|
hilft alles nichts, ich krieg den Mist nicht weg Es öffenen sich lästige Popups und ungewünschte Webseiten. Hab schon alles mögliche drüberlaufen lassen, keiner packt das. Alle ´Progs erkennen zwar das Problem, scheinen es zu eliminieren. 1 Min später sind die dinger wieder da. Es handelt sich wohl um CWS-Trojaner. Ich habe CWS-Schredder probiert, ad-aware, Spybot Search&Destroy, hijack-This. Alles ohne Erfolg. Alles auch schon im abgesicherten probiert - bringt auch nichts. Selbst im abgesicherten starten noch Popups ungewollt. hier ist mein hijack - log Logfile of HijackThis v1.98.2 Scan saved at 09:37:20, on 10.12.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\Explorer.EXE C:\Programme\Internet Explorer\iexplore.exe D:\downloads\sicherheit\hijackthis_198\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.club-vaio.sony-europe.com/ O1 - Hosts: 69.20.16.183 search.netscape.com O1 - Hosts: 69.20.16.183 ieautosearch O1 - Hosts: 69.20.16.183 auto.search.msn.com O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/ O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.sony-europe.com O15 - Trusted Zone: *.sonystyle-europe.com O15 - Trusted Zone: *.vaio-link.com O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab Es geht wohl um die veränderten Hosts unter 01. Wenn ich die fixe, sind sie Sekunden später wieder da. Auch die 015 crazywinnings Ich habe noch kein SP2 auf diesem Rechner, aber ich trau mich auch nicht es drauf zu machen bevor diese Scheisse weg ist. cu maggus |
Fixe dies: O1 - Hosts: 69.20.16.183 search.netscape.com O1 - Hosts: 69.20.16.183 ieautosearch O1 - Hosts: 69.20.16.183 auto.search.msn.com O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/ O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.sony-europe.com O15 - Trusted Zone: *.sonystyle-europe.com O15 - Trusted Zone: *.vaio-link.com http://www.cexx.org/lspfix.htm LSP reparieren Im abg. Modus löschen: c:\windows\system32\aklsp.dll SP2 installieren: www.windowsupdate.com |
sorry, war ne zeitlang nicht on mit dem notebook wo ich das Problem habe. Jetzt geht mirs wieder tierisch auf die nerven. Also: ich habe alles gefixt, was du geschrieben hast. Die Sachen von Sony und Vaio sind zwar ok, weils ein Sony notebook ist. Ich hab sie aber sicherheitshalber trotzdem gefixt. Bringt nix. Das andere Zeug hab ich auch gefixt. Hab jetzt auch SP2 drauf. Aber der Mist ist Sekunden später wieder da (das Sonyzeugs natürlich nicht). Wie gehabt. LSP-fix hat nicht auffälliges gefunden. Hat alles nichts geholfen leider. :headbang: Ich glaube mir bleibt jetzt nur noch der Freitod oder eine Neuinstallation. Trotzdem danke. Übrigens das löschen im abgesicherten kann man vergessen: Zugriff verweigert. "stellen sie sicher daß die datei nicht schreibgeschützt ist oder gerade benutzt wird". Bringt auch sowieso nichts weil bei jedem booten eine andere datei generiert wird. |
Hallo, bezüglich der O15 Einträge: http://www.trojaner-board.de/showpos...6&postcount=31 O1 Einträge: Probiers mal mit der Vorgehensweise von Marc und halte uns bei jedem Schritt auf dem Laufenden. |
@ maggus bitte scanne Deinen Rechner mit dem eScan - entsprechend der Beschreibung im Link. Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) Erstelle ein neues Hijack This Logfile und poste es. |
Zitat:
bin nach marcs methode vorgegangen. Der uninstaller von look2me hat nichts gefunden,. und sed.exe hab ich ja eh nicht. Ich weiß nicht wie die aktuellen exes heißen die ich killen muss. Die 015 Einträge habe ich weggekriegt. Popups starten aber immer noch. hier mein aktueller log. Logfile of HijackThis v1.98.2 Scan saved at 01:51:09, on 31.12.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Sony\vaio media music server\SSSvr.exe C:\Programme\sony\photo server 20\appsrv\PicAppSrv.exe C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Messenger\msmsgs.exe D:\downloads\sicherheit\hijackthis_198\HijackThis.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\wuauclt.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.search.msn.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.search.msn.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.search.msn.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com O1 - Hosts: 69.20.16.183 auto.search.msn.com O1 - Hosts: 69.20.16.183 search.netscape.com O1 - Hosts: 69.20.16.183 ieautosearch O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1104433892309 O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab danke für eure hilfe maggus |
Was ergab die Überprüfung durch dllcompare? Führe aber zuerst einmal, wie SD bereits postete, den eScan AntiVirus aus und poste uns die Virus Log Information. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 19:51 Uhr. |
Copyright ©2000-2025, Trojaner-Board