|
Ich brauche Hilfe :(((( Hallo zusammen, Ich habe hier erstmal wieder eine hp auf meiner startseite, die ich gar net drauf gemacht habe. Ich habe schon meine Startseite geändert doch nach ca. 5 mins kommt dann die andere hp wieder auf die startseite und des geht immer so weiter. Hier ist die HP : http://bestsearch.cc/13463/?search So und dann habe ich noch ein anderes problem. Ich habe mal wieder antivir laufen lassen und es stand dort : Hinweise 8 Warnungen 1 So und als ich antivir gestartet hat hat er dann ne meldung von sich gegeben und die war : das mit der folgenden datei irgendwas ist : C:\Windows und die datei ist Windbg. Kann mir vieleicht eienr sagen was diese Windbg ist? ist das wichtiges oder net? und noch was ich habe eben ad-aware starten lassen und die haben zu mir gesagt : Ich habe 53 critical objects. So bitte helft mir... grüsse extreme |
@ extreme16 Zitat:
SD |
kk ich habe ausversehen next gedrückt also net quarantäne... ja und dann habe ich nochmal geguckt ob mehr böse dateis da sind aber danach waren keine mehr da. Aber nächstes mal mach ich die quarantäne |
Gehe unter Start/Suchen nach magnet.exe, syvid.exe und csmrs.exe wenn sie angezeigt werden löschen! Dann Start/Ausführen regedit eingeben und unter "Bearbeiten/Suchen" nach den folgenden einzeilnen Namen magnet, hp2.exe,syvid,csmrs.exe,hp2.htm,setup32.exe und update32.exe. Alles was Du findest sofort löschen. Sollten diese Namen an einen Programm hinten angehangen sein, diesen hinteren löschen. Roland |
Ao hier ist die Log file : Logfile of HijackThis v1.99.0 Scan saved at 13:43:13, on 08.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\sstray.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe D:\Programme\Ad-aware\Ad-Aware SE Personal\Ad-Aware.exe C:\Programme\Internet Explorer\iexplore.exe D:\Programme\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.53/search.cgi?b13463 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.53/search.cgi?a13463 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.53/search.cgi?a13463 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.53/search.cgi?b13463 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.53/search.cgi?a13463 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.53/search.cgi?a13463 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.53/search.cgi?b13463 O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [ICQ Lite] D:\Downloads\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [scvhost] C:\WINDOWS\scvhost.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [scvhost] C:\WINDOWS\scvhost.exe O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Downloads\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Downloads\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Downloads\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O13 - WWW Prefix: http://69.50.191.50/1/? O15 - Trusted Zone: *.bestsearch.cc O15 - Trusted Zone: *.dapsol.com O15 - Trusted Zone: *.bestsearch.cc (HKLM) O15 - Trusted Zone: *.dapsol.com (HKLM) O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE |
Ah.. Roland Ich habe unter regedit folgende dateis gefunden : csmrs.exe magnet.exe syvid.exe |
so habe die 3 datein gelöscht..... |
So aber folgende datein wurden unter regedit nicht gefunden : hp2.exe hp2.htm setup32.exe und update32.exe .... |
Das eScan AntiVirus Toolkit Utility (mwav.exe) herunterladen, die Datei in den von dir erstellten Ordner "c:\bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen. http://www.mwti.net/antivirus/free_utilities.asp Wechsle in den abgesicherten Modus http://www.bsi.bund.de/av/texte/wiederher_xp.htm und fixe diese Einträge (Haken setzen und auf Fix Checked klicken): R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.53/search.cgi?b13463 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.53/search.cgi?a13463 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.53/search.cgi?a13463 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.53/search.cgi?b13463 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.53/search.cgi?a13463 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.53/search.cgi?a13463 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.53/search.cgi?b13463 O4 - HKLM\..\Run: [scvhost] C:\WINDOWS\scvhost.exe O4 - HKCU\..\Run: [scvhost] C:\WINDOWS\scvhost.exeO13 - WWW Prefix: http://69.50.191.50/1/? O15 - Trusted Zone: *.bestsearch.cc O15 - Trusted Zone: *.dapsol.com O15 - Trusted Zone: *.bestsearch.cc (HKLM) O15 - Trusted Zone: *.dapsol.com (HKLM) Lösche: C:\WINDOWS\scvhost.exe - mit eScan scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan" klicken.) und die Malware manuell entfernen http://www.trojaner-board.de/42731-escan-anleitung.html - neue Startseite vergeben - Neustart - dein System updaten http://v5.windowsupdate.microsoft.co...r/default.aspx - IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html - Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org - neues Log-File von HiJackThis und die Virus Log Information von eScan posten |
hallo cidre und danke... Hier sind die 6 viren die der escan mir angezeit hat: File C:\DOKUME~1\extreme\LOKALE~1\TEMPOR~1\Content.IE5\4PYVOLIR\adv480[1].php infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\extreme\LOKALE~1\TEMPOR~1\Content.IE5\CXYZ0XAN\bridge-c420[1].cab infected by "not-a-virus:AdWare.WinAD.n" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\extreme\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4PYVOLIR\adv480[1].php infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\extreme\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CXYZ0XAN\bridge-c420[1].cab infected by "not-a-virus:AdWare.WinAD.n" Virus. Action Taken: No Action Taken. File D:\desktop1\pod25ins.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File D:\Programme\mIRC\mirc.exe tagged as not-a-virus:RiskWare.IRC.6.16. No Action Taken. |
ich wollte die im abgesicherten modus manuell löschen, doch als ich sie manuell suchte fand ich die datei bzw. den ordner nicht und ich habe auch ein paar sachen angekreuzt wo drin steht alle datein und ordner anzeigen bzw. versteckte datein ja da war ich und habe alles wichtige angekreutzt, was ich fand. Ja und jetzt sind irgendwie noch die 6 viruse drauf :( |
Leere einfach deine Temporary Internet Files, z.B. mit www.clearprog.de. Die zwei letzten Sachen sind harmlos. |
okay ich habe jetzt den inhalt gelöscht von dem ordner.. Und habe jetzt auch firefox |
Das neue Logfile von HijackThis steht noch aus... |
Ach ja als ich im abgesicherten Modus war habe ich das mit hijack probiert die zu fix checken, doch als ich das gemacht habe und 5 mins wieder dort reingeguckt habe und gescannt habe standen die folgenden Datein wieder drin : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.53/search.cgi?b13463 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.53/search.cgi?a13463 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.53/search.cgi?a13463 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.53/search.cgi?b13463 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.53/search.cgi?a13463 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.53/search.cgi?a13463 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.53/search.cgi?b13463 O4 - HKLM\..\Run: [scvhost] C:\WINDOWS\scvhost.exe O4 - HKCU\..\Run: [scvhost] C:\WINDOWS\scvhost.exeO13 - WWW Prefix: http://69.50.191.50/1/? O15 - Trusted Zone: *.bestsearch.cc O15 - Trusted Zone: *.dapsol.com O15 - Trusted Zone: *.bestsearch.cc (HKLM) O15 - Trusted Zone: *.dapsol.com (HKL) :((( :heulen: :nixda: |
und eben ist es schon wieder passiert |
hier ist se : ogfile of HijackThis v1.99.0 Scan saved at 17:23:06, on 08.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\sstray.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe D:\Games\ToA\login.dll D:\Programme\firefox\firefox.exe D:\Programme\HijackThis.exe O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [ICQ Lite] D:\Downloads\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Downloads\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Downloads\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Downloads\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O13 - WWW Prefix: http://69.50.191.50/1/? O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE |
Dies sollte normal sein, solange halt die zugehörigen Malware Dateien nicht gelöscht werden, da kannst du fixen bist du schwarz wirst. Lade den Total Commander und nimm folgende Einstellung vor: Total Commander öffnen -> Konfigurieren -> Einstellungen -> Ansicht -> Haken setzen bei "Versteckte und Systemdateien anzeigen (nur für Experten)" -> OK Navigiere im linken Fenster zum besagten Ordner bzw. zur Datei und lösche diese. (markieren -> F8 -> JA) die beanstandeten Dateien. Welche Einstellungen hast du bei eScan vorgenommen? btw: Zitat:
|
wie welche einstellung? habe halt alle häckchen gemacht außer beim folder, und ich habe ein häckchen gemacht bei scan all files... |
............. |
cidre?! was meinste damit? |
Damit meinte ich ob die Häkchen gemäss den Bildern gesetzt hast. Wie sieht jetzt die aktuelle Lage aus? |
Zitat:
|
hm cidre?! |
Das war vorsorglich ein Tipp, damit du die Dateien löschen kannst, wenn du sie mal wieder nicht finden solltest. Ist dein Problem beseitigt oder nicht, denn an deine Posts lässt sich das nicht erkennen? |
ne da ist noch die malware auf meinen pc ich weiß net wie ich die weg kriege... :(... hm und irgendwo habe ich hier die logs vom escan hier hin geschrieben also die der escan gefunden hat. also die viren. |
Dann versorg uns halt mit den Infos! Kann doch nicht so schwer sein. Aktuelles HJT Log File + eSCan Log. |
Logfile von Hijack : Logfile of HijackThis v1.99.0 Scan saved at 18:07:05, on 10.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\sstray.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Java\jre1.5.0\bin\jusched.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe D:\Programme\Winamp\Winamp.exe D:\Programme\firefox\firefox.exe D:\Programme\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.53/search.cgi?b13463 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.53/search.cgi?a13463 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.53/search.cgi?a13463 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.53/search.cgi?b13463 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.53/search.cgi?a13463 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.53/search.cgi?a13463 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.53/search.cgi?b13463 O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [ICQ Lite] D:\Downloads\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [scvhost] C:\WINDOWS\scvhost.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [scvhost] C:\WINDOWS\scvhost.exe O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Downloads\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Downloads\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Downloads\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O13 - WWW Prefix: http://69.50.191.50/1/? O15 - Trusted Zone: *.bestsearch.cc O15 - Trusted Zone: *.dapsol.com O15 - Trusted Zone: *.bestsearch.cc (HKLM) O15 - Trusted Zone: *.dapsol.com (HKLM) O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE |
So hier ist das Ergebnis vom EsCan! Mon Jan 10 18:54:59 2005 => ***** Checking for specific ITW Viruses ***** Mon Jan 10 18:54:59 2005 => Checking for Welchia Virus... Mon Jan 10 18:54:59 2005 => Checking for LovGate Virus... Mon Jan 10 18:54:59 2005 => Checking for CodeRed Virus... Mon Jan 10 18:54:59 2005 => Checking for OpaServ Virus... Mon Jan 10 18:54:59 2005 => Checking for Sobig.e Virus... Mon Jan 10 18:54:59 2005 => Checking for Winupie Virus... Mon Jan 10 18:54:59 2005 => Checking for Swen Virus... Mon Jan 10 18:54:59 2005 => Checking for JS.Fortnight Virus... Mon Jan 10 18:54:59 2005 => Checking for Novarg Virus... Mon Jan 10 18:54:59 2005 => Checking for Pagabot Virus... Mon Jan 10 18:54:59 2005 => Checking for Parite.b Virus... Mon Jan 10 18:54:59 2005 => Checking for Parite.a Virus... Mon Jan 10 18:55:00 2005 => ***** Scanning complete. ***** Mon Jan 10 18:55:00 2005 => Total Files Scanned: 49742 Mon Jan 10 18:55:00 2005 => Total Virus(es) Found: 2 Mon Jan 10 18:55:00 2005 => Total Disinfected Files: 0 Mon Jan 10 18:55:00 2005 => Total Files Renamed: 0 Mon Jan 10 18:55:00 2005 => Total Deleted Files: 0 Mon Jan 10 18:55:00 2005 => Total Errors: 2 Mon Jan 10 18:55:00 2005 => Time Elapsed: 00:42:35 Mon Jan 10 18:55:00 2005 => Virus Database Date: 2005/01/08 Mon Jan 10 18:55:00 2005 => Virus Database Count: 115012 Mon Jan 10 18:55:00 2005 => Scan Completed. Mon Jan 10 19:24:48 2005 => Virus Database Date: 2005/01/08 Mon Jan 10 19:24:48 2005 => Virus Database Count: 115012 Mon Jan 10 19:24:52 2005 => AV Library Unloaded (3)... ------------------------------------------------------ Als ich das letzte mal den EsCan laufen lies, hat er mir noch 6 viren angezeit von denen 4 viren, viren waren. |
................. |
hochbumpen*will |
unten sind die logs^^ |
|
Hm ich weiß net wie ich das dort prüfen lassen soll?! also ich finde auf der hp kein link zum downloaden unter anderem. ... |
@extreme16 bei jotti, auf durchsuchen gehen, dann zum datei navigieren auf deine Festplatte der überprüft werden sollte, dann auch submit drücken das ergebnis hier posten. wir brauchen die infos, anders können wir dich nicht helfen. chaosman |
Zitat:
Zitat:
kannste auf jeden fall auch fixen |
@ extreme16 überprüfe mit dem online-scan von Kaspersky: C:\WINDOWS\scvhost.exe ==> Ergebnis? Zitat:
@ Gigamail ... wir haben noch nicht angefangen das Logfile auszuwerten, da wir noch auf das Ergebnis aus der Virenprüfung warten. |
Das ist das online virensuch ergebnis : Bekannte Viren: 114450 Updated: 14-01-2005 Größe der Datei (Kb): 4 Viren-Korpus: 0 Datei: 1 Warnungen: 0 Archive: 0 Verdächtigt: 0 infected viren in der LOG : Sat Jan 08 14:48:12 2005 => File C:\DOKUME~1\extreme\LOKALE~1\TEMPOR~1\Content.IE5\4PYVOLIR\adv480[1].php infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken. Sat Jan 08 14:50:59 2005 => File C:\DOKUME~1\extreme\LOKALE~1\TEMPOR~1\Content.IE5\CXYZ0XAN\bridge-c420[1].cab infected by "not-a-virus:AdWare.WinAD.n" Virus. Action Taken: No Action Taken. Sat Jan 08 14:56:15 2005 => File C:\Dokumente und Einstellungen\extreme\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4PYVOLIR\adv480[1].php infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken. Sat Jan 08 14:58:29 2005 => File C:\Dokumente und Einstellungen\extreme\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CXYZ0XAN\bridge-c420[1].cab infected by "not-a-virus:AdWare.WinAD.n" Virus. Action Taken: No Action Taken. Sat Jan 08 15:02:07 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* Sat Jan 08 15:40:03 2005 => Total Disinfected Files: 0 Mon Jan 10 18:16:11 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* Mon Jan 10 18:55:00 2005 => Total Disinfected Files: 0..... So das war die log |
Lade dir clearprog runter und lösche damit deine temporären Dateien. Und ruh ist. |
@ extreme16 O4 - HKLM\..\Run: [scvhost] C:\WINDOWS\scvhost.exe: Process Information --> W32/Agobot-S Scanne Deinen Rechner online mit TrendMicro Teile uns das Ergebnis mit. Erstelle ein neues Hijack This Logfile und poste es. |
welche temporären datein?! |
Zitat:
|
Ich habe jetzt auf "alles löschen" gedrückt und danach auf "löschen" |
@ extreme16 na, das ist doch super. Damit sind alle temporären Dateien (zeitliche Internetbestände, die das System unnötig verstopfen, daher von Zeit zu Zeit -> einmal pro Woche, anwenden) in allen Ordnern gelöscht. Und nun noch den Online-Scan bei Trend-Micro. Und dann bitte wieder hier melden und das Ergebnis durchgeben, mit copy & paste. |
ist doch richtig oder? bzw. was soll ich danach machen? |
lesen und nicht antworten, bevor ich Dir geantwortet habe ;-) |
hm tut mir leid entweder bin ich zu kaputt um dort auf der home page das zu scannen oder ich sehe das net :( Könntest du mir vieleicht sagen wo des steht? |
hhhmmm ;) |
:dummguck: |
probier mal den der ist auf deutsch http://de.trendmicro-europe.com/ente...jetzt+pr%FCfen |
TIPP: Brille aufsetzen aber bitte vorher putzen! Dieser Thread hat 6 Seiten .. auf Seite 4 unten, letztes Posting hatte ich Dir eine Anweisung gegeben. Die sollst Du ausführen. http://www.cosgan.net/images/smilie/traurig/k035.gif |
so ich bin jetzt dort rauf gegangen wo gigamail mir es gesagt hat. Und das ergebnis lautet : 47278 Datein durchsucht und 0 infektionen |
was hast Du da jetzt noch für ein Problem? Erstelle ein neues Hijack This Logfile und poste es. http://www.cosgan.net/images/smilie/teufel/a020.gif |
Zitat:
|
Zitat:
er kann ja auch nochmal hier scannen http://www.kaspersky.com/de/scanforvirus Gruß Gigamail |
Statistiken: Bekannte Viren: 114607 Updated: 14-01-2005 Größe der Datei (Kb): 4 Viren-Korpus: 0 Datei: 1 Warnungen: 0 Archive: 0 Verdächtigt: 0 ------------------------------------- @giga... So hier ist des ergebnis aber das gleiche habe ich hier im theard schonmal gepostet. @ shadow. Ich habe gerade mein pc formatiert so ca. vor 2-3 wochen. Ach ja und geht das irgendwie net anders zu lösen das prob? was soll ich als nächstes tun? weil ich habe ja schon im internet mein pc gescanned. grüsse... |
@ extreme16 Nachdem die Datei offensichtlich nicht erkannt wird, schickst du jetzt diese zur Dateianalyse gepackt und passwortgeschützt mit dem Betreff "Neue Malware" an virus@rokop-security.de und verweist auf diesen Thread. |
wie gepackt und passwort geschützt? |
grml :( ich schick die mail erstmal so ab.... aber ich bräuchte noch information wie das mit gepackt und passwort heißt. Bzw. wie des gemacht wird.. |
@ extreme16 sende diese Datei C:\WINDOWS\scvhost.exe bitte passwortgeschützt (mit Angabe des Passworts in der Mail) an virus@rokop-security.de, mit Hinweis auf diesen Thread und dem Kennwort "scvhost.exe". Danke ;-) |
jup habe ich jetzt gemacht :) |
Zitat von meiner email die ich ihn geschickt habe : Scheisse, als ich ihre email gelesen habe, habe ich danach auch sofort diese eine datei namens windbg gelöscht und dachte mir danach nichts dabei. Ich habe ca. dann noch 30 mins aufn pc gespielt. Ja und als mir danach einfiel das ich mal wieder auf meine email gucken sollte, wollte ich das dann auch sofort tun mit Firefox/ Mozilla. Als ich Firefox öffnen wollte stand dort : D:/Programme/Firefox/Firefox.exe konnte nicht gefunden werden. Bitte überprüfen sie ob die exe noch existiert. Das habe ich dann sofort geguckt und sah irgendwie das noch die exe da war aber als ich auf die exe drauf klickte stand genau die gleiche meldung wie vorhin dort und ich habe nur bahnhof verstanden. Ich wollte dann jede verknüpfung aufn destop ausprobieren ob es noch geht und jeder aber auch JEDE verknüpfung ging nicht und es kamm immer die gleiche meldung wie vorhin. So danach wollte ich mal auf laufwerk C/Windows/system32 gucken und als ich drauf war habe ich einen Ordner namens Dllcache, dessen schrift blau ist. Dann habe ich mal rein geguckt und es waren zich datein drin. Die meisten davon waren auch blau geschrieben. Ich hatte das gefühl ob nichts mehr nützt und ich formatieren soll. Ja und danach wollte ich mal gucken ob internetexplorer noch funktioniert und siehe da es ging. Sofort bin ich auf meine emailadresse rauf gegangen und wollte ihnen das mitteilen doch sofort hat sich antvir gemeldet und meinte folgende datei ist infiziert. Ich habe sie sofort gelöscht. So und irgendwie ist es merkwürdig das internetexplorer noch geht. Ich weiß jetzt ehrlich gesagt nicht was ich machen soll ob formatieren oder net... weil auf meinen pc sind noch words wo ich was rauf geschrieben habe und die ich noch brauch :( und auch andere datein die ich noch brauch und die ich net auf CD gemacht habe. Bitte helfen sie mir :(((( |
Hast du schon eine Antwort vom Rokop Team? Wenn ja, wie lautet sie? |
mom so lautet sie : Da ich gleich weg muss, habe ich an einen Kollegen übergeben, der sich demnächst melden sollte! --------------------------- Ich warte jetzt erstmal noch. Wie gesagt ich habe noch sehr wichtige datein auf meinen rechner und wenn ich jetzt formatiere dann sind die alle weg. Kann man des net über netzwerk die datein brennen?! |
@ extreme16 na, dann warten wir halt noch ein bißchen. Melde Dich, wenn's schlimmer wird mit Deinem Rechner, dann setzen wir unsere Geheimwaffe ein .. ;-) |
wie wenns schlimmer wird? Es ist doch schon schlimm genung von meiner sicht her ist es schon schlimm genug.. :( |
@ extreme16 Zitat:
|
ja ich habe so ein laufwerk... aber ich weiß ja net ob ich bei meinen neuen rechner nero rauf machen kann aber auf nen anderen rechner hier bei mir habe ich nero und son laufwerk |
hm irgendwie hat sich der Kollege noch nicht gemeldet. Aber ich warte noch immer auf die antwort. Ich hoffe er kann mir helfen oder ihr .... |
hm ich weiß nicht so genau... aber irgendwie finde ich die exen wieder. Also ich habe sie manuel gesucht und wie z.B. Mirc : Dateityp : Anwendung Beschreibung : Mirc Größe : 1,85 MB -------- Ja und irgendwie siehts danach aus als wäre die exe noch scheinbar da?! o_O Aber die ganzen meldungen kommen noch immer wenn ich auf die exe oder auch auf die verknüpfung drücke. Ich weiß net wieso?! o_O |
@ extreme16 Zitat:
Wenn Du die back-up's hast, darfst Du sie aber nicht so ohne Weiteres auf ein eventuell formatiertes neues System hochladen. Diese CD's oder DVD's müssen dann erst auf Viren untersucht werden. Momentan wissen wir ja noch nicht, welche Viren Du auf Deinem Rechner hast, bzw. wie sie wirken. Aber bitte lies Dich schon mal vorsorglich hier ein und drucke Dir diese Seiten aus, damit Du sie im Notfall parat hast: . |
eine frage : Ich habe hier ja 3 pcs rum stehen und eigentlich könnte man das mit den drucken der vielen texte auch lassen, weil ich könnte theoretisch mit einen von den beiden pcs ins internet gehen und dort gucken oder?! |
@ extreme16 Zitat:
Dafür dass Du mehrere Rechner hast, bist Du aber sehr ungeduldig ... :confused: |
urgs o_O :ukeface: Ich habe eben den backUp Maker gedownloadet und ich wollte gerade das setup starten vom bkmaker. Doch als ich rauf gegangen bin stand dort : "D:/Programme/bkmaker.exe" konnte nicht gefunden werden. Stellen sie sicher,dass Sie den Namen korrekt eingegeben haben und wiederholen Sie den Vorgang...... Ich blick da gar nicht mehr durch... Edit : Naja das mit den ungeduldig stimmt zum teil... weil ich habe halt nur nen alten pc der noch gerade so ausreicht und nen sehr guten pc den gerade mein bruder benutzt. |
@ extreme16 hast Du Dich auf Deinem System als User angemeldet mit eingeschränktem Benutzerkonto? Als User kannst Du Programme nicht installieren, das geht nur, wenn Du Dich als Admin auf Deinem System anmeldest und Aministratorrechte hast. |
Also es muss aufjedenfall so sein das ich Admin bin. Weil es bei mir nur ein User gibt und das bin ich. |
@ extreme16 erstelle nochmal ein neues Hijack This Logfile und poste es. |
geht net, wenn ich das programm starten will, kommt halt immer die gleich meldung die datei konnte nicht gefunden werden..... :( |
Ja er hat geantwortet Hier ist das Zitat von ihn : Bitte speichere die angehängte Datei auf Deiner Festplatte, starte sie durch Doppelklick und bestätige die Nachfrage mit "Ja". Dann solltest Du auch Dateien wieder problemlos ausführen können! Hinweis: Du musst als Administrator (also mit vollen Rechten) angemeldet sein, damit das funktioniert. Grüße, Jörg -------------- So hab ne frage wie kann ich sehen wer bei mir der admin ist und mit vollen rechten angemeldet ist? |
JJJJAAA !! Es hat geklappt !!! Ich weiß nicht wie ich mich bedanken soll^^.... Aber ich kann wieder Datein öffnen :) Doch ich habe noch ne frage : Ist jetzt die Malware auch gelöscht oder ist sie noch auf meinen Rechner? Am besten schicke ich mal gleich hier eine Hijack Log file. Edit : Hier ist Die Log File : Logfile of HijackThis v1.99.0 Scan saved at 23:49:03, on 15.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\Explorer.EXE C:\Programme\Internet Explorer\iexplore.exe D:\Programme\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.53/search.cgi?b13463 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.53/search.cgi?a13463 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.53/search.cgi?a13463 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.53/search.cgi?b13463 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.53/search.cgi?a13463 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.53/search.cgi?a13463 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.53/search.cgi?b13463 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\ActiveX\AcroIEHelper.dll (file missing) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [ICQ Lite] D:\Downloads\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [scvhost] C:\WINDOWS\scvhost.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [scvhost] C:\WINDOWS\scvhost.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Downloads\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Downloads\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O13 - WWW Prefix: http://69.50.191.50/1/? O15 - Trusted Zone: *.bestsearch.cc O15 - Trusted Zone: *.dapsol.com O15 - Trusted Zone: *.bestsearch.cc (HKLM) O15 - Trusted Zone: *.dapsol.com (HKLM) O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE ----------------------------------- So hab noch ne Frage : sollte ich jetzt am besten nen Microsoft update auch auf diesen pc drauf machen, wäre das jetzt sinvoll?! |
tut mir leid das ich spame, aber mir ist gerade was wichtiges noch aufgefallen : Wenn ich Str + Alt + entf drücke und mir meine Prozesse anschaue sehe ich noch das 4 mal svchost prozesse laufen. Doch ich habe diese eine Datei eigentlich schon im Laufwerk C/Windows gelöscht.... |
@ extreme16 boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken): R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://69.50.191.53/search.cgi?b13463 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://69.50.191.53/search.cgi?a13463 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://69.50.191.53/search.cgi?a13463 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://69.50.191.53/search.cgi?b13463 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://69.50.191.53/search.cgi?a13463 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://69.50.191.53/search.cgi?a13463 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://69.50.191.53/search.cgi?b13463 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\ActiveX\AcroIEHelper.dll (file missing) O4 - HKLM\..\Run: [scvhost] C:\WINDOWS\scvhost.exe O13 - WWW Prefix: h**p://69.50.191.50/1/? O15 - Trusted Zone: *.bestsearch.cc O15 - Trusted Zone: *.dapsol.com O15 - Trusted Zone: *.bestsearch.cc (HKLM) O15 - Trusted Zone: *.dapsol.com (HKLM) boote in den normalen Modus. beende: scvhost.exe lösche: C:\WINDOWS\scvhost.exe Aktiviere die Systemwiederherstellung und boote neu. Und nun mach Folgendes ... besuche diese Seite, mache was Lutz dort empfohlen hat .. halte Dich GENAU an die Anweisung ... dann dürfte einiges wieder funktionieren. Wir machen dann aber noch etwas mit Dir ... --> P.S. ein Dankeschön an Jörg für die tolle Hilfe. |
hast doch immer noch so ein Zeugs drauf Zitat:
O4 - HKLM\..\Run: [scvhost] C:\WINDOWS\scvhost.exe O13 - WWW Prefix: http://69.50.191.50/1/? O15 - Trusted Zone: *.bestsearch.cc O15 - Trusted Zone: *.dapsol.com O15 - Trusted Zone: *.bestsearch.cc (HKLM) O15 - Trusted Zone: *.dapsol.com (HKLM) http://www.cosgan.net/images/smilie/sportlich/d040.gif |
Zitat:
[edit] .. eine deutsche Antwort zu der Frage, was die svchost.exe ist, musste ich erst suchen: svchost.exe [/edit] |
@ hi Shadowsdance schau doch bitte hier mal mit vorbei. danke gruß gigamail http://www.trojaner-board.de/showthread.php?t=12171 http://www.cosgan.org/images/midi/engel/a040.gif |
So hier ist die neuste LOG-File :) Logfile of HijackThis v1.99.0 Scan saved at 00:35:12, on 16.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\sstray.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Java\jre1.5.0\bin\jusched.exe C:\WINDOWS\System32\ctfmon.exe D:\Programme\Adobe\Reader\reader_sl.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe D:\Programme\firefox\firefox.exe D:\Programme\HijackThis.exe O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E7 18888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [ICQ Lite] D:\Downloads\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [scvhost] C:\WINDOWS\scvhost.exe O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Downloads\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Downloads\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Downloads\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE |
Ich glaube er ist weg. Ich habe eben nochmal kurz rechts klick auf internet explorer gemacht und hab geguckt was die startseite ist und was sah ich da : about:blank Mit eurer Hilfe habe ich diese Malware tot bekommen. Ich bedanke mich nochmal herzlich an gigamail , shadowdance und cidre und noch andere die mir geholfen haben. :aplaus: :aplaus: :daumenhoc :aplaus: :aplaus: Aber noch eine frage habe ich : Ist es jetzt sinvoll nen microsoft update jetzt rauf zu machen?! |
ein Update ist immer gut!! aber den hast Du noch immer nicht gelöscht Zitat:
Gruß Gigamail :daumenhoc |
@ extreme16 boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken): O3 - Toolbar: &Radio - {8E7 O4 - HKCU\..\Run: [scvhost] C:\WINDOWS\scvhost.exe Boote in den normalen Modus. beende: scvhost.exe --> Schreibweise beachten! lösche: C:\WINDOWS\scvhost.exe Aktiviere die Systemwiederherstellung und boote neu. [edit] --> Danke @ Gigamail [/edit] |
Zitat:
|
kann ich jetzt eigentlich wieder die laufwerke deaktivieren oder sollen die noch überwacht werden? |
hm oder ist das egal? |
@ extreme16 Zitat:
Zitat:
|
Anstelle deiner mehrfach Postings, die generell nicht gerne gesehen werden, brauchst du eigentlich nur deinen letzten Post editieren wenn du noch was hinzufügen willst. |
danke @ Cidre ... ich werde versuchen, weniger zu posten ;-) @ extreme16 führe bitte noch dieses Programm auf Deinem Rechner aus: DelDomains.inf .. wenn Du ausnahmsweise Dir die Mühe machst, genau zu lesen, mehrfach zu lesen .. solange zu lesen, bis Du begriffen hast, ersparst Du Dir und uns unnötige Erklärungen. Es ist alles beschrieben. Hier noch etwas zum lesen ... verstehen, begreifen, übernehmen ... Pflichtlektüre: - Vorbeugende Maßnahmen - Alternative Browser - Mit Firefox per Du - Browser-Sicherheit - Einschränktes Benutzerkonto: www.ntsvcfg.de. - Entfernung von Schädlingen und Kompromittierung unvermeidbar? - faq.underflow.de - Hijacker-Entfernung |
@ SD Damit meinte ich eigentlich extreme16 und nicht dich. ;) |
Zitat:
Zitat:
grüsse |
@ extreme16 die Systemwiederherstellung ist eigentlich keine Überwachung sondern eine Sicherheit für Dich. Ist sie momentan aktiviert oder deaktiviert? Wenn man Viren löscht, sollte die Systemwiederherstellung deaktiviert sein, also ausgestellt sein. Ansonsten wird das Betriebssystem bei einem Neustart des Rechners in den Zustand versetzt, in dem der Rechner war, bevor man die Viren gelöscht hat. Wenn das System sauber ist .. wenn es keine Malware auf dem System gibt, sollte man diesen Zustand festhalten .. und das geht mit der Systemwiederherstellung. Nun sollte sie aktiviert werden, also angestellt. Du solltest Dir dringend das SP2 runterladen: www.windowsupdate.com und die damit verbundene interne Firewall anstellen. Wenn Du Dein System sauber halten willst, wechsle auf einen anderen Browser: Alternative Browser. |
Die Systemwiederherstellung ist imoment aktiv. Ich habe auch eben das neue microsoft update auf meinen pc gemacht. Ach ja und ich benutze als mein main browser imoment Mozzila/Firefox das ich vor ca. 1 woche auf meinen PC gemacht habe |
@ extreme16 .. na dann kannst Du ja nun in Ruhe all die Links studieren, die wir Dir in Deinen Thread gehängt haben. Alles Gute weiterhin! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:41 Uhr. |
Copyright ©2000-2025, Trojaner-Board