antivirusgold*?*bin kurz vor dem verzweifeln... |
||
---|---|---|
#0
| ||
15.06.2005, 00:33
...neu hier
Beiträge: 4 |
||
|
||
15.06.2005, 01:07
Member
Beiträge: 38 |
#2
intmonp.exe ist nicht gut und nicht allein, da gehört noch die eigentliche trojanerdatei dazu - hoff ich mal das sie bei dir popuper.exe heisst... dwwin ist sie denke ich nicht ( aber wer weiß - wenn der security task mamager es so anzeigt kann das schon sein )
Troj/Puper-C ist ein Trojaner für Windows-basierte Systeme. Der Trojaner legt eine Datei namens intmonp.exe (ebenfalls als Troj/Puper-C erkannt) im Windows-Systemordner ab und startet sie. intmonp.exe überwacht den Hauptprozess und startet ihn neu, wenn er beendet wird. Der Hauptprozess startet den Überwachungsprozess neu, wenn er beendet wurde und erzeugt ihn neu, sollte er gelöscht werden. Troj/Puper-C erstellt außerdem den folgenden Registrierungseintrag, damit er gestartet wird, wenn der infizierte Computer neu startet: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run notepad2.exe popuper.exe Der Neustart des Hauptprozesses durch inmonp.exe funktioniert nur, wenn die Trojanerdatei den Namen popuper.exe hat. ( oder eben anders ) Daher kann das System desinfiziert werden, indem der Name der Datei popuper.exe geändert und dann der Prozess popuper.exe beendet wird. intmonp.exe beendet sich selbst, wenn sie die Hauptdatei nicht mehr findet, um sie neu auszuführen. Beide Dateien können gelöscht und die Registrierung bereinigt werden. das mit dem hintergrund ist ja eine ganz witzige idee mfg __________ creatio ex nihilo vs. publico Dieser Beitrag wurde am 15.06.2005 um 01:09 Uhr von Discordia editiert.
|
|
|
||
15.06.2005, 14:48
...neu hier
Themenstarter Beiträge: 4 |
#3
@ discordia
erstmal besten dank.mit dem hintergrund meinte ich natürlich, dass mein eigentliches hintergrundbild durch eine schwarze webseute ersetzt wurde.da steht alles mögliche drau: antivirusblablabla...your system is infected...und so weiter. intmonp.exe wurde in meiner logfile nicht angezeit da ich sie vermutlich schon gelöscht habe.aber popuper.exe habe ich auch drauf.stimmt schon was du alles gesagt hast.wie gesagt,ich habe mal versucht alles mögliche zu löschen was nicht auf den rechner gehört...und siehe da...jetzt schlißt sich ständig mein sch... windows explorer(explorer hat einen fehler verursacht und muss beendet werden---nicht senden---baut sich neu auf---explorer hat einen fehler verursacht und muss geschlossen werden---nicht senden---u.s.w. iss alles zum kotzen werde jetzt erstaml das machen was du hier geschrieben hast und dan sehen wir mal weiter. melde mich auf jeden fall später nocheinmal mfg jussuf |
|
|
||
15.06.2005, 17:11
Member
Beiträge: 38 |
#4
zum problem mit dem ie kann ich nur eins sagen: FIREFOX ist besser und sicherer
__________ creatio ex nihilo vs. publico |
|
|
||
15.06.2005, 23:05
...neu hier
Themenstarter Beiträge: 4 |
#5
ich meinte nicht den internet explorer sonder den windows explorer...halt arbeitsplatz und so weiter...
zum ie kann ich nur sagen, dass ich mir da einen neuen explorer beschaffen muss.werd mal opera ausprobieren...oder so. mfg |
|
|
||
15.06.2005, 23:43
Member
Beiträge: 38 |
#6
ach so..
aber hat das mit dem umbenennen jetzt geklappt ? was du noch probieren kannst ist diesen eintrag zu fixen O20 - Winlogon Notify: style2 - C:\WINDOWS\q201734_disk.dll sollte sie nach dem booten wieder da sein musst du den prozess im systemstart ( ausführen- "msconfig"- systemstart ) erstmal beenden und dann nochmal fixen und die hier auch weil du sie nicht brauchst O9 - Extra button: Microsoft AntiSpyware helper - {C1067750-0D59-446F-8400-34808152A079} - (no file) (HKCU) O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {C1067750-0D59-446F-8400-34808152A079} - (no file) (HKCU) O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing) evtl. die ganze prozedur im abgesicherten modus ( F8 beim systemstart drücken ) wiederholen mfg __________ creatio ex nihilo vs. publico Dieser Beitrag wurde am 15.06.2005 um 23:49 Uhr von Discordia editiert.
|
|
|
||
16.06.2005, 00:02
Ehrenmitglied
Beiträge: 6028 |
||
|
||
16.06.2005, 00:58
Member
Beiträge: 38 |
#8
@arnold
das war eine sehr gute idee @jussuf schau da mal vorbei und hol dir das nötigste für dein system __________ creatio ex nihilo vs. publico |
|
|
||
16.06.2005, 17:33
...neu hier
Themenstarter Beiträge: 4 |
#9
besten dank für den tip.werd mich gleich sofort schlau machen.
mfg |
|
|
||
03.07.2005, 13:15
...neu hier
Beiträge: 1 |
#10
Öhhm ... Ich hab das *** Ding seit gestern auch. Hab den Link ober ausprobiert und festgestellt das da auch trojaner drauf waren >.<
Kann mir jemand mal helfen? Bin auf Mozilla umgestiegen aber es öffnen sich immernoch diese dämlichen popups. Und ich will nicht wissen was dieses programm noch im hintergrund macht. Oo Also es heisst popuper.exe bei mir und ist seit gestern im ordner Windows. Ich habs in "Schei... popuper" umbenannt und trotztdem kommen immer wieder ( Jetzt grade im moment auch) nachrichten von wegen "YOur Pc is maybe infected" Wenn man da draufklickt, wird man sofort zu der antivirus gold seite verlinkt... Ich bin froh dass ich nicht alleine mit diesem prob bin. Dann gibts ja vll ne lösung. also ich hab versucht das mit Norton zu fixen aber der siehts als ganz normales prog an und unternimmt auch nix... Über ne baldige antwort würde ich mich freuen. |
|
|
||
03.07.2005, 13:40
Member
Beiträge: 1132 |
#11
@ Husten,
HijackThis 1.99.1 http://www.downloads.subratam.org/hijackthis.zip http://www.spywareinfo.com/~merijn/files/hijackthis.zip Entpacke das Programm in einem eigenen Ordner. Starte das Programm mit der HijackThis.exe-Datei => Scan drücken => Save Log drücken => der Texteditor mit dem Log öffnet sich. Den gesamten Text abkopieren und hierher posten. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
03.07.2005, 15:00
Ehrenmitglied
Beiträge: 29434 |
#12
Hallo@jussuf
Start -- Ausführen -- cmd -- kopiere nur die Einträge der letzten 40 Tage aus dem sich öffnenden Editor raus einzeln reinkopierendann öffnet sich der Editor) cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit cd\ cd %temp%\ dir /a:-d /o:-d > %systemdrive%\systemtemp.txt start %systemdrive%\systemtemp.txt cls exit cd\ cd %windir% dir /a:-d /o:-d > %systemdrive%\system.txt start %systemdrive%\system.txt cls exit cd\ dir /a:-d /o:-d > %systemdrive%\sys.txt start %systemdrive%\sys.txt cls exit Pfind http://www.bleepingcomputer.com/files/pfind.php *laden -- entpacken -- in C:\Pfind -- klicken pfind.bat nach dem Scan -- C:\pfind.txt -- kopieren/einfügen Lade: rkfiles.zip http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip *entpacken *gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml *Doppelklick(Ausführen)-- rkfiles.bat -- warten bis sich das DOS-Fenster schliesst --- poste C:\log.txt Silentrunners http://virus-protect.org/silentrunner.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.07.2005, 15:02
Ehrenmitglied
Beiträge: 29434 |
#13
@jussuf
•Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Doppelklick:regsrch.vbs reinkopieren UMWdf Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) L2mfix (abarbeiten) http://virus-protect.org/L2mfix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
dies ist zwar mein erstes Posting aber ich wäre wirklich dankbar wenn Ihr mir bei meinem folgenden Problem helfen könnt.Werde natürlich,soweit mir möglich, auch Fragen anderer nach bestem Wissen und Gewissen beantworten...!
So...
habe mir irgenwie das Programm ANtivirusGold eingefangen.Lässt sich nicht löschen oder so.Des weiteren ist mein Hintergrundbild durch einen Hintergrund ersetzt worden und mir wird ständig angezeigt"your computer is infected".
Des weiteren habe ich im Taskmanager intmonp und dwwin aufgelistet.Weiß zwar nicht genau was das ist, jedoch weiß ich das es etwas schlechtes ist.
Immer wenn ich ins Internet gehe werde ich direkt auf w2ww.updatesearches.com weitergeleitet.Und nach einiger Zeit hat sich dieses sch... AntivirusGold wieder selbst installiert.Ich kriege den ganzen Kram einfach nicht runter.Ich habe auch schon versucht in der Registry die betroffenen Einträge zu löschen, hat aber alles nichts gebracht.
Die FP kann ich auch nicht löschen und XP neu aufziehen, daq ich zuviel ewichtige Sachen darauf habe.
Wäre verdammt cool wenn mir jemand einen Tip oder Hilfestellung geben kann.Bin schon kurz vor dem verzweifeln.
Ich habe hier mal mein Logfile gepostet.
Ach...was heißt fixen??schon mal im voraus Und wie gesagt: besten Dank im voraus..!
Logfile of HijackThis v1.99.1
Scan saved at 00:28:47, on 16.06.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\explorer.exe
D:\Schei...\HijackThis.exe
C:\WINDOWS\System32\imapi.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: concept/design's onlineTV - {E5008E45-CE14-4155-8F64-9F8CBB6A1269} - D:\Programme\onlineTV\onlineTV.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: Microsoft AntiSpyware helper - {C1067750-0D59-446F-8400-34808152A079} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {C1067750-0D59-446F-8400-34808152A079} - (no file) (HKCU)
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://217.173.193.218/activex/AxisCamControl.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O20 - Winlogon Notify: style2 - C:\WINDOWS\q201734_disk.dll
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing)