| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Virus Hijacker erstellt tmp dateien auch im abges. modusWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
15.05.2005, 00:42
| #1 |
| |  Virus Hijacker erstellt tmp dateien auch im abges. modus Hallo zusammen, nachdem ich jetzt alles probiert habe, muss ich hier doch mal eine Frage stellen. Ich habe gerade ein Notebook von einem bekannten, mit Win xp home ed. Beim normalen starten zeigt der Taskmanager eine svchost.exe mit 99% proz zeit und in den Temp Verzeichnissen entstehen lauter 10-stellige tmp files mit 36kb größe, die sich nicht löschen lassen. zb.: h9gc51d9xc.tmp Wenn ich den einen svchost Prozess beende kann ich arbeiten. So und jetzt kommt das unglaubliche: Selbst im abgesicherten modus enstehen die .tmp files und auch hier ist der Zugriff verweigert und sie lassen sich nicht löschen. Jetzt frage mich, wo sich der Kerl eingenistet hat, dass er sogar im abgesicherten Modus startet. Ach ja die tmp dateien von gestern 14.05 konnte ich um 00:01 löschen. Hijacktis hat mir den win-eto hijacker gefunden (kommt nach dem fixen aber immer wieder), escan findet nur 28 Fehler, aber keinen virus.. Ich bin mit meinem Latein am Ende, und bir für jeden Tip dankbar. Holger |
|
15.05.2005, 00:55
| #2 |
  | Virus Hijacker erstellt tmp dateien auch im abges. modus Erstelle einen Logfile mittels Hijackthis
__________________Kurzanleitung Ausführliche Anleitung Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest. Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://trojaner-board.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken. Alternativ, je nach verwendete Forensoftware: Woltlab Burning Board: Optionen -> Haken entfernen bei 'Urls automatisch umwandeln'! vBulletin Board: Zusätzliche Einstellungen -> Haken entfernen bei 'Links automatisch umwandeln'!(Zitat Cidre)
__________________ |
|
15.05.2005, 01:05
| #3 |
| | Virus Hijacker erstellt tmp dateien auch im abges. modus Hallo,
__________________ hier ist das Logfile (abgesicherter Modus), wie gesagt, der win-eto eintrag kommt immer wieder. Logfile of HijackThis v1.99.1 Scan saved at 02:01:03, on 15.05.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\ctfmon.exe C:\bases_x\mwavscan.com C:\bases_x\kavss.exe C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.google.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://win-eto.com/hp.htm?id=9 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://win-eto.com/hp.htm?id=9 O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Software\Panda Antivirus Platinum\Inicio.exe" O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0 O4 - Global Startup: MA111 Configuration Utility.lnk = ? O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Programme\Panda Software\Panda Antivirus Platinum\pavsrv51.exe O23 - Service: Sygate Personal Firewall Platinum (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe Geändert von IonTichy (15.05.2005 um 01:10 Uhr) |
|
15.05.2005, 01:21
| #4 |
| | Virus Hijacker erstellt tmp dateien auch im abges. modus Das einzige Programm bezüglich Sicherheit im Netz, was nicht im abgesicherten Modus laufen sollte, ist Hijackthis. Deswegen bitte Logfile aus dem normalen Modus posten. Wir wollen doch sehen, was im Normalbetrieb läuft.
__________________  Only cronos endures |
|
15.05.2005, 08:32
| #5 |
| | Virus Hijacker erstellt tmp dateien auch im abges. modus Hallo Cronos, jetzt habe ich es geschafft. Konnte mich zwischenzeitlich nicht mehr im normalen Modus anmelden. So sieht das hijack log jetzt aus: Logfile of HijackThis v1.99.1 Scan saved at 09:28:48, on 15.05.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Unable to get Internet Explorer version! Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\explorer.exe C:\Programme\PestPatrol\PestPatrol.exe C:\Dokumente und Einstellungen\Nicole\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://win-eto.com/hp.htm?id=9 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://win-eto.com/hp.htm?id=9 O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\CTFMON.EXE O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0 O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O13 - DefaultPrefix: O13 - WWW Prefix: O13 - Home Prefix: O13 - Mosaic Prefix: O13 - FTP Prefix: O13 - Gopher Prefix: O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM) O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM) O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM) O15 - ProtocolDefaults: 'h**p' protocol is in My Computer Zone, should be Internet Zone (HKLM) O15 - ProtocolDefaults: 'h**ps' protocol is in My Computer Zone, should be Internet Zone (HKLM) O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - Service: Sygate Personal Firewall Platinum (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe Grüßle Holger |
|
| Themen zu Virus Hijacker erstellt tmp dateien auch im abges. modus |
| abgesicherten modus, dateien, erstellt, escan, fehler, files, frage, hallo zusammen, hijacker, home, immer wieder, löschen, nicht löschen, notebook, prozess, starten, svchost.exe, taskmanager, temp, tmp, tmp dateien, virus, win, win xp, xp home, zugriff, zugriff verweigert |
Linear-Darstellung
