Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: aaaarghhhh!

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 19.10.2004, 15:18   #1
Bran Ruz
 
aaaarghhhh! - Icon34

aaaarghhhh!



hallo, ich bin neu im forum & ein anfänger in sachen PC-Viren usw. & hier ist mein problem:

seit gestern spinnt mein PC (W98):
Wenn mein computer hochfährt, erscheint das fenster vom smart-surfer von alleine.
Mache ich dieses fenster zu, erscheint es gleich wieder auf dem desktop. Ich kann es 10 mal zumachen, es kommt immer wieder.
Minimiere ich das fenster, dauert es nicht 2 minuten und das fenster erscheint wieder auf dem desktop.
Merkwürdigerweise beruhigt es sich nach ca. 10 minuten. Dann erscheint dieses fenster nicht mehr.
Mein anti-virus programm (AVG-Free edition) hat nichts erkannt.
Um zu wissen, welche tasks aktiv sind, habe ich „Ctrl“ + „Alt“ + „Entf“ gedrückt. Da erschienen unter anderen ein antrag mit namen „Rnaapp“ & ein anderer mit „Twink64“.
Da die beiden anwendungen sind, traue ich mich gar nicht, sie einfach anzuklicken bzw. löschen und schon gar nicht mehr vom meinem pc ins internet zu gehen!
Könnt ihr mir bitte ein tipp geben, oder mir sagen, worum es sich bei diesen anwendungen handelt?

Bran Ruz

Alt 19.10.2004, 16:06   #2
Wattewuschel
 
aaaarghhhh! - Standard

aaaarghhhh!



hallo.

Lade mal hijack this herunter (hier ), scanne mal und poste das log hier.

dann kann dir geholfen werden.
__________________

__________________

Alt 19.10.2004, 20:13   #3
cacatoa
 
aaaarghhhh! - Standard

aaaarghhhh!



@ bran ruz

Rnaapp ist Dein DFÜ Arbeitsprogramm. Brauchst Du um hier mitposten zu können
Twink64 ist ein Trojaner, der gerne Verbindung zur Außenwelt schafft.
Deshalb:
Den Rat von Wattewuschel befolgen und Logfile posten!
cacatoa
__________________
__________________

Alt 20.10.2004, 17:50   #4
Bran Ruz
 
aaaarghhhh! - Icon32

aaaarghhhh!



ok, hier ist mein hijack-log.
was soll ich aber mit all das anfangen? abschiessen oder...? (hihihi)

Logfile of HijackThis v1.98.2
Scan saved at 17:55:55, on 18.10.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\GRISOFT\AVG6\AVGSERV9.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\PRINTRAY.EXE
C:\WINDOWS\SYSTEM\TWINK64.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\DESKTOP\CLEANERS\HIJACKTHIS.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/
O2 - BHO: (no name) - {15ACE85C-0BB1-42d1-9E32-07EB0506675A} - C:\WINDOWS\SYSTEM\ZOGIVUX.DLL (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [LexmarkPrinTray] PrinTray.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRAMME\GRISOFT\AVG6\avgcc32.exe /startup
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\twink64.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [Avgserv9.exe] C:\PROGRA~1\GRISOFT\AVG6\Avgserv9.exe
O4 - HKLM\..\RunServices: [RNBOStart] C:\WINDOWS\SYSTEM\sentstrt.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

danke im voraus für die hilfe!

Alt 20.10.2004, 18:11   #5
Shadowdance
 
aaaarghhhh! - Standard

aaaarghhhh!



Hallo Bran Ruz,

MSIE: Internet Explorer v5.00 (5.00.2614.3500): Dein IE ist antik. Besuche www.windowsupdate.com. Beachte, dass das Betriebssystem, der Browser, alle SchutzProgramme, sowie alle weitere Software stets auf dem aktuellen Stand sein muss, um einen Schutz darstellen zu können.

Überprüfe mit dem online-scan von Kaspersky:

C:\WINDOWS\SYSTEM\TWINK64.EXE

Teile uns das Ergebnis der Überprüfung mit. Sende diese Datei an partytime-germany.ice@web.de, mit Verweis auf diesen Thread. (Forschungszweck)

Boote in den abgesicherten Modus, fixe dann mit Hijack This (Häk'chen setzen und fix checked klicken):

O2 - BHO: (no name) - {15ACE85C-0BB1-42d1-9E32-07EB0506675A} - C:\WINDOWS\SYSTEM\ZOGIVUX.DLL (file missing)
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\twink64.exe internat.dll,LoadKeyboardProfile
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

Beende:
twink64.exe

Lösche:
C:\WINDOWS\SYSTEM\twink64.exe

Aktiviere die Systemwiederherstellung, boote in den normalen Modus.

Lade den eScan runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus.

Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Die Malware muss von Hand gelöscht werden.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

Erstelle ein neues Hijack This Logfile und poste es.

SD


Alt 21.10.2004, 13:45   #6
Bran Ruz
 
aaaarghhhh! - Standard

aaaarghhhh!



ok, ich mache es so schnell wie möglich, habe (ahh... diese franzosen! die wissen ja nichts! ) aber dennoch 2 probleme:
da es kein gekauftes windows betriebssystem ist, traue ich mir nicht, den windowsupdate zu machen...
ausserdem, habe ich noch gefunden, wo man die systemwiederherstellung aktiviert (da ich sie ja noch nie benutzt habe...)

Alt 21.10.2004, 23:49   #7
Shadowdance
 
aaaarghhhh! - Standard

aaaarghhhh!



@ Bran Ruz,

vergiss die Systemwiederherstellung, ist ein Irrtum meinerseits, hab nicht dran gedacht, dass Du win98 hast. Mach bitte die Updates, das geht auch bei nicht gekauften Versionen von windows.

SD

Alt 22.10.2004, 13:27   #8
Bran Ruz
 
aaaarghhhh! - Standard

aaaarghhhh!



Ok, mache ich alles, und schicke die ergebnisse, sowie du es mir darum gebeten hast.
Vielen dank für die tipps, SD & auch alle anderen, die mir bei der sache beraten haben!

Bran Ruz

Alt 28.10.2004, 14:18   #9
Bran Ruz
 
aaaarghhhh! - Icon34

aaaarghhhh!



Da bin ich ja wieder!
so, hier ist erstmal das ergebnis des eScans:

Thu Oct 28 14:36:22 2004 => File C:\WINDOWS\loadclean.exe infected by "TrojanDownloader.Win32.Small.vn" Virus. Action Taken: No Action Taken.
Thu Oct 28 14:45:11 2004 => File C:\WINDOWS\SYSTEM\taskmon.exe infected by "TrojanClicker.Win32.Small.j" Virus. Action Taken: No Action Taken.

Fazit: unglaublich, da sind ja noch von den mistviechern!

Und hier ist mein HijackThis log:

Logfile of HijackThis v1.98.2
Scan saved at 15:03:25, on 28.10.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\GRISOFT\AVG6\AVGSERV9.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\PRINTRAY.EXE
C:\PROGRAMME\GRISOFT\AVG6\AVGCC32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\WINWORD.EXE
C:\WINDOWS\DESKTOP\CLEANERS\HIJACKTHIS - PROG & PROTOKOLLE\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [LexmarkPrinTray] PrinTray.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRAMME\GRISOFT\AVG6\avgcc32.exe /startup
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Avgserv9.exe] C:\PROGRA~1\GRISOFT\AVG6\Avgserv9.exe
O4 - HKLM\..\RunServices: [RNBOStart] C:\WINDOWS\SYSTEM\sentstrt.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm


So, ich glaube, ich habe noch 'ne menge zu tun, ne?

Bran Ruz

Alt 28.10.2004, 17:44   #10
cacatoa
 
aaaarghhhh! - Standard

aaaarghhhh!



Tag, Bran Ruz,

die eScan Ergebnisse hast Du ja manuell gekillt, oder?

Fixe folgende im abgesicherten Modus:
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Lösche die Datei
C:\WINDOWS\web\related.htm

Das sollte es gewesen sein...
Gruß cacatoa
__________________
Der Mensch sollte eine Hundeseele haben

Alt 28.10.2004, 19:58   #11
Bran Ruz
 
aaaarghhhh! - Standard

aaaarghhhh!



Hi Cacatoa!

Nee, die habe ich nicht einfach gekillt, da man mir schon erzählt hat, daß es auch ganz schön riskant sein kann, die viren einfach so zu löschen.

Soll ich das machen? einfach mit der rechten mausklick und dann löschen?

Gruß,

Bran Ruz

ps: danke für die anderen tipps.

Alt 28.10.2004, 20:23   #12
cacatoa
 
aaaarghhhh! - Standard

aaaarghhhh!



@ Bran Ruz,
Die Bescheibung steht ganz genau hier.
Einfach mal die Seite runterscrollen und lesen. Dann brauch ichnicht alles zu schreiben
__________________
Der Mensch sollte eine Hundeseele haben

Alt 28.10.2004, 20:28   #13
Bran Ruz
 
aaaarghhhh! - Standard

aaaarghhhh!



Danke cacatoa,

ich hab's selber vor einigen sekunden gefunden & gelesen....

Gruß

Bran Ruz

Alt 25.02.2005, 18:11   #14
hacthecrack
 
aaaarghhhh! - Standard

Twik64



Hallo Leute,

bin newbie hier, habe aber twink64 auf meiner Rechenkiste enddeckt (durch Zone Alarm), das progi wolte ins Web, ich wurde aber mistrauisch und habs ihm untersagt, und es unter Quarantäne gestellt.
Danach im taskman deaktiviert. Und Kiste neustart.

Fragen:
Reicht es twink64 zu löschen, oder was muss ich jetzt machen?

vielen Dank im vorraus.

Der ist für Typen die sowas Programieren.

Alt 25.02.2005, 18:30   #15
cacatoa
 
aaaarghhhh! - Standard

aaaarghhhh!



Hi,
löschen.
Stell doch mal ein HiJackThis Logfile hier rein.
Mal sehen, was sonst noch so ist...
cacatoa
__________________
Der Mensch sollte eine Hundeseele haben

Antwort

Themen zu aaaarghhhh!
aktiv, anderen, anderer, anfänger, anwendungen, computer, edition, einfach, fenster, forum, gen, handel, interne, internet, löschen, meinem, minute, minuten, namen, neu, nichts, problem, programm, sache, sachen, spinn, spinnt, unter




Zum Thema aaaarghhhh! - hallo, ich bin neu im forum & ein anfänger in sachen PC-Viren usw. & hier ist mein problem: seit gestern spinnt mein PC (W98): Wenn mein computer hochfährt, erscheint das - aaaarghhhh!...
Archiv
Du betrachtest: aaaarghhhh! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.