Habe trojaner, wuermer usw bin zieml computer-unbegabt !!! |
||
---|---|---|
#0
| ||
29.06.2005, 18:04
...neu hier
Beiträge: 7 |
||
|
||
29.06.2005, 18:18
Member
Beiträge: 239 |
#2
Hallo, lade dir das Tool AdAware und Spybot und scan damit
dein PC. Vor dem Start aber unbedingt das update von AdAware und Spybot laden. Danach lade dir HijackThis, stelle es in einen seperaten Ordner und starte das Programm. Die dabei erzeugte Logfile bitte speichern und hier posten. Rolfs |
|
|
||
29.06.2005, 19:03
...neu hier
Themenstarter Beiträge: 7 |
#3
Hallo Rolf,
schon mal vielen Dank fuer die schnelle Info. AdAware und Spybot habe ich schon auf meinem PC installiert und laufen lassen. Bei HijackThis kommt folgendes raus: Logfile of HijackThis v1.99.1 Scan saved at 19:02:39, on 29/06/2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Common Files\Symantec Shared\ccProxy.exe C:\Program Files\Intel\Intel Application Accelerator\iaantmon.exe C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe C:\WINDOWS\system32\netwh.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Skype\Phone\Skype.exe C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\DOCUME~1\Ulf\LOCALS~1\Temp\Tijdelijke map 3 voor hijackthis_199[1].zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\rplvr.dll/sp.html#37049 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\rplvr.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\rplvr.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\rplvr.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\rplvr.dll/sp.html#37049 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\rplvr.dll/sp.html#37049 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\rplvr.dll/sp.html#37049 R3 - Default URLSearchHook is missing O2 - BHO: Class - {E6729088-50CA-1D40-3B9D-AA2D52D24BF7} - C:\WINDOWS\system32\ipxf32.dll O4 - HKLM\..\Run: [netwh.exe] C:\WINDOWS\system32\netwh.exe O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe O23 - Service: IAA Event Monitor (IAANTMon) - Intel Corporation - C:\Program Files\Intel\Intel Application Accelerator\iaantmon.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe Ciao Ulf |
|
|
||
29.06.2005, 19:57
Member
Beiträge: 4730 |
#4
Zitat R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\rplvr.dll/sp.html#37049sollten unbedingt gefixt werden Bei folgendem bin ich mir nicht ganz sicher: Zitat O2 - BHO: Class - {E6729088-50CA-1D40-3B9D-AA2D52D24BF7} - C:\WINDOWS\system32\ipxf32.dll __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
29.06.2005, 20:07
...neu hier
Themenstarter Beiträge: 7 |
#5
OK, was passiert wenn ich den letzten auch fixe und er sollte nicht ??
Ist das schlimm ? Und was mache ich danach ?? |
|
|
||
29.06.2005, 20:12
Member
Beiträge: 4730 |
#6
Wenn Du den letzten fixt, könnte es sein, dass irgendeine (evtl. überflüssige) Toolbar oder so im IE nicht mehr funktioniert. BHO = Browser Helper Object, also sowas wie die ICQ-Toolbar, die Google-Toolbar oder andere Spielereien. Kann aber auch schädlich sein.
Nach Möglichkeit sollte man sowieso lieber nicht den IE, sondern einen der sicheren Browser verwenden (Firefox, Mozilla, Opera), dann fängt man sich auch keine Viren, Würmer oder Malware beim Surfen ein Nachtrag: Und bei Spybot auch die Immunisieren-Funktion verwenden __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
29.06.2005, 20:16
...neu hier
Themenstarter Beiträge: 7 |
||
|
||
29.06.2005, 20:20
Member
Beiträge: 4730 |
#8
kannst ja nochmal ein HJT-Log posten, aber ich denke, dass es das war
__________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
29.06.2005, 20:56
...neu hier
Themenstarter Beiträge: 7 |
#9
Also hier nochmal das aktuelle Log:
Logfile of HijackThis v1.99.1 Scan saved at 20:55:38, on 29/06/2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Common Files\Symantec Shared\ccProxy.exe C:\Program Files\Intel\Intel Application Accelerator\iaantmon.exe C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Skype\Phone\Skype.exe C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\DOCUME~1\Ulf\LOCALS~1\Temp\mwavscan.com C:\DOCUME~1\Ulf\LOCALS~1\Temp\kavss.exe C:\WINDOWS\system32\netwh.exe C:\Program Files\Microsoft Office\Office10\WINWORD.EXE C:\Program Files\Common Files\Microsoft Shared\Speech\sapisvr.exe C:\DOCUME~1\Ulf\LOCALS~1\Temp\Tijdelijke map 4 voor hijackthis_199[1].zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\rplvr.dll/sp.html#37049 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\rplvr.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\rplvr.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\rplvr.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\rplvr.dll/sp.html#37049 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\rplvr.dll/sp.html#37049 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\rplvr.dll/sp.html#37049 R3 - Default URLSearchHook is missing O2 - BHO: Class - {E6729088-50CA-1D40-3B9D-AA2D52D24BF7} - C:\WINDOWS\system32\ipxf32.dll O4 - HKLM\..\Run: [netwh.exe] C:\WINDOWS\system32\netwh.exe O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe O23 - Service: IAA Event Monitor (IAANTMon) - Intel Corporation - C:\Program Files\Intel\Intel Application Accelerator\iaantmon.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe Die seiten werden nach wie vor in meine favoriten-Liste kopiert, under der drucker weigert sich auch immer noch .... Auch nach runterfahren des PC's ... Hat dann nicht ganz geklappt oder ?? Was kann man jetzt noch versuchen ? Sorry das ich so nerve aber ich weiss wirklich nicht mehr weiter und brauche den PC und Drucker jeden Tag. :-) Dieser Beitrag wurde am 29.06.2005 um 21:11 Uhr von UlfHartmann editiert.
|
|
|
||
29.06.2005, 22:16
Member
Beiträge: 291 |
#10
Hat um genau zu sein überhaupt nicht geklappt. Ist alles samt wieder da. Lad dir am besten erst mal eScan runter (http://www.mwti.net/antivirus/escan/escandl_antivirus.asp) und lass es dann mal duchlaufen. Dann postest du alle Einträge, die im Protokoll als infected angezeigt werden.
|
|
|
||
30.06.2005, 13:38
...neu hier
Themenstarter Beiträge: 7 |
#11
Folgendes Ergebnis ist beim E-scan rausgekommen:
Status: File renamed File: Altnet2.zip Directory: C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery Virus: Password-protected-EXE Soll ich diese Datei loeschen ? Kann das sein das es nur an dieser einen Datei liegt ? Ulf |
|
|
||
30.06.2005, 13:48
Member
Beiträge: 669 |
#12
durchlesen und abarbeiten bitte:
http://board.protecus.de/t16317.htm (Abschnitt: "Virenalarm" und die FAQ) Lade folgende Programme herunter und update sie: se.dll\sp.html - Cleaner-Tool http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html CWShredder: http://cwshredder.net/bin/CWShredder.exe AdAware http://www.lavasoft.de/support/download/ Spybot S&D http://www.safer-networking.org/de/download/index.html Scanne zuerst mit dem se.dll\sp.html - Cleaner-Tool deinen PC und lasse ihn bereinigen, danach führe einen Scan mit den restlichen Tools durch und update sie vorher auch. Den Fund von eScan kannst du löschen so wie ich das sehe, da er sich im Recovery-Ordner von Spybot befindet (wahrscheinlich hat Spybot das Altnet-Problem schon beseitigt und ein Sicherheitsbackup angelegt). Danach poste unbedingt ein aktuelles HijackThis-Log (se.dll ist meistens eine hartnäckige Sache). Tipps zu AdAware, Spybot und CWShredder: Zitat Quelle: http://board.protecus.de/t16317.htm __________ "life's a bitch, turn around and she'll backstab you for a buck." |
|
|
||
30.06.2005, 14:05
...neu hier
Themenstarter Beiträge: 7 |
#13
Wie komme ich in den Abgesicherten Modus ?
F8 beim hochfahren funktioniert nicht. Ist es schlimm die scans im normalen modus zu machen ? |
|
|
||
30.06.2005, 14:28
Member
Beiträge: 669 |
#14
Wahrscheinlich dürckst du zum falschen Zeitpunkt, der ist recht knapp bemessen.
Du musst F8 drücken NACHDEM dein BIOS geladen ist (wenn dein BIOS also z.B. am Anfang immer so Daten am Bildschirm ausgibt, wie deine CPU und RAM, dann warte bis das weg ist und drücke danach), während gerade dein Windows laden will und bevor der Windows-Ladebildschirm erscheint. Es ist normalerweise kein Beinbruch nicht im abgesicherten Modus zu scannen, es ist häufig jedoch viel zuverlässiger. Da im abgesicherten Modus nur die Kern-Komponenten des Systems geladen werden, ist da meistens keine Malware im Hintergrund aktiv, welche den Scanner beeinflussen bzw. stoppen könnte. Solltest du es also partout nicht hinbekommen, scanne eben im normalen Modus. __________ "life's a bitch, turn around and she'll backstab you for a buck." |
|
|
||
1. Automatisch kopieren sich in meine Favoritenliste irgendwelche sex-seiten ...
2. Wenn ich das internet hochfahre bekomme ich eine meldung von Norton dass ich einen trojaner habe der aber jedesmal anders heisst ....
3. Startseite im Internet hat sich geaendert
4. Drucken geht auch nicht mehr ...
Habe schon verschiede programme versucht wie Ad-aware und spybot aber kein erfolg
Wer kann mir helfen und zwar so dass auch ich dass verstehe ?? :-))
Vielen Dank fuer eure Hilfe
Ulf