| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: ad-destroyer, popups, hosts datei?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
07.12.2004, 14:43
| #1 |
| |  ad-destroyer, popups, hosts datei? ich habe nun seit einiger zeit das problem, dass sich ab und zu seiten öffnen wie http://69.20.61.245/info@nictechnetw...ad-armorie.htm oder http://69.20.56.183/yyy6.html und http://69.20.56.3/yyy6.html und andere. meistens sind es aber diese 3 sites. das ganze geht von der datei hosts aus ( C:\windows\system32\drivers\etc\hosts ). diese datei wird immer wieder zurückgeändert von wo ist mit unbekannt, wenn ich versuche die schuldigen einträge zu löschen und anschliessend zu speichern. schreibgeschützt funktioniert nicht -> wird auch einfach wieder geändert. zu alle dem tauchen manchmal noch virtualbouncer oder die sed.exe bei mir, das ist allerdings äußerst selten und ich weiss auch nicht wieso. ich finde keine datei die im hintergrund läuft und ständig alle meine änderungen rückgängig macht! escan findet immer mehrer dlls im ordern c:\windows\system32\ löscht diese aber nicht ( version 4.4.6 -> löscht noch ). DIESE dlls kann ich nicht löschen, weil sie dauernd in benutzung sind. dann hab ich die rundll32.exe ausgeschnitten und auf ein anderes laufwerk verband --> hat nicht geholfen. hier mein hjt-scan: Logfile of HijackThis v1.98.2 Scan saved at 14:39:51, on 07.12.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\System32\ctfmon.exe E:\Programme\Logitech MX510\MouseWare\system\em_exec.exe C:\WINDOWS\System32\devldr32.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\rundll32.exe K:\Progs und files\HijackThis.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\PROGRA~1\VBOUNCER\VIRTUA~1.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE F:\Programme\Winamp3\Studio.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\explorer.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sinister-soulz.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = I-Net-Fenster R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1:8080 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: 69.20.16.183 auto.search.msn.com O1 - Hosts: 69.20.16.183 search.netscape.com O1 - Hosts: 69.20.16.183 ieautosearch O1 - Hosts: 69.20.16.183 ieautosearch O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] K:\Programme\Spybot - Search & Destroy\TeaTimer.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\Office\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\Office\OFFICE11\REFIEBAR.DLL PLEASE HELP! die 01er-hosts-einträge sind das problem aber die kann man nicht fixen, weil sie sofort wieder hergestellt werden. ich zocke cs und kann ständiges im win landen wegen popups absolut nicht gebrauchen... spybot sd findet "igetnet", und multiple "coolwwwsearch" probleme, kann diese aber nicht lösen. die coolwwwsearch probleme haben was mit den unlöschbaren einträgen in der hosts datei zu tun... ich will nicht formatieren müssen, aber anscheinend kann man den kram da nicht besiegen, zumindest meinen recherchen zur folge! was meint ihr? Geändert von shyzo (07.12.2004 um 14:55 Uhr) |
| Themen zu ad-destroyer, popups, hosts datei? |
| .html, dateien, drivers, excel, explorer, formatieren, help, hijack, hijackthis, hintergrund, immer wieder, internet, internet explorer, löschen, microsoft, nvcpl.dll, popups, problem, programme, rundll, rundll32.exe, rückgängig, seite, seiten, software, system, system32, träge, update, will nicht, windows, windows xp, windows\system32\drivers |
Baum-Darstellung