|
Plagegeister aller Art und deren Bekämpfung: Ich brauche Hilfe :((((Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
07.01.2005, 17:51 | #1 |
| Ich brauche Hilfe :(((( Hallo zusammen, Ich habe hier erstmal wieder eine hp auf meiner startseite, die ich gar net drauf gemacht habe. Ich habe schon meine Startseite geändert doch nach ca. 5 mins kommt dann die andere hp wieder auf die startseite und des geht immer so weiter. Hier ist die HP : http://bestsearch.cc/13463/?search So und dann habe ich noch ein anderes problem. Ich habe mal wieder antivir laufen lassen und es stand dort : Hinweise 8 Warnungen 1 So und als ich antivir gestartet hat hat er dann ne meldung von sich gegeben und die war : das mit der folgenden datei irgendwas ist : C:\Windows und die datei ist Windbg. Kann mir vieleicht eienr sagen was diese Windbg ist? ist das wichtiges oder net? und noch was ich habe eben ad-aware starten lassen und die haben zu mir gesagt : Ich habe 53 critical objects. So bitte helft mir... grüsse extreme |
07.01.2005, 18:02 | #2 | |
| Ich brauche Hilfe :(((( @ extreme16
__________________Zitat:
SD |
07.01.2005, 20:14 | #3 |
| Ich brauche Hilfe :(((( kk ich habe ausversehen next gedrückt also net quarantäne... ja und dann habe ich nochmal geguckt ob mehr böse dateis da sind aber danach waren keine mehr da. Aber nächstes mal mach ich die quarantäne
__________________ |
07.01.2005, 20:17 | #4 |
| Ich brauche Hilfe :(((( Gehe unter Start/Suchen nach magnet.exe, syvid.exe und csmrs.exe wenn sie angezeigt werden löschen! Dann Start/Ausführen regedit eingeben und unter "Bearbeiten/Suchen" nach den folgenden einzeilnen Namen magnet, hp2.exe,syvid,csmrs.exe,hp2.htm,setup32.exe und update32.exe. Alles was Du findest sofort löschen. Sollten diese Namen an einen Programm hinten angehangen sein, diesen hinteren löschen. Roland |
08.01.2005, 13:43 | #5 |
| Ich brauche Hilfe :(((( Ao hier ist die Log file : Logfile of HijackThis v1.99.0 Scan saved at 13:43:13, on 08.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\sstray.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe D:\Programme\Ad-aware\Ad-Aware SE Personal\Ad-Aware.exe C:\Programme\Internet Explorer\iexplore.exe D:\Programme\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.53/search.cgi?b13463 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.53/search.cgi?a13463 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.53/search.cgi?a13463 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.53/search.cgi?b13463 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.53/search.cgi?a13463 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.53/search.cgi?a13463 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.53/search.cgi?b13463 O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [ICQ Lite] D:\Downloads\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [scvhost] C:\WINDOWS\scvhost.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [scvhost] C:\WINDOWS\scvhost.exe O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Downloads\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Downloads\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Downloads\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O13 - WWW Prefix: http://69.50.191.50/1/? O15 - Trusted Zone: *.bestsearch.cc O15 - Trusted Zone: *.dapsol.com O15 - Trusted Zone: *.bestsearch.cc (HKLM) O15 - Trusted Zone: *.dapsol.com (HKLM) O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE |
08.01.2005, 13:49 | #6 |
| Ich brauche Hilfe :(((( Ah.. Roland Ich habe unter regedit folgende dateis gefunden : csmrs.exe magnet.exe syvid.exe |
08.01.2005, 13:51 | #7 |
| Ich brauche Hilfe :(((( so habe die 3 datein gelöscht..... |
08.01.2005, 13:54 | #8 |
| Ich brauche Hilfe :(((( So aber folgende datein wurden unter regedit nicht gefunden : hp2.exe hp2.htm setup32.exe und update32.exe .... |
08.01.2005, 13:57 | #9 |
Administrator, a.D. | Ich brauche Hilfe :(((( Das eScan AntiVirus Toolkit Utility (mwav.exe) herunterladen, die Datei in den von dir erstellten Ordner "c:\bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen. http://www.mwti.net/antivirus/free_utilities.asp Wechsle in den abgesicherten Modus http://www.bsi.bund.de/av/texte/wiederher_xp.htm und fixe diese Einträge (Haken setzen und auf Fix Checked klicken): R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.53/search.cgi?b13463 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.53/search.cgi?a13463 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.53/search.cgi?a13463 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.53/search.cgi?b13463 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.53/search.cgi?a13463 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.53/search.cgi?a13463 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.53/search.cgi?b13463 O4 - HKLM\..\Run: [scvhost] C:\WINDOWS\scvhost.exe O4 - HKCU\..\Run: [scvhost] C:\WINDOWS\scvhost.exeO13 - WWW Prefix: http://69.50.191.50/1/? O15 - Trusted Zone: *.bestsearch.cc O15 - Trusted Zone: *.dapsol.com O15 - Trusted Zone: *.bestsearch.cc (HKLM) O15 - Trusted Zone: *.dapsol.com (HKLM) Lösche: C:\WINDOWS\scvhost.exe - mit eScan scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan" klicken.) und die Malware manuell entfernen http://www.trojaner-board.de/42731-escan-anleitung.html - neue Startseite vergeben - Neustart - dein System updaten http://v5.windowsupdate.microsoft.co...r/default.aspx - IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html - Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org - neues Log-File von HijackThis und die Virus Log Information von eScan posten |
08.01.2005, 16:27 | #10 |
| Ich brauche Hilfe :(((( hallo cidre und danke... Hier sind die 6 viren die der escan mir angezeit hat: File C:\DOKUME~1\extreme\LOKALE~1\TEMPOR~1\Content.IE5\4PYVOLIR\adv480[1].php infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\extreme\LOKALE~1\TEMPOR~1\Content.IE5\CXYZ0XAN\bridge-c420[1].cab infected by "not-a-virus:AdWare.WinAD.n" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\extreme\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4PYVOLIR\adv480[1].php infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\extreme\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CXYZ0XAN\bridge-c420[1].cab infected by "not-a-virus:AdWare.WinAD.n" Virus. Action Taken: No Action Taken. File D:\desktop1\pod25ins.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File D:\Programme\mIRC\mirc.exe tagged as not-a-virus:RiskWare.IRC.6.16. No Action Taken. |
08.01.2005, 16:29 | #11 |
| Ich brauche Hilfe :(((( ich wollte die im abgesicherten modus manuell löschen, doch als ich sie manuell suchte fand ich die datei bzw. den ordner nicht und ich habe auch ein paar sachen angekreuzt wo drin steht alle datein und ordner anzeigen bzw. versteckte datein ja da war ich und habe alles wichtige angekreutzt, was ich fand. Ja und jetzt sind irgendwie noch die 6 viruse drauf |
08.01.2005, 16:37 | #12 |
| Ich brauche Hilfe :(((( Leere einfach deine Temporary Internet Files, z.B. mit www.clearprog.de. Die zwei letzten Sachen sind harmlos. |
08.01.2005, 17:05 | #13 |
| Ich brauche Hilfe :(((( okay ich habe jetzt den inhalt gelöscht von dem ordner.. Und habe jetzt auch firefox |
08.01.2005, 17:05 | #14 |
| Ich brauche Hilfe :(((( Das neue Logfile von HijackThis steht noch aus... |
08.01.2005, 17:19 | #15 |
| Ich brauche Hilfe :(((( Ach ja als ich im abgesicherten Modus war habe ich das mit hijack probiert die zu fix checken, doch als ich das gemacht habe und 5 mins wieder dort reingeguckt habe und gescannt habe standen die folgenden Datein wieder drin : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.53/search.cgi?b13463 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.53/search.cgi?a13463 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.53/search.cgi?a13463 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.53/search.cgi?b13463 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.53/search.cgi?a13463 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.53/search.cgi?a13463 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.53/search.cgi?b13463 O4 - HKLM\..\Run: [scvhost] C:\WINDOWS\scvhost.exe O4 - HKCU\..\Run: [scvhost] C:\WINDOWS\scvhost.exeO13 - WWW Prefix: http://69.50.191.50/1/? O15 - Trusted Zone: *.bestsearch.cc O15 - Trusted Zone: *.dapsol.com O15 - Trusted Zone: *.bestsearch.cc (HKLM) O15 - Trusted Zone: *.dapsol.com (HKL) (( |
Themen zu Ich brauche Hilfe :(((( |
ad-aware, andere, anderes, antivir, brauche, brauche hilfe, critical, datei, extrem, extreme, folge, folgende, folgenden, gen, gestartet, geändert, hallo zusammen, helft, laufen, meldung, seite, starten, startseite, windows, zusammen |