und Spybot gescannt, beide auf dem neusten Stand. Aber nichts wurde gefunden. Antivir hat auch nichts gefunden.
Mein System ist:
Windows XP Prof. SP1
IE 6 SP 1
Und hier meine hijackthis - Log:
Zitat
Kann einer was damit anfangen? Gibt es noch andere Möglichkeiten, mein System wieder zum Laufen zu bekommen?Mfg Demidrin