| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Werde bald verrückt !!!! Brauche echte Hilfe !!!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
25.05.2006, 15:52
| #1 |
| |  Werde bald verrückt !!!! Brauche echte Hilfe !!! Hallo Forum ! Habe folgendendes Problem. Auf dem Rechner meines Kollegen ist der Teufel los. Wenn er den Internet explorer oder den mozzila öffnet und damit rumsurft, gehen laufend neue Browser fenster und es kommen websites wie zb: - http://www.pr-omoting.com/tau.html - http://www.savi-ngs.com/tau.html etc...... hab adaware und antivir....die erkennen bei den scanns zwar laufend irgendwelche bedrohungen...die werden auch gelöscht...aber ein paar minuten später geht das ganze wieder von vorne los. Hat mir bitte jemand einen tipp, wie ich diesen virus oder was auch immer das ist vom pc bekomme ??? danke im voraus gruss otti55 |
|
25.05.2006, 16:14
| #2 |
| > MalwareDB   | Werde bald verrückt !!!! Brauche echte Hilfe !!!__________________
__________________ |
|
25.05.2006, 16:27
| #3 |
| | Werde bald verrückt !!!! Brauche echte Hilfe !!! hallo,
__________________danke erstmal. anbei der logfile Logfile of HijackThis v1.99.1 Scan saved at 17:29:24, on 25.05.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\Explorer.EXE C:\Programme\SPAMfighter\SFAgent.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe C:\Programme\klickTel\klickTel Herbst 2005\KSTART32.EXE C:\WINDOWS\c2Nocm9lcg\command.exe C:\PROGRA~1\Firebird\V1_5_1\bin\fbguard.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\WFXSVC.EXE C:\Programme\WinFax\WFXMOD32.EXE C:\PROGRA~1\Firebird\V1_5_1\bin\fbserver.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe C:\Programme\Google\Google Desktop Search\GoogleDesktopOE.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Dokumente und Einstellungen\schroer\Desktop\hjack\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://schroer.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.schroer.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Programme\SPAMfighter\SFAgent.exe" update delay 60 O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKCU\..\Run: [Rmcs] "C:\DOKUME~1\schroer\ANWEND~1\PPPATC~1\lsass.exe" -vt yazr O4 - HKCU\..\Run: [SpyBrowser] C:\Programme\SpyBro\SpyBro.exe /autostart O4 - Startup: klickTel Herbst 2005 - Schnellstarter.lnk = C:\Programme\klickTel\klickTel Herbst 2005\KSTART32.EXE O4 - Global Startup: Zahlungserinnerung.lnk = C:\PROFI\wzed.exe O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} (SysProWmi Class) - http://support.euro.dell.com/systemprofiler/SysPro.CAB O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120152949046 O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - http://support.euro.dell.com/global/apps/systemprofiler/PROFILER.CAB O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://www.azebar.com/1/sux.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{72DD14B9-4BFD-4376-A5CB-8ECE4EB01366}: NameServer = 217.237.151.161 217.237.151.33 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: directut - directut.dll (file missing) O20 - Winlogon Notify: ideusr50 - ideusr50.dll (file missing) O20 - Winlogon Notify: ModuleUsage - C:\WINDOWS\system32\f00o0ad3ed0.dll O20 - Winlogon Notify: xdudtt - xdudtt.dll (file missing) O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\c2Nocm9lcg\command.exe O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\PROGRA~1\Firebird\V1_5_1\bin\fbguard.exe O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\PROGRA~1\Firebird\V1_5_1\bin\fbserver.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe O23 - Service: WinFax PRO (wfxsvc) - Symantec Corporation - C:\WINDOWS\System32\WFXSVC.EXE |
|
25.05.2006, 16:42
| #4 |
| > MalwareDB | Werde bald verrückt !!!! Brauche echte Hilfe !!! Hallo, bitte editiere deratige Logs, wie in der Anleitung angeben, Otto! Ich gehe davon aus, das es sich bei Deinem Rechner um ein produktivsystem handelt, belehre mich eines besseren. Egal wie rat ich Dir den Rechner neu aufzusetzten, eine Anleitung dazu ist in meiner Signatur verlinkt. Warum dies? Du hast folgende Problemeinträge auf dem Rechner C:\WINDOWS\c2Nocm9lcg\command.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O4 - HKCU\..\Run: [Rmcs] "C:\DOKUME~1\schroer\ANWEND~1\PPPATC~1\lsass.exe" -vt yazr O4 - HKCU\..\Run: [SpyBrowser] C:\Programme\SpyBro\SpyBro.exe /autostart O4 - Global Startup: Zahlungserinnerung.lnk = C:\PROFI\wzed.exe O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://www.azebar.com/1/sux.cab O20 - Winlogon Notify: directut - directut.dll (file missing) O20 - Winlogon Notify: ideusr50 - ideusr50.dll (file missing) O20 - Winlogon Notify: ModuleUsage - C:\WINDOWS\system32\f00o0ad3ed0.dll O20 - Winlogon Notify: xdudtt - xdudtt.dll (file missing) O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\c2Nocm9lcg\command.exe Daher mein Rat. Gruß Schrulli
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
|
| Themen zu Werde bald verrückt !!!! Brauche echte Hilfe !!! |
| adaware, brauche, browser, erkennen, explorer, fenster, folge, folgende, forum, interne, internet, internet explorer, laufend, minute, minuten, neue, rechner, scan, teufel, verrückt, virus, websites, öffnet |
Linear-Darstellung
