|
Plagegeister aller Art und deren Bekämpfung: aaaarghhhh!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
19.10.2004, 15:18 | #1 |
| aaaarghhhh! hallo, ich bin neu im forum & ein anfänger in sachen PC-Viren usw. & hier ist mein problem: seit gestern spinnt mein PC (W98): Wenn mein computer hochfährt, erscheint das fenster vom smart-surfer von alleine. Mache ich dieses fenster zu, erscheint es gleich wieder auf dem desktop. Ich kann es 10 mal zumachen, es kommt immer wieder. Minimiere ich das fenster, dauert es nicht 2 minuten und das fenster erscheint wieder auf dem desktop. Merkwürdigerweise beruhigt es sich nach ca. 10 minuten. Dann erscheint dieses fenster nicht mehr. Mein anti-virus programm (AVG-Free edition) hat nichts erkannt. Um zu wissen, welche tasks aktiv sind, habe ich „Ctrl“ + „Alt“ + „Entf“ gedrückt. Da erschienen unter anderen ein antrag mit namen „Rnaapp“ & ein anderer mit „Twink64“. Da die beiden anwendungen sind, traue ich mich gar nicht, sie einfach anzuklicken bzw. löschen und schon gar nicht mehr vom meinem pc ins internet zu gehen! Könnt ihr mir bitte ein tipp geben, oder mir sagen, worum es sich bei diesen anwendungen handelt? Bran Ruz |
19.10.2004, 20:13 | #3 |
| aaaarghhhh! @ bran ruz
__________________Rnaapp ist Dein DFÜ Arbeitsprogramm. Brauchst Du um hier mitposten zu können Twink64 ist ein Trojaner, der gerne Verbindung zur Außenwelt schafft. Deshalb: Den Rat von Wattewuschel befolgen und Logfile posten! cacatoa
__________________ |
20.10.2004, 17:50 | #4 |
| aaaarghhhh! ok, hier ist mein hijack-log. was soll ich aber mit all das anfangen? abschiessen oder...? (hihihi) Logfile of HijackThis v1.98.2 Scan saved at 17:55:55, on 18.10.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v5.00 (5.00.2614.3500) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MSTASK.EXE C:\PROGRAMME\GRISOFT\AVG6\AVGSERV9.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\PRINTRAY.EXE C:\WINDOWS\SYSTEM\TWINK64.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\DESKTOP\CLEANERS\HIJACKTHIS.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/ O2 - BHO: (no name) - {15ACE85C-0BB1-42d1-9E32-07EB0506675A} - C:\WINDOWS\SYSTEM\ZOGIVUX.DLL (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [LexmarkPrinTray] PrinTray.exe O4 - HKLM\..\Run: [AVG_CC] C:\PROGRAMME\GRISOFT\AVG6\avgcc32.exe /startup O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\twink64.exe internat.dll,LoadKeyboardProfile O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe O4 - HKLM\..\RunServices: [Avgserv9.exe] C:\PROGRA~1\GRISOFT\AVG6\Avgserv9.exe O4 - HKLM\..\RunServices: [RNBOStart] C:\WINDOWS\SYSTEM\sentstrt.exe O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= danke im voraus für die hilfe! |
20.10.2004, 18:11 | #5 |
| aaaarghhhh! Hallo Bran Ruz, MSIE: Internet Explorer v5.00 (5.00.2614.3500): Dein IE ist antik. Besuche www.windowsupdate.com. Beachte, dass das Betriebssystem, der Browser, alle SchutzProgramme, sowie alle weitere Software stets auf dem aktuellen Stand sein muss, um einen Schutz darstellen zu können. Überprüfe mit dem online-scan von Kaspersky: C:\WINDOWS\SYSTEM\TWINK64.EXE Teile uns das Ergebnis der Überprüfung mit. Sende diese Datei an partytime-germany.ice@web.de, mit Verweis auf diesen Thread. (Forschungszweck) Boote in den abgesicherten Modus, fixe dann mit Hijack This (Häk'chen setzen und fix checked klicken): O2 - BHO: (no name) - {15ACE85C-0BB1-42d1-9E32-07EB0506675A} - C:\WINDOWS\SYSTEM\ZOGIVUX.DLL (file missing) O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\twink64.exe internat.dll,LoadKeyboardProfile O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= Beende: twink64.exe Lösche: C:\WINDOWS\SYSTEM\twink64.exe Aktiviere die Systemwiederherstellung, boote in den normalen Modus. Lade den eScan runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Die Malware muss von Hand gelöscht werden. Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." Erstelle ein neues Hijack This Logfile und poste es. SD |
21.10.2004, 13:45 | #6 |
| aaaarghhhh! ok, ich mache es so schnell wie möglich, habe (ahh... diese franzosen! die wissen ja nichts! ) aber dennoch 2 probleme: da es kein gekauftes windows betriebssystem ist, traue ich mir nicht, den windowsupdate zu machen... ausserdem, habe ich noch gefunden, wo man die systemwiederherstellung aktiviert (da ich sie ja noch nie benutzt habe...) |
21.10.2004, 23:49 | #7 |
| aaaarghhhh! @ Bran Ruz, vergiss die Systemwiederherstellung, ist ein Irrtum meinerseits, hab nicht dran gedacht, dass Du win98 hast. Mach bitte die Updates, das geht auch bei nicht gekauften Versionen von windows. SD |
22.10.2004, 13:27 | #8 |
| aaaarghhhh! Ok, mache ich alles, und schicke die ergebnisse, sowie du es mir darum gebeten hast. Vielen dank für die tipps, SD & auch alle anderen, die mir bei der sache beraten haben! Bran Ruz |
28.10.2004, 14:18 | #9 |
| aaaarghhhh! Da bin ich ja wieder! so, hier ist erstmal das ergebnis des eScans: Thu Oct 28 14:36:22 2004 => File C:\WINDOWS\loadclean.exe infected by "TrojanDownloader.Win32.Small.vn" Virus. Action Taken: No Action Taken. Thu Oct 28 14:45:11 2004 => File C:\WINDOWS\SYSTEM\taskmon.exe infected by "TrojanClicker.Win32.Small.j" Virus. Action Taken: No Action Taken. Fazit: unglaublich, da sind ja noch von den mistviechern! Und hier ist mein HijackThis log: Logfile of HijackThis v1.98.2 Scan saved at 15:03:25, on 28.10.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MSTASK.EXE C:\PROGRAMME\GRISOFT\AVG6\AVGSERV9.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\PRINTRAY.EXE C:\PROGRAMME\GRISOFT\AVG6\AVGCC32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\WINWORD.EXE C:\WINDOWS\DESKTOP\CLEANERS\HIJACKTHIS - PROG & PROTOKOLLE\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/ O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [LexmarkPrinTray] PrinTray.exe O4 - HKLM\..\Run: [AVG_CC] C:\PROGRAMME\GRISOFT\AVG6\avgcc32.exe /startup O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [Avgserv9.exe] C:\PROGRA~1\GRISOFT\AVG6\Avgserv9.exe O4 - HKLM\..\RunServices: [RNBOStart] C:\WINDOWS\SYSTEM\sentstrt.exe O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm So, ich glaube, ich habe noch 'ne menge zu tun, ne? Bran Ruz |
28.10.2004, 17:44 | #10 |
| aaaarghhhh! Tag, Bran Ruz, die eScan Ergebnisse hast Du ja manuell gekillt, oder? Fixe folgende im abgesicherten Modus: O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm Lösche die Datei C:\WINDOWS\web\related.htm Das sollte es gewesen sein... Gruß cacatoa
__________________ Der Mensch sollte eine Hundeseele haben |
28.10.2004, 19:58 | #11 |
| aaaarghhhh! Hi Cacatoa! Nee, die habe ich nicht einfach gekillt, da man mir schon erzählt hat, daß es auch ganz schön riskant sein kann, die viren einfach so zu löschen. Soll ich das machen? einfach mit der rechten mausklick und dann löschen? Gruß, Bran Ruz ps: danke für die anderen tipps. |
28.10.2004, 20:28 | #13 |
| aaaarghhhh! Danke cacatoa, ich hab's selber vor einigen sekunden gefunden & gelesen.... Gruß Bran Ruz |
25.02.2005, 18:11 | #14 |
| Twik64 Hallo Leute, bin newbie hier, habe aber twink64 auf meiner Rechenkiste enddeckt (durch Zone Alarm), das progi wolte ins Web, ich wurde aber mistrauisch und habs ihm untersagt, und es unter Quarantäne gestellt. Danach im taskman deaktiviert. Und Kiste neustart. Fragen: Reicht es twink64 zu löschen, oder was muss ich jetzt machen? vielen Dank im vorraus. Der ist für Typen die sowas Programieren. |
25.02.2005, 18:30 | #15 |
| aaaarghhhh! Hi, löschen. Stell doch mal ein HiJackThis Logfile hier rein. Mal sehen, was sonst noch so ist... cacatoa
__________________ Der Mensch sollte eine Hundeseele haben |
Themen zu aaaarghhhh! |
aktiv, anderen, anderer, anfänger, anwendungen, computer, edition, einfach, fenster, forum, gen, handel, interne, internet, löschen, meinem, minute, minuten, namen, neu, nichts, problem, programm, sache, sachen, spinn, spinnt, unter |