| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Wer kann mir helfen ?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
24.04.2004, 22:52
| #1 |
| |  Wer kann mir helfen ? Hallo ! Ich habe ein echtes Problem: Ich bin ein absoluter Laie, wenn es um Viren und Trojaner geht. Wer kann mir folgende Fragen beantworten: Was bewirkt der Trojaner "Kreeper.c" ? Was bewirkt der Dailer "Dail/300264" ? Antivir meldete mir, dass sich in der Datei "twaintec.cab" infizierte Dateien befinden. Wie kann ich sie löschen ? Die Startseite meines Internet Explores wird automatisch immer auf "coolsearch" geändert. Wie kann ich es verhindern ? Die Seite "only the best" wir bei mir imer automatisch geöffnet, obwohl ich bei aol surfe. Wie kann ich es verhindern ? Vielen Dank |
|
25.04.2004, 09:29
| #2 |
| /// Mr. Schatten   | Wer kann mir helfen ? </font><blockquote>Zitat:</font><hr />Original erstellt von Nangie:
__________________</font><blockquote>Zitat:</font><hr /> (Bin noch nicht ganz fertig mit durchschauen, ist schon spät und ich daher langsam) </font>[/QUOTE]OT on :  zu Shadow rüberschieb OT off [img]smile.gif[/img] </font>[/QUOTE]Danke für den Kaff', aber ich bin schon in dem Alter, in dem man ab 2-3 Uhr nachmittags besser keinen mehr trinkt, sonst schlägt die senile Bettflucht unbarmherzig um 3-4 Uhr nachts zu  [img]graemlins/heulen.gif[/img] Habe früher mal literweise Kaffee zu jeder Tages und Nachtzeit getrunken [img]graemlins/balla.gif[/img] Board war ab circa 1 Uhr nicht mehr zu erreichen!
__________________ |
|
25.04.2004, 11:00
| #3 |
   |  Wer kann mir helfen ? Hallo and Welcome
__________________</font><blockquote>Zitat:</font><hr /> Die Startseite meines Internet Explores wird automatisch immer auf "coolsearch" geändert. Wie kann ich es verhindern ? </font>[/QUOTE]Lade dir HijackThis runter und poste das File bitte hier
__________________ |
|
25.04.2004, 11:10
| #4 |
| | Wer kann mir helfen ? Logfile of HijackThis v1.97.7 Scan saved at 00:09:38, on 25.04.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\slserv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\services\services.exe C:\WINDOWS\System32\igfxtray.exe C:\WINDOWS\System32\hkcmd.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\ISTsvc\istsvc.exe C:\programme\180solutions\msbb.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\ClockSync\Sync.exe C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\oroe.exe C:\WINDOWS\System32\wnscpsv.exe C:\Programme\AOL 9.0\aoltray.exe C:\WINDOWS\System32\svchost.exe C:\Programme\AOL 9.0\waol.exe C:\Programme\AOL 9.0\shellmon.exe C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe C:\WINDOWS\slrundll.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Peter\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1977.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.couldnotfind.com/search_page.html?&account_id=137837 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#37049 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.coolsearch.biz/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.couldnotfind.com/search_page.html?&account_id=137837 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://mshp.dll/index.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mshp.dll/index.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://mshp.dll/sp.html#37049 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = hxxp://www.coolsearch.biz/ F1 - win.ini: run=C:\WINDOWS\System32\services\services.exe O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll (file missing) O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\System32\services\2.01.00.dll O2 - BHO: . - {587DBF2D-9145-4c9e-92C2-1F953DA73773} - C:\WINDOWS\wintn\wintn32.dll O2 - BHO: (no name) - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem217.dll O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINDOWS\Downloaded Program Files\bridge.dll (file missing) O2 - BHO: ShowSearch module - {E2DDF680-9905-4dee-8C64-0A5DE7FE133C} - C:\WINDOWS\wintn\mssearch.dll O2 - BHO: (no name) - {FD9BC004-8331-4457-B830-4759FF704C22} - C:\WINDOWS\wintn\msiesh.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\System32\services\services.exe O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe O4 - HKLM\..\Run: [msbb] c:\programme\180solutions\msbb.exe O4 - HKLM\..\Run: [Image] rundll32 C:\WINDOWS\image.dll,Install O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\System32\services\services.exe O4 - HKCU\..\Run: [ClockSync] C:\Programme\ClockSync\Sync.exe O4 - HKCU\..\Run: [Lnbu] C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\oroe.exe O4 - HKCU\..\Run: [WNSI] C:\WINDOWS\System32\wnscpsv.exe O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\image.dll,Install O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Real.com (HKLM) O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - hxxp://www2.flingstone.com/cab/2000XP/CDTInc/bridge.cab O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - hxxp://www.mt-download.com/MediaTicketsInstaller.cab O16 - DPF: {EF86873F-04C2-4A95-A373-5703C08EFC7B} (Installer Class) - hxxp://www.xxxtoolbar.com/ist/softwares/v3.0/0006.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{CFBF6D08-EC3E-4091-BC7F-28D812CD642B}: NameServer = 195.93.73.134 |
|
25.04.2004, 11:13
| #5 |
| /// Mr. Schatten | Wer kann mir helfen ? </font><blockquote>Zitat:</font><hr />Original erstellt von Snoppymann: Die Startseite meines Internet Explores wird automatisch immer auf "coolsearch" geändert. Wie kann ich es verhindern ? </font>[/QUOTE]Möglicherweise kann CWShredder dir da helfen, auch Spybot S&D und AdAware könnten hilfreich sein. Quelle siehe meine Signatur Fixe mal alle drei O16, die R0 und R1,... der F1-Eintrag dürfte auch nicht okay sein O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll (file missing) fixen O2 - BHO: . - {587DBF2D-9145-4c9e-92C2-1F953DA73773} - C:\WINDOWS\wintn\wintn32.dll O2 - BHO: (no name) - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem217.dll O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINDOWS\Downloaded Program Files\bridge.dll (file missing) O2 - BHO: ShowSearch module - {E2DDF680-9905-4dee-8C64-0A5DE7FE133C} - C:\WINDOWS\wintn\mssearch.dll O2 - BHO: (no name) - {FD9BC004-8331-4457-B830-4759FF704C22} - C:\WINDOWS\wintn\msiesh.dll auch fixen [ 25. April 2004, 00:21: Beitrag editiert von: Shadow ]
__________________ alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung keine Hilfe via PN hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort - |
|
25.04.2004, 11:18
| #6 |
| | Wer kann mir helfen ? Kligt vielleicht blöd, aber was meinst du mit "Fixe mal alle drei O16, die R0 und R1,...". Wie gesagt, bin absoluter Laie... |
|
25.04.2004, 11:22
| #7 |
| /// Mr. Schatten | Wer kann mir helfen ? HiJackThis laufen lassen (scan) in das Kästchen vor diesen Einträgen ein Häkchen setzen und auf "fix checked" klicken (Bin noch nicht ganz fertig mit durchschauen, ist schon spät und ich daher langsam) 
__________________ alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung keine Hilfe via PN hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort - |
|
25.04.2004, 11:30
| #8 |
| | Wer kann mir helfen ? </font><blockquote>Zitat:</font><hr /> (Bin noch nicht ganz fertig mit durchschauen, ist schon spät und ich daher langsam) </font>[/QUOTE]OT on : zu Shadow rüberschieb OT off [img]smile.gif[/img]
__________________ MfG Nangie  Es ist einzig und allein der Mensch, der aus der Welt ein Armenhaus gemacht hat. Lilo Keller (*1934) nachdenkliche Hausfrau |
|
25.04.2004, 11:31
| #9 |
| /// Mr. Schatten | Wer kann mir helfen ? also weiter durchgeschaut: O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe => "Description: Application that is an Internet Explorer toolbar that helps a user to find adult material on the net. The application also displays advertisements." Brauchst Du es? O4 - HKLM\..\Run: [msbb] c:\programme\180solutions\msbb.exe fixen O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\System32\services\services.exe Schau mal nach was das ist, schätze malware, Kommt öfters vor! Der Legale Pfad wäre C:\WINDOWS\System32\services.exe ! O4 - HKLM\..\Run: [Image] rundll32 C:\WINDOWS\image.dll,Install fixen O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load fixen O4 - HKCU\..\Run: [ClockSync] C:\Programme\ClockSync\Sync.exe fixen (hast Du eigentlich auch ordentliches drauf?) [ 25. April 2004, 00:36: Beitrag editiert von: Shadow ]
__________________ alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung keine Hilfe via PN hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort - |
|
25.04.2004, 11:34
| #10 |
| | Wer kann mir helfen ? Ok, er scannt. War doch richtig, auf full scann zu gehen, oder ? |
|
25.04.2004, 11:37
| #11 |
| | Wer kann mir helfen ? die internet-toolbar brauche ich nicht. wie lösche ich sie ? |
|
25.04.2004, 11:38
| #12 |
| | Wer kann mir helfen ? habe den rechner erst letzte woche installiert. wie lösche ich den ganzen sch... ? |
|
25.04.2004, 11:39
| #13 |
| /// Mr. Schatten | Wer kann mir helfen ? O4 - HKCU\..\Run: [Lnbu] C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\oroe.exe kennst Du das? Ist schließlich falls Du Peter bist in "Deinem" Ordner, dürfte aber Mist sein. O4 - HKCU\..\Run: [WNSI] C:\WINDOWS\System32\wnscpsv.exe fixen
__________________ alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung keine Hilfe via PN hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort - |
|
25.04.2004, 11:44
| #14 |
| /// Mr. Schatten | Wer kann mir helfen ? Anleitung zu HijackThis ist hier http://www.trojaner-board.de/51130-a...ijackthis.html Erst eine Woche alt? Wow! Tausende von Adwares, Spionen und anderer Mist. Vielleicht formatieren? Wenn nicht formatieren, dann: Systemwiederherstellung aus Alle temporären InternetFiles löschen AdAware runterladen, starten, updaten, durchlaufen lassen Spybot S&D runterladen, starten, updaten, durchlaufen lassen CWShredder runterladen, durchlaufen lassen HiJackThis (HJT) laufen lassen, "meine" Punkte soweit noch vorhanden fixen. Neustart HJT laufen lassen, Log hier posten Prinzipiell: Nicht alles Bunte anklicken anderen Browser benutzen!
__________________ alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung keine Hilfe via PN hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort - |
|
25.04.2004, 11:44
| #15 |
| | Wer kann mir helfen ? Eigentlich kann alles, was drauf ist, runter geschmissen werden. ist noch nix wichtiges auf dem rechner. wie lösche ich die die daten ? |
|
| Themen zu Wer kann mir helfen ? |
| absoluter, automatisch, bewirkt, coolsearch, dailer, datei, dateien, folge, folgende, frage, fragen, infizierte, infizierte dateien, interne, internet, löschen, melde, only the best, problem, seite, startseite, troja, trojaner, verhindern, viren, worte |
Linear-Darstellung
