|
Plagegeister aller Art und deren Bekämpfung: Seite öffnet sich, nichts in Registry oder Hostsfile zu erkennenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
18.04.2006, 20:14 | #1 |
| Seite öffnet sich, nichts in Registry oder Hostsfile zu erkennen Hallo ihr Lieben! Mein System hat es doch sage und schreibe an die 4 Monate ohne Virus und Trojanerbefall ausgehalten...wow *lach* Folgendes Problem: Eine Internetseite 'www.download-center.com' öffnet sich in gewissen Abständen.Außerdem sieht der HijackThis File nun alles andere als gesund aus! Komisch kommt mir vorallem winlogin.exe vor...da dies eine schädliche Datei ist... Hab schon Antivir, Ad-Aware und Cwshredder drüber laufen lassen.Ad-Aware hat nur Cookies gefunden, Antivir hat gar nix gesagt genauso wie Cwsshredder...in der Registry hab ich mich auch schon umgeschaut, nichts auffälliges (jedenfalls meiner Ansicht nach).Laut Sophos verändert winlogin.exe die Registry und den Hosts-file, den Hosts-file hab ich schon ersetzt durch einen neuen...in der Registry nichts zu finden...komisch hier erstmal der hijackthis-file: Logfile of HijackThis v1.97.7 Scan saved at 21:00:45, on 18.04.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\ICQLite\ICQLite.exe C:\WINDOWS\Mixer.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Winamp\winampa.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Opera\Opera.exe C:\Programme\Winamp\winamp.exe C:\Dokumente und Einstellungen\Tequila\Eigene Dateien\Temp\svchost.exe C:\Dokumente und Einstellungen\Tequila\Eigene Dateien\Temp\winlogin.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\regedit.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe D:\downloads\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 'http://www.web.de/' O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM) O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - 'http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab' O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - 'http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab' MfG Tequila Geändert von Tequilachen (18.04.2006 um 20:23 Uhr) |
18.04.2006, 23:55 | #2 |
> MalwareDB | Seite öffnet sich, nichts in Registry oder Hostsfile zu erkennen Hallo,
__________________tippe mal das Deine Probleme hier liegen C:\Dokumente und Einstellungen\Tequila\Eigene Dateien\Temp\svchost.exe C:\Dokumente und Einstellungen\Tequila\Eigene Dateien\Temp\winlogin.exe Scanne die Dateien mal online bei virustotal und jotti und poste das Ergbnis hier. Gruß Schrulli
__________________ |
20.04.2006, 09:10 | #3 |
| Seite öffnet sich, nichts in Registry oder Hostsfile zu erkennen Ja es lag an den Dateien!Hab sie ausfindig gemacht und im Abgesicherten gelöscht.Danach war alles wieder super!
__________________Dankeschön trotzdem |
21.04.2006, 19:25 | #4 |
> MalwareDB | Seite öffnet sich, nichts in Registry oder Hostsfile zu erkennen Hallo, wenn es sich um diesen handelte solltest Du Dein System lieber neu Aufsetzten. Anleitung dazu in meiner Signatur. Was Backdoors können Gruß Schrulli
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
Themen zu Seite öffnet sich, nichts in Registry oder Hostsfile zu erkennen |
ad-aware, adobe, adobe reader, antivir, bho, cyberlink, dll, einstellungen, explorer, file, hijack, hijackthis, internet explorer, microsoft, object, opera, problem, programme, registry, rundll, shockwave, software, system, temp, virus, windows, windows xp, öffnet |