wie bekomm ich den trojaner swizzor weg? |
||
---|---|---|
#0
| ||
12.04.2006, 18:39
...neu hier
Beiträge: 5 |
||
|
||
12.04.2006, 23:44
Ehrenmitglied
Beiträge: 29434 |
#2
Schranzi
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.lduampuhkxihtojatdorvcuow.net/8E3r4C_zTcq8gCE4oY919XUgInlWE8YgN/NssBoACqzCIidbGb4ssGJkZoX5G7Vg.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gqjqaxurjgrfkfzmrw.com/8E3r4C_zTcroAj85_7gUKBhiY4D6EoBtpRbjDHVFvck.jsp O2 - BHO: (no name) - {8C32EE31-7730-A8D6-FB90-77B0C9003C50} - C:\DOKUME~1\Miriam\ANWEND~1\BIBBRO~1\Bird blah.exe O2 - BHO: (no name) - {D7F11B97-EAEE-AC8E-ADA9-6C560DD5A49C} - C:\DOKUME~1\Miriam\ANWEND~1\BIBBRO~1\Bird blah.exe O4 - HKLM\..\Run: [DoesThunkMoreKind] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PlaySignDoesThunk\ping web.exe O4 - HKLM\..\Run: [Grid Win Flap Active] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Dent32GridWin\FRAGUSER.exe O4 - HKCU\..\Run: [2 store] C:\DOKUME~1\Miriam\ANWEND~1\LOUDDR~1\Plus exit.exe PC neustarten arbeite das bitte ab: http://virus-protect.org/artikel/spyware/lop1.html zu loeschen (in deinem Fall sind) C:\Dokumente und Einstellungen\Miriam\Anwendungsdaten\LOUDDR.... C:\Dokumente und Einstellungen\Miriam\Anwendungsdaten\BIBBRO... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PlaySignDoesThunk C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Dent32GridWin ------------------------------------------------------------------------- wenn du mit CleanUp,Counterspy und Panda (Online) alle Malware gefunden und geloescht hast.... Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein: Zitat dir %Windir%\tasks /a h > files.txt- Speichern als: findjobs.bat - abspeichern unter : Dateityp: alle Dateien - speichere auf dem Desktop - Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text + #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.04.2006, 17:51
...neu hier
Themenstarter Beiträge: 5 |
#3
danke für deine antwort :-)
Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 0056-E3CB Verzeichnis von C:\WINDOWS\tasks 26.03.2006 18:35 <DIR> . 26.03.2006 18:35 <DIR> .. 13.04.2006 17:00 268 A9C3F01B90806B5F.job 02.04.2003 14:00 65 desktop.ini 13.04.2006 06:34 6 SA.DAT 3 Datei(en) 339 Bytes Verzeichnis von C:\Dokumente und Einstellungen\Miriam\Desktop also ich hatte gestern noch bevor du gepostet hast die datein gelöscht gehabt, die du hier aufgeführt hast.. war echt n kampf... unter hijack findet er die datein auch nicht mehr jedoch hab ich noch eine logfile als restbestand die sich immer wieder erneuert.. heut nacht kam wieder eine meldung von antivir : swizzor... dann gelöscht hab im halb schlaft vorhin hab ich antivir noch mal durchlaufen lassen, da wurde jedoch nix gefunden. auch an ort und stelle wo die vorher waren sind die auch nicht mehr also die hier: C:\Dokumente und Einstellungen\Miriam\Anwendungsdaten\LOUDDR.... C:\Dokumente und Einstellungen\Miriam\Anwendungsdaten\BIBBRO... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PlaySignDoesThunk C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Dent32GridWin hier auch mal ein auszug aus der logfile LVCOMSX.LOG, die im temp ordner ist und sich immerwieder erneuert: 4/12/2006 19:46:40:707 CDebugLogMsg::SetLoggingLevel - Changing Log Level From 5 to 4 4/12/2006 19:46:40:717 CDebugLogMsg::SetLoggingLevel - Changing Log Level From 5 to 4 4/12/2006 19:56:5:650 CDebugLogMsg::SetLoggingLevel - Changing Log Level From 5 to 4 4/12/2006 19:56:5:830 DevExplorer.cpp-line:2055:Refresh: Failed to Setup Drive letters... Ignoring... 4/12/2006 19:56:5:830 DevExplorer.cpp-line:1615:SetupDevicesForMonitor: Failed to open a Device... Ignoring... 4/12/2006 19:56:5:830 CDebugLogMsg::SetLoggingLevel - Changing Log Level From 5 to 4 4/12/2006 19:56:5:830 CDebugLogMsg::SetLoggingLevel - Changing Log Level From 5 to 4 4/12/2006 19:56:5:850 CDebugLogMsg::SetLoggingLevel - Changing Log Level From 5 to 4 4/12/2006 19:56:5:860 CDebugLogMsg::SetLoggingLevel - Changing Log Level From 5 to 4 4/13/2006 0:11:32:696 DevExplorer.cpp-line:2055:Refresh: Failed to Setup Drive letters... Ignoring... 4/13/2006 0:11:32:756 DevExplorer.cpp-line:1615:SetupDevicesForMonitor: Failed to open a Device... Ignoring... 4/13/2006 0:11:32:766 DevExplorer.cpp-line:2055:Refresh: Failed to Setup Drive letters... Ignoring... 4/13/2006 0:11:32:766 DevExplorer.cpp-line:1615:SetupDevicesForMonitor: Failed to open a Device... Ignoring... 4/13/2006 0:57:34:614 DevExplorer.cpp-line:2055:Refresh: Failed to Setup Drive letters... Ignoring... 4/13/2006 0:57:34:624 DevExplorer.cpp-line:1615:SetupDevicesForMonitor: Failed to open a Device... Ignoring... 4/13/2006 0:57:34:714 DevExplorer.cpp-line:2055:Refresh: Failed to Setup Drive letters... Ignoring... die exe starte sich auch immer wieder neu... |
|
|
||
13.04.2006, 18:17
Ehrenmitglied
Beiträge: 29434 |
#4
Schranzi
1. Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein: Zitat %systemdrive%- Speichern als: remjob.bat - abspeichern unter : Dateityp: alle Dateien - speichere auf dem Desktop - Locate remjob.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich kurz ist normal 2. http://virus-protect.org/cleanup.html stelle den Cleaner genauso ein, wie hier angegeben dann PC neustarten 3. scanne mit Panda und poste den scanreport http://virus-protect.org/cleanup.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.04.2006, 20:32
...neu hier
Themenstarter Beiträge: 5 |
#5
also ich würd ja gern mit panda scannen.. jedoch jede version die ich mir lade .. hat irgendwelche viren oder werden als solche erkannt und ich muss sie löschen .. und ohne dise gelöschten datein lässt sich panda nicht starten
|
|
|
||
13.04.2006, 21:53
Ehrenmitglied
Beiträge: 29434 |
#6
beachte die Virenwarnungen nicht, wenn du den Panda-Onlinescan beginnst.
(Antivirus und andere Scanner sehen in dem ActiveX eine Bedrohung...ist aber keine) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.04.2006, 07:20
...neu hier
Themenstarter Beiträge: 5 |
#7
moin moin
hier nun der bericht vom onlinetest :-) Ereignis Zustand Standort Adware:adware/savenow Nicht desinfiziert Windows-Registry Spyware:Cookie/2o7 Nicht desinfiziert C:\Dokumente und Einstellungen\Miriam\Cookies\miriam@2o7[2].txt Spyware:Cookie/Atlas DMT Nicht desinfiziert C:\Dokumente und Einstellungen\Miriam\Cookies\miriam@atdmt[1].txt Spyware:Cookie/Atwola Nicht desinfiziert C:\Dokumente und Einstellungen\Miriam\Cookies\miriam@atwola[1].txt Spyware:Cookie/Weborama Nicht desinfiziert C:\Dokumente und Einstellungen\Miriam\Cookies\miriam@weborama[2].txt Spyware:Cookie/Statcounter Nicht desinfiziert C:\Dokumente und Einstellungen\Miriam\Anwendungsdaten\Mozilla\Firefox\Profiles\lccr6xrf.default\cookies.txt[.statcounter.com/] Spyware:Cookie/Com.com Nicht desinfiziert C:\Dokumente und Einstellungen\Miriam\Anwendungsdaten\Mozilla\Firefox\Profiles\lccr6xrf.default\cookies.txt[.com.com/] Spyware:Cookie/Mediaplex Nicht desinfiziert C:\Dokumente und Einstellungen\Miriam\Anwendungsdaten\Mozilla\Firefox\Profiles\lccr6xrf.default\cookies.txt[.mediaplex.com/] Spyware:Cookie/WebtrendsLive Nicht desinfiziert C:\Dokumente und Einstellungen\Miriam\Anwendungsdaten\Mozilla\Firefox\Profiles\lccr6xrf.default\cookies.txt[statse.webtrendslive.com/dcszp7e1v10000omp5r9bmtnv_1o4g] Spyware:Cookie/WebtrendsLive Nicht desinfiziert C:\Dokumente und Einstellungen\Miriam\Anwendungsdaten\Mozilla\Firefox\Profiles\lccr6xrf.default\cookies.txt[statse.webtrendslive.com/] Spyware:Cookie/Statcounter Nicht desinfiziert C:\Dokumente und Einstellungen\Miriam\Anwendungsdaten\Mozilla\Firefox\Profiles\lccr6xrf.default\cookies.txt[] Spyware:Cookie/WebtrendsLive Nicht desinfiziert C:\Dokumente und Einstellungen\Miriam\Anwendungsdaten\Mozilla\Firefox\Profiles\lccr6xrf.default\cookies.txt[dcszp7e1v10000omp5r9bmtnv_1o4g] Spyware:Cookie/WebtrendsLive Nicht desinfiziert C:\Dokumente und Einstellungen\Miriam\Anwendungsdaten\Mozilla\Firefox\Profiles\lccr6xrf.default\cookies.txt[] Spyware:Cookie/2o7 Nicht desinfiziert C:\Dokumente und Einstellungen\Miriam\Cookies\miriam@2o7[2].txt Spyware:Cookie/Atlas DMT Nicht desinfiziert C:\Dokumente und Einstellungen\Miriam\Cookies\miriam@atdmt[1].txt Spyware:Cookie/Atwola Nicht desinfiziert C:\Dokumente und Einstellungen\Miriam\Cookies\miriam@atwola[1].txt Spyware:Cookie/Weborama Nicht desinfiziert C:\Dokumente und Einstellungen\Miriam\Cookies\miriam@weborama[2].txt greetz Schranzi |
|
|
||
14.04.2006, 12:29
Ehrenmitglied
Beiträge: 29434 |
#8
wende die savenow.reg an
http://virus-protect.org/artikel/spyware/save.html die Cookies, die der Panda gefunden hat, sind kein Problem. Es sollte dann wieder alles o.k. sein. Uebrigens, mich interessiert, wie der Trojaner auf deinen Rechner gekommen ist...was hast du geladen ? __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.04.2006, 20:59
...neu hier
Themenstarter Beiträge: 5 |
#9
*freu*Hüpf* THX
*macht den carlton-dance* hmm.. mir ist nicht bewusst was ich da geladen habe könnte....mein rechner is dauer an.. und macht jeden tag ein update mit antivir und scannt jeden mittag das mein sys durch... als ich abends nach hause kam stand schon die virenwarnung von antivir...das ich diese icons von onlinecasine und flirt und co nach jedem neustart auf dem desktop drauf habe, ist schon seit 4 monaten ein prob gewesen .. maybe hat antivir den swizzor erst durch das update erkannt.... greetz schranzi |
|
|
||
05.05.2006, 23:46
...neu hier
Beiträge: 2 |
#10
ich hab genau das gleiche problem wie schranzi.hab nur leider so gut wie gar keine ahnung von computern.nachdem ich jetzt rausgefunden habe was hijackthis und ein logfile sind hier meins:
Logfile of HijackThis v1.99.1 Scan saved at 23:41:52, on 05.05.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\pctspk.exe C:\WINDOWS\system32\PRISMSTA.EXE C:\Programme\Scansoft\PaperPort\pptd40nt.exe C:\Programme\MessengerPlus! 3\MsgPlus.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\FRITZ!DSL\StCenter.exe C:\Programme\Scansoft\PaperPort\SmartUI\SmartUI.exe C:\Programme\FRITZ!DSL\FritzDsl.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\FRITZ!DSL\FwebProt.exe c:\progra~1\intern~1\iexplore.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\eMule\emule.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Messenger\msmsgs.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.302\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: (no name) - {BA0B8E25-1651-831D-8B7F-9125AEF4D69E} - C:\DOKUME~1\ADMINI~1\ANWEND~1\ABOUTM~1\REGSSURF.exe O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing) O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\Scansoft\PaperPort\pptd40nt.exe O4 - HKLM\..\Run: [IndexSearch] C:\Programme\Scansoft\PaperPort\IndexSearch.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [JunkPileHopeCamp] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Tons Drv Junk Pile\Info 4.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart O4 - HKCU\..\Run: [trayflap] C:\DOKUME~1\ADMINI~1\ANWEND~1\BEEPEX~1\Eggs Once.exe O4 - Startup: FRITZ!DSL Internet.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe O4 - Global Startup: SmartUI.lnk = ? O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O16 - DPF: {1DB93715-3B60-43EE-93E6-279BB3E1DF76} (OCXDownloadChecker Control) - http://ul.dipmap.com/cab/OCXChecker_6100.cab O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game02.zylom.com/activex/zylomgamesplayer.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{70BC04A8-B4D2-4CD7-A473-9358DEB28810}: NameServer = 192.168.122.252,192.168.122.253 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe wär nett, wenn mir auch jemand sagen könnte,wie ich den weg bekomme (vielleicht ohne irgendwelche fachbegriffe :-) ) danke franzi |
|
|
||
06.05.2006, 00:53
Ehrenmitglied
Beiträge: 29434 |
#11
franziw
CleanUpanwenden http://virus-protect.org/cleanup.html öffne das HijackThis -- Button "scan" -- vor EintrAEg Häkchen setzen -- Button "Fix checked" -- PC neustarten O2 - BHO: (no name) - {BA0B8E25-1651-831D-8B7F-9125AEF4D69E} - C:\DOKUME~1\ADMINI~1\ANWEND~1\ABOUTM~1\REGSSURF.exe O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [JunkPileHopeCamp] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Tons Drv Junk Pile\Info 4.exe O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart O4 - HKCU\..\Run: [trayflap] C:\DOKUME~1\ADMINI~1\ANWEND~1\BEEPEX~1\Eggs Once.exe arbeite das ab: http://virus-protect.org/artikel/spyware/lop1.html 1. MessengerPlus3 + Sponsor deinstallieren 2. im abgesicherten Modus loeschen: C:\Dokumente und Einstellungen\ADMINI~1\Anwendungsdaten\ABOUTM.......-> ist nicht die vollstaendige Bezeichnung C:\Dokumente und Einstellungen\ADMINI~1\Anwendungsdaten\BEEPEX........ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Tons Drv Junk Pile\ 3. Counterspy (nach dem scan alles auf *remove stellen ** scanne mit dr.web ** Onlinescan-Panda (alles manuell loeschen) ** noch mal cleanup anwenden ------- wenn alles sauber ist: Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein: Zitat dir %Windir%\tasks /a h > files.txt- Speichern als: findjobs.bat - abspeichern unter : Dateityp: alle Dateien - speichere auf dem Desktop - Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.05.2006, 09:21
...neu hier
Beiträge: 2 |
#12
so ich glaub ich hab jetzt alles hinbekommen. der text ausm editor is:
Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: DC23-EB60 Verzeichnis von C:\WINDOWS\tasks 04.05.2006 15:44 <DIR> . 04.05.2006 15:44 <DIR> .. 18.08.2001 14:00 65 desktop.ini 07.05.2006 09:00 278 EC1EE3AE9735DD2A.job 07.05.2006 00:04 6 SA.DAT 3 Datei(en) 349 Bytes Verzeichnis von C:\Dokumente und Einstellungen\Administrator\Desktop sag mal kann ich denn das msn plus wieder raufspielen? hab ja böse sachen darüber gelesen... riesen dankeschön schon mal!bin ich denn jetzt eigentlich fertig? dankeschön!! franzi |
|
|
||
07.05.2006, 10:25
Ehrenmitglied
Beiträge: 29434 |
#13
franziw
Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein: Zitat %systemdrive%- Speichern als: remjob.bat - abspeichern unter : Dateityp: alle Dateien - speichere auf dem Desktop - Locate remjob.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich kurz ist normal wenn Panda und dr.web nichts mehr finden...sollte alles wieder o.k. seni __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.05.2006, 02:58
...neu hier
Beiträge: 1 |
#14
Hi @lle
Habe genau das gleiche Problem gehabt. Ich habe MSN Messenger Plus installiert und nach Neustart bemerkt das ich ein Handy-Icon auf dem Desktop hatte. Dann schlug plötzlich AntiVir Alarm. Alle paar Sekunden, dann nochöfter kamen Meldungen, das ein Trojaner versuche auf den Rechner zuzugreifen. Das Handy-Icon bot nur auf Rechts-Klick mit der Maus die Option "Delete". Ich weiß selbst nicht genau, wie sich dieser Mist installiert haben könnte. Ich hatte schon MSN Plus im Verdacht. Jedoch wenn der Trojaner bereits in der Setup-Application stecken würde, würde doch dann schon im "Nicht installierten Zustand der Virenscanner Verrückt spielen, oder? Wenn man MSN Plus installiert, wird man gefragt ob man die angebotenen Sponsoren-Programme bzw Sponsor mitinstallieren wolle, das würde helfen, den MSN Plus weiter kostenfrei zu halten. Ich denke an dieser Stelle wird man auf eine verseuchte Site geleitet, danach hatte ich nämlich die Probleme bzw die Angriffe. Vielleicht ist das ein Ansatz zu suchen, wo das herkommt. Ich habe MSN Plus nun nicht mehr installiert. MSN reicht mir so wie er ist. Hat jemand von Euch sowas auch beobachtet, vielleicht kommen nach meinem Post hier nun sog. vergessene Erinnerungen wieder ins Gedächtnis bei dem einen oder anderen?! Habe noch eine Frage: Wofür ist das MSN-Plus eigentlich genau? Weil mir wurd der nur empfohlen von jemandem der ihn auch schon länger nutzt. Auf meinem Desktop PC ist er auch installiert, jedoch jetzt bei der Installation des Notebook passierte es. Deutet darauf hin, das er neu ist, dieser Trojaner... Denn alle berichten von Installationszeitraum Mai... Mein MSNPlus auf dem PC wurde März oderso bereits installiert. Vermutlich deshalb? Der MSN EXPLORER ist der seit kürze Abo-Pflichtig? Wollt den einrichten ebenfalls, da kommt, das man Abo abschließen müßte... War vor paar Monaten ebenfalls noch NICHT so... Wie ich ihn wegbekommen habe? Win neu gemacht, jedoch mit daueraktiver Firewall diesmal. Hatte ich wohl beim letzten Male versehentlich ausgeschaltet. Grüße an @lle Razorback2 |
|
|
||
23.05.2006, 10:27
Member
Beiträge: 462 |
#15
Hi Razorback2,
zunächst: "MSN plus" ist keine Software von Microsoft! Vielmehr ist dies eine Erweiterung für Microsoft's Instant Messenger MSN, welche von einem ganz anderen Hersteller unters Volk gebracht wird. Diese Erweiterung soll den MSN Messenger mit verschiedenen mehr oder weniger sinnvollen Funktionen aufwerten. Der Autor dieser Erweiterung bietet sie kostenlos an, allerdings verdient er wohl dadurch Geld, dass er im Bundle mit dieser Erweiterung Werbesoftware - sogenannte Adware - vertreibt. Die Installation der Adware kann bei der Installation von MSN plus erlaubt oder nicht gestattet werden. Leider spricht der Autor scheinheilig von "Sponsor-Programm", weshalb viele unbedarfte Benutzer nicht wissen, was sie sich da auf den Rechner holen. In der Meinung, dem so großzügigen Programmautor - der ja seine so tolle Software gratis zur Verfügung stellt - wenigstens etwas gutes zu tun, gestatten sie (wie offensichtlich auch du) die Mit-Installation der "Sponsoren-Programme" und wundern sich fortan, woher all der Müll auf ihrem Rechner kommt. Dass MSN plus mit Adware ver-bundle-t ist, ist eigentlich schon seit langem bekannt. Da die Installation der Adware-Komponente aber während des Installationsvorgangs explizit abgelehnt werden kann, lässt sich dem Herrn daraus wohl kein Strick drehen. Ich persönlich halte von solcherlei Gebahren allerdings garnichts, weil eben die meisten User nicht wissen was er da als "Sponsoren-Programme" dazugepackt hat. Allerdings ist mir auch schon die Werbung die MSN ohne diese "plus"-Erweiterung mitbringt zuviel; weshalb ich persönlich nur alternative, Multi-IM-Clients wie Trillian 3.1 basic (-hier gibts gute Infos in deutsch dazu-), Gaim oder Miranda IM nutze und auch anderen dazu anrate. Gruß RollaCoasta Nachtrag: Zitat (...) jedoch mit daueraktiver Firewall diesmal. Hatte ich wohl beim letzten Male versehentlich ausgeschaltet. (...)Ob eine Firewall Schutz bietet vor vom Benutzer selbst installierter Müll-ware, lasse ich mal dahingestellt, dazu gibts hier in den entsprechenden Unterforen genug Posts dazu. __________ U can get it if u really want! (J.Cliff) Dieser Beitrag wurde am 23.05.2006 um 10:32 Uhr von RollaCoasta editiert.
|
|
|
||
hier der bericht:
Logfile of HijackThis v1.99.1
Scan saved at 18:27:01, on 12.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Visioneer OneTouch\OneTouchMon.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\CPUCooL\CooLSrv.exe
C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\CPUCooL\CPUCooL.exe
C:\Program Files\mIRC\mirc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\DOKUME~1\Miriam\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.lduampuhkxihtojatdorvcuow.net/8E3r4C_zTcq8gCE4oY919XUgInlWE8YgN/NssBoACqzCIidbGb4ssGJkZoX5G7Vg.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gqjqaxurjgrfkfzmrw.com/8E3r4C_zTcroAj85_7gUKBhiY4D6EoBtpRbjDHVFvck.jsp
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {8C32EE31-7730-A8D6-FB90-77B0C9003C50} - C:\DOKUME~1\Miriam\ANWEND~1\BIBBRO~1\Bird blah.exe
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {D7F11B97-EAEE-AC8E-ADA9-6C560DD5A49C} - C:\DOKUME~1\Miriam\ANWEND~1\BIBBRO~1\Bird blah.exe
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [DoesThunkMoreKind] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PlaySignDoesThunk\ping web.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [OneTouch Monitor] C:\Programme\Visioneer OneTouch\OneTouchMon.exe
O4 - HKLM\..\Run: [Grid Win Flap Active] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Dent32GridWin\FRAGUSER.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [2 store] C:\DOKUME~1\Miriam\ANWEND~1\LOUDDR~1\Plus exit.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1133423854226
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1133424537288
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DF442A0D-F4AD-4A6D-8398-EB99E4D3519A}: NameServer = 212.68.78.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{ECEEBBF0-8252-43AD-9031-492AB635F21A}: NameServer = 212.68.78.5
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Programme\CPUCooL\CooLSrv.exe
O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
wäre wirklich dankbar wenn mir jemand hilft den wegzubekommen....
greetz
schranzi
<<<<<<<<<<<<<<<<<<<
nach dem ich jetzt so ziehmlich alles an viren-,trojaner- und spywarescanner durchlaufen lassen hab und den x-male versucht habe zu löschen .. kommt nun im 5 min-takt eine virenwarung von antivir :/ die mich versucht aufmerksam auf swizzor zu machen...hat vllt nicht doch wer eine idee?
greetz
schranzi