|
Probb mit Desktop Hallo alle zusammen Ich habe ein Problem beim Starten des Betriebssystems Win2000 undzwar erscheint bei erfolgreichen Anmelden immer ein Toolbar mit 6 verschiedenen Fenstern beginnend mit Gambling usw. Habe die Dateien schon gelöscht close.bmp insurance.bmp spyware.bmp xxx.bmp pharmacy.bmp dating.bmp gambling.bmp idesk.conf Soweit so gut wobei die rdt.dll dazugehört Alles gelöscht und Neustart ausgeführt. Beim neuen Hochladen erfolgt das selbe wieder von vorne ! So Spybot habe ich auch nochmal durchlaufen lassen und es wurde die Datei pipas.a gefunden Reg.key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins Kann diesen in der *reg nicht finden. Wer kann mir hier weiterhelfen?? mfg necmaster |
Das hier sollte dir weiterhelfen: http://www.avira.com/de/threats/section/fulldetails/id_vir/1463/tr_pipas.a.html Dort steht auch, wie er sich per Booten startet. |
@Darthsoot, hast du das hier auch gelesen? Zitat:
|
ja danke erstmal soweit Nur klar komme ich dabei nich ganz so kann den Eintrag in der reg nicht finden HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins wie kann ich vorgehen?? |
Das alleine wird dein Problem auch nicht lösen... 1.) poste ein HijackLog, Anleitung in meiner Signatur. 2.) führe einen eScan durch, auch in der Signatur.. Danach sehen wir weiter! Gruß ;) Daniel |
Habe es mit KillBox auch schon probiert funk. aber nicht Hier letzte .log (Hijackthis) PHP-Code: |
Was ist mit deinem Logfile passiert? Es fehlen alle Backslash, sowie etliche Einträge im Log. Hast du das im abgesicherten Modus gemacht? Gruß Daniel |
Nein eigentlich nicht,das ist schon kommisch Nochmals überprüft Logfile of HijackThis v1.99.1 Scan saved at 20:14:54, on 26.07.2006 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\winnt\System32\smss.exe C:\winnt\system32\csrss.exe C:\winnt\system32\winlogon.exe C:\winnt\system32\services.exe C:\winnt\system32\lsass.exe C:\winnt\system32\svchost.exe C:\winnt\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINNT\System32\svchost.exe C:\winnt\system32\regsvc.exe C:\winnt\system32\MSTask.exe C:\winnt\System32\WBEM\WinMgmt.exe C:\winnt\system32\svchost.exe C:\winnt\Explorer.EXE C:\Programme\Outlook Express\msimn.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINNT\explorer.exe C:\Programme\AntiVir PersonalEdition Classic\avscan.exe C:\Programme\Internet Explorer\iexplore.exe C:\winnt\regedit.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\winnt\system32\ntvdm.exe C:\winnt\system32\NOTEPAD.EXE C:\Programme\Internet Explorer\iexplore.exe C:\winnt\system32\NOTEPAD.EXE C:\winnt\System32\NOTEPAD.EXE C:\winnt\system32\rundll32.exe D:\WINDOWS\NOTEPAD.EXE C:\Programme\Internet Explorer\iexplore.exe C:\winnt\system32\NOTEPAD.EXE C:\Alte-Desctop-Program\KillBox.exe C:\Programme\CleanUp!\Cleanup.exe C:\Alte-Desctop-Program\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\winnt\System32\dmadmin.exe |
Jetzt siehts besser aus... Lass mal folgende Dateien bei Virustotal auswerten: Zitat:
|
Hier der aktuelle Report v. AntiVir Konfiguration für den aktuellen Suchlauf: Job Name......................: ShlExt Konfigurationsdatei...........: C:\DOKUME~1\admin~1.adm\LOKALE~1\Temp\a6e3027d.avp Bootsektoren..................: C Durchsuche Speicher...........: 1 Laufende Programme............: 0 Prüfe alle Dateien............: 1 Durchsuche Archive............: 1 Maximale Rekursionstiefe......: 20 Smart Extensions..............: 1 Makrovirenheuristik...........: 1 Dateiheuristik................: -1 Primäre Aktion................: 1 Sekundäre Aktion..............: 0 Beginn des Suchlaufs: Mittwoch, 26. Juli 2006 20:30 Es wird begonnen die Bootsektoren zu durchsuchen: Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Der Suchlauf über die ausgewählten Dateien wird begonnen: C:\WINNT\system32\config\software.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINNT\system32\config\default.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINNT\system32\config\SECURITY [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINNT\system32\config\SECURITY.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINNT\system32\config\SYSTEM.ALT [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINNT\system32\config\SAM [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINNT\system32\config\SAM.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINNT\system32\config\SYSTEM [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINNT\system32\config\SOFTWARE [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINNT\system32\config\DEFAULT [WARNUNG] Die Datei konnte nicht geöffnet werden! Ende des Suchlaufs: Mittwoch, 26. Juli 2006 20:34 Benötigte Zeit: 04:41 min Der Suchlauf wurde vollständig durchgeführt. 237 Verzeichnisse wurden überprüft 29319 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 255 Archive wurden durchsucht 10 Warnungen 0 Hinweise Nun habe ich aber das Problem, dass mir Google falsche Ergebnisse ausspuckt und mich beim Aufrufen eines Links immer auf einen anderen Server verweist (85.255.117.76).Man ist das nervig |
Zitat:
Also Neuaufsetzen, da deine Anfragen zusätzlich noch über einen "ukrainischen Server" umgeleitet werden! Sorry Daniel |
1.Log --> Verzeichnis von C:\WINDOWS\system32 mit datfindbat Hier die Dateien der letzten 3 Monate vielleicht hilft das ja 26.07.2006 20:44 4.984 close.bmp 26.07.2006 20:44 19.712 insurance.bmp 26.07.2006 20:44 11.772 spyware.bmp 26.07.2006 20:44 21.224 xxx.bmp 26.07.2006 20:44 21.872 pharmacy.bmp 26.07.2006 20:44 23.480 gambling.bmp 26.07.2006 20:44 21.872 dating.bmp 26.07.2006 20:44 387 idesk.conf 22.07.2006 13:44 98.304 dfrg.msc 03.07.2006 23:40 778.240 divx_xx0c.dll 03.07.2006 23:40 778.240 divx_xx07.dll 03.07.2006 23:40 761.856 divx_xx11.dll 03.07.2006 23:40 620.180 DivX.dll 27.06.2006 19:21 0 ansi.cfg 27.06.2006 03:28 704.512 divxdec.ax 21.06.2006 21:44 56.320 pxinsa64.exe 21.06.2006 21:44 61.440 pxhpinst.exe 21.06.2006 21:44 108.544 pxcpyi64.exe 21.06.2006 21:44 372.736 px.dll 21.06.2006 21:44 172.032 pxmas.dll 21.06.2006 21:44 56.832 pxcpya64.exe 21.06.2006 21:44 28.672 vxblock.dll 21.06.2006 21:44 421.888 pxdrv.dll 21.06.2006 21:44 109.568 pxinsi64.exe 21.06.2006 21:44 339.968 pxwave.dll 21.06.2006 21:41 352.401 DivXMedia.ax 21.06.2006 12:49 53.248 dpuGUI10.dll 21.06.2006 12:43 15.299 dsm_fr.qm 21.06.2006 12:43 520.192 DivXsm.exe 21.06.2006 12:43 15.507 dsm_de.qm 21.06.2006 12:43 4.276 divxsm.tlb 21.06.2006 12:43 10.863 dsm_ja.qm 21.06.2006 12:43 3.596.288 qt-dx331.dll 21.06.2006 12:42 200.704 ssldivx.dll 21.06.2006 12:42 1.044.480 libdivx.dll 21.06.2006 12:34 593.920 dpuGUI11.dll 21.06.2006 12:34 294.912 dpu10.dll 21.06.2006 12:34 294.912 dpu11.dll 21.06.2006 12:34 90.112 dpl100.dll 21.06.2006 12:34 344.064 dpus11.dll 21.06.2006 12:34 57.344 dpv11.dll 21.06.2006 12:34 200.704 dtu100.dll 21.06.2006 12:33 12.288 DivXWMPExtType.dll 21.06.2006 12:33 118.784 DivXCodecUpdateChecker.exe 21.06.2006 12:33 8.523 dpude.qm 21.06.2006 12:33 3.136 dtu_de.qm 02.06.2006 11:04 57.384 avsda.dll 06.04.2006 00:54 17.434 dplayx32.dll 27.03.2006 21:51 112.584 FNTCACHE.DAT 24.03.2006 14:17 0 8104297.jun 24.03.2006 01:30 196 lckfldservicelog.txt Vielen Dank soweit erstmal ps: Will eine Neu-Installation ausschließen |
Zitat:
Wie oft denn noch?! Du wirst hier keinen weiteren Support bekommen, da es keine MÖGLICHKEIT gibt dein SYSTEM ZU BEREINIGEN! :teufel2: Lies dir mal folgenden Link durch, was BackdoorTrojaner alles können --> KLICK |
selbstverständlich kann man eine Backdoor entfernen. das Problem ist, in Deutschland will sich niemand damit befassen, deshalb wird dann zur Neuinstallation geraten. Fakt ist : das man es über das sogenannte Internet in der Regel,je nach Schweregrad, nicht kann. in Deutschland kann man sagen : NeuInstallation = Kapitulation |
So folgendes habe eine Reparatur durchgeführt soweit alles in Ordnung nur beim Neustart kommt eine Fehlermeldung. Windows Treiber konnte nicht geladen werden C:\winnt\system\drivers\zpmodemnt.sys Fehler 0x000012f Kann mir jemand weiterhelfen? ps: Habe in Hijackthis neue Einträge O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 03:13 Uhr. |
Copyright ©2000-2025, Trojaner-Board