|
erst StartPage.qr.dll, dann ging nix mehr Hi, kämpfe mit dem dummem StartPage.qr.dll Trojaner. Ich habe im Proctectus-Forum schon allerhand gelesen und probiert - hat aber alles nicht geholfen. Dann habe ich bei Euch die Beta7-Version gefunden und laufen lassen. Die hat mir zwar irgendwie die se.dll und about.blank Dinger beseitigt. Aber der schwarze desktop mit "Warnung..." ist noch immer da (und läßt sich auch nicht wegschalten) und ins Netz kann ich auch nicht. - Beta7 findet scheinbar nichts mehr (??) - hijackthis sieht auch nix (??) Kann mir bitte jemand helfen?! :heulen: Vielen, lieben Dank Carsten |
Hallo, dann poste doch mal ein HijackThis-Logfile. Seit wann kannst du nicht mehr ins Netz? Gegen den Desktophintergrund: Start-> Systemsteuerung (klassiche Ansicht)-> "Anzeige"-> Reiter "Desktop"-> "Desktop anpassen"-> Reiter "Web"-> Eintrag "Security" löschen btw: es gibt schon eine Beta8 ;) |
Hi, also: die Beta7 hat scheinbar geholfen, aber nur soweit, daß sie sagt ich wäre clean (das sagt auch die Beta8 - habe sie gefunden) Den schwarzen Hintergrund bin ich los, aber in der taskleiste ist noch immer das gelbe Ausrufezeichen das bei Doppelklick die hp von dieser antispy-dingens aufmacht. ins netz kann ich nicht mehr seit...hmmm...seit nach Beta7? habe es vorher erst gar nicht versucht aus Angst vor irgendwelchen bösen Buben mit Trojanern. hier ist mein aktuelles hijackthis.log: Logfile of HijackThis v1.99.1 Scan saved at 21:30:30, on 17.03.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\0190 Warner\w0svc.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\System32\hkcmd.exe C:\PROGRA~1\0190WA~1\WARN0190.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\WINDOWS\system32\wuauclt.exe D:\Anwendungen\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O15 - Trusted Zone: http://www.cinetower.com O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1097922460593 O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\Programme\0190 Warner\w0svc.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE |
achso, moment mal: ich kann mich ins netz einwählen (ISDN), aber der IE macht nicht auf...so ist´s besser formuliert |
Naj , so sauber ist der Log ja nun nicht Wechsle in den abgesicherten Modus bei deaktivierter systemwiederherstellung: http://www.systemwiederherstellung-d...indows-xp.html und fixxe O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe Lösche dann diese Datei: C:\WINDOWS\System32\spoolsrv32.exe Neustar und neuen Log posten |
Fixe mal im abgesicherten Modus die folgenden Einträge: O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O15 - Trusted Zone: http://www.cinetower.com (außer von dir gewollt) Lösche dann manuell C:\WINDOWS\System32\spoolsrv32.exe Scanne dein System außerdem mit eScan im abgesicherten Modus (Anleitung genau befolgen!) und poste was gefunden wird. |
Hi, Du hast Dir offenbar mehr eingefangen, als 'nur' den se.dll-Hijacker... Zitat:
Info |
3 x sollte reichen.... ;) |
Zitat:
Okay-btT |
uff... :crazy: beim hijack scan war nurnoch ein spoolsrv32.exe da da war dann bei O4 ein CTFMON.EXE -> habe beide gefixt aber wie lösche ich C:\WINDOWS\System32\spoolsrv32.exe?? auch mit hijack? mit dem löschennachneustart bleibt mir das ding hängen und ich kann nichts bewegen! wenn ihr einen convoy bildet, wer ist dann Rubber Duck ?? (für insider) |
Zitat:
|
@carstensimon wechsle in den abgesicherten modus und lösche manuell C:\WINDOWS\System32\spoolsrv32.exe neu booten. wenn es danach immer noch nicht geht, dann benütze killbox @haui45 warst mal wieder schneller :party: chaosman |
Zitat:
mfg Haui :teufel3: |
jo, habe C:\WINDOWS\System32\spoolsrv32.exe gefunden und gelöscht da waren sind aber auch noch spoolss.dll spoolsv (Anwendung) was ist damit? IE geht noch immer nicht - sonst sieht mein desktop wieder normal aus wenn ich jetzt irgendeinen download von 4MB auf meinem notfall-266MHz-Schlepptop über ISDN starte, wird es eher wieder hell bevor das zu ende ist -> soviel zu escan Donnerstags um 22.22Uhr (der Wecker klingelt um 05.30) es muß so klappen!! ich werde irre! sorry freunde :-)) hier mal der aktuellste hijack-scan Logfile of HijackThis v1.99.1 Scan saved at 22:17:36, on 17.03.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\0190 Warner\w0svc.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\System32\hkcmd.exe C:\PROGRA~1\0190WA~1\WARN0190.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\WINDOWS\system32\wuauclt.exe D:\Anwendungen\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O15 - Trusted Zone: http://www.cinetower.com O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1097922460593 O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\Programme\0190 Warner\w0svc.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE schonmal ein DANKE für eure mühen hier!! |
Log schaut sauber aus. => wir brauchen weitere Infos (eScan) Ob jetzt oder in 3 Wochen ist mir egal ;) Zitat:
http://www.liutilities.com/products/...brary/spoolsv/ |
escan findet 2 böse dinger C:\WINDOWS\system32\srpcsrv32.dll infected by Trojan.Win32.TopAntiSpyware.h und C:\WINDOWS\system32\txfdb32.dll infected by Trojan...wie oben Scheißdreck Seuche! erstmal gute Nacht - bitte vergesst mich nicht in den nächsten tagen :) |
Ein Scan mit eScan dauert länger ;) Zitat:
Poste dann mal folgendes aus der c:\bases\mwav.log Zitat:
|
Hallo, vergib dem IE eine Startseite, dann weiss er wieder, wohin er soll. Benutze aber zum Surfen eine sichere Alternative. War der Escan im abgesicherten Modus? Falls nein, bitte wiederholen. Falls ja, Dateien im abgesicherten Modus bei deaktivieter Systemwiederherstellung löschen. http://www.systemwiederherstellung-d...indows-xp.html dartus |
hallo ihr herren der computerdingsbums, @haui45 hier ist der gewünschte log von escan Fri Mar 18 20:11:40 2005 => Total Files Scanned: 2910 Fri Mar 18 20:11:41 2005 => Total Virus(es) Found: 2 Fri Mar 18 20:11:41 2005 => Total Disinfected Files: 0 Fri Mar 18 20:11:41 2005 => Total Files Renamed: 0 Fri Mar 18 20:11:41 2005 => Total Deleted Files: 0 Fri Mar 18 20:11:41 2005 => Total Errors: 0 Fri Mar 18 20:11:41 2005 => Time Elapsed: 00:02:45 wie die beiden virussen heißen, hab ich ja schon gestern geschrieben schaffen wir die?? :snyper: gruß carsten |
Zitat:
|
mensch das hat gedauert ich hoffe es war so richtig wie ich es jetzt gemacht habe Fri Mar 18 21:41:18 2005 => Total Files Scanned: 35890 Fri Mar 18 21:41:18 2005 => Total Virus(es) Found: 6 Fri Mar 18 21:41:18 2005 => Total Disinfected Files: 0 Fri Mar 18 21:41:18 2005 => Total Files Renamed: 0 Fri Mar 18 21:41:18 2005 => Total Deleted Files: 0 Fri Mar 18 21:41:18 2005 => Total Errors: 4 Fri Mar 18 21:41:18 2005 => Time Elapsed: 00:44:50 |
Hallo, gebe auch bitte bekannt was gefunden wurde. ;) dartus |
hi dartus, so sieht´s aus: File C:\WINDOWS\system32\srpcsrv32.dll infected by "Trojan.Win32.TopAntiSpyware.h" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\txfdb32.dll infected by "Trojan.Win32.TopAntiSpyware.h" Virus. Action Taken: No Action Taken. File C:\Programme\AVPersonal\INFECTED\SE.DLL.001 infected by "Trojan.Win32.StartPage.uz" Virus. Action Taken: No Action Taken. File C:\Programme\AVPersonal\INFECTED\SE.DLL.VIR infected by "Trojan.Win32.StartPage.uz" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\srpcsrv32.dll infected by "Trojan.Win32.TopAntiSpyware.h" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\txfdb32.dll infected by "Trojan.Win32.TopAntiSpyware.h" Virus. Action Taken: No Action Taken. |
Leere den Quarantäne-Ordner von Antivir. Wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung und lösche diese Dateien: C:\WINDOWS\system32\srpcsrv32.dll C:\WINDOWS\system32\txfdb32.dll dartus |
Zitat:
bin dann in den abges.modus und habe in system32 die anderen gelöscht was nun? bin ich clean? wie kann ich das herausfinden? was darf ich jetzt tun und was nicht? (internet einwählen? systemwiederherstellung akivieren?.....) dartus, danke für deine hilfe! wäre klasse wenn du mich noch weiter unterstützen könntest! ich gehe jetzt mal schlafen und schaue morgen nochmal hier rein und hoffe auf weitere tips haui, dartus: wem schicke ich denn den kasten bier als dank wenn ich clean bin? :party: ihr seit die geilsten...wenn alles bald wieder gut ist ;) |
Ob dein System wieder "clean" ist, kann man nicht eindeutig sagen. Falls du nicht neu aufsetzten willst (das wäre die einzige, zu 100% sichere Lösung), würde ich dir folgendes empfehlen: Sichere dein System ab. Wie das geht, erfährst du hier. Scanne nochmals mit eScan. Behalte dein System im Auge (ungewöhnliche Prozesse etc. -> die "Tools" von http://www.sysinternals.com/ kannst du dir dazu mal genauer anschauen). PS: Du kannst auf mal deine Registry bereinigen, z.B. mit RegSeeker. Vorher ein Backup machen! *edit* Gibt's noch Probleme, oder läuft's wieder so, wie es soll? |
Hallo, Zitat:
In der neuen "Chip" gibt es das Programm Acronis True image 7.0 als Freeware. Sehr empfehlenswert. Zitat:
Die Systemwiederherstellung kannst Du wieder aktivieren. Hier noch viele Tipps, die Du unbedingt beherzigen solltest: http://www.trojaner-board.de/showthread.php?t=12154 dartus |
@haui45 & dartus ich habe nochmal escan im abgesicherten modus laufen lassen -> er findet nichts böses mehr so wie es ausschaut, seit ihr mit mir erfolgreich gewesen ICH MÖCHTE EUCH WIRKLICH HERZLICH DANKEN!!! heute traue ich mich nicht mehr, meinen pc ins internet zu wählen - ich weiß also noch nicht 100% ob alles funktioniert. morgen werde ich mir die norten firewall installieren (amateur-motto: was so groß und teuer ist muß gut sein) und ein eingeschränktes benutzerkonto anlegen. dann werde ich mich einwählen und einen sichereren browser downloaden. ...und dann nehme ich mir die zeit, eure tips in ruhe durchzulesen. ich glaube für einen "neuaufbau" habe ich nicht den nerv, sorry. es muß so gehen - ich bin einfach zu weit vom computerinteresse entfernt. danke, danke, danke :) viele grüße aus aachen carsten |
hi, ich bin´s wieder. meine große freude war vielleicht etwas voreilig. zwar ist in den scans mit meinen augen nichts böses mehr zu finden, aber der IE kann (noch immer) nicht geöffnet werden, d.h. ich starte ihn ganz normal (anklicken), aber nichts passiert. was nun? folgendes habe ich nach bereinigung der trojaner gemacht: - eingeschränktes benutzerkonto angelegt - symantec norton firewall installiert (erstmal nur 15tage testversion - die vollversion muß ich kaufen) ich möchte mir ja gerne einen sichererenbrowser installieren, aber dafür wollte ich den IE verwenden. auf meinem notfall-laptop hier dauert das alles ein bißchen lange...und außerdem habe ich mir auch hier 2 viren gefangen (aber dazu lese ich erstmal ein wenig im forum) |
Wie äußert sich das Problem mit dem IE? Passiert wirklich gar nichts, oder gibt es evtl. eine Fehlermeldung? Was passiert, wenn du den IE über den "Ausführen-Dialog" starten willst (Win-Taste+R-> "iexplore" (ohne"")->Enter). Die Firewall wird nicht viel nützen, besser unnötige Dienste beenden -> www.ntsvcfg.de Hast du einen erneuten Scan mit eScan gemacht? Ergebnis? Bitte ein neues HjT-Logfile posten. evtl. auch mal mit Spybot Search&Destroy und Ad-Aware scannen. mfg Haui |
Zitat:
im ausführen-dialog passiert das selbe - also nichts Zitat:
heute noch nicht - dauert 45min...fangen wir mit hijackthis an Zitat:
Logfile of HijackThis v1.99.1 Scan saved at 19:55:37, on 21.03.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE D:\Anwendungen\hijackthis\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: Norton Personal Firewall - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton Personal Firewall - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1097922460593 O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\Programme\0190 Warner\w0svc.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Personal Firewall\ISSVC.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe Zitat:
ad-aware: normal installieren und dann scan im abgesicherten modus mit ausgeschalteter syswiederherst.??? |
Log schaut sauber aus. Woran das mit dem IE liegt kann ich nicht sagen :( Hast du es schon mit einer Neuinstallation bzw. Reparatur des Internet Explorers versucht? Laufen evtl. sonst noch ungewöhnliche Prozesse? -> http://www.sysinternals.com/ntw2k/fr.../procexp.shtml |
haui, wie wär´s hiermit: ich mache die ganze platte leer und installiere mein system neu?! ich vertraue keinen meter mehr in meinen pc und möchte aber so sicher wie möglich meine emails, bankgeschäfte etc erledigen. ich hätte kein gutes gefühl wenn wir ihn wieder zusammenflicken...denn ich sehe ja: irgendwo harkt es und wird es vielleicht immer harken. fragen: wie bekomme ich die platte (laufwerke c, d und e) leer? geht das mit format:c, d, e?? ist dann wirklich alles weg? wie kann ich sicher sein das sich nichts böses irgendwo anders (bios??) versteckt und trotzdem bleibt? oder brauche ich gar eine neue platte um 10000%ig sicher zu sein? |
Das ist natürlich immer die sicherste Methode. Wenn du deine Platte formatierst, sind die Schädlinge mit Sicherheit weg! Wenn du dein System dann auch noch richtig absicherst, bleibt es auch nach dem "Onlinegang" sauber. Eine Hilfestellung gibt's hier. Dort ist auch beschrieben, wie man Windows neu aufsetzt. Zitat:
|
[könnt ihr das auch für windows ME erklären ? und bitte langsam! |
Zitat:
Die Installation? -> http://www.windows-tweaks.info/html/...tallation.html |
antivir hat ihn gefunden konnte ihn aber nicht loeschen jetzt zeigt er beim neustart run dll und konnte se dll nicht finden und wo ist die verdammte DEL taste ? |
komm nicht zurecht bin einer der überall rumklickt also wie bekomme ich dieses ding denn weg kann mir einer helfen ?? bitte,bitte |
Vielleicht könntest du dein Problem mal genauer schildern. Welcher Schädling wird wo erkannt? Poste ein HijackThis-Logfile. |
Antivir hat erkannt trojanisches pferd C:/Windows/temp/SE.Dll troj/start Page.qr.Dll ist jetzt irgendwo im quarantäne verzeichniss |
Im abgesicherten Modus folgendes löschen: TIFs: -> IE-> Extras-> Dateien löschen (auch Offlineinhalte) + Verlauf + Cookies Win-Taste + R -> temp -> Enter -> alle Dateien löschen Win-Taste + R -> %temp% -> Enter -> alle Dateien löschen Quarantäne-Ordner von AntiVir bzw. falls bei ME nicht möglich, mit www.clearprog.de versuchen bzw. hier lesen. |
Fuck wollte gerade icq starten geht nicht dann kommen wieder diese meldungen |
deinen tipp kann ich "nicht" lesen damit ist mir nicht geholfen brauch das in "Normal" ich bin kein Fachmann |
Welcher Tipp? Hast du schon alles gelesen (Links!)? btw: Das ist sicher nicht für einen "Fachmann" geschrieben, dann würde ich einfach sagen "lösche die temporären Dateien"... |
Sorry war auf dem link hab das ding da runtergeladen "alles gelöscht läuft jetzt alles ein wenig schneller danke aber als ich ins netz wollte war das schon wieder da |
-> Zeile 2 in Post #39... |
wie in zeile 2 post 39 ? verstehe ich nicht hab das für windows ME gelesen gelesen keine ahnung wo die ME CD ist im keller oder auf dem Müll kann also nicht alles runterwerfen und neuinstallieren muss doch eine andere möglichkeit geben oder HILFE |
Zitat:
Zitat:
|
lad gerade den e scan was muss ich dann machen? |
Anleitung lesen und umsetzen. |
und vor allem wo bekomme ich die Adresse von dem der das ding erfunden hat bin mit den nerven schon fast am ENDE |
ich hab schon voll kopfschmerzen von drücke shift +entf,string + A entpacke die datei usw. ich bin doch kein comp fachmann |
muss ich aus dem netz raus und in dem abgesicherten modus um E scan zu starten ??? |
ich probier das jetzt und danach lösche ich alle spool 32 einträge und alle dll |
-> Mach was du willst... |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 08:29 Uhr. |
Copyright ©2000-2024, Trojaner-Board