|
Plagegeister aller Art und deren Bekämpfung: Hilfefenster öffnet sich ständigWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
24.04.2004, 17:42 | #1 |
| Hilfefenster öffnet sich ständig Hallo, ich bin einer der Microsoft-XP-Müll-Benutzer, gleich vorweg. Mein Problem stellt sich auch als ein Verdacht auf den Trojaner "Claldr.Dummy.C" dar, ich habe mit AntiVir gescannt (und ihn auch damit gefunden), die Datei "count(1).jar" gelöscht, die temporären Internet-Dateien gelöscht, und Ad-Aware laufen lassen. Nach dem nächsten Scan mit Antivir findet dieser auch nix mehr. Das Problem besteht aber weiterhin: Ständig öffnet sich ein Hilfefenster der jeweiligen Anwendung, die ich gerade laufen habe und ich muss es immer wieder schließen. Es ist, wie wenn jemand dauernd die F1-Taste drücken würde. Ich hab sogar die Tastatur ausgetauscht. Auch bei der Windows-Anmeldung drückt irgend ein unsichtbarer Geist im Kennwortbereich eine Taste und meine Maschine zu piepen anfängt, bis ich Enter drücke (und das Passwort natürlich falsch ist) und mein Passwort "selbst" eingeben "darf". Handelt es sich hier um die Symptome dieses Trojaners oder ist es ein anderes Problem? Ich würde Euch sehr danken, wenn Ihr mir helfen könntet und es nicht zuviel Zeit und Aufwand kostet, mir zu antworten - ich bin leider auch nur einer dieser Laien.... Schüss! |
24.04.2004, 18:07 | #2 |
| Hilfefenster öffnet sich ständig Versuche mal deinen PC im Abgesicherten Modus zu starten (beim booten F5 drücken). Wenn das Problem dann nicht mehr anuftritt, ist es höchstwahrscheinlich irgendwelche Malware. Außerdem wäre ein Hijack-This Log hilfreich.
__________________ciao
__________________ |
25.04.2004, 20:14 | #3 |
| Hilfefenster öffnet sich ständig Danke erstmal für die schnelle Antwort.
__________________Ich habe es mit dem abgesicherten Modus probiert - das Problem scheint nicht mehr aufzutreten. Ich werd mir jetzt diesen Hijack-This Log holen (was auch immer das ist und wo immer ich das auch kriege - ja, das soll eine versteckte Frage sein,ähm...). Aber was ist Malware, wie Du es beschrieben hast? Und wie kann ich dagegen vorgehn - oder übernimmt diese Aufgabe dann der Hijack-This Log? Ich kann ja nicht immer im abgesicherten da rumgurken Natürlich wieder nur, wenn Zeit und Güte vorhanden. Im Danken voraus - Frohbarsch |
27.04.2004, 18:32 | #4 |
Gast | Hilfefenster öffnet sich ständig HijackThis zeigt dir die laufenden Prozesse des PC's an. Ein wirklicher Schutz ist dies nicht. Zum Schutz vor Malware (Viren, Würmer, Trojaner, Spyware usw.) lese mal hier: http://www.trojaner-info.de/report_pcsicherheit.shtml |
27.04.2004, 18:47 | #5 |
/// Mr. Schatten | Hilfefenster öffnet sich ständig </font><blockquote>Zitat:</font><hr />Original erstellt von Frohbarsch: Danke erstmal für die schnelle Antwort. Ich habe es mit dem abgesicherten Modus probiert - das Problem scheint nicht mehr aufzutreten. Ich werd mir jetzt diesen Hijack-This Log holen (was auch immer das ist und wo immer ich das auch kriege - ja, das soll eine versteckte Frage sein,ähm...).</font>[/QUOTE]HiJackThis Anleitung DownloadLink und auch für ein paar andere Helferlein siehe Signatur
__________________ alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung keine Hilfe via PN hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort - |
28.04.2004, 13:25 | #6 |
| Hilfefenster öffnet sich ständig Tja, Ihr lieben... Vielen vielen Dank für Eure Hilfe bis jetzt, ich hab, soweit ich konnte alles befolgt: - Hijack-Log erstellt und nach den Listen Einträge gefixt - Nochmal Windows Update gemacht - Spybot Search & Destroy runtergeladen und ausgeführt (hat einiges gefunden!) - viele Eurer Links angeschaut und versucht noch andere Antworten zu finden im Forum... ...doch während ich diese Thread schreibe öffnen sich weiterhin immer wieder neue Hilfe-Fenster wie von Geisterhand und ich bin bald sehr schwach mit meinen Nerven. Habt Ihr sonst noch irgendeinen Vorschlag? Neu aufsetzen möchte ich möglichst umgehen...Ihr versteht das wohl. Vielen Dank bis jetzt! |
28.04.2004, 13:36 | #7 |
| Hilfefenster öffnet sich ständig du kannst das Log ja mal hier posten Was sagen OnlineScans von www.ravantivirus.com und www.trendmicro.de ? P.S.: Infos zu deinem Trojaner: http://www.virusbtn.com/resources/vg...my.C&product=0 Wo wurde der denn jeweils genau gefunden (kompletter Pfad/Ordner/Dateiname) ? Wenn er NUR!! im Browser- oder JAVA-Cache gefunden wurde, dürfte er nicht aktiv gewesen sein |
28.04.2004, 13:41 | #8 |
Hilfefenster öffnet sich ständig
__________________ MfG Nangie Es ist einzig und allein der Mensch, der aus der Welt ein Armenhaus gemacht hat. Lilo Keller (*1934) nachdenkliche Hausfrau |
28.04.2004, 14:15 | #9 |
| Hilfefenster öffnet sich ständig Jetzt scanne ich gerade online. Der zuletzt gefundene Trojaner (Ich erinnere mich nur an das Wort "Dummy" - leider wurde die Reportdatei schon überschrieben) war auf jeden Fall im Temporary Internet Files-Ordner. Vielleicht ist er auch nicht das Problem. Ich poste jetzt mal das Log, vielleicht könnt ihr mehr damit anfangen. Also: Logfile of HijackThis v1.97.7 Scan saved at 12:43:29, on 28.04.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\CTsvcCDA.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\stardock\TrayServer.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\atwtusb.exe C:\WINDOWS\System32\devldr32.exe C:\WINDOWS\TBPanel.exe C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\WINDOWS\System32\rundll32.exe C:\Programme\Nikon\NkView6\NkvMon.exe C:\Programme\Zone Labs\ZoneAlarm\zapro.exe C:\WINDOWS\System32\TBLMOUSE.EXE C:\Programme\Microsoft Hardware\Mouse\POINT32.EXE C:\Programme\Adobe\Photoshop CS\Photoshop.exe C:\Programme\Adobe\Illustrator CS\Support Files\Contents\Windows\Illustrator.exe C:\WINDOWS\System32\RUNDLL32.exe C:\WINDOWS\System32\RUNDLL32.exe C:\Programme\emule\emule.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe C:\Downloads\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cust...ch/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/cust.../www.yahoo.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://red.clientapps.yahoo.com/cust...//my.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cust...ch/search.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/cust.../www.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://red.clientapps.yahoo.com/cust...//my.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://red.clientapps.yahoo.com/cust.../www.yahoo.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Everyday.com R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cust.../www.yahoo.com O2 - BHO: (no name) - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [1A:Stardock TrayMonitor] "C:\Programme\Gemeinsame Dateien\stardock\TrayServer.exe" O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe O4 - HKLM\..\Run: [AHQInit] C:\Programme\Creative\SBLive\Program\AHQInit.exe O4 - HKLM\..\Run: [AVGuard] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook O4 - Startup: PowerReg Scheduler V3.exe O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView6\NkvMon.exe O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programme\Zone Labs\ZoneAlarm\zapro.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: FlashGet (HKLM) O9 - Extra 'Tools' menuitem: &FlashGet (HKLM) O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0401.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/07d9e032...p/RdxIE601.cab O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetup.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...022.2517824074 O16 - DPF: {A17E30C4-A9BA-11D4-8673-60DB54C10000} (YahooYMailTo Class) - http://us.dl1.yimg.com/download.yaho...ymmapi_416.dll O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab -------------------------------------------- (gegen die Zeilenumbrüche kann ich leider nichts tun!) Ihr seid wirklich schnell, danke... Der Online Scanner hat übrigens schon 2 Dateien gefunden: 2x "add7[1].htm" im temp.internet files ordner... |
28.04.2004, 14:53 | #10 |
| Hilfefenster öffnet sich ständig </font><blockquote>Zitat:</font><hr />Original erstellt von Frohbarsch: O2 - BHO: (no name) - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetup.cab </font>[/QUOTE]Hi, obiges sollte raus, weil böse oder unnötig Außerdem: 1) --> Ad-aware, spybot und cwshredder installieren, updaten, scannen und bereinigen lassen von http://www.lurkhere.com/~nicefiles/index.html bzw www.lavasoft.de 2) ALLE Startaufrufe prüfen, ob's was bösartiges oder unnötiges ist & ggfs. bereinigen: mit Log-Datei von Hijackthis ( http://www.trojaner-board.de/51130-a...jackthis.html) in Kombination mit: a) Datenbank www.sysinfo.org/startuplist.php & google b) KAV-Scanner (s.u.) Falls es dann noch probleme gibt, neues log hier posten --> Scannen und bereinigen/fixen geht ggfs. besser im abgesicherten Modus (F8-Boot) weitere Details/Links: Forensuche *** P.S.: Was für Viren/Trojanernamen meldet denn der Onlinescanner (welcher?) Hast du deinen IE abgesichert (AcitveX & scripting deaktiviert)? |
28.04.2004, 15:13 | #11 |
| Hilfefenster öffnet sich ständig Der RAV Antivirus Scanner nennt keine Virus Namen, nur die infizierten Dateien: C:\Dokumente und Einstellungen\MeinName\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6A6DF2EP\add7[1].htm->(EncScript) - JS/Seeker-based.gen* -> Infected C:\Dokumente und Einstellungen\MeinName\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C6FVDCP8\add7[1].htm->(EncScript) - JS/Seeker-based.gen* -> Infected Ausserdem sieht man garnicht, ob er die jetz gelöscht hat oder nicht, sonst mach ich's von Hand... Aber das isses wohl auch nicht. Übrigens hab ich versehentlich das Hijack-Log geschickt, das ich vor dem fixiern gespeichert hab, sprich alle von dir genannten Einträge hab ich bereits gelöscht und PC neu gestartet. Spybot, Ad-Aware hab ich auch schon längst laufen lassen. Es tut sich nix. Ausser dauernd Hilfefenster. Hach... Ich schau mal weiter... Danke trotzdem!! |
28.04.2004, 15:29 | #12 |
| Hilfefenster öffnet sich ständig JS/Seeker-based.gen ist in dem Fall der Virus-Name Generell ist dein HijcktThis-Log/die Startaufrufe sehr überladen; prüfe mal selber mit o.g Anleitung, ob da nicht noch mehr raus kann. Dann poste ggfs ein neues Log.. Evtl sieht man auch hiermit noch etws mehr: http://www.diamondcs.com.au/index.php?page=asviewer Bin mir nicht ganz sicher, aber bei aktualisiertem WIN & abgesichertem IE dürfte der JS/Seeker eigentlich gar nicht im IE-Cache auftauchen ?? |
29.04.2004, 10:32 | #13 |
| Hilfefenster öffnet sich ständig Ich hab noch den Security Check online laufen lassen. Beim Full Scan hat er 14 offene Dienste gefunden. Z.B.: Fraggle Rock, md5 Backdoor, Netspy, Remote Storm wurden bei 1025/TCP gefunden. Wie kann ich dagegen vorgehn? |
29.04.2004, 12:02 | #14 |
| Hilfefenster öffnet sich ständig </font><blockquote>Zitat:</font><hr />Original erstellt von Frohbarsch: Z.B.: Fraggle Rock, md5 Backdoor, Netspy, Remote Storm wurden bei 1025/TCP gefunden. Wie kann ich dagegen vorgehn? </font>[/QUOTE]Das bedeutet nur, dass die genannten Trojaner POTENTIELL diese Port benutzen können (nicht müssen!), aber nicht, dass die bei Dir aktiv sind Du könntest a) den zugrundeliegenden Dienst schließen, der Port 1025 offenhält (es wird vom TaskPlaner berichtet, das Deaktivieren desselben ist aber auf XP nicht unbedingt ratsam, da dann verschiedene Sachen nicht mehr funktionieren: imho PreFetch & RESTORE/Systemwiederherstellung) b) mit einer Firewall diesen Port gegen Zugriffe von außen schließen (ob die eingebaute XP-Firewall dies kann ist mir nicht bekannt) c) damit leben, da es bei aktualisiertem WIN momentan imho kein großes Sicherheitsrisiko darstellt (außer der Tatsache, dass dein Rechner im Netz sichtbar ist: ob scheinbar geSTEALTHte Rechner nun sicherer sind, so jetzt mal dahin gestellt ) |
30.04.2004, 11:28 | #15 |
| Hilfefenster öffnet sich ständig Aha, danke. Das beruhigt mich ein wenig... Das Blöde is nur, daß ich jetzt schon so ziemlich alles (mir) mögliche getan und alles nochmal gescannt habe auch mit a² und allem, was ihr mir empfohlen habt. Meine Hilfefenster gehn trotzdem dauernd auf. Meine Scanner erkennen aber keine Malware. Eure Foren hab ich soweit durchforstet (natürlich noch bei weitem nicht alles). Ich hoffe, ich fang nicht zu nerven an, aber fällt euch noch irgendwas ein?? Es ist ja auch nicht das schlimmste Problem, aber es nervt halt elendig... Immer wieder vielen Dank für Zeitaufwendung eurerseits, im Übrigen. |
Themen zu Hilfefenster öffnet sich ständig |
ad-aware, anderes, antivir, antworten, anwendung, bereich, danke, datei, falsch, fängt, gelöscht, helfen, hilfefenster, immer wieder, interne, laufen, meldung, natürlich, nicht, passwort, piepen, problem, schließe, tastatur, temporäre, trojaner, verdacht, worte, zuviel, öffnet |