|
VIRUS ALERT , alles verstellt Hallo, Bin neu hier in dem Forum und entschuldige mich dafür , dass ich keine HiJackThis logs usw. poste , da ich mich damit nicht so auskenne.. Wäre nett wenn mir nochmal jemand erklären könnte was für Programme ich dafür brauche.. Habe zwar das gleiche Problem wie einige andere hier im Board , will dafür aber lieber einen neuen Thread aufmachen , da ja in den anderen Threads immer bestimmte Logs gepostet werden und die bei mir ja sicherlich anders sind... (Sry falls ich falsch liege und unnötig einen neuen Thread aufmache) Ich benutze Windows XP Home Edition. Also hier mal mein Problem: Sogut wie überall steht VIRUS ALERT! , wenn ich auf Start drücke ist dort alles verstellt , z.b. fehlt "Ausführen" "Systemsteuerung" usw.. Taskmanager wurde durch Adminstrator deaktiviert. 3 neue Anti Malware Symbole aufm Desktop (Privacy Protector , Error Cleaner , Spyware & Malware Protection) Ich werde dazu aufgefordert AntiVirus 2008 herunterzuladen und Spyware remover (Es wurde ein Virus gefunden ... Ich soll Spyware Remover runterladen...) Es wird ständig das Fenster gewechselt. Systemwiederherstellungspunkte gelöscht. So das waren bisher alle Symptome (die mir einfallen..) die auftrieten. Ich habe es zwar geschafft das ich unter Start wieder "Ausführen" usw. machen kann (Design auf klassisches XP geändert) Wäre nett wenn ihr nicht böse auf mich seid , weil ich keine Logs oder so gepostet hab , würde mich aber freuen wenn ihr mir helfen könntet :) PS : Ich habe niemals Ja gedrückt oder irgendwas durch eine Meldung runtergeladen (So dumm bin ich nich .. :O ) ***EDIT*** Mir fiel noch auf das manchmal eine Meldung kam bei der stand Worm.Win32.NetBooster detetected on your machine.... Wenn ich 'Ja' drücke wird er ihn automatisch löschen und ein rotes X blinkt bei der Symbolleiste unten ( da wo auch z.b. die Uhrzeit angezeigt wird ... Und er öffnet manchmal : **** Außerdem wurden Automatische Updates deaktiviert und mein Virenscanner (Kaspersky Internet Security) zeigt folgende Virenmeldungen an : Gefunden: C:\Dokumente und Einstellungen \Marcel\Lokale Einstellungen\Temp\bindsrv2.exe Gefunden : C:\WINDOWS\system32\rundll32.exe **** |
Hi, nein du hast Glück. :D Kaspersky versucht zu verhindern, dass Malware nachgeladen wird. :) Lade dir Smitfraudfix herunter und arbeite die Schritte unter Reinigung genau ab. (Bitte unbedingt im abgesicherten Modus machen) Lade dir danach Malwarebytes herunter und lass alle Funde löschen. (Scan bitte ebenfalls im abgesicherten Modus machen) Erstell danach ein Log mit Hijackthis und poste alle Logs anschließend hier. lg myrtille |
Puuhh... Immerhin macht Kaspersky auch mal was gutes :Boogie: Aber am Anfang wurde öfters ein DOS Fenster geöffnet in dem stand "Dateien wurden kopiert" ... Bin gerade dabei deine Schritte abzuarbeiten , werde alles posten wenn ich fertig bin. mfg ***EDIT*** Jetzt hat er meinen Desktop Hintergrund in einen Link verwandelt und all meine Einstellungen von Firefox gelöscht.... :( |
Zitat:
Zitat:
|
Der Anfang war , als auf einmal alles verstellt was und überall VIRUS ALERT! stand... Und 'Er' ist der Virus |
Bin jetzt fertig ... Hier der Log von Malware Bytes : Code: Malwarebytes' Anti-Malware 1.24Code: Logfile of Trend Micro HijackThis v2.0.2Steht glaube ich auch im Log drin. Hab aber noch ein Problem : / Bei den Symbolen unten rechts ist immernoch das Kreuz von 'Windows Sicherheitswarnungen' , dass mir sagt das die automatischen Updates deaktiviert sind , sind sie aber nicht.. |
Hi, erstell bitte noch ein Log mit DSS, da kann man auch sehen ob die Updates aktiviert sind. :D
lg myrtille |
Soll ich auch Kaspersky schließen? |
Hier der Inhalt von main.txt : Code: Deckard's System Scanner v20071014.68 |
Forsetzung von main.txt : Code: -- Registry Dump ---------------------------------------------------------------Code: Datei C:\WINDOWS\system32\IEDFix.exe//PE_Patch.UPCX//UPX, gefunden: schädliches Programm 'Hoax.Win32.Renos.vaoz'. |
Und extra.txt : Code: Deckard's System Scanner v20071014.68War wieder etwas zu lang^^ rest im nächsten Beitrag^^ |
Code: Condition Zero --> "C:\Programme\Steam\steam.exe" steam://uninstall/80Sry für den trippel doppel ... Post... |
Code: C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{20D4A895-748C-4D88-871C-FDB1695B0169} Code: -- Application Event Log ------------------------------------------------------- |
Hi, hast du die Dateien von Malwarebytes löschen lassen? :confused: Da sind definitiv noch Dateien übrig. Mach bitte folgendes: Anleitung Avenger (by swandog46) Lade dir das Tool Avenger und speichere es auf dem Desktop:
Code: files to delete:
Rufe danach Hijackthis auf und fixe folgende Einträge: Zitat:
|
Code: Logfile of The Avenger Version 2.0, (c) by Swandog46***EDIT*** O2 - BHO: (no name) - {28030FA8-2428-4DE6-B0F3-CE9494E1A412} - C:\WINDOWS\system32\mlJYqNDV.dll O2 - BHO: (no name) - {BD71D835-67DF-4653-AAD5-0C0877CEA30D} - C:\WINDOWS\system32\ljJyXPHX.dll O20 - Winlogon Notify: mlJYqNDV - C:\WINDOWS\SYSTEM32\mlJYqNDV.dll Ist nicht vorhanden.. Hier nochmal ein Log vom neuen Scan von HiJackThis nach dem , was du mir gerade gesagt hast : Code: Logfile of Trend Micro HijackThis v2.0.2 |
Hi, :schmoll: nicht mein Tag heute. Bitte das Skript auch nochmal durchlaufen lassen:
Code:
benenne bitte auch Hijackthis.exe in abc.exe rum und erstelle ein neues Log für mich. lg myrtille |
avenger.txt Code: Logfile of The Avenger Version 2.0, (c) by Swandog46Upps... vergessen hijackthis umzubennen , mache das gleich und dann ein neues log! *** EDIT 2 *** Hier das neue HiJackThis.log : Code: Logfile of Trend Micro HijackThis v2.0.2 |
Hi, ok, jetzt sieht man auch die Einträge wieder. Also bitte folgende Einträge fixen: Zitat:
Was macht der Rechner? lg myrtille |
Bei Rechner ist alles ziemlich normal nur der Desktop ist , milde ausgedrückt , verunstaltet :heulen::heulen::heulen: Hier mal ein Screen damit du dir das vorstellen kannst : http://img3.imagebanana.com/img/cog4...reenshot_1.jpg Das Problem ist , irgendwie ist mein Desktop eine Mischung aus Desktop und Ordner ... wenn ich ein Symbol verschiebe (mit linksklick...) wird es in den ordner versetzt und wie man auf dem Screen erkennen kann ist hinter Arbeitsplatz vom Desktop (oben links) eine Datei im Ordner^^ Blöd zu erklären aber schon heftig :heulen: Naja , fixe jetzt erstmal die Einträge. mfg ***EDIT*** Die 2 Dateien die ich eingekästelt habe find ich auch merkwürdig ^^ kenne die nicht^^ *** EDIT 2 *** Neues HiJackThis.log : Code: Logfile of Trend Micro HijackThis v2.0.2 |
Hi, ich denke das könnte eventuell mit diesem Eintrag zusammenhängen: Zitat:
Wie sind denn die Einstellungen wenn du per Rechtsklick die Eigenschaften des Desktops aufrufst? Insbesondere würde mich interessieren ob beim Reiter Desktop ein Bild als Hintergrund ausgewählt ist und ob unter Desktop anpassen unter Web einige Webseiten eingetragen sind? lg myrtille |
Zitat:
Zitat:
Also quasi die Standard eigenschaften von einem Ordner , aber ich weiß jetzt welcher Ordner im hintergrund angezeigt wird... ***EDIT*** Der Eintrag lässt sich nicht löschen (fixen) wird immer , bei jedem scan , wieder neu angezeigt... |
Hi, weitere Ideen/Anhaltspunkte: Wie sieht es mit dem Ordner C:\Dokumente und Einstellungen\Marcel\Desktop aus? Was steht in folgendem Registryeintrag: Start->Ausführen -> regedit eingeben, und im Pfad HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders nach dem Eintrag für Desktop schauen. Wenn der Wert nicht "C:\Dokumente und Einstellungen\Marcel\Desktop" dann darauf wechseln. lg myrtille |
Wie sieht es mit dem Ordner C:\Dokumente und Einstellungen\Marcel\Desktop aus? -> Den gibts noch^^ Was steht in folgendem Registryeintrag: Start->Ausführen -> regedit eingeben, und im Pfad HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Shell Folders nach dem Eintrag für Desktop schauen. Wenn der Wert nicht "C:\Dokumente und Einstellungen\Marcel\Desktop" dann darauf wechseln. -> Werd nachschauen! # Nein ist alles normal :heulen: Gibts Niemand der mir helfen kann ? xD |
Langsam gehen mir auch die Tips aus. :p Eventuell liegts auch an einem Desktopeintrag in einem der folgenden Schlüssel: (HKEY_CURRENT_USER =HKCU) HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Eventuell liegts auch an ActiveDesktop. Die Einstellungen dazu findet man unter dem Schlüssel: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop Wie man den ActiveDesktop deaktiviert kann man hier nachlesen: Link Ich geh dann jetzt erstmal schlafen. :D Gute Nacht. lg myrtille |
Es liegt denk ich mal an ActiveDesktop Es wurde mal als Desktop hintergrund eine nachricht mit Active Desktop angezeigt^^ ps : gn8^^ ***EDIT** Juhu!! Es geht wieder alles!^^ Nur finde ich das der PC um einiges langsamer geworden ist : / |
Hi, schön zu hören, dass dein Desktop wieder der alte ist. :D Poste bitte ein neues DSS Log. (Es wird nur das Mainlog erstellt) Man kann in deinem Log ne Menge Prozesse sehen, die nicht unbedingt laufen müssen. Wenn man da sortiert könnte der Rechner deutlich schneller werden. lg myrtille |
Ok , werde ich heute abend machen :) |
Ok , hatte doch früher Zeit^^ Main.txt : Code: Deckard's System Scanner v20071014.68 |
Hi, es sind noch Reste des Virus da, aber die sind nicht mehr aktiv. Zitat:
Zitat:
Zitat:
Wenn du die Prozesse deaktivieren willst, dann rufst du am besten unter Start->Ausführen->"msconfig" eingeben und dort unter Startup das Häkchen bei den entsprechenden Prozessen rausnehmen. Wenn du sie wieder aktivieren willst, einfach Häkchen wieder setzen und alles ist beim alten. lg myrtille |
Habe nach C:\WINDOWS\system32\XHPXyJjl.ini2 gesucht , aber unter der Datei steht avenger .. :eek: |
Wie unter der Datei steht Avenger? :confused: Siehst du die Datei? Wenn nicht bitte Dateien sichtbar machen. lg myrtille |
Hab die Suchfunktion genutzt , da stand Oben der Name der Datei und unten drunter "avenger".. Hab die Datei aber jetzt schon gelöscht :( |
Hi, die Datei sollte 2 Mal existieren einmal in der Backupdatei von Avenger und einmal im Ordner C:\windows\system32. Du hast dann jetzt wahrscheinlich das Backup gelöscht, aber die Datei ist allein auch nicht weiter gefährlich. lg myrtille |
Ok , hab die Datei in system32 gefunden , einmal mit der Dateiendung .ini und dann noch .ini2 . Soll ich die Datei jetzt einfach da lassen oder löschen?? |
Löschen bitte. :D lg myrtille |
Sind gelöscht :D Hier mal noch ein Letztes HiJackThis.log : Code: Logfile of Trend Micro HijackThis v2.0.2 |
Hi, das Log sieht gut aus. :) Ist der Rechner wieder schneller, oder ist alles noch beim alten? lg myrtille |
Ist wieder so schnell wie früher :party: :party: :daumenhoc :aplaus: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 06:10 Uhr. |
Copyright ©2000-2025, Trojaner-Board