Desktop Hintergrund unveränderbar (popupper.exe und psguard) |
||
---|---|---|
#0
| ||
25.07.2005, 10:42
Member
Beiträge: 14 |
||
|
||
25.07.2005, 10:51
Member
Beiträge: 4730 |
#2
http://www.virustotal.com
prüfe dort O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE Die Datei befindet sich, ich glaube, im Windows\System32-Verzeichnis und könnte auch ein Virus sein - muss aber nicht zwangsweise. Deshalb sollst Du es mal durchchecken. Das Hintergrundbild kannst Du über die Eigenschaften von Anzeige (rechte Maustaste auf Desktop -> Eigenschaften) nicht ändern? __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
25.07.2005, 11:00
Member
Themenstarter Beiträge: 14 |
#3
sagen wir es so bei Eigenschaften ersceint nur noch das menue für Bildschirmschoner und wie iel farben ich möchte wenn ich ein Bild hole und klicke als Hintergrund so ändert der Hintergrund sich automatisch in ca.4 sekunden^^
|
|
|
||
25.07.2005, 11:00
Member
Beiträge: 669 |
#4
Lade folgende Programme herunter und update sie:
CWShredder: http://cwshredder.net/bin/CWShredder.exe AdAware http://www.lavasoft.de/support/download/ Spybot S&D http://www.safer-networking.org/de/download/index.html eScan http://www.mwti.net/antivirus/free_utilities.asp Erster Schritt: Deaktiviere die Systemwiederherstellung (Arbeitsplatz => Rechtsklick => Eigenschaften). Nach erfolgter Reinigung des Systems nicht vergessen, wieder zu aktivieren! Diagnose und Vorbereinigung: Deaktiviere den Virenwächter, falls vorhanden, und führe mit AdAware und Spybot S&D im abgesicherten Modus (Rechner neu starten und F8 drücken beim Booten) einen vollständigen Systemscan durch. Markiere (Häkchen setzen) und lösche alle gefundenen kritischen Objekte (AdAware: "Next", Spybot S&D: "markierte Probleme beheben" drücken) Lese dir aufmerksam die Informationen auf folgender Seite zu eScan durch: http://www.trojaner-info.de/hijacker/escan.shtml Update und scanne mit eScan entsprechend der Beschreibung für die Version 4.5.1 oder jünger von trojaner-info. Setze im eScan alle Häkchen, außer bei "Folder" und wähle bei "Drives" "All Local Drives" aus und ein paar Zeilen darunter "Scan All Files" anstelle von "Program Files". Drücke dann den Scan-Button um den Vorgang zu starten (das kann je nach Größe deiner Festplatten ziemlich lange dauern, aber unbedingt zu Ende scannen lassen und nicht abbrechen!). Lass dir danach das eScan-Log anzeigen und speichere es ab. Öffne es mit dem Editor und suche per Suchfunktion nach "infected". Kopiere alle betroffenen Zeilen vollständig und poste sie hier im Forum (kompletter Pfad + Datei, sowie Art der Infektion!) Virenwächter danach wieder aktivieren! Desktop-Hintergrund: Den folgenden Text (in dem "Zitat"-Fenster) in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop ablegen. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Zitat REGEDIT4Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken. RegCleaner hier gibt's das Tool zum Download Installiere den RegCleaner wie jedes andere Programm und starte ihn danach, akzeptiere die Lizenzbedingungen und du solltest dich auf der Programmoberfläche befinden. Wähle nun zuerst: Options >> Language >> Select Language >> und wähle die "deutsch.rlg" aus um das Tool auf Deutsch umzustellen. Danach gehe auf: Tools >> Registry säubern >> verwaiste Einträge finden Das Programm fängt an deine Registry zu durchsuchen, im Anschluss an die Suche erhälst du eine Übersicht der gefundenen Einträge. Markiere sie und entferne sie mit dem Button [markierte entfernen] (unten rechts im Fenster des Tools). Keine Sorge, der RegCleaner erstellt ein Backup. Erstelle danach ein neues HijackThis-Log und poste es zusammen mit den anderen angeforderten Informationen (eScan-Ergebnisse) und berichte bitte wie es jetzt aussieht. __________ "life's a bitch, turn around and she'll backstab you for a buck." |
|
|
||
25.07.2005, 13:07
Member
Themenstarter Beiträge: 14 |
#5
also erstmal vielen dank für die Hilfe hier der escan:
Mon Jul 25 11:56:01 2005 => File C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\cache \javapi\v1.0\jar\ar.jar-42120e89-3c67cbe3.zip infected by "Exploit.Java.Bytverify" Virus! Action Taken: No Action Taken. Mon Jul 25 11:56:01 2005 => File C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\cache \javapi\v1.0\jar\classload.jar-1f8050ce-10a9d0ff.zip infected by "Trojan.Java.ClassLoader.c" Virus! Action Taken: No Action Taken. Mon Jul 25 11:56:01 2005 => File C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\cache \javapi\v1.0\jar\classload.jar-25c143f6-2b882ea2.zip infected by "Trojan.Java.ClassLoader.c" Virus! Action Taken: No Action Taken. Mon Jul 25 11:56:01 2005 => File C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\cache \javapi\v1.0\jar\classload.jar-7eb4d059-6d52e554.zip infected by "Trojan.Java.ClassLoader.c" Virus! Action Taken: No Action Taken. Mon Jul 25 11:56:01 2005 => File C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\cache \javapi\v1.0\jar\count.jar-5980bc51-7529baed.zip infected by "Exploit.Java.ByteVerify" Virus! on Jul 25 11:56:02 2005 => File C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\cache \javapi\v1.0\jar\count.jar-5980ca7e-5a408017.zip infected by "Exploit.Java.ByteVerify" Virus I:\p2p\eMule.de\Incoming\2_Half-Life 2 Unlocker -- HL2 Steam keyg*hier nicht* Seri*hier nicht!* CD Key Access Crack Hack Retailshared for [www.torrent.to].rar infected by "Backdoor.Win32.SubSeven.215" Virus! Habe noch nichts daran verändert wie bekomme ich was weg? Die reg datei wurde zwar eingefügt geändert hat sich aber nichts. Die neue Hjack werde ich gleich reinstellen Hier ist sie: Logfile of HijackThis v1.99.1 Scan saved at 13:12:24, on 25.07.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe d:\Norman\Bin\Zanda.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\pctspk.exe D:\Norman\bin\ZLH.EXE C:\Programme\Microsoft AntiSpyware\gcasServ.exe C:\Programme\ICQLite\ICQLite.exe C:\WINDOWS\System32\alg.exe d:\Norman\Nvc\bin\nvcoas.exe C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe d:\Norman\bin\NJEEVES.EXE d:\Norman\Nvc\BIN\NVCSCHED.EXE d:\Norman\Nvc\BIN\nipsvc.exe d:\Norman\Nvc\BIN\NIP.EXE d:\Norman\Nvc\bin\cclaw.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\Besitzer\Desktop\hjackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://news.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://news.google.de/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [Norman ZANDA] d:\Norman\bin\ZLH.EXE /LOAD /SPLASH O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{194612DB-39B3-4952-86C7-35B1895A3C98}: NameServer = 192.168.110.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{AFD8CE3E-172B-4DEF-804A-AE00F836AC6C}: NameServer = 192.168.110.1 O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - d:\Norman\Nvc\BIN\nipsvc.exe O23 - Service: Norman NJeeves - Unknown owner - d:\Norman\bin\NJEEVES.EXE O23 - Service: Norman ZANDA - Unknown owner - d:\Norman\Bin\Zanda.exe O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - d:\Norman\Nvc\bin\nvcoas.exe O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - d:\Norman\Nvc\BIN\NVCSCHED.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe keine bösartigen dateien gefunden^^ Dieser Beitrag wurde am 25.07.2005 um 19:47 Uhr von Fanta editiert.
|
|
|
||
25.07.2005, 13:13
Member
Beiträge: 669 |
#6
Zuerst einmal lösche bitte die Virenfunde ... und dann noch ein Wort zu deinem Internet-Verhalten, da hier gerade wohl klar wird wo du dir das alles eingefangen hast:
C:\Programme\eMule\Incoming\farmscript galaxywars.rar infected by "Backdoor.Win32.Delf.ki" Virus! C:\Programme\eMule\Incoming\galaxywars farmbot.rar infected by "Backdoor.Win32.Optix.f" Virus! Action Taken: No Action Taken. I:\p2p\eMule.de\Incoming\2_Half-Life 2 Unlocker -- HL2 Steam keyg*hier nicht* Seri*hier nicht!* CD Key Access Crack Hack Retailshared for [www.torrent.to].rar infected by "Backdoor.Win32.SubSeven.215" Virus! Nur so als kleiner Denkanstoss Führe bitte auch mal noch den Panda-Scan durch und berichte von diesem ebenfalls: http://www.pandasoftware.com/products/activescan/com/activescan_principal.htm __________ "life's a bitch, turn around and she'll backstab you for a buck." |
|
|
||
25.07.2005, 13:14
Member
Themenstarter Beiträge: 14 |
#7
J ich weiß habe die p2p letzten Monat runtergeschmissen allerdings die older noch drinne^^
so sind gelöscht da Huptproblem Desktop abe rnicht behoben^^ |
|
|
||
25.07.2005, 13:33
Member
Beiträge: 669 |
#8
Nachdem du alles was oben aufgeführt wurde ausgeführt hast (also alle Scans etc) kannst du einmal noch folgendes versuchen:
Zitat Sabina postete:Berichte danach bitte ausführlich was du alles gemacht hast und poste alle auch oben angefragten Logs. __________ "life's a bitch, turn around and she'll backstab you for a buck." |
|
|
||
25.07.2005, 14:17
Member
Themenstarter Beiträge: 14 |
#9
Na dann wollen wir mal:
hier der escan: Mon Jul 25 11:56:01 2005 => File C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\cache \javapi\v1.0\jar\ar.jar-42120e89-3c67cbe3.zip infected by "Exploit.Java.Bytverify" Virus! Action Taken: No Action Taken. Mon Jul 25 11:56:01 2005 => File C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\cache \javapi\v1.0\jar\classload.jar-1f8050ce-10a9d0ff.zip infected by "Trojan.Java.ClassLoader.c" Virus! Action Taken: No Action Taken. Mon Jul 25 11:56:01 2005 => File C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\cache \javapi\v1.0\jar\classload.jar-25c143f6-2b882ea2.zip infected by "Trojan.Java.ClassLoader.c" Virus! Action Taken: No Action Taken. Mon Jul 25 11:56:01 2005 => File C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\cache \javapi\v1.0\jar\classload.jar-7eb4d059-6d52e554.zip infected by "Trojan.Java.ClassLoader.c" Virus! Action Taken: No Action Taken. Mon Jul 25 11:56:01 2005 => File C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\cache \javapi\v1.0\jar\count.jar-5980bc51-7529baed.zip infected by "Exploit.Java.ByteVerify" Virus! on Jul 25 11:56:02 2005 => File C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\cache \javapi\v1.0\jar\count.jar-5980ca7e-5a408017.zip infected by "Exploit.Java.ByteVerify" Virus C:\Programme\eMule\Incoming\farmscript galaxywars.rar infected by "Backdoor.Win32.Delf.ki" Virus! wie bekomme ich was weg? Die reg und bat datein wurden zwar eingefügt geändert hat sich aber nichts. Hier ist der hjack: Logfile of HijackThis v1.99.1 Scan saved at 13:12:24, on 25.07.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe d:\Norman\Bin\Zanda.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\pctspk.exe D:\Norman\bin\ZLH.EXE C:\Programme\Microsoft AntiSpyware\gcasServ.exe C:\Programme\ICQLite\ICQLite.exe C:\WINDOWS\System32\alg.exe d:\Norman\Nvc\bin\nvcoas.exe C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe d:\Norman\bin\NJEEVES.EXE d:\Norman\Nvc\BIN\NVCSCHED.EXE d:\Norman\Nvc\BIN\nipsvc.exe d:\Norman\Nvc\BIN\NIP.EXE d:\Norman\Nvc\bin\cclaw.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\Besitzer\Desktop\hjackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://news.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://news.google.de/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [Norman ZANDA] d:\Norman\bin\ZLH.EXE /LOAD /SPLASH O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{194612DB-39B3-4952-86C7-35B1895A3C98}: NameServer = 192.168.110.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{AFD8CE3E-172B-4DEF-804A-AE00F836AC6C}: NameServer = 192.168.110.1 O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - d:\Norman\Nvc\BIN\nipsvc.exe O23 - Service: Norman NJeeves - Unknown owner - d:\Norman\bin\NJEEVES.EXE O23 - Service: Norman ZANDA - Unknown owner - d:\Norman\Bin\Zanda.exe O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - d:\Norman\Nvc\bin\nvcoas.exe O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - d:\Norman\Nvc\BIN\NVCSCHED.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe keine bösartigen dateien gefunden^^ Bei de r.bat datei wurde keine der zu löschenden Dateien gefunden also meiner meinung nach sind sie alle schon weg^^ Was ich gemacht hab bevor ich hie her kam war nur: Im Win32 Ordner die dateien intell32.exe , und die poppuper.exe zu öschen Dann habe ich die anderen ateien die normalerweise durch die bat gelöscht wprden wären auch manuell entfernt bzw mit Hilfe der Antispy software. muss ich mich Neu infizieren oder was? Naja es geht ALLE sbis auf den Desktop pandascan kommt in ein paar minuten ich denke ich hab die Übeltäter aber wie Lösche ich sie? Adware:adware/popuper No disinfected C:\WINDOWS\SYSTEM32\hhk.dll Adware:adware/cws No disinfected C:\DOKUMENTE UND EINSTELLUNGEN\BESITZER\FAVORITEN\ONLINE GAMBLING\Online Gambling.url Adware:adware/virmaid No disinfected C:\WINDOWS\popuper.exe Adware:adware/psguard No disinfected C:\PROGRAMME\PSGuard Adware:adware/savenow No disinfected HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\MAGNET Adware:Adware/Hotoffers No disinfected C:\WINDOWS\system32\hhk.dll Dieser Beitrag wurde am 25.07.2005 um 14:25 Uhr von Fanta editiert.
|
|
|
||
25.07.2005, 14:52
Member
Beiträge: 669 |
#10
Noch einmal:
Die Virenfunde von eScan löschen! Zitat Mon Jul 25 11:56:01 2005 => File C:\Dokumente undGehe wieder in den abgesicherten Modus! Dann versuchen wir's mal so, besorge dir das folgende kleine Tool: http://forum.hijackthis.de/attachment.php?attachmentid=108 und lasse es (im abgesicherten Modus) drüber laufen. Danach prüfe bitte einmal im Explorer manuell welche der folgenden Dateien bei dir vorhanden sind (bitte vergewissere dich, dass der Windows Explorer alle Dateien anzeigt, also auch versteckte und Systemdateien etc): C:\wp.exe C:\wp.bmp C:\bsw.exe C:\Windows\sites.ini C:\Windows\popuper.exe C:\Windows\system32\hhk.dll C:\Windows\System32\wldr.dll C:\Windows\System32\helper.exe C:\Windows\System32\intmon.exe C:\Windows\System32\shnlog.exe C:\Windows\System32\intmonp.exe C:\Windows\System32\msmsgs.exe C:\Windows\system32\msole32.exe C:\Windows\System32\ole32vbs.exe C:\WINDOWS\system32\oleadm.dll C:\WINDOWS\system32\perfcii.ini C:\WINDOWS\System32\mocih.exe C:\WINDOWS\smdat32m.sys C:\WINDOWS\sys522.exe C:\WINDOWS\cdmxtras (alle vorhandenen bitte löschen, sollte dies nicht gehen benutze die Killbox, wie weiter unten beschrieben!) Killbox: http://www.bleepingcomputer.com/files/killbox.php Öffne die Killbox => Delete File on Reboot => und kopiere nacheinander die zu löschenden Dateien mit kompletter Pfadangabe hinein, drücke das rote Kreuz und wenn angefragt wird, ob der Rechner neu gestartet werden soll, dann antworte mit "no" usw. bis zur letzten Datei, dann mit "yes" antworten edit: Gerade noch was nettes gefunden: http://forum.hijackthis.de/showpost.php?p=23683&postcount=17 Das könntest du mal durchlesen und abarbeiten, denn mit dem dort geschilderten kleinen Quälgeist hast du es zu tun __________ "life's a bitch, turn around and she'll backstab you for a buck." Dieser Beitrag wurde am 25.07.2005 um 14:57 Uhr von Malkesh editiert.
|
|
|
||
25.07.2005, 15:03
Member
Themenstarter Beiträge: 14 |
#11
Sry abe rkannst du mir saen wie ich den remover starte ich kann at nur installieren^^
|
|
|
||
25.07.2005, 15:08
Member
Beiträge: 669 |
#12
Bei dem Remover handelt es sich zunächst um eine .zip-Datei, welche du entpacken musst, darin befindet sich eine popuper_remover.exe welche du ausführen musst.
Folge der Installationsanleitung, das ist so schon korrekt. Beim Abschluss der Installation drücke den "Finish" Button und DIREKT im Anschluss daran, starte den Rechner neu. Das war's dann auch schon. __________ "life's a bitch, turn around and she'll backstab you for a buck." |
|
|
||
25.07.2005, 17:10
Member
Themenstarter Beiträge: 14 |
#13
SCHEI?E ich hab alles Fixen könen abe rjetzt geht nichts mehr!
Ich schrieb evon nem anderen COMP also folgendes: Im abgesichrten Modus Startet er sich selbst immer wieder neu ich kann dort nichts machen. Im normalen modus komm ich reiin und explorer.exe öffnet nicht beim versuch dies selbst zu tun schließt eine anwendung den explorer sofort! EDIT: Ich komme jetzt über umwege hier ger übe rdas ausführenmenue abe rich brauche DRINGENDST HILFE! es ist mir sogar ein HiJack zu erstllen Logfile of HijackThis v1.99.1 Scan saved at 17:21:55, on 25.07.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe D:\Norman\bin\ZLH.EXE C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe C:\WINDOWS\system32\taskmgr.exe d:\Norman\Bin\Zanda.exe C:\WINDOWS\system32\pctspk.exe d:\Norman\Nvc\BIN\NVCSCHED.EXE d:\Norman\bin\NJEEVES.EXE d:\Norman\Nvc\BIN\nipsvc.exe d:\Norman\Nvc\bin\nvcoas.exe d:\Norman\Nvc\BIN\NIP.EXE d:\Norman\Nvc\bin\cclaw.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Dokumente und Einstellungen\Besitzer\Desktop\hjackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://news.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://news.google.de/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [Norman ZANDA] d:\Norman\bin\ZLH.EXE /LOAD /SPLASH O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{194612DB-39B3-4952-86C7-35B1895A3C98}: NameServer = 192.168.110.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{AFD8CE3E-172B-4DEF-804A-AE00F836AC6C}: NameServer = 192.168.110.1 O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - d:\Norman\Nvc\BIN\nipsvc.exe O23 - Service: Norman NJeeves - Unknown owner - d:\Norman\bin\NJEEVES.EXE O23 - Service: Norman ZANDA - Unknown owner - d:\Norman\Bin\Zanda.exe O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - d:\Norman\Nvc\bin\nvcoas.exe O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - d:\Norman\Nvc\BIN\NVCSCHED.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe Dieser Beitrag wurde am 25.07.2005 um 17:21 Uhr von Fanta editiert.
|
|
|
||
25.07.2005, 19:06
Member
Beiträge: 669 |
#14
Was hast du "gefixt" ?
Du kannst einmal in die HijackThis-Backups schauen und diese wieder herstellen (wenn du da scheinbar irgendwas gefixt hast was nicht gefixt werden sollte): HijackThis starten -> "View a list of backups" auswählen -> dort siehst du dann alle Einträge die du gefixt hast und kannst sie wieder herstellen edit: "fixen" bezieht sich eigentlich immer auf HijackThis, solltest du etwas anderes gemeint haben versuche bitte genau zu erklären was du gemacht hast __________ "life's a bitch, turn around and she'll backstab you for a buck." Dieser Beitrag wurde am 25.07.2005 um 19:08 Uhr von Malkesh editiert.
|
|
|
||
25.07.2005, 19:28
Member
Themenstarter Beiträge: 14 |
#15
aso sry ich meinete reparieren durch den Link mit der anleitung^^
wie es aussiht ist meine ganze regestry verseucht |
|
|
||
Logfile of HijackThis v1.99.1
Scan saved at 10:42:22, on 25.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
d:\Norman\Bin\Zanda.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
D:\Norman\bin\ZLH.EXE
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\Programme\ICQLite\ICQLite.exe
d:\Norman\bin\NJEEVES.EXE
d:\Norman\Nvc\bin\nvcoas.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
d:\Norman\Nvc\BIN\NVCSCHED.EXE
d:\Norman\Nvc\BIN\nipsvc.exe
d:\Norman\Nvc\BIN\NIP.EXE
d:\Norman\Nvc\bin\cclaw.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\mIRC\mirc.exe
C:\Dokumente und Einstellungen\Besitzer\Desktop\hjackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://news.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://news.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] d:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programme\eMule\emule.exe -AutoStart
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{194612DB-39B3-4952-86C7-35B1895A3C98}: NameServer = 192.168.110.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{AFD8CE3E-172B-4DEF-804A-AE00F836AC6C}: NameServer = 192.168.110.1
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - d:\Norman\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - d:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - d:\Norman\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - d:\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - d:\Norman\Nvc\BIN\NVCSCHED.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
Die selbst auswertung ergab: Nichts Böses; mus sich den scan zu pc strat ausführen?
spybot und adaware sind schon drübergelaufen