| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: was tun?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
26.04.2004, 00:47
| #1 |
| |  was tun? hallo, liebe gemeinde der kundigen auf meinem rechner passiert etwas, das ich nicht weiß! zunächst dachte ich an netsky, der sich trotz firewall und antivirusprogramm sowie regelmäßigem scan durch pest patrol und ad-aware eingeschlichen hat. auf meinem rechner (system win 98se) befindet sich im windows ordner eine nicht löschbare datei winlogon.exe alle versuche, sie in windows (normal und im abgesicherten modus) zu löschen oder zu shreddern, schlagen fehl (meldung: datei wird von windows verwendet). die vsmon.exe meiner firewall (zonealarm) meldet aller paar sekunden, daß sie heruntergefahren wird und will wieder gestartet werden. das antivir-programm (av-personal von hbedv) startet kurz beim hochfahren und meldet eine infektion der winkey.dll in c:\windows\system mit dem trojaner BDS/ProRat.14.C diese läßt sich aber nicht beseitigen. außerdem läßt sich der av-guard nicht starten. alle meine "Kurzstreckenraketen" gegen würmer, trojaner und adware melden den rechner als virenfrei - stinger (mc afee), antinetsky (bitdefender). pest patrol (version 4.0), w32 netsky fixtool von symantec. meine veruche im dos-modus an diese winlogon.exe heranzukommen und zu löschen enden immer wieder damit, dass sie am ende beim starten von windows doch wieder da ist. hijack protokoll: Logfile of HijackThis v1.97.7 Scan saved at 23:11:36, on 25.4.2004 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\WINLOGON.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\STIMON.EXE D:\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE D:\FREEWARE\_FREEWARE.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE F:\FXNETSKY.EXE F:\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://sharempeg.com/find/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://sharempeg.com/find/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\system32\search.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = C:\WINDOWS\system32\searchbar.html F0 - system.ini: Shell=Explorer.exe C:\WINDOWS\system\sservice.exe F1 - win.ini: run= C:\WINDOWS\system\sservice.exe O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\ACROBAT\READER\ACTIVEX\ACROIEHELPER.DLL O2 - BHO: (no name) - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\WSEM217.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\Run: [Logitech Utility] LOGI_MWX.EXE O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Initialize8x8] C:\WINDOWS\pinnacle\PCTV\8x8_init.exe O4 - HKLM\..\Run: [PCLEPCI] F:\PINNACLE\PPE\ppe.exe O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE /min O4 - HKLM\..\Run: [Zone Labs Client] D:\ZONEAL~2\zlclient.exe O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service O8 - Extra context menu item: Download with GetRight - D:\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - D:\GetRight\GRbrowse.htm O12 - Plugin for .UVR: C:\Programme\Internet Explorer\Plugins\NPUPano.dll O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.120.252,192.168.120.253 ich bin am ende. wer ist es nicht? danke im voraus! |
| Themen zu was tun? |
| abgesicherten modus, ad-aware, adware, beim starten, bho, browser, defender, download, explorer, firewall, hijackthis, immer wieder, internet, internet explorer, löschen, mc afee, meinem, nicht, nicht löschbare datei, object, ordner, programme, registry, rundll, scan, sekunden, shockwave, software, starten., system, trojaner, windows |
Baum-Darstellung