|
Schon Wieder Hallo, hier kommt der all zu gelibte Virusfilter(ich :headbang: ) und zwar: Gestern bekomme ich nach einer Viren Meldung von Norton.Keine Internet Verbindung her hab mich mit einem Informatiker zusammen geschlossen per telefon.Ergebnis:Computer zu Router ergibt ein Ping.Router zu www.google.de ergibt kein ping. Die Hijackauswertung hat ergeben das der Virus mir verhindert die Internet verbindung herzustellen dafür anderen auf meinen Computer zu gehen(soweit ich das verstanden habe). Logfile: Zitat:
Mfg uws0500 PS::confused: Bitte helfen danke!!! Und gleich mal vorweg ich hab keine ahnung wo ich mir die einfange :crazy: [edit] links entfernt GUA [/edit] |
|
VNC-Server fängt man sich nicht ein, den installiert man sich. Wozu ist bei dir der VNC-Server installiert? Warum hat dein "Informatiker" das Problem nicht gelöst? sende c:\DOKUME~1\User\ANWEND~1\SKIPSE~1\shim idol.exe (oder shimidol.exe) und C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Rdr flag jump lite\new tray.exe (oder newtray.exe) mal an Jotti (link siehe auch meine Signatur) LSPfix oder Spybot S&D (siehe Sig) sollten dies abstellen können: O10 - Broken Internet access because of LSP provider 'c:\progra~1\newdot~1\newdot~1.dll' DU hattest DIR Newdot.net installiert Klick nicht jeden Mist an und fixe jeden HJT-Punkt mit "file missing" Schrulli war schneller, ich war ausführlicher *bg* |
Dazu bräuchte ich Internet ? Ich schreibe gerade von einem anderen PC!!! Der Virus blockiert das internet bei mir. Der VNC-server ist für den fernzugriff für meinen "Informatiker" bestimmt.Aber ohne Internet!!!!!!!!!! Und diese LSPfix dort gibt es keinen newpot.ddl eintrag nur drei andere alle fixen? Außerdem gibt es keinen eintrag unter HJT file missing heißt nur fix checked oder scan |
Hallo, nein auf keinen Fall die Einträge fixen, posten mal die drei Einträge. Grüße Wildone |
ich denke ich habs raus ich gebe einfach meine festplatte frei und lade sie dann übers netzwerk hoch? wird dann der andere computer verseucht?? Einträge: mswsock.dll TCP/IP winrnr.dll NTDS rsvpsp.dll (Protocol handler) |
Hallo, also falls um die Überprüfung der Dateien geht, das muss nicht zwingend sein, ich weiß schon was es ist, nämlich Lop alias Swizzor. Schau auch mal ob unter Systemsteuerung>>Software ein Eintrag von New.Net oder NewdotNet ist, wenn ja deinstallieren. Edit Die drei Einträge läßt du auf der linken Seite (also bei keep) hakst "I know what i am doing" an und klickst auf finish. Danach Bericht ob das Internet wieder funktioniert. Grüße Wildone |
Zitat:
|
Hallo, konzentriren wir uns erst mal auf deine Winsock (new.net) Den Lop/Swizzor entfernen wir danach, ist auch nicht sonderlich kompiziert. Grüße Wildone |
Aja ich habs: Auslastung: 0% 100% Datei: shim_idol.exe Status: INFIZIERT/MALWARE Entdeckte Packprogramme: PE_PATCH.UPC AntiVir Keine Viren gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Adware.Lop-130 gefunden Dr.Web Trojan.Swizzor gefunden F-Prot Antivirus W32/Swizzor.DE@dl gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus not-a-virus:AdWare.Win32.Lop.ag gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden UNA Keine Viren gefunden VBA32 Trojan-Downloader.Win32.Swizzor.bo gefunden |
Ins Internet komme ich wieder (das habe ich gemerkt als ich SpyBot Updaten musste :balla: ) Aber Viren frei bin ich immer noch nicht!!! Spy Bot findet gerade ich poste nochmal wenn es fertig ist!!!!!! Aber eigntlich könnete ich doch den eintrag shim idol.exe einfach löschen?Nur ich bräuchte ein Programm dafür kennt jemand da eins? (clear prog hab ich schon) |
Hallo, entfernen wir ihn manuell, gehe in den abgesicherten Modus (F8 beim booten) und lösche folgende Ordner falls vorhanden: C:\DOKUME~1\User\ANWEND~1\SKIPSE~1 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Rdr flag jump lite dann fixt du die Einträge: O2 - BHO: (no name) - {5BCD50F8-494E-AECA-3F3F-D8D60EB4F4E9} - C:\DOKUME~1\User\ANWEND~1\SKIPSE~1\shim idol.exe O4 - HKLM\..\Run: [jump lite blah slow] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Rdr flag jump lite\new tray.exe mit HijackThis, gehst wieder in den normalen Modus und postest ein neues Logfile. Grüße Wildone |
Hallo, danke ich bin jetzt fast Viren frei. Mein "Informatiker" schickt mir eine CD eine sogennante "ultimate boot-cd" da der virus immer läuft sobald ich windows starte oder z.B. in den abgesicherten !!!! durch den taskmanager lässt sich der prozess nicht finden. Wenn ihr wissen wollt wie die funktioniert oder selber eine machen wollt. BOOT CD Hier mfg alexander Schätzle |
Hallo, kann dein Informatiker mal näher erläutern welcher Virus da noch drauf sein soll? Abgesehen davon ist eine BootCD nie verkehrt, da nicht von dem ev. infizierten System gesucht wird. Grüße Wildone |
Zitat:
Alles klar? :aplaus: Na dann! Frohe Weihnachten |
Hallo, naja die CD wird auch keine Wunder bewirken. Welche Sachen findet Spybot noch (Viren können es nicht sein, den die kann Spybot gar nicht finden, es ist ein AntiSpywaretool)? Und nur mal so nebenbei, hat das Internet von Anfang an nicht mehr funktioniert, oder erst als der Informatiker etwas gemacht(ev. gelöscht) hat? Grüße Wildone |
Der Informatiker hatte sein werk nicht an meinem PC er gab mir tips über das telefon und S&D findet nur cookies der eigentliche virus ist aber noch drauf |
Hallo, naja okay, habe da zwar so meine Zweifel, aber kann es auch schwer von der Ferne beurteilen. Woran meinst du zu merken das der Virus noch aktiv sei. Falls du doch noch etwas findest(z.B. mit CD) würde mich das interessieren, kannst du das dann posten? Falls du mal noch mit der Jagd weitermachen willst kannst du mal F-Secure Blacklight drüberlaufen lassen, falls etwas gefunden wird das Log posten. Und außerdem folgendes und die vier Logs posten, aber nur die Dateien der letzten drei Monate abkopieren. Grüße Wildone |
Danke Wildone werde den Scanner drüber laufen lassen. Ich habe mir gerade die CD gemacht und drüberlaufen lassen. Net schlecht kann dir gerne per E-mail die ISO datei schicken nur wenn du möchtest. Darum habe ich so lang nicht geschrieben. PS: Dank meiner dummheit musste ich festellen das das was der S&D gefunden hat un jetzt kommts Zitat:
Tja scheiße wars. Hinzugefügt: Der Scanner hat nichts gefunden den du mir empfohlen hast.Werde dennoch die vorhande (vieleicht entschärfte) .exe in die quarantine(oder soänlich geschrieben)von norton antivirus schicken dort wird sie am besten aufgehoben sein. VIELEN DANK NOCHMAL AN ALLE WER DIE CD DATEI WILL MELDEN!!!!!!!!!! |
Hallo, Zitat:
Zitat:
Grüße Wildone |
Oje die logs: wusste gar nicht das es mein computer seit 1996 gibt egal Zitat:
|
Zitat:
PS: hab ich die logs richtig gemacht? Und warum fängt die jahreszahl bei 1996 da hatte ich noch garkein computer und den habe ich seit 2005. |
Hallo, das ist seltsam, könnten Cracks o.ä. sein, aber poste mal die Dateien (falls nicht zu viele). Es sollten vier Logs sein, vom Ordner System32, Windows, C:\, und Temp. Alle vier bitte posten. Zitat:
Grüße Wildone |
Liste der Anhänge anzeigen (Anzahl: 1) also zuerst mal das was norton anzeigt. Logs kommen gleich. Und nein die idol.exe habe ich nicht gelöscht weil es nicht gegangen ist. Hinzugefügt: Ich habe keine Ahnung wie ich 4 logs hinkrieg.Es kommt immer die cmd.exe danach eine blöde txt datei Zitat:
|
Hallo, ist die Hideexec.exe von dir gewollt? Die Logs liegen als Textdatei unter C:\ sys.txt system.txt systemtemp.txt diese öffnen und die besagten drei Monate abkopieren. Bei der system32.txt die Dateien von 96 posten. Zitat:
Kam eine Fehlermeldung? Du bist recht schweigsam, dir muss man ziemlich viel auds der Nase ziehen. Grüße Wildone |
Ich habe keine Ahnung sie wurde ich habe keine absicht jemanden hacken alles weg :snyper: .Ich denke sie wurde irgendwie mit gebracht bei der PE CD dort gibt es ein menüpunkt wo man irgendwie pw knacken kann.(laut dem srpichwort feuer bekämpft man mit feuer) Im anhang sind die logs mehr habe ich nicht gefunden den sys.txt gibts net |
Zitat:
|
Hallo, hmm scheint irgendwie nicht funktioniert zu haben. Aber jetzt noch mal zwei grundsätzliche Fragen, erstens, Wie kommst du darauf das du einen Virus hast, hast du irgendwelche beschwerden? Zweitens, Hat der scan mit der CD irgendetwas zu Tage gefördert?Und poste jetzt noch mal ein neuies HijackThis Log. Edit Oh das muss ich überlesen haben, du machst mit bei Hijackthis einen Haken vor den betrefenden Eintrag und klickst auf "fix checked". Grüße Wildone |
Zitat:
Zitat:
Zitat:
Heute zeigt Norton an. 2. Ja AntiVir hat 6 viren gefunden AdAware 1ne adware |
Hallo, halt der Ordner hat sich geändert(und wird sich beim nächsten Neustart ev. wieder ändern), jetzt musst du löschen: C:\DOKUME~1\User\ANWEND~1\SKIPSE~1\ C:\DOKUME~1\User\ANWEND~1\ENCTHA~1 und fixen: O2 - BHO: (no name) - {5BCD50F8-494E-AECA-3F3F-D8D60EB4F4E9} - C:\DOKUME~1\User\ANWEND~1\SKIPSE~1\shim idol.exe O4 - HKCU\..\Run: [AXISDART] C:\DOKUME~1\User\ANWEND~1\ENCTHA~1\SupportDeadRdr. exe Welche sechs Viren hat AntiVir gefunden? Pfadangabe? Grüße Wildone |
Pfad angabe weiß ich nicht.Irgendetwas mit Java.Aber wie kann ich in den abgesicherten modus ohne neuzustarten wie es in der anleitung steht? Soll ich das probieren ich schicke euch lieber ein aktuellen logfile damit ihr mir genau sagen könnt was ich löschen und was ich fixen muss. Zitat:
|
Ich denke ich weiß jetzt wie ich den logifle auswerte werde es im abgesicherten modus versuchen |
Ich glaub ich habs jetzt: Zitat:
|
Letze mal für heute müsste clean sein bin fast verückt geworden wo ich über den scheiß eintrag mit dem supportdeadrdr.exe geflogen bin. :heulen: Zitat:
|
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file) Diese Zwei Einträge muss ich nur noch fixen danach die Pfad angabe die Norton ausspuckt Löschen das alles im Abgesicherten Modus und am besten gleich die scheiß Hideexec.exe auch killen. Bin kurz :kloppen: . Schicke euch dann einen Neuen logfile mal sehen obs geklappt hat |
Logfile: Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:07 Uhr. |
Copyright ©2000-2025, Trojaner-Board