hab hier endlich mal etwas Hilfe gesehen und hab auch so eine Hijack-log-datei erstellt.
hab die nail.exe gelöscht und in Papierkorb auch habe sie unter G: gefunden. 2 weiter sind in Qarantäne in AnitivirGuard drinnen (SVCPROC.exe+DRPMON.dll)
Hier mein Log-File
Logfile of HijackThis v1.99.1
Scan saved at 23:23:23, on 28.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
HI,
Dein System ist ziemlich verseucht. Um feststellen zu können, ob es sich überhaupt rentiert zu bereinigen oder ob das Neuaufsetzen sinnvoller ist, bitte mal folgendes bei Jotti online scannen lasen und das Ergebnis reinposten:
G:\WINDOWS\System32\rsyncmon.dll
G:\WINDOWS\Bolger.dll
g:\windows\system32\rkxaxk.exe
cacatoa
Mama69LH
29.05.2005 11:20
So ich habe das mal gemacht die 3.datei g:\windows\system32\rkxaxk.exe find ich nicht..obwohl es der Trojancheck6 Guard auch anzeigt
Datei: rsyncmon.dll
Status: INFIZIERT/MALWARE (Anmerkung: Es wurde nur nicht-destruktive Malware gefunden. Obwohl diese Art von Malware lästig sein kann, werden die Ergebnisse nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -
AntiVir Keine Viren gefunden
Avast Win32:Adan-013 gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Adware/Safesurf.DLL gefunden
Kaspersky Anti-Virus not-a-virus:AdWare.SafeSurfing.g gefunden
mks_vir Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
VBA32 Keine Viren gefunden
Datei: Bolger.dll
Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) (Anmerkung: Es wurde nur nicht-destruktive Malware gefunden. Obwohl diese Art von Malware lästig sein kann, werden die Ergebnisse nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -
AntiVir Keine Viren gefunden
Avast Win32:Bolger gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web not a virus Adware.BetterInternet gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Adware/Abetterintrnt gefunden
Kaspersky Anti-Virus not-a-virus:AdWare.BetterInternet gefunden
mks_vir .Betterinternet.J gefunden
NOD32 Keine Viren gefunden
Norman Virus Control W32/BetterInternet gefunden
VBA32 AdWare.BetterInternet gefunden
cacatoa
29.05.2005 12:41
Hi,
die Datei ist da:
Linke Maustaste Arbeitsplatz, Extras, Ordneroptionen, Ansicht, hier:
Haken weg bei: geschützte Systemdateien ausblenden
Haken hin bei: Alle Dateien und Ordner anzeigen und:
Inhalte von Sytemordnern anzeigen.
cacatoa
Rene-gad
29.05.2005 12:47
@Mama69LH
Zitat:
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Danach mach bitte noch Folgendes:
1.Systemwiederherstellung abschalten
2. Dieses Bereinigungsprogramm hilft dir, den ganzen Müll aus den Temp-Ordner und Papierkorb zu entfernen.
3. Infected-Ordner des Antivirus-Programms, ggf. auch von Spybot Search & Destroy, Ad-Aware usw. leeren. Der Name des Ordners sowie Pfad sind Programm- und Benutzerabhängig. Bitte RTFM zum AV-Programm. Bei einigen Programmen (z. B. AVPE) ist diese Option nicht im Programm integriert. In dem Fall soll dies manuell erfolgen.
4. eScan genau nach Anleitung (bitte ausdrucken und aufmerksam lesen) im abgesicherten Modus laufen lassen. Log hier Posten.
PS: Ich denke aber, dass das Neuaufsetzen würde schneller und besser gehen.
Mama69LH
29.05.2005 15:03
Zitat:
Zitat von cacatoa
Hi,
die Datei ist da:
Linke Maustaste Arbeitsplatz, Extras, Ordneroptionen, Ansicht, hier:
Haken weg bei: geschützte Systemdateien ausblenden
Haken hin bei: Alle Dateien und Ordner anzeigen und:
Inhalte von Sytemordnern anzeigen.
cacatoa
hab ich so gemacht,kann sie immer noch nicht sehen
Cidre
29.05.2005 15:09
@ Mama69LH
Entweder wurde die Datei schon von einer AV Anwendung gelöscht und der Autostartaufruf existiert lediglich noch oder es handelt sich um eine zufallsgenerierte Datei. Ersteres wäre plausibler, da diese Datei nicht als laufender Prozess zu sehen ist.
Hast du die Empfehlung von Rene-gad schon abgearbeitet?
Mama69LH
30.05.2005 12:56
Nein..hab ich noch nicht gemacht ..muß erst mal alles aufmerksam lesen.das ich keinen fehler mach. Kenn mich bei so Sachen überhauptt nicht aus.
Normalerweise macht sowas mein Mann,aber wir grad etwas Krise haben und ihm egal ist ,meinte soll das selber machen. (Obwohl ja sein PC und heilig ist)
:D Selbst ist die Frau..hab schon einiges dazugelernt.
Wie ich das so mitbekommen hab muß ich die ganzen Sachen wo im Gelben Kasten stehn..mit den Hijack fixen.? (Gell im abgesicherten Modus)
Was ich mich auch frag,wo ich mir das Klump eingefangen hab :confused: ...dacht erst mein Mann hätte es gelöscht.aber Explorer und MSN spinnte dann immer noch rum und Yahoo auch.Auch waren dann plötzlich lauter Spiele und so sachen auf dem Deskop ,wo ich nie draufwar.
Und da ich Nail.exe wußte.hab ich einfach gesucht und euch gefunden :D und ihr seid ne große Hilfe
Mama69LH
31.05.2005 15:51
sorry wegen doppelpost..hab mich grad etwas auf pc umgeshen und kam von virenprogramm ne meldung ..habs in die qarantäne gemacht
trau mich ja schon gar nicht mehr pc anzumachen :D
Rene-gad
31.05.2005 18:09
@Mama69LH
Zitat:
hab sie bei gesucht aber nix gefunden..
Dateiname bedeutet noch gar nix. Wichtiger wäre zu wissen, welchen Virus und von welchem Programm wurde gemeldet.
Zitat:
trau mich ja schon gar nicht mehr pc anzumachen
Es ist genau das, was ich immer sage: nur das Neuaufsetzen gibt Garantie eines sauberen Rechners (bis zum ersten Internetgang, selbstverständlich ;).
Mama69LH
31.05.2005 22:15
Zitat:
Zitat von Rene-gad
@Mama69LH
Dateiname bedeutet noch gar nix. Wichtiger wäre zu wissen, welchen Virus und von welchem Programm wurde gemeldet.
Es ist genau das, was ich immer sage: nur das Neuaufsetzen gibt Garantie eines sauberen Rechners (bis zum ersten Internetgang, selbstverständlich ;).
:confused: vor lauter reinschieben vergessen hab was genau aber stand etwas mit TR und war im g.windows..system32.....hab endlich im AntivirGuard die qarantäne gefunden das steht nur vir.datei ....zb die SVCPROC.exe steht da 4 mal schon drinnen erst als vir.datei und 001-003.datei
hehe mit dem Pc anmachen das war mehr als Spaß gemeint,weil jeden tag was anderes komisches passiert..aber was man so alles lernen kann :daumenhoc
aber ich glaub mein Mann wird neuaufsetzten,er meinte er wollte das schon lange mal machen,weil Pc schon ewig rumspinnt...na mal sehen wann er sich durchringt
Mama69LH
10.06.2005 16:11
Huhu..also das wird ja immer schlimmer auf dem rechner..nur noch Meldungen an Massen...und das Blinken vom deskop auch nur noch kommt...alle alten Sachen auch grummel..mein Trojancheck nur noch aufgeht...hab noch mal neues Log-file gemacht...Würdet Ihr das bitte mal ansehen... ;) Dankeeeeeeeee
Dann können wir endlich mit dem Krieg beginnen und dennen den Kampf ansagen.. :D
Logfile of HijackThis v1.99.1
Scan saved at 17:04:01, on 10.06.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Hi,
im post Nr. 5 hat Rene-Gad Dir schon vorgeschlagen einen eScan zu machen.
Gemacht hast Du ihn nicht.
Allerdings muß ich sagen, so wie das aussieht, bist du
1. besser und
2. vor allem sicherer bedient, wenn du Dein System neu aufsetzt.
Halte dich genauestens an alle Tipps in dem Link.
cacatoa
Mama69LH
10.06.2005 17:50
[QUOTE=cacatoa]Hi,
im post Nr. 5 hat Rene-Gad Dir schon vorgeschlagen einen eScan zu machen.
Gemacht hast Du ihn nicht.
Doch hab ich nur die eine datei nicht und die find ich einfach nicht ,hab das auch gepostet und auch gefragt wegen fixen ob das so richtig sei
cacatoa
10.06.2005 17:56
@ Mama69LH
Ich meine nicht den online-scan einer einzelnen Datei bei Jotti, sondern die Durchführung des eScan, wie er in dem Link von Rene-Gad steht.
cacatoa
cacatoa
10.06.2005 18:04
Nachtrag:
bitte auch mal die beiden folgenden runterladen und laufen lassen: Das und das da.
cacatoa
Mama69LH
11.06.2005 13:09
]
Hab das 1.schon mal gemacht....2 erst noch lesen muß wie das geht....escan auch noch mach
MediaTickets CDT Spyware more information...
Details: Mediatickets is a spyware program that displays advertisements, reduces the security settings for the Trusted Sites zone in Internet Explorer, and attempts to fraudulently install trusted publishers.
Status: Ignored
Severe threat - Severe-risk items have an extreme potential for harm, such as a security exploit, and should be removed.
IE Trusted Zone Hijack Spyware more information...
Details: IE Trusted Zone Hijack is a spyware related Web site that is added to your Internet Explorer Trusted Zones.
Status: Ignored
Severe threat - Severe-risk items have an extreme potential for harm, such as a security exploit, and should be removed.
Unclassified.Trojan.E Trojan more information...
Status: Ignored
Severe threat - Severe-risk items have an extreme potential for harm, such as a security exploit, and should be removed.
Infected files detected
g:\windows\loadnew.exe
Transponder.ABetterInternet.Aurora Spyware more information...
Status: Ignored
Severe threat - Severe-risk items have an extreme potential for harm, such as a security exploit, and should be removed.
Begin2Search Browser Plug-in more information...
Details: Begin2Search installs third party spyware, displays pop-up advertisements, and redirects Internet Explorer.
Status: Ignored
High threat - High-risk items have a large potential for harm, such as loss of computer control, and should be removed unless knowingly installed.
Transponder.Bolger Adware more information...
Details: Transponder.Bolger is an Internet Explorer browser helper object that monitors Web page requests and displays pop-up advertisements.
Status: Ignored
High threat - High-risk items have a large potential for harm, such as loss of computer control, and should be removed unless knowingly installed.
SafeSurfing.RsyncMon Browser Plug-in more information...
Details: SafeSurfing.RsyncMon is a SafeSurfing adware variant that installs as a Browser Helper Object (BHO) in Internet Explorer.
Status: Ignored
High threat - High-risk items have a large potential for harm, such as loss of computer control, and should be removed unless knowingly installed.
webHancer Spyware more information...
Details: WebHancer is a spyware program that launches at Windows startup, monitors the Web sites you view, and sends their performance data back to webHancers servers.
Status: Ignored
Moderate threat - Moderate-risk items have some potential for harm, but may be part of a wanted service. Users may decide to ignore such programs after review.
Popular Screensavers Software Bundler more information...
Details: Popular Screensavers installs adware software on your computer.
Status: Ignored
Moderate threat - Moderate-risk items have some potential for harm, but may be part of a wanted service. Users may decide to ignore such programs after review.
Infected files detected
g:\windows\downloaded program files\f3initialsetup1.0.0.8-2.inf
My Way Speedbar Browser Plug-in more information...
Status: Ignored
Moderate threat - Moderate-risk items have some potential for harm, but may be part of a wanted service. Users may decide to ignore such programs after review.
NewDotNet Browser Plug-in more information...
Details: New.Net is an Internet Explorer plug-in that adds extra top-level domains (such as .shop or .tech) to your name resolution system.
Status: Ignored
Moderate threat - Moderate-risk items have some potential for harm, but may be part of a wanted service. Users may decide to ignore such programs after review.
Overnet Software Bundler more information...
Details: Overnet/eDonkey is a file sharing software that bundles third party adware and spyware with the free version.
Status: Ignored
Moderate threat - Moderate-risk items have some potential for harm, but may be part of a wanted service. Users may decide to ignore such programs after review.
Infected files detected
g:\dokumente und einstellungen\assssssssssssss\anwendungsdaten\microsoft\internet explorer\quick launch\overnet.lnk
eDonkey2000 Software Bundler more information...
Details: eDonkey2000 is a peer-to-peer file sharing program that installs with adware and spyware such as Webhancer, Web Search Toolbar, and New.Net.
Status: Ignored
Low threat - Low-risk items have little potential for harm, but users may wish to examine the item further.
Infected files detected
g:\dokumente und einstellungen\assssssssssssss\anwendungsdaten\microsoft\internet explorer\quick launch\edonkey2000.lnk
Detected Spyware Cookies
No spyware cookies were found during this scan.
ging nicht alles in eins rein... bei c:Programme/getright/getright auch Meldung kam und zwar Hat signaturen vom Worm/SdBot.344064
geht leider nicht so schnell mit scanen und antworten ,da ich am tag 3 Kids habe und nicht immer zeit hab an rechner zu gehn
Mama69LH
11.06.2005 15:04
:heulen: sorry nerv scho wieder...hab versucht den Escan im abgesicherten modus zu machen..aber geht nicht ich komm gar nicht rein ins Programm...da blinkt alles und im Tak manger kommt diese Nail.exe .......wenn ich dann explorer in task neu starte hört das blinken auf und die nail .exe ist weg,(wie ich es sonst immer mach)....aber dann muß ich auf ja drücken das abgesicherter modus weiter ausgeführt wird und dann fängt alles wieder von vorne an...grummel...
cacatoa
11.06.2005 17:15
Hast Du das removal tool für die Nail.exe schon probiert?
cacatoa
Mama69LH
05.07.2005 13:03
Huhu..endlich wurde pc neu aufgesetzt.... :daumenhoc .....ich hab heut mal ein scan gemacht ..hoffe Ihr könnt ihn euch mal ansehen.danke!!
Logfile of HijackThis v1.99.1
Scan saved at 13:56:02, on 05.07.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
