|
Plagegeister aller Art und deren Bekämpfung: Warning, you´re in danger - extended problemsWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
20.03.2005, 09:55 | #1 |
| Warning, you´re in danger - extended problems Ich weiß, dass dieses Thema schon einmal hier behandelt wurde, aber ich habe es leider immer noch nicht gelöst. Also: Ich bekomme beim Hochfahren ein Bild auf meinem Desktop mit der Meldung "warning, you´re in danger" mit schwarzem Hintergrund und einem netten Text drin. Dies kann ich dann ausschalten mit Start->ystemsteuerung->darstellung und designs->design des computers ändern->desktop->desktop anpassen->web und da das "security" löschen. Aber: Nach kurzer Zeit ist unten in der Task-Leiste ein Ausrufezeichen da, welches, wenn man draufklickt, zu der Seite http://www.topantispyware.com/spywareremovers.php?131 weiterleiten will. Auch kommt, wenn man eine Weile im Netz ist, plötlich ein blaues Fenster mit dem Internet Explorer von "Windows" welches sagt "warning. Windows has detected spyware installed on your computer". Wenn man da draufclickt, wird man zur gleichen Seite weitergeleitet. Außerdem: Beim nächsten Hochfahren ist das schwarze Fenster mit "Warning.." wieder da. Was habe ich gemacht: - Ich habe eine log file erzeugt, sie bei HijackThis prüfen lassen und die entsprechenden Dateien löschen lassen. - Ich habe Adaware durchlaufen lassen - ich habe Clear prog durchlaufen lassen. - ich habe einen Wurm-Scanner durchlaufen lassen - ich habe http://www.ravantivirus.com/scan/indexie.php nach was suchen lassen. Ich habe zwar eine ganze Menge Müll damit beseitigt, das Problem allerdings nicht. Kann mir jemand helfen? Vielen Dank. |
20.03.2005, 10:04 | #2 |
Gast | Warning, you´re in danger - extended problems hast du denn auch deine autostarts x kontrolliert? es befindet sich irgendwo eine datei, die überprüft, ob dieses active desktop bild noch vorhanden ist. wenn nicht, dann wird es neu erzeugt.
__________________ |
20.03.2005, 10:11 | #3 | |
| Warning, you´re in danger - extended problems @Leinad
__________________Zitat:
Ich gehe aber stark davon aus, dass ohne Neuformatieren bekommst du dein PC kaum wieder zurück. |
20.03.2005, 17:56 | #4 |
| Warning, you´re in danger - extended problems 1) @mav1976: Autostart x - wo finde ich das? Ich schätze, Du hast mit Deiner Annahme nämlich vielleicht eine gute Spur. Danke für eine kurze Antwort. 2) @ rene-gad: Meine Log-file (hab das Bild vom Desktop entfernt, das Ausrufezeichen ist aber in der taskleiste vorhanden): Logfile of HijackThis v1.99.1 Scan saved at 17:52:52, on 20.03.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\atievxx.exe C:\Programme\CPUCooL\CooLSrv.exe C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\Teledat\WCOM\SYSTEM\ccui.exe C:\PROGRA~1\Teledat\WCOM\SYSTEM\ADBSERV.EXE C:\Programme\Teledat\WCOM\SYSTEM\RVSRmd.exe C:\Programme\Teledat\WCOM\SYSTEM\CCSRV.EXE C:\Programme\Teledat\WCOM\SYSTEM\CCSRV.EXE C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Winamp\winamp.exe C:\Programme\wincmd\WINCMD32.EXE C:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\Programme\wincmd\WINCMD32.EXE C:\DOKUME~1\Daniel\LOKALE~1\Temp\$wc0\HIJACK~1.EXE R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *new-search.net*;*x-google.net* O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [routcnf] C:\Programme\DeTeWe\TA 33 USB\routcnf.exe /capiactive O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - HKCU\..\RunOnce: [CommCenter] "C:\Programme\Teledat\WCOM\SYSTEM\ccui.exe" O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1109710506494 O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{01E7AB8E-9CA9-4B15-A1A4-9E0078B798D6}: NameServer = 130.149.4.20 130.149.2.12 O17 - HKLM\System\CS1\Services\Tcpip\..\{01E7AB8E-9CA9-4B15-A1A4-9E0078B798D6}: NameServer = 130.149.4.20 130.149.2.12 O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Programme\CPUCooL\CooLSrv.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: RVS CommCenter (RvsCC) - Unknown owner - C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE O23 - Service: RvscomSv - Living Byte Software GmbH, München - C:\Programme\Teledat\WCOM\SYSTEM\RVSCOMSV.EXE O23 - Service: RVS Installer (RVSINST) - Living Byte Software GmbH, München - C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE |
20.03.2005, 18:17 | #5 |
| Warning, you´re in danger - extended problems @ rene-gad: mache ich das Desktop-Hintergrundbild nicht weg, so ergeben sich folgende Unterschiede: a) Mit Desktop-Hintergrundbild (gegenüber Desktop-Hintergrundbild weggemacht und Ausrufezeichen unten in der Taskleiste zusätzlicher Eintrag: C:\WINDOWS\System32\wuauclt.exe b) Einträge, die nur auftauchen, wenn ich das Desktop-Hintergrundbild wegmache und in der Taskleiste bereits ein Ausrufezeichen ist (was erst nach ein paar Minten auftaucht, nachdem ich das Desktop-Hintergrundbild wegmache): O17 - HKLM\System\CCS\Services\Tcpip\..\{01E7AB8E-9CA9-4B15-A1A4-9E0078B798D6}: NameServer = 130.149.4.20 130.149.2.12 O17 - HKLM\System\CS1\Services\Tcpip\..\{01E7AB8E-9CA9-4B15-A1A4-9E0078B798D6}: NameServer = 130.149.4.20 130.149.2.12 Hier nochmal meine komplette Logfile, ohne dass ich das Desktop-Bild weggemacht habe. Logfile of HijackThis v1.99.1 Scan saved at 18:00:58, on 20.03.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\atievxx.exe C:\Programme\CPUCooL\CooLSrv.exe C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\Teledat\WCOM\SYSTEM\ccui.exe C:\PROGRA~1\Teledat\WCOM\SYSTEM\ADBSERV.EXE C:\Programme\Teledat\WCOM\SYSTEM\RVSRmd.exe C:\Programme\Teledat\WCOM\SYSTEM\CCSRV.EXE C:\Programme\Teledat\WCOM\SYSTEM\CCSRV.EXE C:\WINDOWS\System32\wuauclt.exe C:\DOKUME~1\Daniel\LOKALE~1\Temp\$wc0\HIJACK~1.EXE R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *new-search.net*;*x-google.net* O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [routcnf] C:\Programme\DeTeWe\TA 33 USB\routcnf.exe /capiactive O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - HKCU\..\RunOnce: [CommCenter] "C:\Programme\Teledat\WCOM\SYSTEM\ccui.exe" O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1109710506494 O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Programme\CPUCooL\CooLSrv.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: RVS CommCenter (RvsCC) - Unknown owner - C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE O23 - Service: RvscomSv - Living Byte Software GmbH, München - C:\Programme\Teledat\WCOM\SYSTEM\RVSCOMSV.EXE O23 - Service: RVS Installer (RVSINST) - Living Byte Software GmbH, München - C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE |
20.03.2005, 18:18 | #6 |
| Warning, you´re in danger - extended problems Hallo, wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html Scan mit HijackThis und fixe (Häckchen vor folgende Einträge und auf fix checked klicken): O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe Datei manuell löschen: C:\WINDOWS\System32\spoolsrv32.exe Neustart --> Systemwiederherstellung aktivieren UNBEDINGT WINDOWSUPDATEN und zwar auf SP 2! Neues Logfile dartus |
Themen zu Warning, you´re in danger - extended problems |
adaware, bild, blaues fenster, danger, dateien, desktop, detected, ellung, explorer, file, helfen, hijack, hijackthis, hintergrund, hochfahren, internet, internet explorer, log, log file, meldung, problem, prüfen, security, seite, suche, warning, web, windows |