|
Plagegeister aller Art und deren Bekämpfung: Hilfe - Komisches ProblemWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
07.09.2004, 22:04 | #1 |
| Hilfe - Komisches Problem Hallo erst einmal zusammen, neu und schon ein dummes Provb em. Vor wenigen Wochen wurde mein System von einem Hijacker befallen, den ich auch gefixed - und mit allen möglichen Virenprogrammen bekämpft habe. Seit etwa drei Tagen aber verhält sich mein PC etwas komisch. Unabhängig davon, ob ich jetzt im Internet bin, ein Spiel spiele oder nur auf der Benutzeroberfläche arbeite, hat sich der PC etwas selbstständig gemacht. Wenn ich eine Anwendung z.B. Systemsteuerung öffne, deaktiviert und aktiviert der Rechner in einem Intervall die Anwendungen. Im Internet deaktiviert irgendwas meine Seite (welche aber im Vordergrund bleibt). Wenige Sekunden später wird die Seite wieder aktiv, aber meine geschrieben Wörter landen quasi im Nichts. Er aktiviert und deaktiviert also in kurzen Abständen diese Anwendung. Der Mauszeiger verwandelt sich für einen kurzen Moment in eine Sanduhr (extrem kurz). Der Rechner arbeitet also. Aber an was ? Ein Spiel zu spielen z.B. ist momentan schier unmöglich da dieser Vorgang mich immer wieder zurück zum Desktop wirft und das Programm minimiert. Ich muss es also wieder anklicken um zurück zu kommen um dann nach 10 oder 2 Sekunden wieder auf dem Desktop zu landen. Ich poste anbei nochmal eine kurze Hijck Loc: Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\RECYCLED\WINLOGON.EXE C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\scagent.exe C:\WINDOWS\System32\svchost.exe C:\Dokumente und Einstellungen\torsten\Eigene Dateien\HijackThis.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) Woran kann es liegen ? Habe ich eventuell in meinem Wahn irgendwas gelöscht oder verschoben? Ich bitte dringend um Hilfe, da ich mit dem Rechner als Liveticker arbeiten muss, aber dieses Unterfangen so quasi nicht möglich ist. Nette Grüße OK |
07.09.2004, 22:18 | #2 |
Administrator, a.D. | Hilfe - Komisches Problem Hallo,
__________________dein Log-File ist nicht vollständig! Poste ein neues und überprüfe diese Datei C:\RECYCLED\WINLOGON.EXE bei http://www.kaspersky.com/de/remoteviruschk.html und poste das Ergebnis.
__________________ |
07.09.2004, 22:57 | #3 | |
| Hilfe - Komisches ProblemZitat:
Na super: Ergebnis: WINLOGON.EXE Infiziert: Trojan.PSW.Delf.eb Hier die File- mehr ist da wirklich nicht drin Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\RECYCLED\WINLOGON.EXE C:\Programme\Aluria Software\ASE\ASE Scheduler.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\scagent.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\torsten\Eigene Dateien\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O4 - Startup: ASE Scheduler.lnk = C:\Programme\Aluria Software\ASE\ASE Scheduler.exe Danke vorab für den schnellen Rat. Was ist als nächstes zu tun ? Nette Grüße OK |
08.09.2004, 00:13 | #4 |
| Hilfe - Komisches Problem Welche Hijackversion hast du da, ist das aus dem abgesicherten Modus? Poste auf jeden Fall die Kopfzeilen mit, wir brauchen auch dein Betriebssystem und den Patchstand. Der Trojaner, den du gefunden hast, ist ein Keylogger, das heisst, alle deine Passworte müssen als bekannt angesehen werden. Besorge dir dieses Programm, update es wie beschrieben und lass es durchlaufen, poste dann die Namen der gefundenen Schädlinge: http://www.trojaner-board.de/42731-escan-anleitung.html ersrelle dann ein neues Logfile aus dem normalen Modus. |
08.09.2004, 01:41 | #5 | |
| Hilfe - Komisches ProblemZitat:
Hallo...hier die Auswertung aus dem abges. Modus: Logfile of HijackThis v1.98.2 Scan saved at 02:20:36, on 08.09.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\torsten\LOKALE~1\Temp\Rar$EX00.375\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O4 - Startup: ASE Scheduler.lnk = C:\Programme\Aluria Software\ASE\ASE Scheduler.exe O18 - Filter: text/html - {EE7A946E-61FA-4979-87B8-A6C462E6FA62} - C:\WINDOWS\httpfilter.dll Es wurde ein Virus entdeckt: win32 txutmy.exe , entdeckt vom angebenen Programm in Deinem Link. Hier noch die 3 Auffälligkeiten Sat Sep 04 19:40:24 2004 => ERROR!!! Invalid Entry D:\AVGUARD.EXE in SYSTEM\CurrentControlSet\Services\AntiVirService... Sat Sep 04 19:40:24 2004 => ERROR!!! Invalid Entry \??\D:\AVGNTDD.SYS in SYSTEM\CurrentControlSet\Services\avgntdd... Sat Sep 04 19:40:24 2004 => ERROR!!! Invalid Entry D:\AVWUPSRV.EXE in SYSTEM\CurrentControlSet\Services\AVWUpSrv... Mein beschriebenes Problem, ist nur dann akut, wenn der PC Online ist. Offline ist alles "normal". Danke vorab...hoffe das kriegen wir irgendwie weg |
08.09.2004, 10:51 | #6 |
| Hilfe - Komisches Problem Ich pushe den Beitrag mal hoch. Hat Jemand eine Idee ? |
08.09.2004, 11:04 | #7 |
| Hilfe - Komisches Problem Dein System ist nicht gepatched, besuche Windowsupdate oder hole dir die Service Pack 2 CD (wahrscheinlich in jedem Fall besser, falls du neu installieren musst, was ich langsam raten würde) update Windows und den IE. Solange du das nicht machst, brauchen wir gar nicht groß herumzubasteln. Wie ist der Name des entdeckten Virus? War vielleicht undeutlich ausgedrückt, aber wir brauchen NICHT die Auswertung aus dem abgesicherten, sondern dem normalen Modus. Erstelle einen eigenen Ordner für HijackThis und führe es von da aus. Das gehört auch schon wieder zu einem Trojaner: O18 - Filter: text/html - {EE7A946E-61FA-4979-87B8-A6C462E6FA62} - C:\WINDOWS\httpfilter.dll |
26.10.2004, 18:33 | #8 |
| Hilfe - Komisches Problem Hallo zusammen ich bin neu hier und habe leider nich soviel ahnung von pc´s also ich habe genau das selbe problem. Hab mir das update geholt. alles ist bei mir gleich wie bei meinem Vorgänger. wie geht es jetzt weiter??? Geändert von Darkrider (26.10.2004 um 18:49 Uhr) |
26.10.2004, 19:27 | #9 |
| Hilfe - Komisches Problem Ich glaube nicht, dass dein System und deine Programme exakt denen von OKennahan entsprechen. Wir brauchen mehr Informationen, poste also bitte ein Hijackthis-Log. |
26.10.2004, 19:35 | #10 |
| Hilfe - Komisches Problem ich hoffe du meinst das denn ich hab echt keine ahnung von son kram File C:\DOKUME~1\Steffi\ANWEND~1\sowa.exe tagged as not-a-virus:AdWare.PurityScan.w. No Action Taken. File C:\WINDOWS\httpfilter.dll infected by "Trojan.Win32.Scagent.g" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\scagent.exe infected by "Trojan.Win32.Scagent.f" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\scagent.exe infected by "Trojan.Win32.Scagent.f" Virus. Action Taken: No Action Taken. File C:\WINDOWS\httpfilter.dll infected by "Trojan.Win32.Scagent.g" Virus. Action Taken: No Action Taken. File C:\WINDOWS\httpfilter2.dll infected by "Trojan.Win32.Scagent.g" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\scagent.exe infected by "Trojan.Win32.Scagent.f" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\windrv.dll infected by "Trojan.Win32.Scagent.f" Virus. Action Taken: No Action Taken. |
26.10.2004, 19:41 | #11 |
| Hilfe - Komisches Problem hier mal error meldungen ERROR!!! Invalid Entry wccapp = c:\dokumente und einstellungen\steffi\desktop\winln.exe. Removing it. ERROR!!! Invalid Entry \??\C:\DOKUME~1\Steffi\LOKALE~1\Temp\cportclm.sys in SYSTEM\CurrentControlSet\Services\cportclm... |
26.10.2004, 19:43 | #12 |
| Hilfe - Komisches Problem habe bei mir bitdefender drauf. das einzige was ich nicht löschrn kann ist diese datei C:\WINDOWS\httpfilter.dll |
26.10.2004, 19:46 | #13 |
| Hilfe - Komisches Problem Nein, ich meine ein Log dieses Programms: http://www.trojaner-board.de/51130-a...ijackthis.html Bitte den kompletten Text hierher kopieren. |
26.10.2004, 19:50 | #14 |
| Hilfe - Komisches Problem Logfile of HijackThis v1.98.2 Scan saved at 20:49:52, on 26.10.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe C:\Recycler\WINLOGON.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Dokumente und Einstellungen\Steffi\Anwendungsdaten\sowa.exe C:\Programme\WinZip\WZQKPICK.EXE C:\WINDOWS\system32\scagent.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Steffi\Desktop\mwav.exe C:\DOKUME~1\Steffi\LOKALE~1\Temp\mwavscan.com C:\DOKUME~1\Steffi\LOKALE~1\Temp\kavss.exe C:\PROGRA~1\WINZIP\winzip32.exe C:\Dokumente und Einstellungen\Steffi\Lokale Einstellungen\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ogame.de/ R3 - URLSearchHook: IncrediFindBHO Class - {0199DF25-9820-4bd5-9FEE-5A765AB4371E} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL O2 - BHO: NavErrRedir Class - {0199DF25-9820-4bd5-9FEE-5A765AB4371E} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\bdnagent.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Rces] C:\Dokumente und Einstellungen\Steffi\Anwendungsdaten\sowa.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1098796713588 O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents...r/imloader.cab O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab O18 - Filter: text/html - {EE7A946E-61FA-4979-87B8-A6C462E6FA62} - C:\WINDOWS\httpfilter.dll |
27.10.2004, 04:05 | #15 |
| Hilfe - Komisches Problem Hallo Darkrider, Platform: Windows XP (WinNT 5.01.2600)/MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) - lade Dir bitte das aktuelle Service Pack runter und update Deinen IE!: www.windowsupdate.com ===@=== überprüfe mit dem online-scan von Kaspersky: C:\Dokumente und Einstellungen\Steffi\Anwendungsdaten\sowa.exe C:\WINDOWS\system32\scagent.exe Teile uns das Ergebnis der Überprüfung mit. Sende die infizierten Dateien, passwortgeschützt an partytime-germany.ice@web.de, mit Verweis auf diesen Thread (Forschungszweck). ===@=== Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This: O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/content...er/imloader.cab O18 - Filter: text/html - {EE7A946E-61FA-4979-87B8-A6C462E6FA62} - C:\WINDOWS\httpfilter.dll wenn du diese Einträge nicht brauchst/kennst, bitte fixen: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ogame.de/ R3 - URLSearchHook: IncrediFindBHO Class - {0199DF25-9820-4bd5-9FEE-5A765AB4371E} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL O2 - BHO: NavErrRedir Class - {0199DF25-9820-4bd5-9FEE-5A765AB4371E} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL boote in den normalen Modus. beende WINLOGON.EXE SearchUpgrader.exe lösche C:\Recycler\WINLOGON.EXE C:\Programme\Common files\SearchUpgrader\ Aktiviere die Systemwiederherstellung, ===@=== Downloade das Programm SpywareBlaster 3.2 und führe es auf dem Rechner aus. Am besten läßt Du alle Häk'chen angefinkt und erstellst damit jedesmal, bevor Du online gehst, den Schutz für den/die Browser. Tägliches Updaten online nicht vergessen! ===@=== Lade (falls nötig) das Clear Prog runter, leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf. ===@=== Du hattest Dir den eScan bereits runter geladen, aber hier: C:\Dokumente und Einstellungen\Steffi\Desktop\mwav.exe (C:\DOKUME~1\Steffi\LOKALE~1\Temp\kavss.exe), nützt er Dir nichts. Du kannst ihn an diesem Ort nichtmal updaten. Also nochmal: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Die Malware muss von Hand gelöscht werden. Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." Erstelle ein neues Hijack This Logfile und poste es. SD |
Themen zu Hilfe - Komisches Problem |
arbeitet, button, dateien, desktop, dringend, einstellungen, gelöscht, hijacker, hilfe, immer wieder, internet, links, live, meinem, messenger, nicht möglich, problem, programme, rechner, sanduhr, seite, sekunden, spiele, spielen, system, system32, systemsteuerung, tan, windows, wörter |