|
Hallo, mein Rechner (mit Win XP) macht fast gar nichts mehr...und als Laie weiß ich wirklich nicht mehr weiter :-( Word, excel und Outlook Express sind nicht mehr zu benutzen. Beim Versuch word- oder excel-Dateien zu öffnen kommen Fehlermeldungen (z.B. dass diese von einem anderen Benutzer gesperrt sind oder die Dateinamen/Pfade ungültig sind), beim Öffnen von Outlook steigt die CPU-Auslastung auf 100 % und nichts geht mehr. Es werden zwar Nachrichten abgerufen und die Header angezeigt, aber wegen der Auslastung ist nichts zu machen. Alles andere ist problemlos möglich, von Bildbetrachtung über Abspielen von Audiodateien oder Surfen. Ein Virenscanner hat mir über einen von CD gestarteten Scan (unter Linux) folgendes ausgespuckt: /harddisks/hda1/dokume~1/owner/lokale~1/tempor~1/content.ie5/5c43p5kp/mdlite~1.htm Infected by virus: TrojanDropper.Win32.RunMe Nun weiß ich nur leider nicht, wie ich weiter vorgehen soll. Über den Explorer finde ich die Datei nicht. Desweiteren kann ich zwar "Reinigungsprogramme" aus dem Internet runterladen, aber sobald ich diese starten möchte steigt die CPU-Auslastung wieder auf 100%...Muß also wohl irgendwie manuell gemacht werden, oder? Oh je...Würde mich freuen, wenn mir jemand helfen kann und warte gespannt auf Tips. Ziemlich verzweifelte Grüße, Buzz [ 12. Dezember 2003, 20:45: Beitrag editiert von: Buzz ] |
Hallo Buzz, willkommen am Trojaner-Board. Wenn Du Zeit hast, kannst Du Dich vielleicht ein wenig hier an Board umschauen, denn es gibt hier jede Menge Hilfestellung, um eine Festplatte von Trojanerbefall zu reinigen. Wenn Du keine Zeit hast und Dein Computer schnell gereinigt werden soll, würde ich Dir einen Online-Scan empfehlen. Du kannst Deinen Computer beispielsweise mit dem HouseCall von TrendMicro online scannen. Versuch's einfach mal. Dann würde ich Dir noch empfehlen, Dir von Lavasoft das Freeware-Programm Ad-Aware 6 herunterzuladen und Deinen Computer immer mal wieder damit zu scannen, um vor Spyware sicher zu sein. Als Virenschutzprogramm empfehle ich Dir den AntiVirenScanner von KAV (Kaspersky), den Du ein paar Wochen auf Deiner Festplatte testen kannst, bevor Du ihn kaufst. Die Testversionen entfernen keine Viren, informieren Dich aber über einen möglichen Virenbefall. Der Vorteil im testen von AntiVirenSoftware liegt darin, dass Du Dir das Programm gründlich anschauen kannst, bevor Du es kaufst und so feststellen kannst, ob Du damit zufrieden bist. Wenn Du Dir den KAV herunterladen möchtest, sei bitte so nett und nimm die Version, die zu Deinem Betriebssystem passt. Mit freundlichem Gruss |
Hallo Shadowdance, erstmal vielen Dank für Deine Antwort! Wie schon geschrieben habe ich voller Hoffnung verschiedene "Reinigungsprogramme" aus dem Netz runtergeladen (darunter auch ad-aware!), die aber alle wegen der CPU-Auslastung nicht zu starten sind. Ich werde nun mal das mit dem online-scan probieren. Bevor ich meinen Beitrag schrieb, habe ich mich natürlich erstmal ein bischen durch das Trojaner-Board gelesen. Ich war mir allerdings nicht sicher, ob die zum Teil ja sehr detaillierten Hilfestellungen zum Reinigen der Festplatte für jeden Trojaner geeignet sind!? Programm starten ist das eine, aber selbständig irgendwelche registry-Einträge löschen etc....hm. Ich bin da wirklich kein großer Experte. Da bräuchte ich schon eine sehr genaue Anleitung (wie, wo, was) ;) Ich habe in mehreren Beiträgen gelesen, dass die Betroffenen "HijackThis" laufen lassen und den report im Forum posten sollten. Wäre das auch in meinem Fall sinnvoll? Wenn es denn überhaupt laufen will... Erstmal vorabendliche Grüße, Buzz |
</font><blockquote>Zitat:</font><hr />Original erstellt von Buzz: Ich habe in mehreren Beiträgen gelesen, dass die Betroffenen "HijackThis" laufen lassen und den report im Forum posten sollten. Wäre das auch in meinem Fall sinnvoll? Wenn es denn überhaupt laufen will...</font>[/QUOTE]Ja, poste mal den Report! Evtl. reicht es aber auch schon, den Internet-Explorer-Cache zu löschen! Rechte Maustaste auf das IE-Symbol, Eigenschaften, Allgemein [Temporäre Internetdateien] -> Dateien löschen. In Zukunft solltest Du auf die Benutzung des IE verzichten. Die Alternativen sind u.a. Mozilla und Opera. Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
Hallo Buzz, bleib ruhig, auch Trojaner auf der Festplatte sind kein Grund, die Ruhe zu verlieren. Aus der Angabe, die Du im ersten Posting gemacht hast </font><blockquote>Zitat:</font><hr />/harddisks/hda1/dokume~1/owner/lokale~1/tempor~1/content.ie5/5c43p5kp/mdlite~1.htm Infected by virus: TrojanDropper.Win32.RunMe</font>[/QUOTE]lese ich, dass sich der TrojanDropper.Win32.RunMe in Deinen temporaeren Dateien befindet. Loescht Du ab und zu mal die temporaeren Internetdateien Deines IE? Es empfiehlt sich, dies zu tun. Du findest sie auf Deiner Festplatte unter: C:\WINDOWS\Temporary Internet Files] bzw. unter C:\WINDOWS\TEMP Die Dateien, die sich in diesen Verzeichnissen befinden, kannst Du loeschen, sie verstopfen nur den freien Platz auf Deiner Festplatte. Es waere nett, wenn Du Dich wieder meldest, wenn Du Deine Festplatte gescannt hast, dann wissen wir (ich), ob Du den Trojaner weggekriegt hast. Hilfestellung zur manuellen Entfernung findest Du unter folgendem Link: Beseitigung Viel Erfolg! |
</font><blockquote>Zitat:</font><hr />Original erstellt von Buzz: Ich habe in mehreren Beiträgen gelesen, dass die Betroffenen "HijackThis" laufen lassen und den report im Forum posten sollten. Wäre das auch in meinem Fall sinnvoll? Wenn es denn überhaupt laufen will...</font>[/QUOTE]Moin Buzz, das ist sogar eine sehr gute Idee, sofern es bei Dir 'rennt'. Dann können wir sehen, was sich bei Dir ggf. so alles 'tummelt'. Alles weitere können wir dann klären. Alternativ zu HouseCall von TrendMicro kannst Du auch den OnlineScanner von RAV nehmen. Was Du aber auf jeden Fall machen solltest, ist die temporären Internetdateien des Internet-Explorers löschen. Dort hat Dein Virenscanner nämlich den Trojaner gefunden. tschööö, DerBilk edit: Ok - ich gebe es zu, ich war ein bisschen langsam... ;) |
@ Der Bilk [img]graemlins/crazy.gif[/img] wenn Du langsam bist, hat unsereins auch mal eine Chance, hier zu Wort zu kommen *g*. |
Hallöchen alle miteinander! Keine Angst, ich bin ganz ruhig. Obwohl so ein Rechner aus dem 5. Stock bestimmt gut fliegen würde ;) Tja, also, "hijackthis" liegt entpackt als 157kB-Anwendung auf meinem Desktop, aber will nicht arbeiten. Nicht, dass die CPU-Auslastung wieder auf 100% steigen würde, nein, es passiert gar nichts. Ebensowenig laufen "HouseCall" und "RAV", was evtl. mit den Zugriffsrechten zu tun haben kann. Bei RAV kam die Meldung: Failed to load ActiveX control! -- You must have administrative rights on this computer; O.k., wo muss ich da was einstellen? ;) Ich habe mir mal den Explorer genauer angeschaut, ist es normal, dass ich dort unter "Dokumente und Einstellungen" einen Ordner "Adminsitrator", einen "Administrator.XXX" und dann erst einen "All users" und einen "Owner" habe? Und weiter geht's, bis zum nächsten Eintrag! Gruß, Buzz Die Temporären Internetdateien sind gelöscht ;) Habe auch gleich noch eingestellt, dass dieses nun immer beim Schließen des Browsers geschieht... |
@ Buzz Ich würde dir empfehlen die Festplatte in einen anderen PC einzubauen und sie dort nach Maleware scannen zu lasssen.Möglicherweise ist ein Rootkit installiert , oder die Maleware bietet eine ähnliche Funktion an. Wenn dein Explorer und Regedit nichts findest ist ein erstes Anzeichen für ein solches Rootkit. |
</font><blockquote>Zitat:</font><hr />Failed to load ActiveX control! -- You must have administrative rights on this computer;</font>[/QUOTE]Die Online-Scanner arbeiten mit ActiveX. Um einen Online-Scan durchfuehren zu lassen, musst Du die ActiveX im IE erlauben. </font><blockquote>Zitat:</font><hr />Ich habe mir mal den Explorer genauer angeschaut, ist es normal, dass ich dort unter "Dokumente und Einstellungen" einen Ordner "Adminsitrator", einen "Administrator.XXX" und dann erst einen "All users" und einen "Owner" habe?</font>[/QUOTE]Ich habe win98 und diesen Ordner so zu sehen nicht an dieser Stelle *g*. Ich waere eben beinahe aus dem Netz gefallen, beim nachschauen, ob ich sowas habe ;) Ich muss leider passen ... |
Hallöchen, hier bin ich wieder. Mit geradezu sensationellen Neuigkeiten, ich habe einen HijackThis-report! ;) Und so sieht er aus: Logfile of HijackThis v1.97.7 Scan saved at 12:27:42, on 15.12.2003 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\hijackthis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchv.com/search.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchv.com/search.html O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\ycomp5_1_5_0.dll O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\ycomp5_1_5_0.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [Norman ZANDA] C:\PROGRAMME\NORMAN\nvc\BIN\ZLH.EXE /LOAD /SPLASH O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [DownloadWare] "C:\Programme\DownloadWare\dw.exe" /H O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\Run: [Hotbar] C:\Programme\Hotbar\bin\Hbinst.exe /Upgrade O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ? O4 - Global Startup: EPSON Background Monitor.lnk = C:\Programme\esm2\Stms.exe O9 - Extra button: ICQ (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Real.com (HKLM) O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll Tja, ich glaube nun seid ihr wieder dran... ;) Ich habe übrigens mittlerweile auch einen ad-aware-report. Falls der uns bzw. Euch weiterhelfen würde. Weiter ganz ruhig hoffend und grüßend, Buzz |
[QUOTE]Original erstellt von Buzz: [qb] Hallöchen, hier bin ich wieder. Mit geradezu sensationellen Neuigkeiten, ich habe einen HijackThis-report! ;) Und so sieht er aus: Logfile of HijackThis v1.97.7 Scan saved at 12:27:42, on 15.12.2003 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\hijackthis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchv.com/search.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchv.com/search.html O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\ycomp5_1_5_0.dll O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\ycomp5_1_5_0.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [Norman ZANDA] C:\PROGRAMME\NORMAN\nvc\BIN\ZLH.EXE /LOAD /SPLASH O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [DownloadWare] "C:\Programme\DownloadWare\dw.exe" /H O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\Run: [Hotbar] C:\Programme\Hotbar\bin\Hbinst.exe /Upgrade O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ? O4 - Global Startup: EPSON Background Monitor.lnk = C:\Programme\esm2\Stms.exe O9 - Extra button: ICQ (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Real.com (HKLM) O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll Tja, ich glaube nun seid ihr wieder dran... ;) Ich habe übrigens mittlerweile auch einen ad-aware-report. Falls der uns bzw. Euch weiterhelfen würde. Dann poste mal den Ad-Aware Report, ich kenn mich mit HiJackThis nicht so gut aus, eher mit Ad-Aware. |
Zumindest die folgenden Einträge sehen mir nicht unbedingt kosher aus. Läuft Spybot bei Dir? Dann sollte das damit automatisch gelöscht werden. Evtl. auch mit Ad-Aware? Ich nutze es nicht. </font><blockquote>Zitat:</font><hr />Original erstellt von Buzz: R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchv.com/search.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchv.com/search.html O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\ycomp5_1_5_0.dll O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\ycomp5_1_5_0.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx </font>[/QUOTE]Es sind evtl. auch noch weitere Einträge zu löschen; AdAware und Spybot helfen da aber wirklich weiter! Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
Ackere das mal durch und poste danach ein neues Log: http://www.merijn.org/cwschronicles.html und das hier: http://www.liutilities.com/products/...ibrary/hbinst/ http://allentech.net/parasite/DownloadWare.html [ 15. Dezember 2003, 19:05: Beitrag editiert von: raman ] |
Moin alle miteinander! Nach einer längeren Weihnachts-Neujahrs-Abwesenheit, in der sich mein Rechner leider nicht von selbst gereinigt hat ;) sitze ich nun wieder hier. Habe ad-aware laufen/reparieren lassen (oh ja, da gab es einiges an malware und datenminer), habe die merkwürdigen Dateien des hijackThis-reports gelöscht und habe mit regcleaner ein bischen aufgeräumt - leider ohne wirklichen Erfolg. Viel mehr geht nicht, da die CPU-Auslastung sofort auf 100 % geht oder ich keine Administratorenrechte bekomme. Werde nun alle wichtigen Daten sichern, die Festplatte komplett formatieren und WinXP neu installieren. Ist zwar nicht so wirklich toll, aber ich habe eine Menge gelernt ;) Vielen Dank allen, die auf meinen Hilferuf geantwortet haben! Bis zum nächsten mal... ;) Gruß, Buzz |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:40 Uhr. |
Copyright ©2000-2024, Trojaner-Board