Hacking und keine Ende, wer kann mir helfen ?
 

Hallo zusammen,

das hacking auf meinem PC wird immer schlimmer, ich habe schon den akteullen Hijack This laufen lassen, aber es bringt mich nicht weiter. Bei mir laufen z.B. keine Windows Updates mehr, auf der seite von microsoft kann ich nichts downloaden, ebenso ist kein update meiner firewall mehr möglich (Pc-cillin). Meine wiederherstellungspunkte sind nach dem nächsten hochfahren wieder weg. Da kann ich über die "kleinigkeiten" wie startseite auf dem IC schon fast großzügig hinwegsehen !
Ich bin am verzweifeln und hoffe auf Euch, dass mir jemand weiterhilft !!!

Danke schon mal im voraus !

Hi Wolfers,
stell´ doch als Erstes mal dein Logfile hier ins Board, damit man sieht, was überhaupt los ist.
Grüße cacaoa

Hi,

ist ja wunderbar, dass sie schon jemand so schnell meldet. Aber sorry, ich bin kein profi, welches logfile meinst Du, vom hijack this ?

Habe eine logfile mit hijack this erstellt :

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\Internet Security\Tmntsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Trend Micro\Internet Security\tmproxy.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Trend Micro\Internet Security\PccPfw.exe
C:\WINDOWS\system32\ipag.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe
C:\Programme\Trend Micro\Internet Security\pccguide.exe
C:\Programme\0190 Warner\Warn0190.exe
C:\WINDOWS\msgsocm.log:tcaaa
C:\Programme\Panicware\Pop-Up Stopper Free Edition\PSFree.exe
C:\WINDOWS\twain_32\SlimU2\HotKey.Exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Wolfgang\Eigene Dateien\Downloads\Privat\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jrwjf.dll/sp.html#29620
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jrwjf.dll/sp.html#29620
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\jrwjf.dll/sp.html#29620
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jrwjf.dll/sp.html#29620
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jrwjf.dll/sp.html#29620
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jrwjf.dll/sp.html#29620
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {39323676-3397-76E8-CE91-956A4E9F991B} - C:\WINDOWS\sdkdv32.dll
O4 - HKLM\..\Run: [ipag.exe] C:\WINDOWS\system32\ipag.exe
O4 - Startup: 0190 Warner 3.50 (2).lnk = C:\Programme\0190 Warner\Warn0190.exe
O4 - Startup: Pop-Up Stopper Free Edition (2).lnk = C:\Programme\Panicware\Pop-Up Stopper Free Edition\PSFree.exe
O4 - Startup: Slim USB2 Scanner Utility (2).lnk = C:\WINDOWS\twain_32\SlimU2\HotKey.Exe
O4 - Global Startup: Echtzeit-Agent (2).lnk = ?
O18 - Filter hijack: application/octet-stream - {6585E5B4-4D2A-4A1D-A219-4102C64BA999} - C:\WINDOWS\chp.dll

Ich hoffe, es hilft !

Wolfers

Hi wolfers,
folgendes solltest Du im abgesicherten Modus fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
res://C:\WINDOWS\jrwjf.dll/sp.html#29620

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
res://C:\WINDOWS\jrwjf.dll/sp.html#29620

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
res://C:\WINDOWS\jrwjf.dll/sp.html#29620

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =
res://C:\WINDOWS\jrwjf.dll/sp.html#29620

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
res://C:\WINDOWS\jrwjf.dll/sp.html#29620

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
res://C:\WINDOWS\jrwjf.dll/sp.html#29620

R3 - Default URLSearchHook is missing

O18 - Filter hijack: application/octet-stream -
{6585E5B4-4D2A-4A1D-A219-4102C64BA999} - C:\WINDOWS\chp.dll


Offenbar benutzt Du keinen Virenscanner und fängst Dir dauernd was ein.

Mach anschl. mal einen Scan mit eScan im abgesicherten Modus: http://www.trojaner-board.de/showthread.php?t=6083

Bitte beachte: Hier der neue eScan-thread:http://www.trojaner-board.de/showthread.php?t=8131


Grüße cacatoa

Hi Cacatoa !
Sorry, wenn ich nachfragen muss, aber ich bin totaler laie !
1. Was bedeutet im abgesicherten modus fixen ? Ich habe diese Punkte alle schon desöfteren gefixt, aber sie kommen dann immer wieder.
2. Ich habe eine firewall installiert (pc-cillin), hat immer toll geklappt, aber ich kann keine updates mehr runterladen (ebenso windows-updates).
3. Was soll das heißen einen scan mit escan ? der link funktioniert leider nicht , kommt eine systemmitteilung: keine angabe :thema.
Sorry !

Grüße
Wolfers

Hallo,

zusätzlich diese Dateien löschen:
C:\WINDOWS\system32\ipag.exe
C:\WINDOWS\msgsocm.log:tcaaa
C:\WINDOWS\jrwjf.dll/sp.html
C:\WINDOWS\chp.dll

Diese Fixen (Haken setzen und auf Fix Checked klicken):
O4 - HKLM\..\Run: [ipag.exe] C:\WINDOWS\system32\ipag.exe

http://www.bsi.bund.de/av/texte/wiederher_xp.htm , das nächste Mal danach googeln ;)

Bitte beachte: Hier der neue eScan-thread:http://www.trojaner-board.de/showthread.php?t=8131

Hi Cidre !
Habe diese alle von cacatoa angegebenen gefixed, kann aber danach die von Dir angegeben dateien nicht mehr finden, bis auf die chp.dll (=Programmbibliothek). Muß ich die nun löschen ?
Was bedeutet der link auf bsi.bund... ?
Weiterhin soll ich wohl dieses escan downloaden und laufen lassen ?

Sorry, aber ich kenn mich nicht so gut aus, muss deshalb so doof nachfragen
Grüße
Wolfers

@ wolfers:
eScan dowloaden und laufen lassen.
Schau mal in Deine Privaten Nachrichten!
Servus cacatoa

Bins nochmal : habe gerade beim suchen folgende datei gefunden:
ipag.exe-0E71CD15.pf ; liegt im verzeichnis windows/prefetch

Diese msgscom.log finde ich ebenfalls in windows/prefetch, aber auch in windows. allerdings ohne tcaaa ! Da fällt mir ein, dass ich beim Hochfahren, nachdem ich mein benutzerprofil angeklickt habe eine fehlermeldung erhalte, die tcaaa beinhaltet. Durch Wegklicken des fensters fährt dann Windows normal hoch.

Grüße
Wolfers

Hast Du evtl einen Palmtop von Hewlett Packard (iPag h 6340)?
Von dem könnte evtl die ipag.exe stammen.

Werden eine oder mehrere Dateien nicht angezeigt, muss im Windows Explorer unter 'Extras/Ordneroptionen' -> 'Ansicht' -> der Haken bei 'Geschützte Systemdateien ausblenden (empfohlen)' entfernt, sowie 'Alle Dateien und Ordner anzeigen' aktiviert werden.

Ja, defenitiv Malware. Siehe http://www.wilderssecurity.com/archi...p/t-28658.html

Infos zum abgesicherten Modus

Lösche diese C:\WINDOWS\msgsocm.log

Definitiv Malware

Leere den Ordner C:\Windows\Prefetch

Poste danach ein neues HJT Log-File.

Hallo Cidre,

habe nun folgendes durchgeführt :
1. chp.dll gelöscht
2. msgscom.log in WIndows gelöscht
3. Ordner Windows/prefetch geleert

Habe mir zusätzlich das tool trojancheck 6 downgeloaded, zeigt mir die trofaner an, ich lösche sie, aber kurze später sind sie wieder da .
Anbei das protokoll von hijack this (nachdem ich gelöscht bzw. geleert hatte, und in hijackthis aufegäumt hatte):

Logfile of HijackThis v1.98.2
Scan saved at 19:23:16, on 07.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\Internet Security\Tmntsrv.exe
C:\Programme\Trend Micro\Internet Security\tmproxy.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Trend Micro\Internet Security\PccPfw.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ipag.exe
C:\Programme\Trend Micro\Internet Security\pccguide.exe
C:\Programme\0190 Warner\Warn0190.exe
C:\Programme\Panicware\Pop-Up Stopper Free Edition\PSFree.exe
C:\WINDOWS\twain_32\SlimU2\HotKey.Exe
C:\WINDOWS\msgsocm.log:tcaaa
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Wolfgang\Eigene Dateien\Downloads\Privat\HijackThis\HijackThis.exe

R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {39323676-3397-76E8-CE91-956A4E9F991B} - C:\WINDOWS\sdkdv32.dll
O4 - Startup: 0190 Warner 3.50 (2).lnk = C:\Programme\0190 Warner\Warn0190.exe
O4 - Startup: Pop-Up Stopper Free Edition (2).lnk = C:\Programme\Panicware\Pop-Up Stopper Free Edition\PSFree.exe
O4 - Startup: Slim USB2 Scanner Utility (2).lnk = C:\WINDOWS\twain_32\SlimU2\HotKey.Exe
O4 - Global Startup: Echtzeit-Agent (2).lnk = ?
O18 - Filter hijack: application/octet-stream - {6585E5B4-4D2A-4A1D-A219-4102C64BA999} - C:\WINDOWS\chp.dll

Was sagst Du dazu ?

Melde mich
Gruß
Wolfers

Trotzdem escan installieren und laufen lassen ???

Das sagt mir, daß diese Dateien immer wieder nachgeladen werden.

Jetzt machst du folgendes:
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org

Danach nochmal in den abgesicherten Modus und löscht diese Dateien:
C:\WINDOWS\system32\ipag.exe
C:\WINDOWS\msgsocm.log:tcaaa
C:\WINDOWS\sdkdv32.dll
C:\WINDOWS\chp.dll

Fixe:
O2 - BHO: (no name) - {39323676-3397-76E8-CE91-956A4E9F991B} - C:\WINDOWS\sdkdv32.dll
O18 - Filter hijack: application/octet-stream - {6585E5B4-4D2A-4A1D-A219-4102C64BA999} - C:\WINDOWS\chp.dll

Danach gehst du wieder mit dem IE ins Netz und surfst eine Weile und danach postest du ein neues HJT Log-File.

Hi Cidre,

die einstellungen im IE, müssen die alle berücksichtigt werden ( habe gerade www.blafusel.de mir angesehen, also alle einstellungen so wie da angegeben ?
Muss ich die dateien unbedingt im abgesicherten modus löschen, denke nein, oder ?
Windows update funktioniert bei mir zur zeit eh nicht !

Werde am wochenende Deinen rat befolgen, escan trotzdem noch downloaden und ausführen ?

Gruß
Wolfers

Ja http://www.trojaner-board.com/images/smilies/blabla.gif

Ja, solltest du.
Ja, lösche die Dateien im abgesicherten Modus.
Die Aussage ist zu allgemein.
Erscheint eine Fehlermeldung? oder, oder?!
Wie Shadow schon postete -> JA

Hi Cidre,

der windows update ist von der homepage seite aus nicht mehr möglich, ich gehe auf download, aber die verbindung zum server kommt nicht zustande (habe mir heute im geschäft den letzten update downgeloaded und per mail nach hause geschickt, werde ihn dann auf diese weise einspielen; dürfte ja wohl kein problem geben, oder was meinst Du ?)
Ein ähnliches problem habe ich mit meiner firewall (pc-cillin); da kommen in der regel 4-5 updates wöchentlich, seit ende august aber nix mehr (just seit ich diese hijack probleme habe), ebenso ist es nicht mehr möglich, manuell ein update einzuspielen; exakt dasselbe wie bei windows, keine verbindung möglich.
Noch was : wenn ich den hijack this laufen lasse, dann ist es nach kurzer zeit abundzu nicht mehr möglich, zu surfen, keine seite mehr; muß dann die dsl-verbindung beenden, wieder verbinden, dann funkioniert es wieder.
Ebenso Probleme mit Kazaa, läßt sich nicht mehr öffnen; erst nach einem fix in hijack this gehts wieder.
Alles mehr als paradox !

Grüße
Wolfers

Hallo Cidre,

also habe folgendes durchgeführt :
1. Sicherheitseinstellungen im IE überprüft und geändert ; --> man wird ja wahnsinnig bei den vielen Nachfragen, die da jetzt kommen (Active X usw.)
2. bin in den abgesicherten Modus und habe die Dateien entfernt
ipag.exe : war nicht mehr da gewesen
msgsocm.log : habe ich gelöscht
sdkdr32.dll : habe ich gelöscht
chp.dll : nicht mehr da gewesen
3. habe den O2.... sdkdr32.dll gefixt
habe den O18 ... chp.dll gefixt
4. Neustart mit normalem Modus
5. ein wenig gesurft
6. Hijack This laufen lassen und das erschreckende Ergebnis siehst du jetzt :

Logfile of HijackThis v1.98.2
Scan saved at 22:11:53, on 08.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\Internet Security\Tmntsrv.exe
C:\Programme\Trend Micro\Internet Security\tmproxy.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Trend Micro\Internet Security\PccPfw.exe
C:\WINDOWS\addfq.exe
C:\WINDOWS\system32\ipag.exe
C:\Programme\Trend Micro\Internet Security\pccguide.exe
C:\Programme\0190 Warner\Warn0190.exe
C:\Programme\Panicware\Pop-Up Stopper Free Edition\PSFree.exe
C:\WINDOWS\twain_32\SlimU2\HotKey.Exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Wolfgang\Eigene Dateien\Downloads\Privat\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\gpvmf.dll/sp.html#29620
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\gpvmf.dll/sp.html#29620
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\gpvmf.dll/sp.html#29620
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\gpvmf.dll/sp.html#29620
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\gpvmf.dll/sp.html#29620
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\gpvmf.dll/sp.html#29620
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {A3C5C0CE-5122-E73A-AB92-E8EE67589A00} - C:\WINDOWS\system32\syssy.dll
O4 - HKLM\..\Run: [ipag.exe] C:\WINDOWS\system32\ipag.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [SuperHeiss] c:\program files\dialers\superheiss\superheiss.exe /noconnect
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Programme\DownloadWare\dw.exe" /H
O4 - HKLM\..\Run: [KAZAA] C:\Programme\KaZaA\Kazaa.exe /SYSTRAY
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\RunOnce: [addfq.exe] C:\WINDOWS\addfq.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - Startup: 0190 Warner 3.50 (2).lnk = C:\Programme\0190 Warner\Warn0190.exe
O4 - Startup: Pop-Up Stopper Free Edition (2).lnk = C:\Programme\Panicware\Pop-Up Stopper Free Edition\PSFree.exe
O4 - Startup: Slim USB2 Scanner Utility (2).lnk = C:\WINDOWS\twain_32\SlimU2\HotKey.Exe
O4 - Global Startup: Echtzeit-Agent (2).lnk = ?
O17 - HKLM\System\CCS\Services\Tcpip\..\{75361DB4-E7FB-491A-8539-152958381BB4}: NameServer = 217.237.151.97 217.237.150.33
O18 - Filter hijack: application/octet-stream - {6585E5B4-4D2A-4A1D-A219-4102C64BA999} - C:\WINDOWS\chp.dll

Jetzt bist Du wieder dran !

Noch was : mein Autostart ist um einiges erweitert; ich weiß, es gibt die Möglichkeit, ihn wieder zu verändern; verrate es mir doch bitte ! Muß irgendwo die häckchen rausmachen, aber ich hab vergessen, wie ich da hinkomme !

Viele Grüße
Wolfers

Das gibt es doch nicht!:headbang:
Was hat eScan gefunden?
Hast du diese infizierten Dateien auch gelöscht?

Nochmal das gleiche Spielchen: ;)

Lade AntiVir und installiere, deaktiviere zuvor den Guard von Trend Micro.
Wechsle in den abges. Modus:
Scanne mit AntiVir.
Einstellungen von AntiVir: Optionen -> Konfigurationsmenü ->
Suchen > Alle Dateien
Unerwünschte Programme > Alle Haken setzen
Heuristik > Win32 Dateiheuristik aktivieren und auf mittel setzen

Lösche diese Dateien:
C:\WINDOWS\addfq.exe
C:\WINDOWS\system32\ipag.exe
C:\WINDOWS\gpvmf.dll/sp.html
C:\WINDOWS\system32\syssy.dll
C:\Programme\DownloadWare\dw.exe
C:\WINDOWS\chp.dll
Ordner auf Diskette sichern und danach löschen c:\program files\dialers

Diese fixen:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\gpvmf.dll/sp.html#29620
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\gpvmf.dll/sp.html#29620
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\gpvmf.dll/sp.html#29620
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\gpvmf.dll/sp.html#29620
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\gpvmf.dll/sp.html#29620
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\gpvmf.dll/sp.html#29620
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {A3C5C0CE-5122-E73A-AB92-E8EE67589A00} - C:\WINDOWS\system32\syssy.dll
O4 - HKLM\..\Run: [ipag.exe] C:\WINDOWS\system32\ipag.exe
O4 - HKLM\..\Run: [SuperHeiss] c:\program files\dialers\superheiss\superheiss.exe /noconnect
O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Programme\DownloadWare\dw.exe" /H
O4 - HKLM\..\RunOnce: [addfq.exe] C:\WINDOWS\addfq.exe

Leere diese Ordner:
C:\Dokumente und Einstellungen\*Benutzername*\Lokale Einstellungen\Temp
C:\WINDOWS\Downloaded Program Files
C:\Dokumente und Einstellungen\*Benutzername*\Lokale Einstellungen\Temporary Internet Files

Neustart
Neues Log-File und das Log von AntiVir posten.
Danach AntiVir wieder deinstallieren.
Guard von TrendMicro aktivieren.

Hallo Cidre,

ich habe Escan noch nicht installiert, folgt wohl morgen, habe zuerst die "anderen" dinge erledigt, wie dateien löschen, abgesicherter modus etc.
Bitte an Dich : schreib noch mal genau zusammen, was ich der reihe nach tun muss. Langsam verlier ich den überblick. Finde auch die dateien im explorer nicht, welche einstellung muß da sein, die versteckten dateien werden aber mitangezeigt.
Da sind z.b. im autostart (hab die einstellung übrigens inzwischen gefunden) sachen, die ich im explorer nicht finden kann , u.a. dieses superheiss ???

Grüße
Wolfers


PS: Plötzlich ist ein windos-update wieder hochgekommen, ein Fortschritt *gggg* , habe es gleich installiert.

Bins nochmal !
Wie kann ich den guard (???) von Trend Micro (meine firewall) deaktivieren ?

Ich weiß, ich bin ne nervensäge, aber meine kenntnisse sind leider nicht die besten, sorry ! Aber ich bin guten mutes, dass mit Dir wieder hinhaut und meine kiste wieder tadellos läuft !

Wolfers

Das dachte ich mir schon, denn sonst wäre dein System bereinigt gewesen. Du musst das schon so ausführen, wie man es dir postet, sonst hast du keine Chance und deine und vor allem meine Arbeit ist umsonst!

Führe das aus und lass AntiVir mal weg:

Arbeite dies Schritt für Schritt ab!

Brauchst du nicht mehr, siehe oben.

Hi Cidre,
ich habe Escan laufen lassen, und mich traf fast der schlag, über 200 viren gefunden ! Ok, waren eingie dabei, die in quarantäne waren (von pc-cillin).
Das log ist ja riesengross, kann man da nicht einfach nur die viren rausziehen ? Ich würde Dir es gerne zeigen.
Habe große bedenken, kann ich wirklich alle Dateien löschen, die verseucht sind, Kann es da nicht passieren, dass das eine oder andere programm nicht mehr läuft, sind viele dll-dateien, aber auch exe-dateien dabei. Ich habe bisher noch nichts gelöscht, aus unsicherheit. Möchte Deine antwort abwarten, was ich löschen kann und was nicht. Nur die frage, wie kann ich Dir das log zur verfügung stellen, kanns ja hier nichr reinkopieren,es ist 14.115 KB groß.
Danke für Deine antwort und auf bald
Wolfers

Warum muß man eigentlich im abgesicherten modus nur löschen ?

Ja, du kannst die wichtigen bzw. infizierten Dateien filtern:
Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben *-> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

*Danach das selbe Spiel und tagged eingeben.

Weil dort die Malware meist nicht aktiv ist und sich somit meistens problemlos entfernen lässt.

Auweia, jetzt bitte erschrick nicht, wenn Du die ewig lange liste siehst.
Ich hoffe, es macht nicht zu viel Arbeit, aber teile mir doch bitte mit, was ich löschen kann und was nicht. Ich habe da so meine bedenken bei den windows verzeichnissen, nicht dass ich da was zusammenschiesse oder einige programme dann nicht mehr laufen. Also hier die liste :

File C:\WINDOWS\system32\mfcsa.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\addbg32.dll infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\addcm32.dll infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\addfa.dll infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\addfj.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\apibz.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\apisp.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\appeb32.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\appgv32.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\appja32.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\asfta.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\atlho32.dll infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\atlwk32.dll infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\clozk.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\crcc.dll infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\criy32.dll infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\crnn.dll infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\crrl.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\cruf32.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\cyoke.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\d3ih32.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\d3ku32.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\d3sd32.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\dwnqd.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\dzexi.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\eprur.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\fzrtc.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\iarhe.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\iecv32.dll infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\ieuu32.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\igmuc.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\ipbb.dll infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\ipdq.dll infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\ipqv.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\ipzz.dll infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\iqzhn.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\iyuit.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\izbqo.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\javaao.dll infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\javaiq.dll infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\jnigc.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\jrwjf.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\mfcmp32.dll infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\mfcrw.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\mhpmi.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\netpw32.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\netra32.dll infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\nettd.dll infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\qtbcy.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\sdkhp.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\sysho.dll infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\addwu32.dll infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\apigs32.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: No Action Taken
File C:\WINDOWS\system32\apiok32.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\apiwy32.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\appqy32.dll infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\appvh32.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\appyz.dll infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\crdz.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\crwj.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\d3om.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\eemiy.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\iein32.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\iekz32.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\ieug32.dll infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\ieuj.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\iezj.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\ipyx.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\lhzyp.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\lwbwv.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\mfcfx32.dll infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\mfckg32.dll infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\mfckj32.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\mfcpu32.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\mfcsa.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\msbr32.dll infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\mswc.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\nthg.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\ntmj32.dll infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\ntmj32.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\ntzs32.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\q.vbs infected by "TrojanDownloader.VBS.Iwill.r" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\qepomi.dll infected by "TrojanDownloader.Win32.Small.uw" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\rtihg.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\rudsf.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\sdkbn.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\sdkdb32.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\sysyh.dll infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\wejatid.dll infected by "not-a-virus:AdvWare.BHO.TsAdv.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\winlu32.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\winmm.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\winnd32.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\xdldr24.exe infected by "TrojanDownloader.Win32.Small.fo" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\yfowe.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\syszm32.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\twatz.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\ujfar.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\umnqy.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\utgha.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\win32.bmp infected by "TrojanClicker.JS.Gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\winot32.dll infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\winpd.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\winqh.dll infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\winqk.dll infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\winsm.dll infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\winsv.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\yimzd.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\System32\sm.exe tagged as not-a-virus:PornWare.Dialer.Lagoon. No Action Taken.
File C:\WINDOWS\System32\SuperHeiss-uninstall.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.
File C:\Dokumente und Einstellungen\Wolfgang\Eigene Dateien\Downloads\Privat\KaZaa\(2012-54{DE).exe tagged as not-a-virus:RiskWare.Dialer.Generic. No Action Taken.
File C:\Dokumente und Einstellungen\Wolfgang\Lokale Einstellungen\Temp\4.tmp tagged as not-a-virus:PornWare.Dialer.Generic. No Action Taken.
File C:\Dokumente und Einstellungen\Wolfgang\Lokale Einstellungen\Temp\sweety.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.
File C:\WINDOWS\Downloaded Program Files\11699.exe tagged as not-a-virus:PornWare.Dialer.Generic. No Action Taken.
File C:\WINDOWS\system32\sm.exe tagged as not-a-virus:PornWare.Dialer.Lagoon. No Action Taken.
File C:\WINDOWS\system32\SuperHeiss-uninstall.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.

Ich danke Dir schon mal herzlich im voraus.

Gruß
Wolfers

@hallo Wolfers

was hälst du davon...

deinen PC zu formatieren und nach anschließender Neuinstallation dein Surfverhalten mal zu überdenken??? ;)


lg


Tom

@ Wolfers

Du musst alle 200 infizierten Dateien löschen. Aber wehe du vergisst eine, dann fängt das Spiel nämlich wieder von vorne an.

Es wäre sinnvoller und auch schneller, wenn du einen sauberen Schnitt machen und dein System neu aufsetzen würdest.

Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:

1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen http://freenet.meome.de/app/fn/artc...jsp?catId=79426
2. Internetverbindungsfirewall aktivieren http://www.computerhilfe-euskirchen...sxp/tipp16.html
3. Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.c...er/default.aspx
4. NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/se...msie/config.htm oder http://www.blafusel.de/ie.html
6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
7. MS Outlook und Outlook Express sicherer konfigurieren
http://www.fz-juelich.de/zam/net/se...ook-config.html oder http://www.datenschutz-bremen.de/ti...griffe/mail.htm
Besser wäre es, sichere eMail Clients wie Thunderbird einzusetzen http://www.thunderbird-mail.de/
8. Deine Passwörter ändern
9. Image der Systempartition erstellen mit z.B. Acronis True Image 7
10. Surfverhalten überdenken

Info zur Installation von Win XP findest du hier:
http://8ung.at/chemikers-home/SETUP.html
und
http://chip-faq.rufisplanet.ch/installation.html

Für die Zukunft:
http://www.mathematik.uni-marburg.d...compromise.html

Hi Cidre,
das ist eigentlich genau das, was ich vermeiden möchte, denn bis alles wieder auf dem stand ist, wie ich es jetzt habe, das dauert ja ewig !
Ich denke, ich werde den langen, beschwerlichen weg erstmal gehen und die dateien alle manuell löschen (in der hoffnung, keine zu vergessen).
Aber meine bedenken sind eben die, dass nach dem löschen schon einiges nicht mehr läuft, sind ja exe-dateien bzw. treiber-dateien. Kann das passieren ?
Nochmals merci
Wolfers

Da kann nichts passieren, das sind alles Malware Dateien.

Hi,
ok, dann werde ich den beschwerlichen weg gehen und manuell löschen (Ich vertraue Dir !) . Heute beim hochfahren kam, nachdem ich mein benutzerkonto ausgewählt hatte, die meldung, dass die datei "etolo" nicht geöffnet werden kann (hatte vor einigen tagen die selbe meldung mit der datei "tcaaa", war jetzt aber verschwunden); nehme an, alles malware !
Ich informiere Dich, sobald ich mit dem löschen fertig bin, weiß nicht, ob ich heute dazukomme, evtl. heute Abend.
Ich hab auch nen popup-stopper installiert, funktioniert eigentlich sehr gut, aber seit geraumer zeit kommen trotzdem seiten durch (malware, oder?)
Trotzdem ne frage zur neuinstallation : das würde doch wesentlich länger dauern, bis wieder alles so läuft, wie es war (denke da nur an die vielen neuinstallationen von programmen, ist ja alles weg), oder siehst Du das anders ?
In diesem Sinne
Grüße und einen schönen sonntag
Wolfers

Ja, das waren die verwaisten Autostartaufrufe.

Popups sind in erste Linie Werbung, diese müssen aber keineswegs bösartig sein.
Wenn trotzdem Popups erscheinen, musst diese zu deinem Blocker hinzufügen.

Keineswegs. Die grosse Unbekannte sind deine zu integrierenden Programme, da wäre es sinnvoll wenn du genau abschätzt, was du wirklich auf dein System benötigst.
Aber mit diesen Schritten bist du eigentlich schneller, danach hast du wieder ein sauberes und sicheres System.
Danach liegt an DIR, ob dies auch in ferner Zukunft so bleibt! ;)

Les dir doch mal diese Seite durch:
http://www.mathematik.uni-marburg.d...compromise.html/

Noch ne frage !
Giobt es eine möglichkeit, abzufragen, ob es sich bei den dateien um malware handelt ? Praktisch so ne art suchmaschine ?
Danke
Gruß Wolfers

Entweder bei http://virusscan.jotti.org/de oder Sysinfo oder durch Google.

ok, ich melde mich, wenn ich aufgeräumt habe (kann aber einige tage dauern)

Wolfers

PS: Frage zu dem link (virusscan) : Wenn ich eine bei mir infizierte datei eingebe, dann muß die wohl auf dieser seite erscheinen, oder ? Verstehe die seite nicht ganz !Sorry !

Die Seite ist dazu da, Dateien, die sich auf deiner Festplatte befinden, auf Viren zu scannen, wenn du sie verdächtig findest. Du musst diese dann mit Hilfe von Browse und Submit "hochladen". Es genügt also nicht, wenn du da nur den Namen der Datei eingibst, du musst sie direkt und komplett sozusagen hinschicken. Im Prinzip ein externer Virenscanner, der die Datei dann von mehreren verschiedenen Einzelscannern überprüfen lässt.

Hallo Wolfers, ich gehöre nun wirklich nicht zur Fraktion der „Format C: er“, aber als ich deinen Scan sah, na ja, da hast du aber ganz schön gesammelt!, dass muss man erst mal hin bekommen.
Also, ich an deiner stelle, würde das OS neu aufsetzen, denn das kostet weniger Zeit und Nerven, als den ganzen Mist von Hand zu löschen, außerdem, falls da ein richtiger Trojaner bei sein sollte, so wie Flux o.ä., bedarf es noch mehr Zeit und Sachkenntnis.
Ja, natürlich,. es geht alles zu Fuß, aber bedenke den Zeitfaktor und die Sicherheit, sind wirklich alle Einträge weg?
Ich habe jedenfalls nicht die Lust und die Zeit, mir alle Log’s, die hier gepostet werden anzuschauen und auf die „Maschine“, würde ich mich auch nicht unbedingt verlassen!
So, nun trotzdem ein schönes WE, wünscht dir,
Charlie

Hi Charlie,
danke für Deinen beitrag, aber ich denke an die vielen Neuinstallationen von programmen, die ich machen müßte, und bis da wieder alles so paßt, wie es sein soll, da habe ich größte bedenken (isdn-anlage, dsl, homebanking, digital kamera, scanner, die liste ist unendlich).
Ich denke, ich werde am dienstag abend mal den beschwerlichen weg gehen und die malware dateien manuell löschen, dann sehe ich weiter bzw. ich hoffe weiter !
Gruß
Wolfers

@Wolfers...

ich kann mich Charlie1 nur anschliessen...

mach den PC platt und formatiere neu...dann hast du Sicherheit und mehr innere Ruhe...habe mich auch desöfteren von "heissgeliebten" Progs trennen müssen, aber im Endeffekt habe ich das Neuauflegen nie bereut.

Es dauert ein bisschen...oki...brenn dir vorher alles "unbelastete" runter,von dem du meinst, was du brauchst und halte für die Neuauflage alles bereit, was dein PC verlangen wird...da kann man sich vorher sortieren...und ab dafür...

...aber es ist eben deine eigene Sache...


lg


Tom :)

Hallo Wolfers,
selbst auf die Gefahr hin, dass ich hier in Ungnade fallen sollte, werde ich dir mal folgendes erklären.
Du machst also Homebanking, da ist mit solchen Sachen schon gar nicht zu spaßen!
Ich gehe jetzt nicht mal auf die „neuesten“ Methoden ein, wie „fishing“ und so, denn selbst ein SK, dass sich einigermaßen mit trojanischen Pferden auskennt, kann dir da einen ganz bösen Streich spielen.
Nehmen wir mal an, es besitzt einen ganz alten RAT, z.b. sub seven und einen Portscanner und scannt so aus langer Weile ein paar IP’s, kommt an deine und bei dir läuft ein Server, er hat also vollen Zugriff, du bist gerade dabei eine Transaktion zu tätigen und im den Moment, als du deine TAN eingegeben hast, fährt er deinen PC runter -> er hat deine noch gültige TAN, bist du dann deine Kiste wieder hochgefahren hast, kann schon einiges geschehen sein!!!
Fazit; ist es, es da wirklich nicht wert ein neues OS aufzusetzen? Und so schlimm ist es ja nun auch nicht, ich meine das mit dem neuen OS, kannst halt nur lernen.
So, nun genug gelabert,
Liebe Grüße,
Charlie

Hallo zusammen,

mein System läuft wieder sauber, JUBEL *gggggg* !!!!!
Ich habe in mühsamer Arbeit alle malware-Dateien gelöscht, und bisher läuft wieder alles so wie es sein soll. Ich erster Linie möchte ich Cidre ganz herzlich danken für die vielen mühen, die er sich mit mir gegeben hat. Danke !
Ich werde auf jeden fall mein surfverhalten ein wenig ändern und etwas vorsichtiger sein. Meine firewall läuft zwar noch nicht, aber die werde ich nachher deinstallieren und neu installiern. Sollte dann wohl auch wieder laufen.
Viele Grüße an alle, die mir geholfen haben !
Wolfers

Ich wüscht dir, dass du Recht hast. :daumenhoc
LG;
Charlie
Nachtrag; den "Laden"sauber zu machen und damit sicher zu gehen, hätte ich mir nicht zu getraut!
Alle Achtung

Jetzt habe ich noch eine nachfrage :
die malware befindet sich jetzt in einem ordner im verzeichnis "recycler", da findet ihn zumindest meine firewall. Wenn ich über den explorer darauf gehe, finde ich die dateien aber nicht.
Kann mir das jemand erklären bzw. kann man diese ordner eigentlich einfach löschen, damit wirklich alles sauber ist ?
Danke für die info.
Wolfers

Hallo Wolfers,

Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren ... wenn Du das ausführst, siehst Du dann die Dateien, die sich in diesem Ordner befinden?

SD

Ja, ich sehe Dateien in diesen Ordnern, aber ich kann die gefilterten mit meiner firewall nicht finden. Jetzt erhalte ich die meldung, dass im ordner "sytsem volume information\..." sich ein trojaner befindet. Ich kann aber auf diesen ordner nicht zugreifen. Hat jemand eine Erklärung für mich ?
Danke und Grüße
Wolfers

PS: Ich habe diese dateien über meine firewall löschen können (quarantäne-Ordner). Aber wie kommen die nun darein ? Vielleicht kanns mir jemand erklären !

Deaktiviere die Systemwiederherstellung, Neustart und aktiviere sie wieder.

Du meintest sicherlich deinen AV Scanner.

Über meine firewall-Software (trend mikro / pc-cillin) habe ich die möglichkeit, nach viren die festplatte zu durchsuchen, und in dem verzeichnis "recycler" wurden die trojaner entdeckt. Ich habe sie inzwischen gelöscht.

Hallo Wolfers,

ich stehe auf dem Schlauch. Was verstehst Du unter "firewall-Software (trend mikro / pc-cillin)" ? Kannst Du uns bitte den Link zu dieser Firewall-Software geben? Firewall oder Virenschutz-Programm?

SD

So viel ich weiß ist pc cillin eine antiviren software, ist auch auf meiner mainboard cd drauf, gibts auch bei bockwurst zum downloaden, aber die site ist momentan down nach einem hackerangriff

Pc-Cillin (von Trend Micro; http://de.trendmicro-europe.com) ist eine Firewall mit integriertem virensuchprogramm. Die Software stellt, sobald sie malware, trojaner oder viren findet, sofort unter quarantäne, sprich in einen gesonderten ordner, damit dieser dreck keinen schaden mehr anrichten kann.