| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: ad-destroyer, popups, hosts datei?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
07.12.2004, 14:43
| #1 |
| |  ad-destroyer, popups, hosts datei? ich habe nun seit einiger zeit das problem, dass sich ab und zu seiten öffnen wie http://69.20.61.245/info@nictechnetw...ad-armorie.htm oder http://69.20.56.183/yyy6.html und http://69.20.56.3/yyy6.html und andere. meistens sind es aber diese 3 sites. das ganze geht von der datei hosts aus ( C:\windows\system32\drivers\etc\hosts ). diese datei wird immer wieder zurückgeändert von wo ist mit unbekannt, wenn ich versuche die schuldigen einträge zu löschen und anschliessend zu speichern. schreibgeschützt funktioniert nicht -> wird auch einfach wieder geändert. zu alle dem tauchen manchmal noch virtualbouncer oder die sed.exe bei mir, das ist allerdings äußerst selten und ich weiss auch nicht wieso. ich finde keine datei die im hintergrund läuft und ständig alle meine änderungen rückgängig macht! escan findet immer mehrer dlls im ordern c:\windows\system32\ löscht diese aber nicht ( version 4.4.6 -> löscht noch ). DIESE dlls kann ich nicht löschen, weil sie dauernd in benutzung sind. dann hab ich die rundll32.exe ausgeschnitten und auf ein anderes laufwerk verband --> hat nicht geholfen. hier mein hjt-scan: Logfile of HijackThis v1.98.2 Scan saved at 14:39:51, on 07.12.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\System32\ctfmon.exe E:\Programme\Logitech MX510\MouseWare\system\em_exec.exe C:\WINDOWS\System32\devldr32.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\rundll32.exe K:\Progs und files\HijackThis.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\PROGRA~1\VBOUNCER\VIRTUA~1.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE F:\Programme\Winamp3\Studio.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\explorer.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sinister-soulz.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = I-Net-Fenster R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1:8080 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: 69.20.16.183 auto.search.msn.com O1 - Hosts: 69.20.16.183 search.netscape.com O1 - Hosts: 69.20.16.183 ieautosearch O1 - Hosts: 69.20.16.183 ieautosearch O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] K:\Programme\Spybot - Search & Destroy\TeaTimer.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\Office\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\Office\OFFICE11\REFIEBAR.DLL PLEASE HELP! die 01er-hosts-einträge sind das problem aber die kann man nicht fixen, weil sie sofort wieder hergestellt werden. ich zocke cs und kann ständiges im win landen wegen popups absolut nicht gebrauchen... spybot sd findet "igetnet", und multiple "coolwwwsearch" probleme, kann diese aber nicht lösen. die coolwwwsearch probleme haben was mit den unlöschbaren einträgen in der hosts datei zu tun... ich will nicht formatieren müssen, aber anscheinend kann man den kram da nicht besiegen, zumindest meinen recherchen zur folge! was meint ihr? Geändert von shyzo (07.12.2004 um 14:55 Uhr) |
|
07.12.2004, 17:54
| #2 | |||
| Administrator, a.D.   | ad-destroyer, popups, hosts datei?Zitat:
Woran liegts? [ ] keinen Bock [ ] vergessen [ ] gecracktes XP [ ] MS könnte mich ja ausspionieren [ ] Wozu soll das gut sein?! Zitat:
Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen. Zitat:
__________________ |
|
08.12.2004, 18:29
| #3 |
| | ad-destroyer, popups, hosts datei? hab mir gerade erst ne ladung updates gezogen von microsoft.
__________________allerdings nicht das sp2, weil ich dem teil nicht traue. hierma zitate ausm escan: Tue Dec 07 12:50:18 2004 => File K:\dlls system32\akupd.dll infected by "TrojanDownloader.Win32.Agent.br" Virus. Action Taken: File Deleted. Internet Files\Content.IE5\MJC6QPOE\WinTS[1].cab infected by "TrojanDownloader.Win32.Wintool" Virus. Action Taken: File Deleted. Wed Dec 08 16:45:09 2004 => File C:\Programme\SED\SED.exe tagged as not-a-virus:AdWare.Cres. No Action Taken. Wed Dec 08 16:46:46 2004 => File C:\WINDOWS\System32\guard.tmp tagged as not-a-virus:AdWare.Look2Me.r. No Action Taken. Wed Dec 08 16:49:44 2004 => File C:\WINDOWS\system32\guard.tmp tagged as not-a-virus:AdWare.Look2Me.r. No Action Taken. Wed Dec 08 16:52:48 2004 => File C:\WINDOWS\Temp\nsdtmp09.dll tagged as not-a-virus:AdWare.MetaDirect.a. No Action Taken. seit neuestem tauch immer wieder die SED.exe auf unter c:\programme\SED\. die wird anscheinend heruntergeladen. jetz geh ich nochma in den abgesicherten mod thx |
|
09.12.2004, 23:21
| #4 |
 | ad-destroyer, popups, hosts datei? @ shyzo, --> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre) --> Boote dann in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und "öffne die mwav.log -> Bearbeiten -> Suchen -> virus eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" (Cidre) Nach dem löschen in den normalen Modus booten und die Systemwiederherstellung wieder aktivieren. Lade das Clear Prog runter, leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf. Erstelle ein neues Hijack This Logfile und poste es. SD |
|
| Themen zu ad-destroyer, popups, hosts datei? |
| .html, dateien, drivers, excel, explorer, formatieren, help, hijack, hijackthis, hintergrund, immer wieder, internet, internet explorer, löschen, microsoft, nvcpl.dll, popups, problem, programme, rundll, rundll32.exe, rückgängig, seite, seiten, software, system, system32, träge, update, will nicht, windows, windows xp, windows\system32\drivers |
Linear-Darstellung
