| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: H I L F E !!!!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
14.05.2005, 06:31
| #1 |
 |  H I L F E !!!! Hallo ! Ich bin total verzweifelt, ich hab seit gestern (freitag, der 13.) irgendwas bösartiges auf meinem PC und bin jetzt total glücklich, dieses Forum entdeckt zu haben. Allerdings bin ich computertechnisch eine totale NULL ! Ich versuch mal meine Fehler zu beschreiben: Wenn ich den PC hochfahre, erscheint der Desktophintergrund schwarz und ein Fenster geht auf, in den u.a. steht: "Warning, you´re in Danger ! .... Secure youreself right now ! Remove all spyware form your PC !" und da ist dann ein Link zum anklicken: "Removal instructions", der führt auf die Seite w**.topantispyware.com/overview.php?205 Außerdem hab ich in IE eine neue Startseite, die jedesmal wieder da ist: h??p://w-find.com/index.htm und in meine Favoriten haben sich folgende Links reinkopiert, die nach jedem Start wieder da sind: free-spy-cam.net, free.hcworld.com, getthis4free.com Wer kann mir bitte, bitte helfen !!?? Ach ja: AntivirXP und Ad-aware6.0 hab ich schon erfolglos laufen lassen ... beim erneuten laufen lassen meldete antivir einen trojaner...combob oder so Geändert von Cidre (14.05.2005 um 06:52 Uhr) |
|
14.05.2005, 06:52
| #2 |
| Administrator, a.D.   | H I L F E !!!! Hallo,
__________________erstelle mit Hilfe dieser bebilderten Anleitung ein HiJackThis Log-File und poste es. Beachte die Hinweise! btw: Erstelle zukünftig keine Doppelpostings mehr, danke! Den anderen Beitrag, mit gleichem Inhalt, werde ich in die Mülltonne verschieben.
__________________ |
|
14.05.2005, 06:56
| #3 |
| | H I L F E !!!! mach ich gleich. vielen dank für die schnelle und frühe antwort. kann man euer forum auch finanziell unterstützen ? ich find das ne super sache !
__________________doppelposting war nur deswegen weil ich gar nicht wusste, wo mein problem überhaupt hingehört. kommt nicht mehr vor. mach mich jetzt an die arbeit und versuche das zu machen was du gesagt hast |
|
14.05.2005, 07:15
| #4 |
| | H I L F E !!!! hier mein logfile Logfile of HijackThis v1.99.1 Scan saved at 08:09:12, on 14.05.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\Mixer.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\WINDOWS\System32\rbehby.exe C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe C:\Programme\Java\jre1.5.0_02\bin\jusched.exe C:\WINDOWS\System32\combo.exe C:\WINDOWS\System32\combop.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\MSMSGS.EXE C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe C:\Dokumente und Einstellungen\Robert\Anwendungsdaten\uaae.exe C:\WINDOWS\System32\w?auboot.exe C:\Programme\Hewlett-Packard\AiO\hp psc 900 series\Bin\hpobrt07.exe C:\unzipped\SpySub.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\System32\rundll32.exe C:\WINDOWS\System32\scombop.exe C:\WINDOWS\System32\scombo.exe C:\WINDOWS\Downloaded Program Files\gdnFR1882.exe C:\PROGRA~1\WINZIP\winzip32.exe C:\unzipped\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://w-find.com/sp.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://w-find.com/index.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w-find.com/index.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://w-find.com/sp.htm R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://w-find.com/index.htm R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = h**p=proxy.btx.dtag.de:80;ftp=ftp_proxy.btx.dtag.de:80 R3 - Default URLSearchHook is missing O2 - BHO: DLMaxObj Class - {00000000-59D4-4008-9058-080011001200} - C:\WINDOWS\dlmax.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Loader Class - {2E246FAE-8420-11D9-870D-000C2917DE7F} - C:\WINDOWS\SYSTEM\Loader.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: (no name) - {FD38F908-6792-4B3E-B87B-68F3ED234D92} - C:\WINDOWS\System32\rvyrhlu.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [RFTOCTIW] C:\WINDOWS\RFTOCTIW.exe O4 - HKLM\..\Run: [Overnet] C:\Programme\Overnet\Overnet.exe -t O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [susp] C:\WINDOWS\susp.exe O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [kjgqdhxu] C:\WINDOWS\System32\rbehby.exe O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [combo.exe] combo.exe O4 - HKLM\..\Run: [combop.exe] combop.exe O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet O4 - HKCU\..\Run: [iwjwdsx] c:\windows\hrhcaah.exe O4 - HKCU\..\Run: [tojugec] c:\windows\dvljfdl.exe O4 - HKCU\..\Run: [xomjgnr] c:\windows\dvljfdl.exe O4 - HKCU\..\Run: [xrokubu] c:\windows\dvljfdl.exe O4 - HKCU\..\Run: [vhvyrcv] c:\windows\dvljfdl.exe O4 - HKCU\..\Run: [tmxdwwi] c:\windows\dvljfdl.exe O4 - HKCU\..\Run: [ivttyed] c:\windows\dvljfdl.exe O4 - HKCU\..\Run: [qlqcntk] c:\windows\dvljfdl.exe O4 - HKCU\..\Run: [oqbdafu] c:\windows\dvljfdl.exe O4 - HKCU\..\Run: [vvslmab] c:\windows\dvljfdl.exe O4 - HKCU\..\Run: [xsrcvcs] c:\windows\dvljfdl.exe O4 - HKCU\..\Run: [pouikhm] c:\windows\dvljfdl.exe O4 - HKCU\..\Run: [rgduiqu] c:\windows\dvljfdl.exe O4 - HKCU\..\Run: [yvpiobd] c:\windows\uoitaxf.exe O4 - HKCU\..\Run: [retosmh] c:\windows\uoitaxf.exe O4 - HKCU\..\Run: [rmlowxj] c:\windows\uoitaxf.exe O4 - HKCU\..\Run: [rtwixof] c:\windows\uoitaxf.exe O4 - HKCU\..\Run: [khbxnsa] c:\windows\uoitaxf.exe O4 - HKCU\..\Run: [legfbum] c:\windows\uoitaxf.exe O4 - HKCU\..\Run: [vjrptmw] c:\windows\uoitaxf.exe O4 - HKCU\..\Run: [Atro] C:\Dokumente und Einstellungen\Robert\Anwendungsdaten\uaae.exe O4 - HKCU\..\Run: [Fsv] C:\WINDOWS\System32\w?auboot.exe O4 - HKCU\..\Run: [rmldjcl] c:\windows\nijicaw.exe O4 - HKCU\..\Run: [vksxrnl] c:\windows\cufgmhx.exe O4 - HKCU\..\Run: [dgbemex] c:\windows\tntnmum.exe O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - Startup: Microsoft-Indexerstellung.lnk = Programme\Office\FINDFAST.EXE O4 - Startup: Office-Start.lnk = Programme\Office\OSA.EXE O4 - Startup: winupdate07214383[1].exe O4 - Global Startup: HPAiODevice(hp psc 900 series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp psc 900 series\Bin\hpobrt07.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: SpySubtract.lnk = C:\unzipped\SpySub.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://c:\PROGRA~1\MICROS~2\office\1031\phdintl.dll/phdContext.htm O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra button: Microsoft AntiSpyware helper - {6B507339-F456-4D55-B681-4EF9DEA2D213} - (no file) (HKCU) O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {6B507339-F456-4D55-B681-4EF9DEA2D213} - (no file) (HKCU) O10 - Unknown file in Winsock LSP: c:\windows\system32\fltmgr.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\fltmgr.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\flsmngr.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\flsmngr.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\flsmngr.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\fltmgr.dll O16 - DPF: {0E0CC6B0-79FA-7411-4EBF-4F63547F7D1E} - h**p://69.50.182.94/1/gdnFR1882.exe O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - h**p://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c18.cab O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - h**p://imgfarm.com/images/nocache/funwebproducts/SmileyCentralInitialSetup1.0.0.6.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - h**p://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-17.cab O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - h**p://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - h**p://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE |
|
14.05.2005, 07:24
| #5 |
| Administrator, a.D. | H I L F E !!!! Dein Log-File sieht gar nicht gut aus. Führe deshalb zuerst eScan aus und dann werden wir eine Lösung anstreben. Lade und scanne mit eScan AntiVirus im abgesicherten Modus und poste uns die Virus Log Information: Rechtsklick auf die Find.bat -> Ziel speichern unter… z.B. 'C:\Find.bat' -> Find.bat doppelklicken und den Scan abwarten -> den Inhalt der automatisch erstellten C:\eScan_neu.txt hier posten |
|
14.05.2005, 07:56
| #6 |
| | H I L F E !!!! hänge gerade bei punkt drei in der anleitung: systemwiederherstellung deaktivieren (hab windows xp), denn auf eurer hilfeseite kann ich den hilfelink nicht anzeigen, was ich da machen muss wie geht das ? |
|
14.05.2005, 08:14
| #7 | |
| Administrator, a.D. | H I L F E !!!! Der Link funktioniert aber... Zitat:
|
|
14.05.2005, 08:45
| #8 |
| | H I L F E !!!! ... ... ... ... Geändert von wittl (14.05.2005 um 09:07 Uhr) |
|
14.05.2005, 08:49
| #9 |
| Administrator, a.D. | H I L F E !!!! Warum postest du nicht den Inhalt der C:\eScan_neu.txt? btw: Bitte keine Leerzeilen zwischen den einzelnen Funde posten, da es nur unübersichtlich wird und den Thread unnötig in die Länge zieht.  |
|
14.05.2005, 08:54
| #10 |
| | H I L F E !!!! ... ... ... ... Geändert von wittl (14.05.2005 um 09:25 Uhr) |
|
14.05.2005, 09:06
| #11 | |
| Administrator, a.D. | H I L F E !!!!Zitat:
Also, nochmal von vorne... |
|
14.05.2005, 09:11
| #12 | |
| | H I L F E !!!!Zitat:
weiß zwar nicht was ich verbockt hab, aber dann probier ich es einfach nochmal, hoffe ich mache diesmal alles richtig jetzt weiß ich es ich war zu ungeduldig. an einer stelle steht der scan fast 5 min. da hab ich vorher gedacht es ist aus und beendet. das war falsch Geändert von wittl (14.05.2005 um 09:24 Uhr) |
|
14.05.2005, 09:37
| #13 |
| Administrator, a.D. | H I L F E !!!! Die Haken hast du hoffentlich, wie auf dem Bild ersichtlich, konfiguriert?! Der Scan dauert, je nach Speicherplatzbelegung, ca. 1 Std oder länger. |
|
14.05.2005, 11:55
| #14 |
| | H I L F E !!!! schön langsam nähere ich mich dem supergau ... ich hab den virenscanner laufen lassen, bis er nach ca. 2 std. und 160000 gescannten dateien (104 viren) einfach hängenblieb (maus ließ sich nicht mehr bewegen etc.) ich hab ihn daraufhin nach 20 min ausgeschaltet und jetzt kann ich XP nicht einmal mehr hochfahren. wenn ich im abgesicherten modus starte bleibt der bildschirm bis auf den cursor schwarz, bei normal hochladen bzw. letzten gespeicherten modus hochfahren (oder so ähnlich) erscheint das "willkommen" man hört den XP jingle und dann bleibt der mauszeiger hängen .... ich schreib jetzt von einem anderen pc ... hilfe .... schluchz ... |
|
14.05.2005, 13:13
| #15 |
| Administrator, a.D. | H I L F E !!!! Eventuell hilft dir dies weiter -> http://www.rufisplanet.ch/BSProbleme...mensbildschirm |
|
| Themen zu H I L F E !!!! |
| ad-aware, computer, danger, entdeck, entdeckt, favoriten, fehler, fenster, folge, folgende, forum, freitag, helfen, klicke, klicken, link, links, neue, schwarz, secure, seite, spyware, startseite, this, total, warning |
