|
Plagegeister aller Art und deren Bekämpfung: ie spielt verrücktWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
26.12.2003, 03:11 | #1 |
| ie spielt verrückt hi leute, ich habe gehört, ihr sollt richtig gut sein. habe im homepage-forum ein problem beschrieben und da hat man gesagt, ich soll mich an euch wenden, weil es vielleicht ein wurm sein könnte: http://www.homepage-forum.de/viewtopic.php?t=9309 bitte schaut euch das mal an... |
26.12.2003, 08:46 | #2 |
ie spielt verrückt Moin gormesgorm,
__________________erst einmal 'Herzlich Willkommen im Board!. Am Besten, Du lädst Dir (sofern möglich!!) erst einmal HijackThis herunter, scannst deinen Rechner und postest uns den Report hier. Dann können wir am besten sehen, was sich auf deinem Rechner so 'tummelt'... tschööö, DerBilk
__________________ |
26.12.2003, 11:04 | #3 |
| ie spielt verrückt Logfile of HijackThis v1.97.7
__________________Scan saved at 11:03:52, on 26.12.2003 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe E:\Programme\Winamp\Winampa.exe C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe C:\Programme\ICQLite\ICQLite.exe C:\WINDOWS\system32\TTTimer.exe C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe C:\WINDOWS\System32\P2P Networking\P2P Networking.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\sp.exe C:\Programme\Gemeinsame Dateien\GMT\GMT.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe E:\Programme\Winamp\winamp.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Matthias\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R3 - URLSearchHook: PerfectNavBHO Class - {A045DC85-FC44-45be-8A50-E4F9C62C9A84} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: NavErrRedir Class - {A045DC85-FC44-45be-8A50-E4F9C62C9A84} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O4 - HKLM\..\Run: [WinampAgent] "E:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [NetPumper] "C:\Programme\NetPumper\NetPumperIEProxy.exe" O4 - HKLM\..\Run: [TerraTec Scheduler] C:\WINDOWS\system32\TTTimer.exe O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [sp] C:\WINDOWS\sp.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{6DEF9896-560C-4C41-852B-E9629E131CC2}: NameServer = 193.189.244.197 193.189.244.205 |
26.12.2003, 11:21 | #4 |
| ie spielt verrückt Hallo erstmal! Habe ein ähnliches Problem... Ganz am Anfang kam wenn ich auf bestimmte Seiten wollte immer diese perfectnav Page. Dann hab ich mir auf Empfehlung eines Freundes das Programm Ad-aware runtergeladen und es durchlaufen lassen und anschließend die Sachen gelöscht, die er mir angezeigt hat. Danach lies ich auch nochmal Antivir durchlaufen, aber mir wurden keine Viren angezeigt. Jetzt komm ich auf bestimmte Seiten nicht drauf und es wird angezeigt: "Die Seite kann nicht angezeigt werden..." (...halt der bekannte Text). Ich hab mir dann auch mal HijackThis runtergeladen und nun wollte ich euch auch nach Hilfe fragen... </font><blockquote>Zitat:</font><hr />Logfile of HijackThis v1.97.7 Scan saved at 11:08:36, on 26.12.2003 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\gearsec.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Dit.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\DitExp.exe C:\WINDOWS\system32\taskmgr.exe C:\Programme\Trillian\trillian.exe C:\Programme\Internet Explorer\iexplore.exe C:\Downloads\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Startup: taskmgr.lnk = C:\WINDOWS\system32\taskmgr.exe O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html</font>[/QUOTE]Ich hoffe ihr könnt mir helfen Ciao Wingman |
26.12.2003, 11:25 | #5 |
/// Helfer-Team | ie spielt verrückt @gormesgorm </font><blockquote>Zitat:</font><hr />C:\WINDOWS\system32\TTTimer.exe C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe C:\WINDOWS\System32\P2P Networking\P2P Networking.exe C:\WINDOWS\sp.exe</font>[/QUOTE]Also P2P Networking.exe sieht nach Dialer aus. Lade dir mal YAW[1] runter und scann mal deinen Rechner. Und diese sp.exe sieht verdächtig aus. Schon mal gescannt? Mit AVPE[2] z.B. oder sofern die Datei kleiner als 1MB ist, dann kannst du sie auch gut mit dem KAV Online Scanner[3] checken lassen. @beide Lasst mal Spybot[4] über euer System laufen. Björn [1] http://www.yaw.at [2] http://www.free-av.de [3] http://kaspersky.com/de/remoteviruschk.html [4] http://www.safer-networking.org/
__________________ Kein Support per PM! |
26.12.2003, 11:44 | #6 |
| ie spielt verrückt Habe YAW eladen, geupdated und zu meinem Glück sagt er folgendes: </font><blockquote>Zitat:</font><hr />Gescannte Dateien: 16 Gefundene Dialer: 0 Verdächtige Dateien: 0 Scanvorgang erfolgreich abgeschlossen. </font>[/QUOTE]Mal so nebenbei ne Frage: Klappt bei euch meine Seite www.red-inferno-duesseldorf.de ? Das ist nämlich mein Hauptproblem, ich komme nicht mehr drauf, aber z.B. mein bruder an seinem PC kommt drauf. Ciao Wingi |
26.12.2003, 11:54 | #7 |
/// Helfer-Team | ie spielt verrückt Zu deinem Glück? Du hast doch nur 16 Dateien gescant, ich würde sagen den Desktop oder? Du mußt vor dem Scannen den kompletten Rechner mal anhacken, so das der alles scant nicht nur den Desktop. [edit] Ja, die Seite funktioniert bei mir. Björn
__________________ Kein Support per PM! |
26.12.2003, 12:09 | #8 |
| ie spielt verrückt Ups, mein fehler Ich weiß zwar nicht was du mit anhacken meinst, aber ich hab beim scannen einfach mal den Knopf "Alle Laufwerke scannen" aktiviert. Jetzt zeigt er folgendes an... </font><blockquote>Zitat:</font><hr />3080 Dialersignaturen geladen. Scanne alle verfügbaren Laufwerke Gescannte Dateien: 57180 Gefundene Dialer: 0 Verdächtige Dateien: 0 Scanvorgang erfolgreich abgeschlossen.</font>[/QUOTE] |
26.12.2003, 12:15 | #9 |
| ie spielt verrückt Soll nicht eigentlich auch mit aktivierter Heuristik gescannt werden?! |
26.12.2003, 12:19 | #10 |
/// Helfer-Team | ie spielt verrückt Jo kann er auch nochmal machen... [img]smile.gif[/img] Ja das mit "Alle Laufwerke" das meinte ich [img]smile.gif[/img] Björn
__________________ Kein Support per PM! |
26.12.2003, 12:36 | #11 |
| ie spielt verrückt OK, OK, bin halt ziemlicher Anfänger auf dem Gebiet [img]graemlins/crazy.gif[/img] So jetzt hab ich die komplette Festplatte gescannt (nicht wie vorhin alle) und er hat drei interessante Sachen gefunden die ich vorerst nich isoliert habe, weil ich erst euch fragen wollte: </font><blockquote>Zitat:</font><hr />3080 Dialersignaturen geladen. Scanne das Verzeichnis C:\ C:\Dokumente und Einstellungen\Wingman_67\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1MZ6QIIU\(2012-51{DE)[1].exe - Verdächtig: Programm wählt oder erstellt evtl. DFÜ Verbindungen C:\WINDOWS\Driver Cache\i386\diapi2.sys.av - Verdächtig: Programm kann evtl. Verbindungen über die CAPI aufbauen C:\WINDOWS\Driver Cache\i386\vinwm.sys.av - Verdächtig: Programm kann evtl. Verbindungen über die CAPI aufbauen Gescannte Dateien: 56320 Gefundene Dialer: 0 Verdächtige Dateien: 3 Scanvorgang erfolgreich abgeschlossen. </font>[/QUOTE] |
26.12.2003, 13:01 | #12 | ||
| ie spielt verrückt </font><blockquote>Zitat:</font><hr />Original erstellt von Wingman: Zitat:
Zitat:
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O4 - Startup: taskmgr.lnk = C:\WINDOWS\system32\taskmgr.exe O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe Du koenntest dir noch adaware(www.lavasoft.de) oder SpybotSD(security.kolla.de) zulegen.
__________________ MfG Ralf |
26.12.2003, 13:08 | #13 |
| ie spielt verrückt </font><blockquote>Zitat:</font><hr />Original erstellt von gormesgorm: Logfile of HijackThis v1.97.7 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) </font>[/QUOTE]Du solltest deinen IE/Windows mal updaten(www.windowsupdate.com) "Fix"e zusaetzlich mal folgendes: R3 - URLSearchHook: PerfectNavBHO Class - {A045DC85-FC44-45be-8A50-E4F9C62C9A84} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O2 - BHO: NavErrRedir Class - {A045DC85-FC44-45be-8A50-E4F9C62C9A84} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O4 - HKLM\..\Run: [WinampAgent] "E:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKCU\..\Run: [sp] C:\WINDOWS\sp.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - Das kannst du optional "fix"en ist aber nicht zwingend noetig: O4 - HKLM\..\Run: [NetPumper] "C:\Programme\NetPumper\NetPumperIEProxy.exe" O4 - HKLM\..\Run: [TerraTec Scheduler] C:\WINDOWS\system32\TTTimer.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize Du kannst dir ja auch mal Adaware und Spybot ansehen.
__________________ MfG Ralf |
26.12.2003, 13:12 | #14 |
| ie spielt verrückt OK, ich mach das mal alles und gebe dann nochmal bescheid, wie es gelaufen ist. Danke Wingman |
26.12.2003, 14:00 | #15 |
| ie spielt verrückt also ich habe nun deine progs installiert und ausgeführt. fehler immernoch da [img]graemlins/schrei.gif[/img] |
Themen zu ie spielt verrückt |
leute, problem, richtig, wurm |