![]() |
|
Plagegeister aller Art und deren Bekämpfung: Hilfe, ich verzweifel...Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() |
|
![]() | #1 |
| ![]() Hilfe, ich verzweifel... Hey! Ich verzweifel hier mit einem Pop-Up das sich immer in meiner Icon-Liste unten rechts einschleicht: Da kommt immer ein gelbes Warnzeichen mit einem Ausrufezeichen und der meint "Your system has been infected, please click here for spyware removel..." Hab jetzt Norten 2005, Kaspersky und a sqared drüberlaufen lassen, hab auch ca 20 Viren gefunden, aber weg is das Ding immer noch nicht! In meinen Temporary Internet Files kann ich auch ein paar nie löschen, und interessanter Weise vermehren die sich immer. Hier ein paar NAmen: gateway.dll?Action=poll&SessionID=113907551 gateway.dll?Action=poll&SessionID=210391762 (gleich fünf mal) gateway.dll?Action=SessionID=210391762 Hat das vielleicht was damit zu tun? Bin echt kurz davor meinen PC zu plätten, ihr seit meine letzte Hoffnung... ![]() Thx! |
![]() | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ ![]() ![]() ![]() ![]() ![]() ![]() | ![]() Hilfe, ich verzweifel... Hört sich nach Smitfrauf oder diesem Mist an...poste doch mal so ein Log.
__________________
__________________ |
![]() | #3 |
| ![]() Hilfe, ich verzweifel... ALso, alles gemacht, hier is das file:
__________________Logfile of HijackThis v1.99.1 Scan saved at 10:20:36, on 18.04.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\nvctrl.exe C:\WINDOWS\system32\mssearchnet.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\AGRSMMSG.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\PROGRA~1\LAUNCH~1\CPLCL32.EXE C:\Program Files\Aspire Arcade\PCMService.exe C:\Programme\CRW\shwicon.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WPSC3PSW.EXE C:\Programme by Mecki\D-Tools\daemon.exe C:\Programme by Mecki\ZoneAlarm\zlclient.exe C:\PROGRA~3\Nokia\NOKIAP~1\LAUNCH~1.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE C:\Programme by Mecki\Gmail Notifier\gnotify.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\msiexec.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\MsiExec.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme by Mecki\WinAce\WinAce.exe C:\DOKUME~1\Mecki\LOKALE~1\Temp\~AceTemp\hijackthis\HijackThis.exe C:\Programme\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.type2find.com/sp2.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.type2find.com/sp2.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\about.htm R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:80 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1:80 R3 - Default URLSearchHook is missing O2 - BHO: Nothing - {8d83b16e-0de1-452b-ac52-96ec0b34aa4b} - C:\WINDOWS\system32\hpCC79.tmp O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - blank (file missing) O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - blank (file missing) O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLCL32.EXE O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Aspire Arcade\PCMService.exe" O4 - HKLM\..\Run: [ShowIcon_Chander_CRW Series Driver v1.17r019] C:\Programme\CRW\shwicon.exe -t"Chander\CRW Series Driver v1.17r019" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Programme by Mecki\Gmail Notifier\G001-1.0.25.0\gnotify.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [WpsRePsw] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WpsRePsw.EXE O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme by Mecki\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme by Mecki\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~3\Nokia\NOKIAP~1\LAUNCH~1.EXE -onlytray O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - Global Startup: Gmail Notifier.lnk = C:\Programme by Mecki\Gmail Notifier\gnotify.exe O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ? O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: winsor32 - winsor32.dll (file missing) O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: kavsvc - Kaspersky Lab - C:\Programme by Mecki\Kaspersky Anti-Virus Personal Pro\kavsvc.exe O23 - Service: SAVScan - Unknown owner - C:\Programme by Mecki\Norton AntiVirus\SAVScan.exe (file missing) O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe Danke für die Hilfe! PS: Grad ging ein neuer Pop-Up auf den ich noch nciht kannte, auch sehr interessant, aber immer die gleiche Intention der Meldung: Ich hab Spyware (wirklich?!?!!?) |
![]() | #5 |
| ![]() SpyFalcon / Sypquake sicher ohne Systemschäden entfernen Download Noahdfear's SmitRem fix http://noahdfear.geekstogo.com/ Für SpyFalcon, download FixSF.reg http://www.bleepingcomputer.com/files/reg/FixSF.reg Für SpywareQuake, download FixSQ.zip http://castlecops.com/zx/flrman1/FixSQ.zip Download Ewido Antimalware http://www.ewido.net/en/download/ Tutorial: -Ewido installieren und updaten / keinen Scan ausführen -SmitRem entpacken in ein neues Verzeichnis außerhalb von c: -Für SpyFalcon Doppelklick auf FixSF.reg und dann >YES< Button und dann >OK< Button klicken Die restliche Entfernung wird im Abgesicherten Modus ausgeführt. Ergo, neu starten und F8 vor dem Windowsscreen drücken Nach folgenden Dateien suchen: C:\Windows\System32\dxmpp.dll C:\Windows\System32\ginuerep.dll C:\Windows\System32\stickrep.dll C:\Program Files\SpyFalcon C:\Program Files\SpywareQuake Wenn du sie findest, lösche sie - (manchmal lassen sich keine dieser Dateien finden) In den Ordneroptionen "Alle Dateien und Ordner anzeigen" aktivieren und nochmals suchen. Auch wenn du jetzt immer noch keine Dateien gefunden hast, den SmitRem Ordner aufrufen und die RunThis.bat durch Doppelklick starten. Alle offenen Windowsprogramme müssen jetzt geschlossen sein. Danach erscheint ein DOS-Fenster und dann die Any-Key Taste drücken, um die Entfernung zu starten.. Das Tool fängt jetzt an zu arbeiten, wenn dieser Prozess abgeschlossen ist, erschein im DOS-Fenster der Text: The Tool has completed Da die Malware SpyFalcon und SpyQuake viele Dateien über deine Festplatten verteilt, musst du jetzt dein System mit Ewido scannen. ACHTUNG: Dieses kann sehr schnell gehen(<5min) oder aber auch ein paar Stunden dauern, da es von deiner gespeicherten Datenmenge abhängig ist.(leuchtet das "Festplattenaktivitätslicht" sucht das Tool noch....Geduld!!!) Wenn Ewido fertig mit dem Scannen ist, den Report abspeichern. Danach den PC neu starten und gegebenenfalls den Desktop neu einrichten. Gruss netjargon P.S. Fragen können per mail oder hier gestellt werden - Feedback erwünscht! |
![]() | #6 | |
![]() ![]() | ![]() Hilfe, ich verzweifel...Zitat:
![]() dartus
__________________ --> Hilfe, ich verzweifel... |
![]() | #7 |
![]() ![]() ![]() ![]() | ![]() Hilfe, ich verzweifel... netjargon meiner Meinung nach , ist die Anleitung nicht in Ordnung, da nicht vollstaendig. Man sollte Spyfalcon und SpywareQuake nicht in einem Thread behandeln. Dazu kommt, dass es staendig neue dll gibt, also staendig aktualisiert werden muss. ------------------------------------------------------------------ Spyfalcon http://virus-protect.org/artikel/spyware/spyfalcon.html SpywareQuake http://virus-protect.org/artikel/spy...warequake.html beide Links enthalten auch Anweisungen, wenn der Purityscan vorhanden ist. --------------------------------------------------------------- Uebersicht: (alle dll enthalten und werden staendig aktualisiert ) http://board.protecus.de/t20820.htm
__________________ MfG Sabina |
![]() | #8 | |
| ![]() Hilfe, ich verzweifel...Zitat:
@dartus: I know I got often mindfucked by language switching.. ![]() |
![]() |
Themen zu Hilfe, ich verzweifel... |
action, click, files, gefunde, gelbes, heulen, infected, inter, interne, internet, kaspersky, löschen, namen, norten, please, pop-up, rechts, spyware, system, temporary, vermehren, verzweifel, viren, zeichen |