Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: ad-destroyer, popups, hosts datei?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 07.12.2004, 13:43   #1
shyzo
 
ad-destroyer, popups, hosts datei? - Standard

ad-destroyer, popups, hosts datei?



ich habe nun seit einiger zeit das problem, dass sich ab und zu seiten öffnen wie http://69.20.61.245/info@nictechnetw...ad-armorie.htm oder
http://69.20.56.183/yyy6.html und http://69.20.56.3/yyy6.html und andere.
meistens sind es aber diese 3 sites.
das ganze geht von der datei hosts aus ( C:\windows\system32\drivers\etc\hosts ). diese datei wird immer wieder zurückgeändert von wo ist mit unbekannt, wenn ich versuche die schuldigen einträge zu löschen und anschliessend zu speichern.
schreibgeschützt funktioniert nicht -> wird auch einfach wieder geändert.

zu alle dem tauchen manchmal noch virtualbouncer oder die sed.exe bei mir, das ist allerdings äußerst selten und ich weiss auch nicht wieso.

ich finde keine datei die im hintergrund läuft und ständig alle meine änderungen rückgängig macht!

escan findet immer mehrer dlls im ordern c:\windows\system32\ löscht diese aber nicht ( version 4.4.6 -> löscht noch ). DIESE dlls kann ich nicht löschen, weil sie dauernd in benutzung sind. dann hab ich die rundll32.exe ausgeschnitten und auf ein anderes laufwerk verband --> hat nicht geholfen.

hier mein hjt-scan:

Logfile of HijackThis v1.98.2
Scan saved at 14:39:51, on 07.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\ctfmon.exe
E:\Programme\Logitech MX510\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\devldr32.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\rundll32.exe
K:\Progs und files\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\PROGRA~1\VBOUNCER\VIRTUA~1.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
F:\Programme\Winamp3\Studio.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sinister-soulz.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = I-Net-Fenster
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] K:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\Office\OFFICE11\REFIEBAR.DLL

PLEASE HELP! die 01er-hosts-einträge sind das problem aber die kann man nicht fixen, weil sie sofort wieder hergestellt werden.

ich zocke cs und kann ständiges im win landen wegen popups absolut nicht gebrauchen...

spybot sd findet "igetnet", und multiple "coolwwwsearch" probleme, kann diese aber nicht lösen. die coolwwwsearch probleme haben was mit den unlöschbaren einträgen in der hosts datei zu tun...

ich will nicht formatieren müssen, aber anscheinend kann man den kram da nicht besiegen, zumindest meinen recherchen zur folge! was meint ihr?

Geändert von shyzo (07.12.2004 um 13:55 Uhr)

Alt 07.12.2004, 16:54   #2
Cidre
Administrator, a.D.
 
ad-destroyer, popups, hosts datei? - Standard

ad-destroyer, popups, hosts datei?



Zitat:
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Dein System ist nicht gepatcht!
Woran liegts?
[ ] keinen Bock
[ ] vergessen
[ ] gecracktes XP
[ ] MS könnte mich ja ausspionieren
[ ] Wozu soll das gut sein?!

Zitat:
escan findet immer mehrer dlls im ordern c:\windows\system32\ löscht diese aber nicht
Poste mal die Virus Log Information von eScan:
Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

Zitat:
DIESE dlls kann ich nicht löschen, weil sie dauernd in benutzung sind.
Schon mal im abgesicherten Modus probiert?!
__________________

__________________

Alt 08.12.2004, 17:29   #3
shyzo
 
ad-destroyer, popups, hosts datei? - Standard

ad-destroyer, popups, hosts datei?



hab mir gerade erst ne ladung updates gezogen von microsoft.
allerdings nicht das sp2, weil ich dem teil nicht traue.

hierma zitate ausm escan:
Tue Dec 07 12:50:18 2004 => File K:\dlls system32\akupd.dll infected by "TrojanDownloader.Win32.Agent.br" Virus. Action Taken: File Deleted.
Internet Files\Content.IE5\MJC6QPOE\WinTS[1].cab infected by "TrojanDownloader.Win32.Wintool" Virus. Action Taken: File Deleted.
Wed Dec 08 16:45:09 2004 => File C:\Programme\SED\SED.exe tagged as not-a-virus:AdWare.Cres. No Action Taken.
Wed Dec 08 16:46:46 2004 => File C:\WINDOWS\System32\guard.tmp tagged as not-a-virus:AdWare.Look2Me.r. No Action Taken.
Wed Dec 08 16:49:44 2004 => File C:\WINDOWS\system32\guard.tmp tagged as not-a-virus:AdWare.Look2Me.r. No Action Taken.
Wed Dec 08 16:52:48 2004 => File C:\WINDOWS\Temp\nsdtmp09.dll tagged as not-a-virus:AdWare.MetaDirect.a. No Action Taken.

seit neuestem tauch immer wieder die SED.exe auf unter c:\programme\SED\.
die wird anscheinend heruntergeladen.

jetz geh ich nochma in den abgesicherten mod thx
__________________

Alt 09.12.2004, 22:21   #4
Shadowdance
 
ad-destroyer, popups, hosts datei? - Standard

ad-destroyer, popups, hosts datei?



@ shyzo,

--> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre)

--> Boote dann in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und "öffne die mwav.log -> Bearbeiten -> Suchen -> virus eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" (Cidre) Nach dem löschen in den normalen Modus booten und die Systemwiederherstellung wieder aktivieren.

Lade das Clear Prog runter, leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf.

Erstelle ein neues Hijack This Logfile und poste es.

SD

Antwort

Themen zu ad-destroyer, popups, hosts datei?
.html, dateien, drivers, excel, explorer, formatieren, help, hijack, hijackthis, hintergrund, immer wieder, internet, internet explorer, löschen, microsoft, nvcpl.dll, popups, problem, programme, rundll, rundll32.exe, rückgängig, seite, seiten, software, system, system32, träge, update, will nicht, windows, windows xp, windows\system32\drivers



Ähnliche Themen: ad-destroyer, popups, hosts datei?


  1. DealPly / Infiziert durch Bundle-Software / Über 1000 Einträge in der Hosts Datei / Arbeitsspeicher füllt sich
    Log-Analyse und Auswertung - 24.12.2013 (14)
  2. Hosts Datei Veränderung durch Antivir geblockt
    Plagegeister aller Art und deren Bekämpfung - 26.06.2013 (8)
  3. Microsoft-Virenscanner ändern HOSTS-Datei eigenständig
    Nachrichten - 20.08.2012 (0)
  4. Windows Threats Destroyer entfernen
    Anleitungen, FAQs & Links - 01.03.2012 (2)
  5. HILFE! WISO Mein Geld meldet kritische Veränderungen in der Datei "Hosts" !!! Was tun?!?
    Log-Analyse und Auswertung - 25.03.2011 (1)
  6. system tools virus und hosts-datei frage
    Plagegeister aller Art und deren Bekämpfung - 03.01.2011 (2)
  7. Firefox und die hosts Datei unter Windows XP
    Alles rund um Windows - 16.01.2010 (8)
  8. Unerwünschte hosts Einträge?
    Plagegeister aller Art und deren Bekämpfung - 05.07.2009 (1)
  9. popups werden ohne ende geöffnet, trojaner versucht datei zu laden
    Log-Analyse und Auswertung - 24.10.2008 (4)
  10. Hosts Datei befallen?
    Plagegeister aller Art und deren Bekämpfung - 20.09.2008 (1)
  11. spybot 1.52 schreibt in hosts datei!
    Antiviren-, Firewall- und andere Schutzprogramme - 28.04.2008 (3)
  12. Hosts Datei in windows/system32/drivers
    Plagegeister aller Art und deren Bekämpfung - 19.09.2006 (3)
  13. Hosts
    Plagegeister aller Art und deren Bekämpfung - 17.05.2006 (29)
  14. Hosts!?
    Plagegeister aller Art und deren Bekämpfung - 18.12.2005 (4)
  15. Hosts Datei
    Log-Analyse und Auswertung - 22.11.2005 (1)
  16. hosts
    Plagegeister aller Art und deren Bekämpfung - 06.02.2005 (6)
  17. C:/Windows/Hosts - infiziert....
    Plagegeister aller Art und deren Bekämpfung - 17.07.2004 (27)

Zum Thema ad-destroyer, popups, hosts datei? - ich habe nun seit einiger zeit das problem, dass sich ab und zu seiten öffnen wie http://69.20.61.245/info@nictechnetw...ad-armorie.htm oder http://69.20.56.183/yyy6.html und http://69.20.56.3/yyy6.html und andere. meistens sind es aber diese 3 sites. - ad-destroyer, popups, hosts datei?...
Archiv
Du betrachtest: ad-destroyer, popups, hosts datei? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.