""Your personal data succesfully tracked!"" desktop und explorer spinnen |
||
---|---|---|
#0
| ||
06.09.2005, 19:52
...neu hier
Beiträge: 9 |
||
|
||
06.09.2005, 20:47
Member
Beiträge: 4730 |
#2
Bringe Deinen PC auf den aktuellen Stand! ServicePack2 und alle weiteren Updates!
Du hast mindestens 2 Viren/Trojaner auf Deinem PC. Überprüfe bei http://www.virustotal.com folgende Dateien und teile uns das Ergebnis mit: C:\Programme\chel\sbea.exe C:\WINDOWS\System32\6f1b0f48cdc.exe HijackThis (HJT): Häkchen setzen und auf fix checked klicken: O4 - HKLM\..\Run: [Windows Executable Dir] crsrs.exe O4 - HKLM\..\Run: [6f1b0f48cdc] C:\WINDOWS\System32\6f1b0f48cdc.exe O4 - HKLM\..\RunServices: [Windows Executable Dir] crsrs.exe O4 - HKCU\..\Run: [Awgqveju] C:\WINDOWS\System32\m?hta.exe O4 - HKCU\..\Run: [Saoe] C:\Programme\chel\sbea.exe O4 - HKCU\..\Run: [6f1b0f48cdc] C:\WINDOWS\System32\6f1b0f48cdc.exe O23 - Service: AntiVir Update Temp (TmpUpSrv) - Unknown owner - C:\DOKUME~1\HP\LOKALE~1\TEMP\_VWUPSRV.EXE (file missing) O23 - Service: Windows 32-bit PnP Driver (winpnp32) - Unknown owner - C:\WINDOWS\System32\winpnp32.exe (file missing) Lade von http://virus-protect.org/killbox.html das Programm Killbox herunter und entpacke es. Starte den PC in den abgesicherten Modus und führe folgendes aus: Killbox starten. Dort "Delete on Reboot" aktivieren und danach folgendes in das Eingabefeld kopieren (jeweils mit Klick auf das weiße Kreuz im roten Feld bestätigen; die Abfrage, ob jetzt neugestartet werden soll, erst nach der letzten Datei mit JA beantworten): C:\WINDOWS\System32\winpnp32.exe C:\WINDOWS\System32\6f1b0f48cdc.exe C:\Programme\chel\sbea.exe C:\WINDOWS\System32\m?hta.exe c:\Windows\System32\crsrs.exe Der PC wird neugestartet. Wieder in den abgesicherten Modus gehen! Start -> Ausführen -> cmd einzeln reinkopieren: cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit cd\ cd %temp%\ dir /a:-d /o:-d > %systemdrive%\systemtemp.txt start %systemdrive%\systemtemp.txt cls exit cd\ cd %windir% dir /a:-d /o:-d > %systemdrive%\system.txt start %systemdrive%\system.txt cls exit cd\ dir /a:-d /o:-d > %systemdrive%\sys.txt start %systemdrive%\sys.txt cls exit Es wird sich jeweils eine Text-Datei öffnen, wovon Du uns bitte alle Einträge der vergangenen vierzehn Tage (vor jeder aufgeführten Datei befindet sich ein Datum) hier rein kopierst. Bitte arbeite das ab, dann können wir weiterhelfen. Nachtrag: Sehe ich es richtig, dass Du zwei Virenscanner installiert hast? Deinstalliere einen davon, denn zwei Virenscanner können sich gegenseitig unbrauchbar machen und das System extrem verlangsamen. __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
06.09.2005, 23:08
...neu hier
Themenstarter Beiträge: 9 |
#3
hui,
also, erst mal vielen vielen dank für die schnelle antwort, es gibt da aber ein paar probleme: virustotal sagt mir bei beiden dateien folgendes: File size can't be more than 10 Megabytes. You can't try compressing it. Thanks you. die beiden dateien sind mittlerweile verschwunden, falls sie überhaupt da waren. die hijackthis einträge sind nu gefixed, die killbox is auch nach anleitung ausgeführt. nur leider gehts danach nich mehr weiter. cmd is ausgeführt, die ersten zwei zeilen funktionieren je noch, die dritte (dir /a:-d /o:-d > %systemdrive%\system32.txt usw.) aber muss wohl a bissl falsch sein, weil da nix mehr passiert!!! (oder bin ich zu blöd?) |
|
|
||
06.09.2005, 23:12
Member
Beiträge: 4730 |
#4
in der dritten zeile werden nur die daten in die angegebene TXT-Datei geschrieben. Von dem Vorgang selbst siehst Du nichts, aber wenn Du die vierte Zeile ausführst, dann bekommst Du das Ergebnis der dritten Zeile ausgeliefert
__________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
06.09.2005, 23:58
...neu hier
Themenstarter Beiträge: 9 |
#5
so, nu gehts:
Verzeichnis von C:\WINDOWS\system32 05.09.2005 17:30 2.154 ssmute.ini 05.09.2005 10:59 1.158 wpa.dbl 25.08.2005 15:53 122.928 FNTCACHE.DAT Verzeichnis von C:\DOKUME~1\HP\LOKALE~1\Temp 06.09.2005 22:05 16.384 ~DF39F3.tmp 06.09.2005 21:53 300 kb.log 06.09.2005 21:52 16.384 ~DF13B0.tmp 06.09.2005 21:44 16.384 Perflib_Perfdata_378.dat 06.09.2005 21:31 16.384 ~DFEC76.tmp 06.09.2005 19:59 1.548 e249ccd69.html 06.09.2005 19:59 0 50b07b87ae6.a76 06.09.2005 19:06 9.996 2f8f3b229e.wav Verzeichnis von C:\WINDOWS 06.09.2005 23:42 1.321.242 ntbtlog.txt 06.09.2005 23:40 9.686 system.txt 06.09.2005 23:35 800 win.ini 06.09.2005 23:29 2.048 bootstat.dat 06.09.2005 23:26 50 wiaservc.log 06.09.2005 23:26 216 wiadebug.log 06.09.2005 22:46 0 0.log 06.09.2005 19:59 564 6f1b0f48cdc.ini 05.09.2005 23:28 217.243 setupact.log 05.09.2005 19:03 115.233 setupapi.log 05.09.2005 15:38 54.156 QTFont.qfn 29.08.2005 20:09 0 LiveBilliardsDemo.INI 29.08.2005 15:35 425.836 wmsetup.log 29.08.2005 13:08 5.818 Reason Preferences.prf 24.08.2005 00:53 34 mswsyst.doc 20.08.2005 12:24 3.838 ModemLog_Agere Systems AC'97 Modem.txt 18.08.2005 17:48 13.042 USB Keyboard Device Setup Log.txt 18.08.2005 17:45 529.710 WindowsUpdate.log 14.08.2005 16:04 1.409 QTFont.for Verzeichnis von C:\ 06.09.2005 23:44 0 sys.txt 06.09.2005 23:42 9.686 system.txt 06.09.2005 23:37 696 systemtemp.txt 06.09.2005 23:32 99.557 system32.txt 06.09.2005 23:28 402.653.184 pagefile.sys 06.09.2005 22:46 72 Pollog.txt 06.09.2005 22:46 167.768 PollSt.txt 06.09.2005 21:16 16.113 hpfr3740.log und ne kurze frage hab ich da noch: WOHER WISST IHR DASS DENN ALLES?? |
|
|
||
07.09.2005, 01:26
Member
Beiträge: 4730 |
#6
Lösche alle Temporären Dateien mit dem CCleaner:
http://virus-protect.org/temp.html Wieder mit Killbox: c:\windows\system32\ssmute.ini C:\DOKUME~1\HP\LOKALE~1\Temp\e249ccd69.html C:\DOKUME~1\HP\LOKALE~1\Temp\50b07b87ae6.a76 C:\DOKUME~1\HP\LOKALE~1\Temp\2f8f3b229e.wav c:\windows\6f1b0f48cdc.ini Und zum Abschluss bitte einen Scan mit eScanCheck. Poste dann das Ergebnis wie auf der Seite beschrieben. Woher wir das wissen? Fachzeitschriften, Internet und das Kennenlernen des eigenen PCs. Also quasi autodidakt __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
07.09.2005, 18:34
...neu hier
Themenstarter Beiträge: 9 |
#7
super, alles wech, 1000 dank schon mal!!! scan läuft noch, dauert ja ewig... ich brings dann hier her, wenns feddich is!!
danke nochmal!!!! |
|
|
||
das thema wurde hier zwar schon mal angeschnitten, aber keine ahnung ob mich da noch jemand sieht, is schon a bissl älter!!!
Mein desktop ist seit eben rot und überall steht sowas wie: "Your personal data succesfully tracked!" das steht sowohl aufm desktop als auch im iExplorer auf jeder seite oben oder unten!!
ich brauch bitte bitte bitte hilfe!!!!!!!!
1000dank im voraus
also, mein hijack Logfile
Logfile of HijackThis v1.99.1
Scan saved at 19:41:40, on 06.09.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AntiVirenKit 2005 trial\AVKService.exe
C:\Programme\AntiVirenKit 2005 trial\AVKWCtl.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
c:\programme\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\McAfee.com\VSO\mcvsshld.exe
C:\Programme\McAfee.com\VSO\oasclnt.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\chel\sbea.exe
C:\WINDOWS\System32\6f1b0f48cdc.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Program Files\InterMute\SpySubtract\SpySub.exe
C:\WINDOWS\System32\6f1b0f48cdc.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\Dokumente und Einstellungen\HP\Desktop\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de/service/redir/ie_t-online.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\PCHealth\HelpCtr\System\panels\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Windows Executable Dir] crsrs.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] C:\Programme\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [OASClnt] C:\Programme\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [6f1b0f48cdc] C:\WINDOWS\System32\6f1b0f48cdc.exe
O4 - HKLM\..\RunServices: [Windows Executable Dir] crsrs.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [T-Online_Software_5\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - HKCU\..\Run: [Windows Registry Repair Pro] C:\Programme\3B Software\Windows Registry Repair Pro\RegistryRepairPro.exe 4
O4 - HKCU\..\Run: [Awgqveju] C:\WINDOWS\System32\m?hta.exe
O4 - HKCU\..\Run: [Saoe] C:\Programme\chel\sbea.exe
O4 - HKCU\..\Run: [6f1b0f48cdc] C:\WINDOWS\System32\6f1b0f48cdc.exe
O4 - Global Startup: D-Link AirPlus.lnk = ?
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
O15 - Trusted Zone: http://www.web-records.com
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall-beta.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/201eb457df2a7ec58d05/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1110750487505
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.arcor.de/vod/dmd/WMDownload.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3670A767-B01C-4CCC-AB20-3A2695A2C16F}: NameServer = 217.237.150.33 217.237.151.161
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit 2005 trial\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit 2005 trial\AVKWCtl.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\programme\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: Marmiko ZeroConfig Controller (MZCCntrl) - Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: AntiVir Update Temp (TmpUpSrv) - Unknown owner - C:\DOKUME~1\HP\LOKALE~1\TEMP\_VWUPSRV.EXE (file missing)
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: Windows 32-bit PnP Driver (winpnp32) - Unknown owner - C:\WINDOWS\System32\winpnp32.exe (file missing)