Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Ich brauche Hilfe :(((( (https://www.trojaner-board.de/11787-brauche-hilfe.html)

extreme16 07.01.2005 17:51

Ich brauche Hilfe :((((
 
Hallo zusammen,
Ich habe hier erstmal wieder eine hp auf meiner startseite, die ich gar net drauf gemacht habe. Ich habe schon meine Startseite geändert doch nach ca. 5 mins kommt dann die andere hp wieder auf die startseite und des geht immer so weiter.
Hier ist die HP : http://bestsearch.cc/13463/?search
So und dann habe ich noch ein anderes problem. Ich habe mal wieder antivir laufen lassen und es stand dort :
Hinweise 8
Warnungen 1
So und als ich antivir gestartet hat hat er dann ne meldung von sich gegeben und die war :
das mit der folgenden datei irgendwas ist :
C:\Windows und die datei ist Windbg.
Kann mir vieleicht eienr sagen was diese Windbg ist? ist das wichtiges oder net?
und noch was ich habe eben ad-aware starten lassen und die haben zu mir gesagt :
Ich habe 53 critical objects.
So bitte helft mir...

grüsse extreme

Shadowdance 07.01.2005 18:02

@ extreme16

Zitat:

Zitat von extreme16
was ich habe eben ad-aware starten lassen und die haben zu mir gesagt : Ich habe 53 critical objects.

Lass die 53 critical objects blockieren, lege sie in Quarantäne ... dazu ist das Programm da. Erstelle ein Hijack This Logfile mit der neuesten Version des Programmes und poste es: http://www.trojaner-board.de/51130-a...ijackthis.html.

SD

extreme16 07.01.2005 20:14

kk ich habe ausversehen next gedrückt also net quarantäne... ja und dann habe ich nochmal geguckt ob mehr böse dateis da sind aber danach waren keine mehr da. Aber nächstes mal mach ich die quarantäne

Roland 07.01.2005 20:17

Gehe unter Start/Suchen nach magnet.exe, syvid.exe und csmrs.exe wenn sie angezeigt werden löschen!
Dann Start/Ausführen regedit eingeben und unter "Bearbeiten/Suchen" nach den folgenden einzeilnen Namen magnet, hp2.exe,syvid,csmrs.exe,hp2.htm,setup32.exe und update32.exe. Alles was Du findest sofort löschen. Sollten diese Namen an einen Programm hinten angehangen sein, diesen hinteren löschen.
Roland

extreme16 08.01.2005 13:43

Ao hier ist die Log file :
Logfile of HijackThis v1.99.0
Scan saved at 13:43:13, on 08.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\sstray.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\Programme\Ad-aware\Ad-Aware SE Personal\Ad-Aware.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Programme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.53/search.cgi?b13463
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.53/search.cgi?a13463
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.53/search.cgi?a13463
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.53/search.cgi?b13463
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.53/search.cgi?a13463
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.53/search.cgi?a13463
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.53/search.cgi?b13463
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ICQ Lite] D:\Downloads\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [scvhost] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [scvhost] C:\WINDOWS\scvhost.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Downloads\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Downloads\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Downloads\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O13 - WWW Prefix: http://69.50.191.50/1/?
O15 - Trusted Zone: *.bestsearch.cc
O15 - Trusted Zone: *.dapsol.com
O15 - Trusted Zone: *.bestsearch.cc (HKLM)
O15 - Trusted Zone: *.dapsol.com (HKLM)
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

extreme16 08.01.2005 13:49

Ah.. Roland
Ich habe unter regedit folgende dateis gefunden :
csmrs.exe
magnet.exe
syvid.exe

extreme16 08.01.2005 13:51

so habe die 3 datein gelöscht.....

extreme16 08.01.2005 13:54

So aber folgende datein wurden unter regedit nicht gefunden :
hp2.exe
hp2.htm
setup32.exe und update32.exe
....

Cidre 08.01.2005 13:57

Das eScan AntiVirus Toolkit Utility (mwav.exe) herunterladen, die Datei in den von dir erstellten Ordner "c:\bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
http://www.mwti.net/antivirus/free_utilities.asp

Wechsle in den abgesicherten Modus http://www.bsi.bund.de/av/texte/wiederher_xp.htm und fixe diese Einträge (Haken setzen und auf Fix Checked klicken):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.53/search.cgi?b13463
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.53/search.cgi?a13463
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.53/search.cgi?a13463
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.53/search.cgi?b13463
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.53/search.cgi?a13463
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.53/search.cgi?a13463
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.53/search.cgi?b13463
O4 - HKLM\..\Run: [scvhost] C:\WINDOWS\scvhost.exe
O4 - HKCU\..\Run: [scvhost] C:\WINDOWS\scvhost.exeO13 - WWW Prefix: http://69.50.191.50/1/?
O15 - Trusted Zone: *.bestsearch.cc
O15 - Trusted Zone: *.dapsol.com
O15 - Trusted Zone: *.bestsearch.cc (HKLM)
O15 - Trusted Zone: *.dapsol.com (HKLM)

Lösche:
C:\WINDOWS\scvhost.exe

- mit eScan scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan" klicken.) und die Malware manuell entfernen http://www.trojaner-board.de/42731-escan-anleitung.html
- neue Startseite vergeben
- Neustart
- dein System updaten http://v5.windowsupdate.microsoft.co...r/default.aspx
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org
- neues Log-File von HiJackThis und die Virus Log Information von eScan posten

extreme16 08.01.2005 16:27

hallo cidre und danke... Hier sind die 6 viren die der escan mir angezeit hat:

File C:\DOKUME~1\extreme\LOKALE~1\TEMPOR~1\Content.IE5\4PYVOLIR\adv480[1].php infected by "Exploit.HTML.Mht" Virus. Action
Taken: No Action Taken.

File C:\DOKUME~1\extreme\LOKALE~1\TEMPOR~1\Content.IE5\CXYZ0XAN\bridge-c420[1].cab infected by "not-a-virus:AdWare.WinAD.n" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\extreme\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4PYVOLIR\adv480[1].php infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\extreme\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CXYZ0XAN\bridge-c420[1].cab infected by "not-a-virus:AdWare.WinAD.n" Virus. Action Taken: No Action Taken.

File D:\desktop1\pod25ins.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File D:\Programme\mIRC\mirc.exe tagged as not-a-virus:RiskWare.IRC.6.16. No Action Taken.

extreme16 08.01.2005 16:29

ich wollte die im abgesicherten modus manuell löschen, doch als ich sie manuell suchte fand ich die datei bzw. den ordner nicht und ich habe auch ein paar sachen angekreuzt wo drin steht alle datein und ordner anzeigen bzw. versteckte datein ja da war ich und habe alles wichtige angekreutzt, was ich fand. Ja und jetzt sind irgendwie noch die 6 viruse drauf :(

Haui45 08.01.2005 16:37

Leere einfach deine Temporary Internet Files, z.B. mit www.clearprog.de.
Die zwei letzten Sachen sind harmlos.

extreme16 08.01.2005 17:05

okay ich habe jetzt den inhalt gelöscht von dem ordner.. Und habe jetzt auch firefox

Haui45 08.01.2005 17:05

Das neue Logfile von HijackThis steht noch aus...

extreme16 08.01.2005 17:19

Ach ja als ich im abgesicherten Modus war habe ich das mit hijack probiert die zu fix checken, doch als ich das gemacht habe und 5 mins wieder dort reingeguckt habe und gescannt habe standen die folgenden Datein wieder drin :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.53/search.cgi?b13463
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.53/search.cgi?a13463
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.53/search.cgi?a13463
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.53/search.cgi?b13463
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.53/search.cgi?a13463
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.53/search.cgi?a13463
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.53/search.cgi?b13463
O4 - HKLM\..\Run: [scvhost] C:\WINDOWS\scvhost.exe
O4 - HKCU\..\Run: [scvhost] C:\WINDOWS\scvhost.exeO13 - WWW Prefix: http://69.50.191.50/1/?
O15 - Trusted Zone: *.bestsearch.cc
O15 - Trusted Zone: *.dapsol.com
O15 - Trusted Zone: *.bestsearch.cc (HKLM)
O15 - Trusted Zone: *.dapsol.com (HKL)

:((( :heulen: :nixda:


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:41 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131