|
Automatischer start vom IE Also leute ich krieg langsam die kriese... hab schon in ganz google nach dem fehler gesucht und bin zum entschluss gekommen das dieser Virus neu oder noch net endeckt wurde :S auf jedenfall werde ich mal mein Problem hier schildern: Ich war vor kurzem auf einer Homepage um mir via AntiLeech ein Patch für Jedi Knight 3 runterzuladen, die HP selber ist ganz okay und hat keine Viren. Jedoch als ich Antileech dazu beauftragt hatte mir das teil runterzuladen kamen 2 Popups mit Porno&Handywerbung... Kurz darauf sprang mein Kaspersky an. Er wieß mich daraufhin das ich einen Virus hätte und hat mir angeboten ihn in Quarantäne zu stellen, *nenene, gleich löschen* dachte ich mir und hab dies auch getan. Kurz darauf öffnete sich einfach so ein Internet Explorer Fenster von alleine..., ich dachte *hee bin ich dumm was hab ich denn da geklickt*, kurz darauf (3-5 minuten) kam das nächste... und die abstende waren immer unterschiedlich manchmal 5-10 minuten dann wieder nur 4 mins dann ne halbe stunde... eigentlich sollte ich heute lernen aber ich sitze schon seit der früh ~10 Uhr am PC nur damit dieser Drecksvirus wieder runtergeht... ich schwör euch wenn ihr mir net weiterhelfen könnt dann nehm ich mein Festplatte und werf die ausm fenster und kauf mir ne neue.... ich bin schon sowas von angefressen auf das teil, nachdem ich den PC erst am 3.3. neu aufgesetzt habe... BITTE HELFT MIR! MfG: Michael K. :koch: :koch: :koch: :mad: EDIT:// ASDASDASDASD.... scho wieder so ne kackwerbung... mein Antivirus hat AppWrap[1].exe in den Temporary Internet Files gelöscht das schon zum 20. mal... :'( Er meint es ist infiziert von Virus Trojaner-Dropper.Win32.Small.of Habe Windows XP Prof. 2. EDIT:// Auf einmal sind auf dem Desktop Symbole mit dem Name: "Online Dateing", "Cheap Holiday Travel", "Free Online Music" und "Remove Spyware" |
Poste mal ein HijackThis Logfile: kurze Beschreibung ausführliche Beschreibung Zitat:
|
Ja klar habe sofort Kaspersky 5.0.156 draufgegeben! Logfile of HijackThis v1.99.1 Scan saved at 16:15:39, on 13.03.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\RUNDLL32.EXE C:\WINDOWS\System32\RunDll32.exe C:\Programme\NetLimiter\NetLimiter.exe C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\Programme\Winamp\winampa.exe C:\Programme\ICQLite\ICQLite.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\programme\valve\steam\steam.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\Xfire\Xfire.exe C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe C:\xampp\apache\bin\Apache.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\xampp\mysql\bin\mysqld-nt.exe C:\xampp\apache\bin\Apache.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Winamp\Winamp.exe C:\WINDOWS\system32\ntvdm.exe C:\DOKUME~1\SCHATT~1\LOKALE~1\Temp\Rar$EX00.859\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orf.at/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=: R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = : O1 - Hosts: 69.20.16.183 auto.search.msn.com O1 - Hosts: 69.20.16.183 search.netscape.com O1 - Hosts: 69.20.16.183 ieautosearch O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize O4 - HKLM\..\Run: [NetLimiter] C:\Programme\NetLimiter\NetLimiter.exe /s O4 - HKLM\..\Run: [Acronis*True*Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [Steam] "c:\programme\valve\steam\steam.exe" -silent O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O17 - HKLM\System\CCS\Services\Tcpip\..\{81D5A3A7-A25C-4231-8AFD-942204BEF7F5}: NameServer = 195.68.0.4,195.70.224.45 O17 - HKLM\System\CCS\Services\Tcpip\..\{FCB792CB-C199-461B-88F9-EF9E9DDFF15B}: NameServer = 195.68.0.4,195.70.224.45 O20 - Winlogon Notify: Installer - C:\WINDOWS\system32\k208lcdu1f08.dll O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe O23 - Service: Apache2 - Unknown owner - C:\xampp\apache\bin\Apache.exe" -k runservice (file missing) O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - Service: mysql - Unknown owner - C:\xampp\mysql\bin\mysqld-nt.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe |
Lass die Datei C:\WINDOWS\system32\k208lcdu1f08.dll bitte online bei http://virusscan.jotti.org überprüfen und poste das Ergebnis. Lade die Datei bitte auch bei www.malwareupload.com hoch. Entpacke HijackThis in einen eigenen Ordner! *********************** Boote in den abgesicherten Modus und fixe mit HijackThis (Haken setzen und "fix checked" anklicken) O1 - Hosts: 69.20.16.183 auto.search.msn.com O1 - Hosts: 69.20.16.183 search.netscape.com O1 - Hosts: 69.20.16.183 ieautosearch O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O20 - Winlogon Notify: Installer - C:\WINDOWS\system32\k208lcdu1f08.dll Lösche manuell: C:\WINDOWS\web\related.htm C:\WINDOWS\system32\k208lcdu1f08.dll Leere deine Temp und Temporary Internet Files z.B. mit www.clearprog.de Scanne dein gesamtes System mit Kaspersky. *********************** Boote wieder in den "normalen" Modus. Windowsupdate durchführen! Poste das Ergebnis der zu überprüfenden Datei, ein neues HijackThis Logfile und die Funde von Kaspersky. Zitat:
btw: Falls du die Dateien nicht finden kannst, nimm bitte die folgenden Einstellungen vor: Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren + Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren PS: je nach dem, was der Scan findet, kann es sein, dass du dein System nochmals neu aufsetzen musst. |
Sry ich hab sogut wie fast garnichts verstanden... ich habe noch nie mit Hijack oder wie das heißt gearbeitet und weiß auch net was du damit meinst was ich da bearbeiten soll im abgesicherten modus... Außerdem hatte ich den Virus erst seit heute als war das installieren des Kaspersky antivirus kein Fehler oder so... naja ich hoffe ich bekomme den weg ich werde einen wiederherstellungspunkt wählen und ausführen... hoffen wa es das er weg ist :snyper: EDIT:// die datei die ich hochladen sollte is wie vom erdboden verschluckt... nichtmehr vorhanden -_- |
|
Zitat:
Zitat:
Zitat:
Zitat:
|
so... hab mit acronis true image nach dem neuinstallieren ein Abbild der Festplatte gemacht gehabt und jetzt isser wieder wie neu... das programm ist geil! und ich habs bestimmt net illegal :heilig: *fg* *sfg* *ggg* naja muss jetzt noch alles neuinstallieren und dann mach ich gleich nochmal so ein backup... das ist sau gut da kann alles schief gehen und trotzdem wird alles wieder gut :party: :huepp: thx für die hilfe ;) |
Wenn du weiterhin die grundlegenden Sicherheitsregeln missachtest, kannst du das Image jede Woche neu aufspielen. Zitat:
btw: ein verseuchtes Image ist sinnlos ;) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 02:28 Uhr. |
Copyright ©2000-2025, Trojaner-Board