</font><blockquote>Zitat:</font><hr />Original erstellt von Grinsekatze:
Hab ich gemacht - scheint aber ok zu sein
</font>[/QUOTE]Mmmh, komisch. Unbedingt auch die Hinweise von Mav1976, Lucky und *Christian* beachten.

Hier gibts den CWShredder.

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

Die Datei winproc32.exe scheint auf jeden Fall Spyware zu sein.
Aber: Spybot und Ad-aware erkennen diese Datei nicht.
So wäre es schon sinnvoll, die infizierte Datei zu reden, bevor CWS alles platt macht.

Hallo!
Als Neuling kann ich soweit helfen, dass ich vor ein paar Tagen ebenfalls ein Browser Hijacking hatte und die winproc32.exe gehört definitiv dazu und hat zumindest bei mir nach dem Löschen keinerlei anderen Wert gehabt.

Leider bin ich in meinem Thread (Thema: Browser Hijacker Winproc32 )
http://www.trojaner-board.de/forum/u...c;f=6;t=005105
auch noch nicht ganz zum Erfolg gekommen ;-(

Hi *Christian*,

hab Dir die Datei geschickt! [img]smile.gif[/img]

Ich hab jetzt einiges gemacht von Euren Vorschlägen, aber irgendwie nutz alles nix .... die Startseite wird weiter umgeleitet und wenn ich on war sind die Einträge in den Favoriten wieder da und die R1 und R0 auch

und diese exe ist irgendwie mehr als hartnäckig und kommt immer wieder ... aber Trojaner werden mir keine mehr angezeigt - heißt das, daß DIE wenigstens weg sind? Sorry, kenn mich echt nicht soo gut damit aus ...

Gruß,

Grinsekatze

hi grinsekatze,

poste uns doch mal den inhalt deiner win.ini bzw. deiner system.ini

irgendein startaufruf muß dort drinstehen, daß diese sachen immer wiederkommen.

Also ... ich sitz jetzt seit heute morgen 5:00, oder so, fast ununterbrochen vor der Kiste [img]graemlins/balla.gif[/img] ... *ggg* ... ich hab mir jetzt einfach einen anderen Browser runtergeladen und werde den dämlichen IE deaktivieren....

Diese exe - Datei hat sich nur im abgesicherten Modus in den Papierkorb verschieben lassen ... da is sie auch immer noch. Kann ich die jetzt einfach löschen, oder besser nicht?

Ansonsten nochmal vielen Dank für Eure Mühe und die Zeit, die Ihr Euch genommen habt! [img]graemlins/daumenhoch.gif[/img]

Gruß von der Katz

hi grinsekatze,

nochmal, falls du mein posting überlesen hast:

</font><blockquote>Zitat:</font><hr />Original erstellt von mav1976:
poste uns doch mal den inhalt deiner win.ini bzw. deiner system.ini

irgendein startaufruf muß dort drinstehen, daß diese sachen immer wiederkommen. </font>[/QUOTE]

@mav1976

meinst Du den Inhalt des Systemsordners - also *system* oder *system32*
Gruß,

Grinsekatze

Ich sehe von mav keine Frage nach "Systemordner" (kann mich aber auchgetäuscht haben), nur nach system.ini und win.ini, beide sollten im Windows-(System)-Verzeichnis zu finden sein, im normalfall also unter c:\windows
Sind beide (versteckte?) System-DATEIEN

Danke, Shadow *g* ...

Also hier ist schon mal der Inhalt der sytem.ini:

boot]
shell=Explorer.exe
system.drv=system.drv
drivers=mmsystem.dll power.drv
user.exe=user.exe
gdi.exe=gdi.exe
sound.drv=mmsound.drv
dibeng.drv=dibeng.dll
comm.drv=comm.drv
mouse.drv=mouse.drv
keyboard.drv=keyboard.drv
oemfonts.fon=vga850.fon
*DisplayFallback=0
fixedfon.fon=vgafix.fon
fonts.fon=vgasys.fon
386Grabber=vgafull.3gr
display.drv=pnpdrvr.drv
scrnsave.exe=C:\WINDOWS\WOLFORD.SCR

[keyboard]
keyboard.dll=
oemansi.bin=xlat850.bin
subtype=
type=4

[boot.description]
system.drv=Standard-PC
mouse.drv=Standardmaus
keyboard.typ=Standard (101/102 Tasten) oder Microsoft Natural Keyboard
aspect=100,96,96
display.drv=NVIDIA RIVA TNT2 Model 64/Model 64 Pro

[386Enh]
ebios=*ebios
mouse=*vmouse, msmouse.vxd
device=*dynapage
device=*vcd
device=*vpd
device=*int13
woafont=app850.fon
EMMExclude=C000-CFFF
display=*vdd,*vflatd
WPSLPT1=0

[NonWindowsApp]
TTInitialSizes=4 5 6 7 8 9 10 11 12 13 14 15 16 18 20 22

[power.drv]

[drivers]
wavemapper=*.drv
MSACM.imaadpcm=*.acm
MSACM.msadpcm=*.acm
wave=mmsystem.dll
midi=mmsystem.dll

[iccvid.drv]

[mciseq.drv]

[mci]
cdaudio=mcicda.drv
sequencer=mciseq.drv
waveaudio=mciwave.drv
avivideo=mciavi.drv
videodisc=mcipionr.drv
vcr=mcivisca.drv
MPEGVideo=mciqtz.drv
MPEGVideo2=mciqtz.drv

[vcache]

[MSNP32]


[Display]

[drivers32]
msacm.lhacm=lhacm.acm
VIDC.VDOM=vdowave.drv
msacm.msaudio1=msaud32.acm
msacm.sl_anet=sl_anet.acm
MSACM.msg711=msg711.acm
vidc.CVID=iccvid.dll
VIDC.IV31=ir32_32.dll
VIDC.IV32=ir32_32.dll
vidc.MSVC=msvidc32.dll
VIDC.MRLE=msrle32.dll
VIDC.IV50=ir50_32.dll
msacm.iac2=C:\WINDOWS\SYSTEM\IAC25_32.AX
msacm.l3acm=C:\WINDOWS\SYSTEM\L3CODECA.ACM
msacm.msg723=msg723.acm
vidc.M263=msh263.drv
vidc.M261=msh261.drv
MSACM.imaadpcm=imaadp32.acm
MSACM.msadpcm=msadp32.acm
MSACM.msgsm610=msgsm32.acm
MSACM.trspch=tssoft32.acm
VIDC.CVID=iccvid.dll
VIDC.WMV3=wmv9vcm.dll

Da braucht man nur mal ein paar Viren oder Trojaner aus seinem PC und schon lernt man seinen PC von einer ganz anderen Seite kennen ... *lach* ... so ärgerlich das alles ist, so spannend ist es aber auch

danke grinsekatze.

hmm.... kann aber dort nichts verdächtiges sehen, was dich von dem übel befreien könnte.

schau doch mal nach in der "hosts"-datei nach, was dort drinsteht. lasse diese datei mal auf deinem system suchen. (eventuell ist diese auch versteckt)
normal steht meistens nur "
127.0.0.1 localhost" drin.

[ 05. April 2004, 19:42: Beitrag editiert von: mav1976 ]

Hallo mav! [img]smile.gif[/img]

Mittlerweile hab ich noch 3 dialer entdeckt, die ich gleich entfernt habe, aber der IE spinnt trotzdem. Benutze seit gestern einen anderen Browser.

In der hosts - Datei stand in der Tat nix Spannendes - nur eine Erklärung, wofür sie ist -mehr nicht.

Vielleicht findet *Christian* ja auch noch etwas über diese ominöse exe.datei heraus ...

Wenn das alles nichts bringt - kann ich dann eigentlich demnächst den IE einfach deaktivieren, ohne das mir alles zusammenbricht?
Der neue Browser läuft nämlich sehr stabil und gefällt mir auch ganz gut.

Gruß,

Grinsekatze

Hab die Datei weitergeleitet.
Ich denk es handelt sich um Spyware oder einen Hijacker.

</font><blockquote>Zitat:</font><hr /> Der neue Browser läuft nämlich sehr stabil und gefällt mir auch ganz gut. </font>[/QUOTE]Und er ist vor allem viel sicherer als der IE.
Jedoch hast du dann trotzdem Malware auf deinen PC.

winproc32.exe ist ein Trojaner namens Pulez. Kaspersky erkennt ihn bereits als: Trojan.Win32.Pulez

Andere Hersteller sind ein bisschen langsamer.
AntiVir sollte diesen Schädling mit dem morgigen Update erkennen und hoffentlich auch entfernen können.

Hey, *Christian*! [img]smile.gif[/img]

Ich danke Dir!
Dann werde ich morgen mal meinen AntiVir updaten ... ähm .... findet er den auch, wenn der Trojaner im Papierkorb rumlungert (wo ich ihn hinverschoben habe), oder muß er wieder an seine ursprüngliche Stelle?

Lieber Gruß,

Grinsekatze