|
Log-Analyse und Auswertung: heretofind.deWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
25.08.2004, 14:39 | #31 |
| heretofind.de Fixe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=9&q=%s R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html# R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=9&q=%s R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html# O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=9&q= O13 - WWW Prefix: http://www.heretofind.com/show.php?id=9&q= O13 - Home Prefix: http://www.heretofind.com/show.php?id=9&q= O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=9&q= O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=9&q= und ich glaube noch: O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll O9 - Extra button: Corel Network monitor worker - {519A61C0-F5FE-11D8-AF03-0050DA74BC19} - (no file) O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {519A61C0-F5FE-11D8-AF03-0050DA74BC19} - (no file) O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) O9 - Extra button: Corel Network monitor worker - {519A61C0-F5FE-11D8-AF03-0050DA74BC19} - (no file) (HKCU) O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {519A61C0-F5FE-11D8-AF03-0050DA74BC19} - (no file) (HKCU) O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU) O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_EN.cab (Bitte korrigiert mich, falls falsch!) Stare deinen PC im Safeboot (Abgesicherter Modus) und lasse eSan einmal durchlaufen (http://www.mwti.net/antivirus/free_utilities.asp), vergib eine neue Startseite und poste ein neues log. Ach und hier noch mein Log von Gestern nach dem eSacn im Safeboot: Logfile of HijackThis v1.98.2 Scan saved at 15:42:52, on 25.08.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\RunDll32.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\Programme\QuickTime\qttask.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\LOADSTREET\Background Organizer PRO\Desktop.exe C:\Programme\AOL 9.0\waol.exe C:\Programme\AOL 9.0\shellmon.exe C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe C:\Dokumente und Einstellungen\Jan-Udo\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://soundkarte/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Startup: Background Organizer PRO.lnk = C:\Programme\LOADSTREET\Background Organizer PRO\Desktop.exe O4 - Startup: Reboot.exe O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093366622395 O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{0F602D69-1E18-4C2A-91B6-B5F997E21359}: NameServer = 205.188.146.146 O17 - HKLM\System\CS1\Services\Tcpip\..\{0F602D69-1E18-4C2A-91B6-B5F997E21359}: NameServer = 205.188.146.146 ICH BIN FREI... bis jetzt |
25.08.2004, 14:56 | #32 |
| heretofind.de dann lade ich erstmal eScan runter.
__________________bist du dir sicher bei den anderen sachen, oder soll ich noch auf ne zweite meinung dazu warten? sorry, nich lachen, aber wie starte ich dat ding hier im abgesicherten modus? |
25.08.2004, 15:17 | #33 |
| heretofind.de Hallo Ihr Lieben,
__________________das wird ein bißchen chaotisch hier ... deswegen wollten wir eigentlich gerne, dass jeder einen eigenen Thread aufmacht ... vielleicht alle, die von diesem "heretofind.de" betroffen sind, mit einer Betreff-Zeile, die es erleichtert, diese 'Search-Sorte' eindeutig zu erkennen. Ich schlage vor Nummern zu vergeben: "heretofind.de-1" - "heretofind.de-2" usw. ---------- @ AntiVir - Du hast das Logfile von denim demon bereits bearbeitet. Ich gebe es trotzdem nochmal in seiner zu fixenden Gesamtheit ein, das ist einfacher. Also hier zunächst das Logfile von @ denim demon bitte fixen: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.lycos.de/search/msie40.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=9&q=%s R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html# R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.lycos.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=9&q=%s R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html# O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=9&q= O13 - WWW Prefix: http://www.heretofind.com/show.php?id=9&q= O13 - Home Prefix: http://www.heretofind.com/show.php?id=9&q= O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=9&q= O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=9&q= Wenn diese Einträge nicht bekannt sind, bitte fixen! Es handelt sich um unnötige (unwirksame) Einträge, die entfernt werden können: O9 - Extra button: Corel Network monitor worker - {519A61C0-F5FE-11D8-AF03-0050DA74BC19} - (no file) O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {519A61C0-F5FE-11D8-AF03-0050DA74BC19} - (no file) O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) O9 - Extra button: Corel Network monitor worker - {519A61C0-F5FE-11D8-AF03-0050DA74BC19} - (no file) (HKCU) O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {519A61C0-F5FE-11D8-AF03-0050DA74BC19} - (no file) (HKCU) O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU) ---------- Sind Dir folgende Prozesse bekannt? C:\WINDOWS\SYSTEM\JUPITCO.EXE C:\WINDOWS\MSEXPLOREN.EXE C:\WINDOWS\MBSYNC.EXE O4 - HKLM\..\Run: [SystemService] C:\WINDOWS\ssvr.exe /i O4 - HKLM\..\Run: [SheduIer] C:\WINDOWS\msexploren.exe /i O4 - HKLM\..\Run: [SyncManager] C:\WINDOWS\mbsync.exe /i Sei so nett und überprüfe diese Einträge mit dem Datei-Online-Scan von Kaspersky ---------- C:\PROGRAMME\LOGITECH\DESKTOP MESSENGER\8876480\PROGRAM\BACKWEB-8876480.EXE ist Spyware. Bitte fixen und manuell löschen. [edit] wenn Du den eScan machen willst, folge bitte der Anweisung, die Du findest, wenn Du in meiner Signatur unter "TI Hijacker-Rubrik" nachschaust. Dort findest Du auch einen Link, wie Du in den abgesicherten Modus kommst. [/edit] [edit]ich habe ein Eintrag übesehen, der gefixt werden muss: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.lycos.de/search/msie40.html [/edit] Lieben Gruss SD Geändert von Shadowdance (25.08.2004 um 15:34 Uhr) |
25.08.2004, 15:33 | #34 |
| heretofind.de und nochmals besten dank!! ich werd mich mal eben da durchwurschteln!! wird schon klappen.. grüße denim |
25.08.2004, 15:51 | #35 |
| heretofind.de kaspersky sagt: Zu überprüfende Datei: JupitCo.exe JupitCo.exe Ok Statistiken: Bekannte Viren: 97330 Updated: 25-08-2004 Größe der Datei (Kb): 29 Viren-Korpus: 0 Datei: 1 Warnungen: 0 Archive: 0 Verdächtigt: 0 ----------------------------------------------------- Zu überprüfende Datei: msexploren.exe msexploren.exe - packed with PE-Pack msexploren.exe Ok Statistiken: Bekannte Viren: 97330 Updated: 25-08-2004 Größe der Datei (Kb): 20 Viren-Korpus: 0 Datei: 2 Warnungen: 0 Archive: 0 Verdächtigt: 0 ----------------------------------------------------- Zu überprüfende Datei: mbsync.exe mbsync.exe - packed with PE-Pack mbsync.exe Ok Statistiken: Bekannte Viren: 97330 Updated: 25-08-2004 Größe der Datei (Kb): 20 Viren-Korpus: 0 Datei: 2 Warnungen: 0 Archive: 0 Verdächtigt: 0 ----------------------------------------------------- versuche die anderen drei jetz zu finden und lass sie durchchecken.. |
25.08.2004, 15:56 | #36 |
| heretofind.de und hier die Bearbeitung des Logfiles von AntiVir unbekannter Prozess bitte mit dem Datei-Online-Scan von Kaspersky prüfen: C:\Programme\LOADSTREET\Background Organizer PRO\Desktop.exe Wenn Du diese Seite nicht kennst, sollte sie gefixt werden: R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://soundkarte/ Wenn Du IP's oder die Domänen nicht kennst, bitte fixen: O17 - HKLM\System\CCS\Services\Tcpip\..\{0F602D69-1E18-4C2A-91B6-B5F997E21359}: NameServer = 205.188.146.146 O17 - HKLM\System\CS1\Services\Tcpip\..\{0F602D69-1E18-4C2A-91B6-B5F997E21359}: NameServer = 205.188.146.146 Wenn Du weiter frei bleiben willst und wirklich sicher surfen willst, empfehle ich Dir einen Browserwechsel, siehe dazu die Hinweise in meiner Signatur unter TI Hijacker-Rubrik ---> Vorbeugung. Desweiteren ist es wichtig das Betriebssystem und alle Programme auf dem aktuellen Stand zu halten, das heisst alle Patches und Updates aufzuspielen. Nähere Angaben dazu findest Du ebenfalls in den Hinweisen in meiner Signatur. Lieben Gruss SD |
25.08.2004, 15:57 | #37 |
| heretofind.de sorry, aber wie gesagt: computer-idiot! finde die dinger nicht: O4 - HKLM\..\Run: [SystemService] C:\WINDOWS\ssvr.exe /i O4 - HKLM\..\Run: [SheduIer] C:\WINDOWS\msexploren.exe /i O4 - HKLM\..\Run: [SyncManager] C:\WINDOWS\mbsync.exe /i ??? |
25.08.2004, 16:47 | #38 |
| heretofind.de hey sd! habe jetzt alles gefixt, was du gesagt hattest.. nur C:\PROGRAMME\LOGITECH\DESKTOP MESSENGER\8876480\PROGRAM\BACKWEB-8876480.EXE bekomme ich nicht gelöscht.. werd den kasten jetzt erstmal im abgesicherten modus hochfahren und den eScan machen.. lieben gruß denim |
25.08.2004, 17:01 | #39 |
| heretofind.de @ denim demon bist Du noch im HiJackThis-Programm? Ich meine hast Du es noch aufstehen, auf Deinem Computer? Was heisst, Du findest diese Einträge nicht: O4 - HKLM\..\Run: [SystemService] C:\WINDOWS\ssvr.exe /i O4 - HKLM\..\Run: [SheduIer] C:\WINDOWS\msexploren.exe /i O4 - HKLM\..\Run: [SyncManager] C:\WINDOWS\mbsync.exe /i Ich habe nachgeschaut, sie sind in Deinem Logfile vorhanden, also solltest Du sie eigentlich finden. Du musst ja nur ein Häkchen setzen und sie fixen. Aber wenn Dir das nicht gelingt, dann erstelle einfach nochmal ein neues Logfile und poste es hier. HiJackThis hast Du Dir ja runtergeladen. Paff, ein Fachmann auf dem Gebiet der Internet-Sicherheit empfiehlt in einem anderen Thread hier an Board alle Dateien mit HijackThis im abgesicherten Modus zu fixen. Mach das bitte. Vielleicht ist es Dir dann auch möglich diesen Eintrag zu löschen: C:\PROGRAMME\LOGITECH\DESKTOP MESSENGER\8876480\PROGRAM\BACKWEB-8876480.EXE Aber vielleicht läßt Du erstmal den eScan im abgesicherten Modus offline laufen, das dauert ein Weilchen, ca 1 Stunde. Hast Du den eScan in c:\bases kopiert und online geupdatet? Das ist wichtig! Bitte auf jeden Fall nach dem eScan eine weiteres Logfile erstellen. SD |
25.08.2004, 17:25 | #40 |
| heretofind.de @ sd konnte die drei dateien bloß nicht durch den kaspersky scan durchjagen. werd jetzt mal deine vorigen anweisungen durchführen und meld mich nachher wieder mit dem logfile. danke schön! denim |
25.08.2004, 17:36 | #41 |
| heretofind.de @ denim demon um sie online bei Kaspersky zu scannen, musst Du sie anders eingeben: C:\WINDOWS\ssvr.exe /i C:\WINDOWS\msexploren.exe /i C:\WINDOWS\mbsync.exe /i denk bitte dran, der eScan MUSS offline und im abgesicherten Modus durchgeführt werden. Lass uns bitte nachher wissen, welche Dateien beim eScan gelöscht bzw. umbenannt wurden. SD |
25.08.2004, 18:53 | #42 |
| heretofind.de da bin ich wieder.. hab erstmal den eScan durchgeführt, 3 viren gefunden, werd nochmal durchlaufen lassen, da ich nicht mehr sicher bin, ob ich die viren vernichtet hab, oder nur die logfile angelegt hab. oder was meinst du?? C:\PROGRAMME\LOGITECH\DESKTOP MESSENGER\8876480\PROGRAM\BACKWEB-8876480.EXE konnte ich im abgesicherten modus löschen!!! habe dann HijackThis gestartet und O4 - HKLM\..\Run: [SheduIer] C:\WINDOWS\msexploren.exe /i O4 - HKLM\..\Run: [SyncManager] C:\WINDOWS\mbsync.exe /i gelöscht! O4 - HKLM\..\Run: [SystemService] C:\WINDOWS\ssvr.exe /i war auf einmal nicht auffindbar... (???) wie von dir befohlen alles im abgesicherten modus durchgeführt. hier nochmal die logfile vom hiJackthis: Logfile of HijackThis v1.98.2 Scan saved at 19:37:08, on 25.08.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\EXPLORER.EXE C:\PROGRAMME\HIJACKTHIS.EXE R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Lycos Europe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\ACROBAT READER\READER\ACTIVEX\ACROIEHELPER.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [USB SECURITY DEVICE CoInstaller] JupitCo.exe O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe O4 - HKLM\..\Run: [AVGCtrl] D:\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\ImageStudio\ISStart.exe O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programme\Logitech\ImageStudio\LogiTray.exe O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\mozilla.org\Mozilla\Mozilla.exe" -turbo O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe O4 - Startup: WinZip Quick Pick.lnk = D:\WinZip\WZQKPICK.EXE O4 - Startup: Microsoft Office.lnk = D:\Microsoft Office\Office\OSA9.EXE O4 - Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Startup: Encoder Agent.lnk = C:\Programme\Windows Media Components\Encoder\WMENCAGT.EXE O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/ O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_EN.cab |
25.08.2004, 19:07 | #43 |
| heretofind.de Ich glaub ich hab den Virus gekillt. Bin zwar nicht 100 Prozent sicher aber sehr optimistisch. Ok ich sag euch mal am besten wie ich es gemacht habe. Ich hab als Betriebssystem übrigens Windows 2000 Pro Servicepack 2. Bevor ihr weiter lesen tut, noch ein kleiner Tipp für die die nicht so viel PC Erfahrung haben. Öffnet mal ein Windowsfenster und klickt auf Extras/Ordneroptionen/Ansicht. Dann in dem weißen Auswahlfenster auf die Option: alle Datein anzeigen (bei versteckte Datein und Ordner). Und den Haken raus bei der Option Dateinamenerweiterung von bekannten Dateitypen ausblenden. Ok, zur eigentlichen Sache: (Zwischen der ganzen nun folgenden Opperation bitte keinen Neustart machen) Zuerst besorgt ihr euch alle die folgenden Programme und installiert diese erst alle: (erst scannen oder updaten wenn die alle installiert sind) - Mozilla Firefox (erstmal als Browser damit die Internetverbindung gesichert ist) - HiJackThis.exe - eScan <-- nach c:\bases entpacken, danach zuerst die c:\bases\kavupd.exe starten zum updaten, und dann erst das Progamm über die c:\bases\mwavscan.com starten und jetzt alles scannen - Spybot <-- einfach installieren und starten und dann scannen. Nach dem Scan das Systm noch zusätzlich immunisieren. - irgendeine Firewall Also, die Programme sind nun installiert: 1. Zuerst startet ihr HiJackThis.exe und scannt euer System. Alle verdächtigen Einträge die auf irgendwelche heretofind.com Links deuten entfernt ihr. Zusätich entfernt ihr alle Einträge die etwas mit BUTTON, MENUITEM, ITEM, TOOLS, TOOLBAR etc. zu tun haben. Außerdem entfernt ihr alle Einträge die die Worte REAL oder COREL beinhalten und alle Einträge wo nichts hinter steht oder NO FILE. Die 04 Einträge sollten eigentlich sauber sein auch wenn sie vielleicht verdächtig aussehen. Der Virus scheint keine der mit HijackThis angezeigten exe Dateien zu nutzen. 2. Wenn ihr die Einträge mit HijackThis gefixt habt, dann geht ihr auf eure Festplatte auf Laufwerk C:\ Schaut nach ob ihr einen Ordner C:\spe\ habt. Den könnt ihr sofort löschen. Löscht ihn auch gleich aus dem Papierkorb. 3. Nun das Programm eScan durchlaufen lassen. (update müßt ihr vorher gemacht haben) Denkt daran im Programm einzustellen das es euer gesammtes System scannt inklusive Registry. 4. Jetzt Spybot starten und auch scannen. Alle gefundenen Viren etc. löschen. 4.1. Mit Spybot das System immunisieren. Da gibts so nen extra Funktion in dem Programm. 5. Jetzt öffnet ihr die mit dem Befehl regedit (Start/ausführen/regedit)die Registry. Sucht hier nach folgenden Begriffen: - p2pnetwork und adm20.adm20 oder adm45.adm45 oder änlichen seltsamen adm Werten. Wenn ihr solche Schlüssel oder Werte in der Registry findet könnt ihr die löschen. Es kann sein das die neu erzeugt werden. Da bin ich mir nicht ganz sicher. Trotzdem zu Sicherheit löschen. 6. Jetzt sucht ihr nach auf eurem Computer nach einer Datei die in etwa so heißt oder änlich benannt ist: _unin_ .exe Und die auch löschen. 7. Alle Ordner auf eurem Computer, die Temp, Verlauf, Cookies, Anwendungsdaten oder ähnliches haben müßt ihr manuell säubern. Ebenso alle Cookies und Offline Dateien löschen usw. Viel Spaß beim suchen ^^ Denn Papierkorb immer sofort lehren. 8. Für AOL User: Die Datei WAOL.exe löschen. Ich glaube die wird infiziert. Die AOL ordner manuell von eurem System löschen. Nicht über deinstallieren. Speichert euch eure Favoriten vorher irgendwo ab. Auch hier wieder sofort den Papierkorb lehren. 9. AOL einfach neu installieren. Macht ne Benutzerdefinierte installation. Ihr müßt aufpassen das AOL die Software ins Verzeichnes C:\Programme\AOL 9.0 installiert und nicht vielleicht in ... AOL 9.0a 10. Das müßte es gewesen sein. Es kann eventuell sein das Komponenten des Virus zurückbleiben, aber der Virus sollte dennoch funktionsuntüchtig sein. Na ja ich hoffe ich konnte damit helfen. PS: Mit eurer Firewall solltet ihr den IE einfach abwürgen. |
25.08.2004, 19:23 | #44 | |||||||||
| heretofind.de Hallo Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
|
25.08.2004, 19:30 | #45 | |
| heretofind.de Geht´s noch? Ich versuche hier nen paar Leuten nen paar Tipps zu geben. Falls du es noch nicht bemerkt haben solltest, wir wollen alle das Virus loswerden. Ich hab keine Ahnung ob meine Lösung die Richtige ist. Zumindest ist mein Virus weg. Es wird sicher einige Leute geben die dankbar für ein paar neue Lösungsansätze sind. Wenn dir das nicht paßt ist das dein Problem. Du kannst ja gerne was anderes vorschlagen. Aber spar dir bitte irgendwelche Klugscheißersprüche! Zitat:
|
Themen zu heretofind.de |
.html, adobe, antivirus, askbar, bho, desktop, excel, explorer, fritz!, helper, hijack, hijack this, hijackthis, home, internet, internet explorer, internet security, microsoft, neu, object, programme, registry, security, shockwave, software, spyware, sun java, symantec, system, viren, windows |