|
Plagegeister aller Art und deren Bekämpfung: Hilfe!!!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
06.07.2007, 21:39 | #1 |
| Hilfe!!! mein pc ist in letzter zeit verdammt langsam geworden und hat immer eine cpu-auslastung von 100%. zwischendurch startet er sich auch immer einfach neu. da ich überhaupt keine ahnung von all dem habe hoffe ich dass ihr mir helfen könnt. Logfile of HijackThis v1.99.1 Scan saved at 22:38:20, on 06.07.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\ehome\ehSched.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\ehome\ehtray.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\WinTV\Ir.exe C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe C:\WINDOWS\ehome\ehmsas.exe C:\WINDOWS\system32\taskmgr.exe C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtWLan.exe C:\WINDOWS\System32\svchost.exe C:\Programme\WinTV\radio.exe C:\Programme\Internet Explorer\iexplore.exe C:\DOKUME~1\Ricky\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis[1].zip\HijackThis.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\ICQ6\ICQ.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://forum.gold-flames.de/portal.php?sid= R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\system32\PSDrvCheck.exe O4 - HKLM\..\Run: [atmdiag] C:\WINDOWS\system32\atmconf.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = ? O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1_03\bin\npjpi141_03.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1_03\bin\npjpi141_03.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1160046313438 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1160046283475 O20 - AppInit_DLLs: vb5dmspo.dll mslskern.dll confatm.dll atmstat.dll O20 - Winlogon Notify: atmmgr - atmmgr32.dll (file missing) O20 - Winlogon Notify: libdprin - C:\WINDOWS\system32\libdprin.dll (file missing) O20 - Winlogon Notify: slbipsch - C:\WINDOWS\system32\slbipsch.dll (file missing) O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Process Monitor (LVPrcSrv) - Unknown owner - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe (file missing) |
06.07.2007, 22:04 | #2 | ||
/// TB-Ausbilder | Hilfe!!! Hi,
__________________mache als erstes bitte mal Folgendes: Start -> Einstellungen -> Systemsteuerung -> System -> Erweitert -> Starten und Wiederherstellen -> Einstellungen entferne den Haken bei "Automatisch Neustart durchführen" und du bekommst so die Möglichkeit beim nächsten ungewollten Neustart eine(hoffentlich erscheinende) Fehlermeldung zu begutachten. Die Meldung rausschreiben und hier posten oder bei google nach Informationen dazu suchen. Lass bitte mal folgende Dateien bei virustotal auswerten: Zitat:
Kopiere bitte immer den gesamten Text ab, allerdings erst wenn oben rechts "finished" steht. Ansonsten könnte dein Java mal nen Update vertragen: Zitat:
Außerdem könntest du mal im Taskmanager schauen welcher Prozess die hohe Auslastung verursacht. lg myrtille |
08.07.2007, 20:28 | #3 |
| Hilfe!!! 1) der findet irwie nich eine einzige dieser dateien. hab alles sichtbar gemacht so wies da stand und hab sie dann bei "suche" gesucht. nur hat der nie was gefunden.
__________________2) mit der meldung bneim abstürzen is eingestellt. 3) woher kriegt man dieses update für java? 4) der leerlauf hatz eine cpu-auslastung con 50-90 % und system so um die 10-20% schon mal danke für deine hilfe :aplaus: Geändert von Ricky (08.07.2007 um 20:39 Uhr) |
08.07.2007, 20:36 | #4 |
| Hilfe!!! Java-update: Download der Java-Software von Sun Microsystems Zum Rest: Warte bitte auf feedback von myrtille |
08.07.2007, 21:44 | #5 | |||
/// TB-Ausbilder | Hilfe!!!Zitat:
Versuche mal die Dateien, bei denen du den ganzen Pfad hast, bei Virustotal hochzuladen. Einfach den kompletten Weg in das weiße Feld bei virustotal eingeben. Mach vielleicht noch einen eScan(Die find.bat einfach per rechtsklick und "speichern unter" runterladen, in 12. den Teil mit der find.zip ignorieren und gleich bei der find.bat weitermachen.), damit sollten wir rausfinden ob was auf deinem Rechner ist. Zitat:
Zitat:
Mal sehen, was virustotal uns eScan so bringt. |
09.07.2007, 20:19 | #6 |
| Hilfe!!! der kann das programm virustotal nich öffnen. der zeigt imma ne fehlermeldung an. ich geh auf die seite, auf virustotal und unten auf download. dann kann ich es entweder deinstallieren oda bei dem anderen zeigt der halt die fehlermeldung an. und was is dieses escan? ich denke ma was in diesem programm oder? |
09.07.2007, 21:27 | #7 |
/// TB-Ausbilder | Hilfe!!! Virustotal ist kein Programm. Du musst die Datei hochladen. Unten im Bild in den roten Kringel den Pfad zur Datei schreiben und dann auf den orange eingekreisten Button klicken. Klick doch mal auf den Link von eScan, da steht alles, auch wo und wie du das Programm runterladen und installieren sollst. Hier noch mal der Link: <klick> lg myrtille |
09.07.2007, 22:46 | #8 |
| Hilfe!!! 1) fehlermeldung beim absturtz: es wurde ein problem festgestellt. windows wurde heruntergefahren, damit der computer nicht beschädigt wird. IRQL_NOT_LESS_OR_EQUAL wenn sie diese fehlermeldung zum ersten mal angezeigt bekommen, sollten sie dem computer neu starten. wenn diese fehlermeldung weiterhin angezeigt wird, müssen sie folgenden schritten folgen: stellen sie sicher, dass neue hardware oder software richtig installiert ist. fragen sie ihren hardware- oder softwarehersteller nach möglicher erforderlichen windows-updates, falls es sich um eine Neuinstallation handelt. falls das problem weiterhin bestehen bleibt, sollten sie alle neu installierte hardware oder software deinstallieren. deaktivieren sie bios-optionen wie caching oder stadowing. starten sie den computer neu, drücken sie die f8-taste, um die erweiterten startoptionen zu wählen und wählen sie dann den abgesicherten modus falls sie zum löschen oder deaktivieren von komponenten den abgesicherten modus verwenden müssen. technische informationen: ***STOP: 0x0000000A (0x82DF403E, 0x00000002, 0x00000000, 0x804DBDA3) speicherabbild der physischen speichers wird erstellt. abbild der physischen speichers wurde erstellt. wenden sie sich an den systemadministrator oder den technischen support. 2) escan wird gemacht!!! |
09.07.2007, 22:48 | #9 | |
| Hilfe!!!Zitat:
das kommt bei den ersten 3: 0 bytes size received / Se ha recibido un archivo vacio |
09.07.2007, 23:00 | #10 | |
| Hilfe!!!Zitat:
bei escan zeigt der an dass der 82 fehler und 18 viren hat bist jetzt |
09.07.2007, 23:11 | #11 | |
| Hilfe!!! Lass den scan mal durchlaufen und poste das log der find.bat. (Seite als find.bat speichern). Sieht nach einer warezov-Infektion aus. Die Eingriffe in dein System sind bereits massiv. Sollte sich der Verdacht bestätigen, rate ich zum Neuaufsetzen. Nach dem escan starte in den abgesicherten Modus (F8 beim Start, oder Start-Ausführen, msconfig, Reiter boot.ini, Häkchen bei safeboot, minimal), kopiere die Dateien Zitat:
edit: sehe gerade: Der Großteil scheint nicht mehr vorhanden zu sein, probiere den abgesicherten Modus und suche die Dateien trotzdem. Poste zusätzlich ein log von silentrunners und von Blacklight. Geändert von ordell1234 (09.07.2007 um 23:17 Uhr) |
09.07.2007, 23:20 | #12 |
| Hilfe!!! ok...ich versteh nich ganz was ich machen soll. wie gesagt, ich kenne mich überhaupt nicht mit computern aus. werd jetzt ers ma den escan zuende machen, was wies aussieht noch n bisschen dauert und die ergebnisse dann reinstellen. dann werd ich das andere mal versuchen. |
10.07.2007, 09:02 | #13 |
| Hilfe!!! ergebnis vom escan: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NORMAL eScan Version: 9.2.9 Sprache: German C:\DOKUME~1\Ricky\LOKALE~1\Temp\MWAV.LOG ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "tencent qq Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. System found infected with thelocalsearch Spyware/Adware (basis.xml)! Action taken: Keine Aktion vorgenommen. System found infected with purityscan Spyware/Adware (loading.html)! Action taken: Keine Aktion vorgenommen. System found infected with thelocalsearch Spyware/Adware (basis.xml)! Action taken: Keine Aktion vorgenommen. System found infected with purityscan Spyware/Adware (loading.html)! Action taken: Keine Aktion vorgenommen. System found infected with thelocalsearch Spyware/Adware (basis.xml)! Action taken: Keine Aktion vorgenommen. System found infected with purityscan Spyware/Adware (loading.html)! Action taken: Keine Aktion vorgenommen. System found infected with thelocalsearch Spyware/Adware (basis.xml)! Action taken: Keine Aktion vorgenommen. System found infected with purityscan Spyware/Adware (loading.html)! Action taken: Keine Aktion vorgenommen. System found infected with thelocalsearch Spyware/Adware (basis.xml)! Action taken: Keine Aktion vorgenommen. System found infected with purityscan Spyware/Adware (loading.html)! Action taken: Keine Aktion vorgenommen. System found infected with thelocalsearch Spyware/Adware (basis.xml)! Action taken: Keine Aktion vorgenommen. System found infected with purityscan Spyware/Adware (loading.html)! Action taken: Keine Aktion vorgenommen. System found infected with thelocalsearch Spyware/Adware (basis.xml)! Action taken: Keine Aktion vorgenommen. System found infected with purityscan Spyware/Adware (loading.html)! Action taken: Keine Aktion vorgenommen. System found infected with thelocalsearch Spyware/Adware (basis.xml)! Action taken: Keine Aktion vorgenommen. System found infected with purityscan Spyware/Adware (loading.html)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\Dokumente und Einstellungen\Ricky\Lokale Einstellungen\temp\icq619_55_40\toolbar\cze\basis.xml Offending file found: C:\Dokumente und Einstellungen\Ricky\Lokale Einstellungen\temp\icq619_55_40\toolbar\cze\loading.html Offending file found: C:\Dokumente und Einstellungen\Ricky\Lokale Einstellungen\temp\icq619_55_40\toolbar\deu\basis.xml Offending file found: C:\Dokumente und Einstellungen\Ricky\Lokale Einstellungen\temp\icq619_55_40\toolbar\deu\loading.html Offending file found: C:\Dokumente und Einstellungen\Ricky\Lokale Einstellungen\temp\icq619_55_40\toolbar\eng\basis.xml Offending file found: C:\Dokumente und Einstellungen\Ricky\Lokale Einstellungen\temp\icq619_55_40\toolbar\eng\loading.html Offending file found: C:\Dokumente und Einstellungen\Ricky\Lokale Einstellungen\temp\icq619_55_40\toolbar\rus\basis.xml Offending file found: C:\Dokumente und Einstellungen\Ricky\Lokale Einstellungen\temp\icq619_55_40\toolbar\rus\loading.html Offending file found: C:\Dokumente und Einstellungen\Ricky\Lokale Einstellungen\temp\icq620_10_21\toolbar\cze\basis.xml Offending file found: C:\Dokumente und Einstellungen\Ricky\Lokale Einstellungen\temp\icq620_10_21\toolbar\cze\loading.html Offending file found: C:\Dokumente und Einstellungen\Ricky\Lokale Einstellungen\temp\icq620_10_21\toolbar\deu\basis.xml Offending file found: C:\Dokumente und Einstellungen\Ricky\Lokale Einstellungen\temp\icq620_10_21\toolbar\deu\loading.html Offending file found: C:\Dokumente und Einstellungen\Ricky\Lokale Einstellungen\temp\icq620_10_21\toolbar\eng\basis.xml Offending file found: C:\Dokumente und Einstellungen\Ricky\Lokale Einstellungen\temp\icq620_10_21\toolbar\eng\loading.html Offending file found: C:\Dokumente und Einstellungen\Ricky\Lokale Einstellungen\temp\icq620_10_21\toolbar\rus\basis.xml Offending file found: C:\Dokumente und Einstellungen\Ricky\Lokale Einstellungen\temp\icq620_10_21\toolbar\rus\loading.html ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ Offending Folder found: C:\Dokumente und Einstellungen\Ricky\Anwendungsdaten\icq\bart\1024 ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKLM\Software\tencent !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ Invalid Entry DllName = atmmgr32.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\atmmgr). Deleting Registry Key atmmgr... Invalid Entry DllName = C:\WINDOWS\system32\libdprin.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\libdprin). Deleting Registry Key libdprin... Invalid Entry DllName = C:\WINDOWS\system32\slbipsch.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\slbipsch). Deleting Registry Key slbipsch... ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\DOKUME~1\Ricky\LOKALE~1\Temp\NeroDemo11596\Cab\4B24CC45.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\DOKUME~1\Ricky\LOKALE~1\Temp\NeroDemo11596\Cab\Tmp\SetupNeroMobileUnsignedA8C35C16.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\DOKUME~1\Ricky\LOKALE~1\TEMPOR~1\Content.IE5\E11QVI1O\hijackthis_199[1].zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\Ricky\Lokale Einstellungen\Temp\NeroDemo11596\Cab\4B24CC45.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\Ricky\Lokale Einstellungen\Temp\NeroDemo11596\Cab\4e08c89a.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\Ricky\Lokale Einstellungen\Temp\NeroDemo11596\Cab\Tmp\SetupNeroMobileUnsignedA8C35C16.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\Ricky\Lokale Einstellungen\Temporary Internet Files\Content.IE5\E11QVI1O\hijackthis_199[1].zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 88849 Gefundene Viren: 18 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 97 Dauer des Scans bisher: 02:20:48 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 10:01:23,29 Batchende: 10:01:39,36 |
10.07.2007, 19:57 | #14 | |
| Hilfe!!! Hallo Ricky, meine Hinweise waren wohl etwas knapp. Der escan war nicht sonderlich ergiebig. Hat dir Antivir schon Virenmeldungen angezeigt? Wenn ja, wie hast du reagiert? Liegen Dateien in der Quarantäne, wenn ja, welche? - lade dir das Programm Blacklight (bereits verlinkt, s.o.), führe es aus und post das log (nennt sich fsbl-2007...txt) - gehe auf die verlinkte Seite silentrunners.org, bei "click here" Rechtsklick mit der Maus, Ziel speichern unter, und speichere silentrunners.vbs auf deinem Rechner - öffne die Eingabeaufforderung (Start-Ausführen-cmd), ein schwarzes Fenster erscheint und gib ein: cd %userprofile%\desktop reg export HKLM\Software\Tencent tencent.txt -> auf dem Desktop sollte jetzt die Datei tencent.txt liegen, poste bitte ihren Inhalt - starte in den abgesicherten Modus (Anleitung) - starte im abgesicherten Modus silentrunners.vbs und poste das log (Startup Programs ... txt) - suche im Ordner C:\Windows\system32 nach den Dateien Zitat:
- Lade die umbenannten Dateien bei virustotal.com hoch und poste das Ergebnis inkl. Dateigröße Gruß |
10.07.2007, 20:59 | #15 |
| Hilfe!!! keine der dateien is da zu finden. habe alles sichtbar gemacht und unter suchen gesucht (s.o.) .is aber nix |
Themen zu Hilfe!!! |
adobe, antivir, appinit_dlls, avira, bho, confused, dateien, explorer, helfen, heulen, hijack, hijackthis, hilfe!!, hilfe!!!, icq, internet, internet explorer, keine ahnung, langsam, messenger, microsoft, netgear, nmbgmonitor.exe, programme, software, system, system32, temp, urlsearchhook, windows, windows xp, wireless |