Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: H I L F E !!!!

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 14.05.2005, 06:31   #1
wittl
 
H I L F E !!!! - Standard

H I L F E !!!!



Hallo !

Ich bin total verzweifelt, ich hab seit gestern (freitag, der 13.) irgendwas bösartiges auf meinem PC und bin jetzt total glücklich, dieses Forum entdeckt zu haben. Allerdings bin ich computertechnisch eine totale NULL !

Ich versuch mal meine Fehler zu beschreiben:
Wenn ich den PC hochfahre, erscheint der Desktophintergrund schwarz und ein Fenster geht auf, in den u.a. steht: "Warning, you´re in Danger ! .... Secure youreself right now ! Remove all spyware form your PC !" und da ist dann ein Link zum anklicken: "Removal instructions", der führt auf die Seite w**.topantispyware.com/overview.php?205

Außerdem hab ich in IE eine neue Startseite, die jedesmal wieder da ist:
h??p://w-find.com/index.htm

und in meine Favoriten haben sich folgende Links reinkopiert, die nach jedem Start wieder da sind: free-spy-cam.net, free.hcworld.com, getthis4free.com

Wer kann mir bitte, bitte helfen !!??

Ach ja: AntivirXP und Ad-aware6.0 hab ich schon erfolglos laufen lassen ...
beim erneuten laufen lassen meldete antivir einen trojaner...combob oder so

Geändert von Cidre (14.05.2005 um 06:52 Uhr)

Alt 14.05.2005, 06:52   #2
Cidre
Administrator, a.D.
 
H I L F E !!!! - Standard

H I L F E !!!!



Hallo,

erstelle mit Hilfe dieser bebilderten Anleitung ein HiJackThis Log-File und poste es.
Beachte die Hinweise!

btw:
Erstelle zukünftig keine Doppelpostings mehr, danke!
Den anderen Beitrag, mit gleichem Inhalt, werde ich in die Mülltonne verschieben.
__________________

__________________

Alt 14.05.2005, 06:56   #3
wittl
 
H I L F E !!!! - Standard

H I L F E !!!!



mach ich gleich. vielen dank für die schnelle und frühe antwort. kann man euer forum auch finanziell unterstützen ? ich find das ne super sache !

doppelposting war nur deswegen weil ich gar nicht wusste, wo mein problem überhaupt hingehört. kommt nicht mehr vor. mach mich jetzt an die arbeit und versuche das zu machen was du gesagt hast
__________________

Alt 14.05.2005, 07:15   #4
wittl
 
H I L F E !!!! - Standard

H I L F E !!!!



hier mein logfile


Logfile of HijackThis v1.99.1

Scan saved at 08:09:12, on 14.05.2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\Mixer.exe

C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\WINDOWS\System32\rbehby.exe

C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe

C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe

C:\Programme\Java\jre1.5.0_02\bin\jusched.exe

C:\WINDOWS\System32\combo.exe

C:\WINDOWS\System32\combop.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Programme\Messenger\MSMSGS.EXE

C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe

C:\Dokumente und Einstellungen\Robert\Anwendungsdaten\uaae.exe

C:\WINDOWS\System32\w?auboot.exe

C:\Programme\Hewlett-Packard\AiO\hp psc 900 series\Bin\hpobrt07.exe

C:\unzipped\SpySub.exe

C:\Programme\AVPersonal\AVWUPSRV.EXE

C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\svchost.exe

C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe

C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe

C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe

C:\Programme\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\System32\rundll32.exe

C:\WINDOWS\System32\scombop.exe

C:\WINDOWS\System32\scombo.exe

C:\WINDOWS\Downloaded Program Files\gdnFR1882.exe

C:\PROGRA~1\WINZIP\winzip32.exe

C:\unzipped\hijackthis\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://w-find.com/sp.htm

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://w-find.com/index.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w-find.com/index.htm

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://w-find.com/sp.htm

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://w-find.com/index.htm

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = h**p=proxy.btx.dtag.de:80;ftp=ftp_proxy.btx.dtag.de:80

R3 - Default URLSearchHook is missing

O2 - BHO: DLMaxObj Class - {00000000-59D4-4008-9058-080011001200} - C:\WINDOWS\dlmax.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Loader Class - {2E246FAE-8420-11D9-870D-000C2917DE7F} - C:\WINDOWS\SYSTEM\Loader.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll

O2 - BHO: (no name) - {FD38F908-6792-4B3E-B87B-68F3ED234D92} - C:\WINDOWS\System32\rvyrhlu.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [RFTOCTIW] C:\WINDOWS\RFTOCTIW.exe

O4 - HKLM\..\Run: [Overnet] C:\Programme\Overnet\Overnet.exe -t

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [susp] C:\WINDOWS\susp.exe

O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\System32\PSDrvCheck.exe

O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [kjgqdhxu] C:\WINDOWS\System32\rbehby.exe

O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe

O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe

O4 - HKLM\..\Run: [combo.exe] combo.exe

O4 - HKLM\..\Run: [combop.exe] combop.exe

O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background

O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet

O4 - HKCU\..\Run: [iwjwdsx] c:\windows\hrhcaah.exe

O4 - HKCU\..\Run: [tojugec] c:\windows\dvljfdl.exe

O4 - HKCU\..\Run: [xomjgnr] c:\windows\dvljfdl.exe

O4 - HKCU\..\Run: [xrokubu] c:\windows\dvljfdl.exe

O4 - HKCU\..\Run: [vhvyrcv] c:\windows\dvljfdl.exe

O4 - HKCU\..\Run: [tmxdwwi] c:\windows\dvljfdl.exe

O4 - HKCU\..\Run: [ivttyed] c:\windows\dvljfdl.exe

O4 - HKCU\..\Run: [qlqcntk] c:\windows\dvljfdl.exe

O4 - HKCU\..\Run: [oqbdafu] c:\windows\dvljfdl.exe

O4 - HKCU\..\Run: [vvslmab] c:\windows\dvljfdl.exe

O4 - HKCU\..\Run: [xsrcvcs] c:\windows\dvljfdl.exe

O4 - HKCU\..\Run: [pouikhm] c:\windows\dvljfdl.exe

O4 - HKCU\..\Run: [rgduiqu] c:\windows\dvljfdl.exe

O4 - HKCU\..\Run: [yvpiobd] c:\windows\uoitaxf.exe

O4 - HKCU\..\Run: [retosmh] c:\windows\uoitaxf.exe

O4 - HKCU\..\Run: [rmlowxj] c:\windows\uoitaxf.exe

O4 - HKCU\..\Run: [rtwixof] c:\windows\uoitaxf.exe

O4 - HKCU\..\Run: [khbxnsa] c:\windows\uoitaxf.exe

O4 - HKCU\..\Run: [legfbum] c:\windows\uoitaxf.exe

O4 - HKCU\..\Run: [vjrptmw] c:\windows\uoitaxf.exe

O4 - HKCU\..\Run: [Atro] C:\Dokumente und Einstellungen\Robert\Anwendungsdaten\uaae.exe

O4 - HKCU\..\Run: [Fsv] C:\WINDOWS\System32\w?auboot.exe

O4 - HKCU\..\Run: [rmldjcl] c:\windows\nijicaw.exe

O4 - HKCU\..\Run: [vksxrnl] c:\windows\cufgmhx.exe

O4 - HKCU\..\Run: [dgbemex] c:\windows\tntnmum.exe

O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe

O4 - Startup: Microsoft-Indexerstellung.lnk = Programme\Office\FINDFAST.EXE

O4 - Startup: Office-Start.lnk = Programme\Office\OSA.EXE

O4 - Startup: winupdate07214383[1].exe

O4 - Global Startup: HPAiODevice(hp psc 900 series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp psc 900 series\Bin\hpobrt07.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: SpySubtract.lnk = C:\unzipped\SpySub.exe

O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://c:\PROGRA~1\MICROS~2\office\1031\phdintl.dll/phdContext.htm

O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE

O9 - Extra button: Microsoft AntiSpyware helper - {6B507339-F456-4D55-B681-4EF9DEA2D213} - (no file) (HKCU)

O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {6B507339-F456-4D55-B681-4EF9DEA2D213} - (no file) (HKCU)

O10 - Unknown file in Winsock LSP: c:\windows\system32\fltmgr.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\fltmgr.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\flsmngr.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\flsmngr.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\flsmngr.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\fltmgr.dll

O16 - DPF: {0E0CC6B0-79FA-7411-4EBF-4F63547F7D1E} - h**p://69.50.182.94/1/gdnFR1882.exe

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - h**p://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c18.cab

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - h**p://imgfarm.com/images/nocache/funwebproducts/SmileyCentralInitialSetup1.0.0.6.cab

O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - h**p://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-17.cab

O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - h**p://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab

O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - h**p://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

Alt 14.05.2005, 07:24   #5
Cidre
Administrator, a.D.
 
H I L F E !!!! - Standard

H I L F E !!!!



Dein Log-File sieht gar nicht gut aus. Führe deshalb zuerst eScan aus und dann werden wir eine Lösung anstreben.

Lade und scanne mit eScan AntiVirus im abgesicherten Modus und poste uns die Virus Log Information:
Rechtsklick auf die Find.bat -> Ziel speichern unter… z.B. 'C:\Find.bat' -> Find.bat doppelklicken und den Scan abwarten -> den Inhalt der automatisch erstellten C:\eScan_neu.txt hier posten

__________________
Gruß, Cidre


Alt 14.05.2005, 07:56   #6
wittl
 
H I L F E !!!! - Standard

H I L F E !!!!



hänge gerade bei punkt drei in der anleitung:
systemwiederherstellung deaktivieren (hab windows xp), denn auf eurer hilfeseite kann ich den hilfelink nicht anzeigen, was ich da machen muss

wie geht das ?

Alt 14.05.2005, 08:14   #7
Cidre
Administrator, a.D.
 
H I L F E !!!! - Standard

H I L F E !!!!



Der Link funktioniert aber...

Zitat:
1. rechte Maustaste auf Arbeitsplatz, Eigenschaften wählen.
2. Systemwiederherstellung wählen und Systemwiederherstellung auf allen Laufwerken deaktivieren wählen.
3. Diesen Vorgang mit OK bestätigen.
Quelle: http://www.bsi.bund.de/av/texte/wiederher_xp.htm
__________________
Gruß, Cidre


Alt 14.05.2005, 08:45   #8
wittl
 
H I L F E !!!! - Standard

H I L F E !!!!



...
...
...
...

Geändert von wittl (14.05.2005 um 09:07 Uhr)

Alt 14.05.2005, 08:49   #9
Cidre
Administrator, a.D.
 
H I L F E !!!! - Standard

H I L F E !!!!



Warum postest du nicht den Inhalt der C:\eScan_neu.txt?

btw:
Bitte keine Leerzeilen zwischen den einzelnen Funde posten, da es nur unübersichtlich wird und den Thread unnötig in die Länge zieht.
__________________
Gruß, Cidre


Alt 14.05.2005, 08:54   #10
wittl
 
H I L F E !!!! - Standard

H I L F E !!!!



...
...
...
...

Geändert von wittl (14.05.2005 um 09:25 Uhr)

Alt 14.05.2005, 09:06   #11
Cidre
Administrator, a.D.
 
H I L F E !!!! - Standard

H I L F E !!!!



Zitat:
Total Objects Scanned: 585
Time Elapsed: 00:02:14
Du hast eScan nicht gemäss der Anleitung ausgeführt!
Also, nochmal von vorne...
__________________
Gruß, Cidre


Alt 14.05.2005, 09:11   #12
wittl
 
H I L F E !!!! - Standard

H I L F E !!!!



Zitat:
Zitat von Cidre
Du hast eScan nicht gemäss der Anleitung ausgeführt!
Also, nochmal von vorne...
:-((

weiß zwar nicht was ich verbockt hab, aber dann probier ich es einfach nochmal, hoffe ich mache diesmal alles richtig

jetzt weiß ich es ich war zu ungeduldig. an einer stelle steht der scan fast 5 min. da hab ich vorher gedacht es ist aus und beendet. das war falsch

Geändert von wittl (14.05.2005 um 09:24 Uhr)

Alt 14.05.2005, 09:37   #13
Cidre
Administrator, a.D.
 
H I L F E !!!! - Standard

H I L F E !!!!



Die Haken hast du hoffentlich, wie auf dem Bild ersichtlich, konfiguriert?!
Der Scan dauert, je nach Speicherplatzbelegung, ca. 1 Std oder länger.
__________________
Gruß, Cidre


Alt 14.05.2005, 11:55   #14
wittl
 
H I L F E !!!! - Standard

H I L F E !!!!



schön langsam nähere ich mich dem supergau ...
ich hab den virenscanner laufen lassen, bis er nach ca. 2 std. und 160000 gescannten dateien (104 viren) einfach hängenblieb (maus ließ sich nicht mehr bewegen etc.)

ich hab ihn daraufhin nach 20 min ausgeschaltet und jetzt kann ich XP nicht einmal mehr hochfahren.
wenn ich im abgesicherten modus starte bleibt der bildschirm bis auf den cursor schwarz, bei normal hochladen bzw. letzten gespeicherten modus hochfahren (oder so ähnlich) erscheint das "willkommen" man hört den XP jingle und dann bleibt der mauszeiger hängen ....

ich schreib jetzt von einem anderen pc ... hilfe .... schluchz ...

Alt 14.05.2005, 13:13   #15
Cidre
Administrator, a.D.
 
H I L F E !!!! - Standard

H I L F E !!!!



Eventuell hilft dir dies weiter -> http://www.rufisplanet.ch/BSProbleme...mensbildschirm
__________________
Gruß, Cidre


Antwort

Themen zu H I L F E !!!!
ad-aware, computer, danger, entdeck, entdeckt, favoriten, fehler, fenster, folge, folgende, forum, freitag, klicke, klicken, link, links, neue, schwarz, secure, seite, spyware, startseite, this, total, warning



Zum Thema H I L F E !!!! - Hallo ! Ich bin total verzweifelt, ich hab seit gestern (freitag, der 13.) irgendwas bösartiges auf meinem PC und bin jetzt total glücklich, dieses Forum entdeckt zu haben. Allerdings bin - H I L F E !!!!...
Archiv
Du betrachtest: H I L F E !!!! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.