|
unerwünschte Startseite und andere Probleme Hi, habe seit kurzem vollgende Probleme: 1. beim ie offnet sich immer h**p://bestsearch.cc/668/ als Startseite 2. Ich kann mir über outlook express keine Mails mehr anzeigen lassen und es treten Probleme beim Senden auf 3. wenn ich eine txt-Datei öffnen will sagt mir Windows es konnte notepad.exe nicht finden Ich habe den Rechner im abgesicherten Modus schon mit NAV und eScan und Adaware (alles mit neustem Update) gescannt und es wurden auch einige Sachen entfernt... Auch habe ich das WindowsUpdate durchgeführt. Mein aktueller hijackthis log: Logfile of HijackThis v1.98.2 [edit] bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/showpost.php?p=171957&postcount=1 danke GUA [/edit] Bin mit meinem Latain am Ende.... :heulen: |
Auch wenn du mit eScan bereits geprüft hast, check diese Datei: C:\WINDOWS\svchost.exe ...mal bitte hier: http://www.kaspersky.com/de/scanforvirus Was kommt heraus? Obgleich er nicht mehr aktualisiert wird, versuche dann CWShredder einzusetzen. http://filepony.de/download-cwshredder/ |
Laut Check ist die Datei Ok: Zu überprüfende Datei: svchost.exe svchost.exe - packed with Yoda svchost.exe Ok Statistiken: Bekannte Viren: 96648 Updated: 19-08-2004 Größe der Datei (Kb): 10 Viren-Korpus: 0 Datei: 2 Warnungen: 0 Archive: 0 Verdächtigt: 0 Und CWShredder hat auch nichts gefunden.... Hat noch jemand einen Tip ? Bin wirklich nicht besonders heiß darauf mein System komplett neu zu einzurichten... |
Die Datei ist definitiv Malware. Um herauszufinden welche, sende sie mal bitte an die in meiner Signatur genannten Adressen! |
OK, hab die Datei gesendet. Hoffentlich kommt was bei raus... :dummguck: |
Auch schon via Mail: Dekativiere die Systemwiederherstellung. Lösch dann im abgesicherten Modus diese Datei sowie den auf sie verweisenden Registry-Eintrag. Ist sie dann beim nächsten Neustart wieder vorhanden? |
Bleibt hartnäckig bestehen das Ding ! Ist also nach Neustart wieder da... |
Hi Leute brauche dringend hilfe habe jetzt alles ausprobiert aber ich kriege diese Startseite h**p://213.159.117.134/index.php leider nicht mehr weg und weiß nicht mehr was ich machen soll kann mir vieleicht einer helfen? Jedesmal wenn ich den explorer öffne zeigt Antivir das als Trojana an ich kriege das leider nicht weg!Habe ach mit dem Programm von euch schon gecheckt hier das ergebniss wäre echt geil wenn mir einer helfen könnte!! Logfile of HijackThis v1.98.2 [edit] bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/showpost.php?p=171957&postcount=1 danke GUA [/edit] |
Hallo ! Jetzt meld ich mich auch mal ...... Hab auch dieses Problem mit der Seite "absolut blank" Hab schon viel gelesen hier bei Euch, hab auch fast alles ausprobiert, aber es funzt nicht ! Ich hab keine Ahnung, was ich tun soll, bin auch absolut Laie ! *seufz* Für Ratschläge wäre ich sehr dankbar ! Kann mir jemand helfen ? Gruss Babs |
Hallo marrtin Platform: Windows XP SP1 (WinNT 5.01.2600) - lade Dir bitte das aktuelle Service Pack runter: www.windowsupdate.com ----------- Überprüfe mit dem online-scan von Kaspersky folgende Datei: C:\Dokumente und Einstellungen\Senol Yilmaz\Anwendungsdaten\bswm.exe Teile uns das Ergebnis der Überprüfung mit und sende diese Datei, wenn sie infiziert ist, an partytime-germany.ice@web.de, mit Verweis auf diesen Thread. ----------- Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, fixe mit Hijack This: C:\Program Files\Windows SyncroAd\SyncroAd.exe C:\Program Files\Windows SyncroAd\WinSync.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ht*p://213.159.117.134/index.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ht*p://213.159.117.134/index.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ht*p://213.159.117.134/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ht*p://213.159.117.134/index.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = ht*p://213.159.117.134/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = ht*p://213.159.117.134/index.php O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe O16 - DPF: {44FD0AF8-9D30-4E96-8ECE-306446B5E0D3} - ht*p://naupoint.com/toolbar/installer/iEBINST2.cab wenn Du diese Seiten nicht kennst/brauchst, kannst Du sie ebenfalls fixen: O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O16 - DPF: {1C955F3B-5B32-4393-A05D-24B4970CD2A1} - ht*p://streamp.babenet.com/cabs/videox.cab O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} - ht*p://216.65.38.226/crack.CAB Aktiviere die Systemwiederherstellung, boote in den normalen Modus. ----------- "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"" [Cidre zitiert] Lösche: SyncroAd.exe WinSync.exe ----------- Führe sicherheitshalber den eScan auf Deinem System durch: lade den eScan runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht automatisch löscht. Die Malware muß - bei deaktivierter Systemwiederherstellung - manuell gelöscht werden, siehe eScan: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum oder in die Windows Suche übertragen -> löschen!" ----------- Teile uns das Ergebnis des eScan mit: welche/wieviel Viren wurden auf Deinem Rechner gefunden. Erstelle ein neues Hijack This Logfile und poste es. -------------- Hallo Goldie, es wäre nett, wenn Du einen neuen Thread eröffnen könntest, das erhöht die Übersichtlichkeit. Erstelle bitte ein Hijack This-Logfile mit http://www.trojaner-board.de/51130-a...ijackthis.html und poste es mittels copy&paste. SD |
Hi Danke erstmal aber Ich habe keinen anwendungsdaten unter senol Yilmaz und auch nicht diese Datei!Das mit dem abgesicherten modus probiere ich mal!!Danke nochmal!! |
Hi Leute kann mir nochmal einer helfen hier die daten nochmal!hijack:Logfile of HijackThis v1.98.2 Scan saved at 14:25:43, on 17.10.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\htpatch.exe C:\Programme\Microsoft Hardware\Keyboard\type32.exe C:\Programme\Anti-Trojan-55\ATWatch.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Dokumente und Einstellungen\Senol Yilmaz\Anwendungsdaten\bswm.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Senol Yilmaz\Desktop\Vieren\HijackThis.exe C:\WINDOWS\system32\wuauclt.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe" O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [AT-Watch] C:\Programme\Anti-Trojan-55\ATWatch.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook O4 - HKCU\..\Run: [NVIDIA Remote Control Panel] NVAREM.EXE /S O4 - HKCU\..\Run: [Wuao] C:\Dokumente und Einstellungen\Senol Yilmaz\Anwendungsdaten\bswm.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab O16 - DPF: {1C955F3B-5B32-4393-A05D-24B4970CD2A1} - h**p://streamp.babenet.com/cabs/videox.cab O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - h**p://files.ea.com/downloads/rtpatch/v2/EARTPX.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097517956328 O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - h**p://messenger.zone.msn.com/binary/ZIntro.cab30149.cab O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} - h**p://216.65.38.226/crack.CAB |
Hier die escan viren:File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken. File C:\DOKUME~1\SENOLY~1\ANWEND~1\bswm.exe infected by "not-a-virus:AdvWare.PurityScan.w" Virus. Action Taken: No Action Taken. File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken. File C:\DOKUME~1\SENOLY~1\ANWEND~1\bswm.exe infected by "not-a-virus:AdvWare.PurityScan.w" Virus. Action Taken: No Action Taken. File C:\WINDOWS\toolbar.exe infected by "Trojan.Win32.LowZones.f" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\d2kndr.exe infected by "Trojan.Win32.Dialer.ce" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\secupd050104.exe infected by "TrojanDownloader.Win32.Esepor.m" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\sex.exe tagged as not-a-virus:PornWare.Dialer.Kotu.c. No Action Taken. File C:\WINDOWS\system32\system.exe infected by "TrojanProxy.Win32.Mitglieder.x" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\WinDSL-Uninstall.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Take |
Lösche die gefunden Dateien im abgesicherten Modus manuell. Dann poste ein neues Log von HijackThis. |
Hi danke was ist mit bswm.exe und System exe darf ich die beiden auch löschen?Die anderen habe ich schon manuell gelöscht!!Danke nochmal!! Gruß |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:59 Uhr. |
Copyright ©2000-2024, Trojaner-Board