"about:blank" krieg ich trotz eurer beschreibung nicht los! help!
 

hallo,
bin zum ersten mal hier und bitte um ausgesprochen simple ausdrucksweise, falls jmd. antwortet, da ich getrost als computerdepp bezeichnet werden kann.
hatte bis vor kurzem nur norton(wofür zahlt man den überhaupt, wenn der doch nix erkennt?!!!) und spybot, mittlerweile auch ad-aware, cwshredder, spysubtract und euren hijackfixer. internet explorer hab ich irgendwo gelesen, wär auch doof, steig demnächst eben auf mozilla um.
auf eurer seite ( http://www.trojaner-info.de/anleitun...out_blank.html) beschreibt ihr (bzw. DerBilk)ganz genau mein problem und eigentlich sogar, wie man es wieder los werden könnte.
bei mir klappt das aber nicht! was mach ich falsch?!
wenn ich beim Hijack Fixer "desinfektion starten" anklicke, erklärt der mir, daß nix infiziert sei! aber mit sicherheit! flieg immer noch auf vielen seiten raus und lande wieder bei dieser bekloppten "about:blank, search for..." - seite
wer kann mir helfen?!

Guten Morgen @ ulla-wenigahnung,

erstelle bitte ein Hijack This Logfile und poste es mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html, dann sehen wir weiter.

SD

hi sd,
ich ahnte es ja schon, kapier nicht ganz, was ich machen soll!
ich hab hijackthis drüber laufen lassen, hab diese seite mit"running processes, C:/programme......" bei mir gespeichert, aber WO soll ich die nun hinschicken?! an deine klaffke-email-adresse?! wenn ich da nun irgendnen mist mitschick....? oder passiert da nix?
o je, verzeih meine unwissenheit, du warst der einzige, der sich gemeldet hat, und nun diese mail von mir, sorry. aber wenn du mir vielleicht noch einmal sagst, was das copy (das versteh ich ja noch) & paste bedeutet?! vielleicht schaff ichs ja dann! hoff, du besitzt etwas humor, damit du überhaupt nochmal antwortest!
grüße
ulla
p.s. selig sind die ahnungslosen

:confused:

@ ulla-wenigahnung,

lies mal ganz genau die Anleitung hier: http://www.trojaner-board.de/51130-a...ijackthis.html. Folge der Beschreibung und kopiere das Logfile hier ins Forum. (Kopieren: rechte Maustaste auf copy klicken ... hier im Forum, rechte Maustaste auf paste klicken.)

SD

verzweifel, immer noch großes fragezeichen, oder hab ich jetzt das gemacht, was du meintest? hoffentlich....

äh, noch ne info: hab eigtl dsl, aber rechner wird immer langsamer, heut morgen mußte ich erst mal im abgesicherten modus ad-aware drüberlaufen lassen, sonst wär ich gar nirgends hingekommen.

und falls mir noch jmd erklärt, wie ich die bezeichnung "ulla, der big boss" wegkrieg, wärs auch schön, hat ein sehr "witziger" mal drauf gemacht - aber das mach ich wohl später, andere baustelle

vielen dank schon mal für deine mühe!


Logfile of HijackThis v1.98.2
Scan saved at 15:12:29, on 16.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS.0\System32\nvsvc32.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS.0\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS.0\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS.0\system32\RUNDLL32.EXE
C:\Program Files\interMute\SpySubtract\SpySub.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\Dokumente und Einstellungen\ulla der big boss\Lokale Einstellungen\Temp\hijackthis_198\HijackThis.exe

R3 - URLSearchHook: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {78F26057-B670-4739-A533-183C36BB4686} - C:\WINDOWS.0\system32\ekaoj.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS.0\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS.0\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} -
O16 - DPF: {69432678-2906-2705-1128-068943397621} -

Völlig richtig. War doch gar nicht so schwer! ;)

Andere Baustelle und erstmal unwichtig, aber so gehts (Kurzform):
Systemsteuerung - Benutzerkonten - Dein Konto anklicken - Eigenen Namen ändern

In Hijackthis fixe (den Haken vor dem Eintrag machen und hinterher auf "Fix checked" klicken) bitte folgende Einträge:

Gruß :daumenhoc
Yopie

Kleiner Nachtrag:

Scan anschließend Deinen Rechner mit eScan. Gehe genau nach dieser Anleitung vor.

Gruß :daumenhoc
Yopie

hi yopie,
noch einer, der sich erbarmt! danke, danke, danke!
also, ich hab das jetzt gemacht, allerdings konnte ich den c:windows.....-eintrag nicht finden, da kam nix mit c:...., nur zahlen vorne dran! hab aber jetzt mal das neue logfile mitgeschickt, da is das c-ding sowieso nicht mehr mit dabei. (verzeih meine doofe ausdrucksweise, aber ich fang erst an, mich durch den kram zu kämpfen!)
also, wenn du bitte nochmal da drüber kucken könntest.... wär toll!!!!
lieben dank,
ulla



Logfile of HijackThis v1.98.2
Scan saved at 09:29:26, on 17.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS.0\System32\nvsvc32.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS.0\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS.0\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS.0\system32\RUNDLL32.EXE
C:\Program Files\interMute\S


pySubtract\SpySub.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\ulla der big boss\Eigene Dateien\hijackthis_198\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS.0\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS.0\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

Vielen lieben dank !!!!!!

Dein Log sieht soweit sauber aus und ich nehme an, das Problem ist jetzt nicht mehr spürbar? Verwende trotzdem mal noch den E-Scan wie von Yopi schon empfohlen.

hi,
die sache mit escan hab ich erst danach entdeckt!
mittlerweile läuft das ding seit 4std 22min drüber! noch normal?!
hat einen virus entdeckt und mir mitgeteilt, ich solle doch escan kaufen. hab ich weggeklickt, in der hoffnung, daß ihr mir hier weiter zur seite steht.
läuft zwar immer noch, aber hier schon mal der entdeckte virus (kann ich jetzt nicht rüberkopieren, hoffentlich nur, weil das ding noch läuft)
da steht:

c/dokumente../einstellungen../ulla../temporär..1/Content.IE55BBFPH4E/1(1)htm
infected by "Exploit.HTML.Mht"Virus
action taken : no action taken

das sollte ich doch, wenn escan dann mal fertig wird, löschen, oder?!
aber muß ich dafür erst irgendwas kaufen?
hab doch norton schon gekauft, der nix findet....
oder soll ich das irgendwohin kopieren, bzw. von irgendworaus löschen?!
oder könnt ihr mich nochmal auf eine seite hinverweisen, die mir gaaaaanz genau sagt, was ich wann, wo und wie anklicken muß? idiotenanleitung eben!

hoffentlich meldet sich nochmal jemand......
wenn ich das je fertig krieg hier, würd ich ja gern ein paar nette hilfreiche menschen auf'n bier einladen

Das Ding ist im Cache vom Internet Explorer. Wenn das das einzige ist, was gefunden ist, ists wohl i.O., denn Schaden kanns dort nicht anrichten.
Lad Dir Clearprog runter und lösche damit, wenn eScan fertig ist, die temporären Dateien. Das Programm ist relativ selbsterklärend, sollte also klappen.

Gruß :daumenhoc
Yopie

Hallo ulla-wenigahnung,

war das der einzige Eintrag, der mit eScan festgestellt worden ist? Du kannst dies so rausfinden: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) Der eScan ab Version 4.5.1 löscht die gefundene Malware nicht. Das wird von Hand gemacht:

1.) --> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre)

2.) --> "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" (Cidre)

Den Inhalt der C:dokumente../einstellungen../ulla../temporär kannst Du mit dem Clear Prog leeren, wie auch die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf, einfach alle Häk'chen anfinken bei Internet Explorer.

Erstelle dann nochmal ein weiteres Hijack This Logfile und poste es.

SD

[edit] servus @ Yopie ;-) [/edit]

guten morgen shadowdance, yopie und mountainking,

1. werd nimmer 2 themen zur gleichen frage öffnen - sorry, aber paaanik!
2. hab escan NICHT im abgesicherten modus laufen lassen, hab das wohl übersehen, daß ich das hätte tun sollen (naja, dann war wohl nicht escan mit 6h doof, sondern ich.....)
3. hab jetzt beim clearprog bei internet explorer alles angeklickt (bis auf das unterste, da stand dann was drin von wegen aktiviert/bzw deaktiviert, war mir da nicht sicher, hab das deshalb sein lassen) und gelöscht. so wie ich das verstanden hab, war das die einfachere methode als das separat rauszulöschen (wenn nötig, mach ich das aber noch)
4. hab hijackthis drüberlaufen lassen und schick nochmal das logfile
5. der rechner läuft wieder schneller!!!!!!!
6. warum macht ihr das (doofies helfen) überhaupt? seid ihr informatikstudenten und schreibt ne doktorarbeit???? oder seid ihr einfach nur wahnsinnig nette computerfreaks? rätsel.......
7. hier jetzt endlich hijackfix und vielen herzlichen dank! kniefall, füsse küssen, zünd ne kerze an......

Logfile of HijackThis v1.98.2
Scan saved at 07:56:22, on 18.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\WINDOWS.0\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS.0\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS.0\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Program Files\interMute\SpySubtract\SpySub.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS.0\System32\nvsvc32.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\Dokumente und Einstellungen\ulla der big boss\Eigene Dateien\hijackthis_198\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS.0\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS.0\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

danke!

nochmal hallo,
so, hab jetzt escan im abgesicherten modus drüberlaufen lassen. der hat jetzt 29(!!!) viren / trojaner gefunden (ich nehm auch mittlerweile alles zurück, was ich über die schnelligkeit meines rechners gesagt hab, der wird wieder suuuper laaaangsam).

shadowdance hat mir auch schon mal geschrieben, wie ich euch die daten für die trojaner rübermailen kann, allerdings blick ich das wieder nicht! ich finde "mwav.log" nicht!!!!! wenn ich das anklicke, startet halt escan....
verzweifel.......

immer, wenns den anschein macht, daß jetzt wieder alles klappt, funktioniert dann doch wieder nix.... blöde wechselbäder.... normal, wenn man sich mitm rechner beschäftigt?.... braucht man ja ganz schön dickes fell......

Las dir im explorer mal die detais anzeigen!

dann kannst du die mwavscan.com und den mwav.llog unterscheiden!

ulla, hast du die mwav.exe in das verzeichnis c:\bases entpackt oder hast du einfach nur das Programm gestartet?

Paaanik ist immer schlecht. V.a. dann, wenn man im AUto oder vorm PC sitzt. ;)

Bei mir ists natürlich das zweite. ;) Ich hab hier im Forum übrigens auch als Doofie angefangen. Du bist mit Sicherheit auch kein hoffnungsloser Fall! Mit ein bißchen Eigeninitiative und durch Mitlesen und Mithelfen kann man eine Menge lernen. :)

Gruß :daumenhoc
Yopie

um die Sache ein bisschen zu erleichtern und uns das ewige Suchen zu ersparen, hier gibt es noch einen zweiten Thread ... 9727

vielleicht können wir dann in diesem Thread, also hier, weitermachen?

@ ulla-wenigahnung,

erstelle ein weiteres Hijack This Logfile und poste es. Dann sehen wir weiter.

SD

also das mwav-ding kam ja als gezippte datei runter, ich habs entpackt (aber wohin??? keine ahnung) und dann gestartet. äääääähhhh, war wohl falsch?!

hallo ,
hier also das neue hijack-logfile.
warum steht da oben "internet explorer" dran? den benütz ich gar nicht mehr, sondern mozilla firefox. kann da über i.e. ne leitung offen sein, durch die mist kommt? soll ich den irgendwie ganz rauslöschen, oder reichts, wenn ich den einfach nimmer benütz?

wenn's irgendwem mit mir zu doof wird, kann ich den rechner ja auch wegbringen. allerdings, falls "wir" kurz davor sind, daß der wieder normal läuft und sauber ist, würd ich das schon ganz gern mit eurer hilfe hier weiter durchstehen. frau lernt ja wenigstens ein bißchen dabei...

Logfile of HijackThis v1.97.7
Scan saved at 16:02:59, on 18.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS.0\System32\nvsvc32.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS.0\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS.0\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS.0\system32\RUNDLL32.EXE
C:\Program Files\interMute\SpySubtract\SpySub.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\Dokumente und Einstellungen\ulla der big boss\Desktop\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS.0\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS.0\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.co...989.2899884259
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/get...sh/swflash.cab

Hallo ulla-wenigahnung,

hast Du die "gezippte datei" des "mwav-ding" noch? Dann geh auf START -> Programme -> Windows Explorer -> C: -> neuen Ordner erstellen -> neuen Ordner "bases" nennen -> "mwav-ding" in diesem Ornder entpacken.

Sag Bescheid, wenn Du damit fertig bist.

SD

hi sd,
denk, ich habs geschafft. is jetzt in "bases" allerdings stand beim unzippen ne andere datei in dem feld. weißt du, welches "feld" ich mein? is das wichtig?
naja, is auf alle fälle ungezippt und startklar in bases.
und nu?????

neee, irgendwie glaub ich nicht, daß das stimmt.
wenn ich windows explorer aufmach, land ich automatisch in "eigene dateien".
dann gäbs noch "gemeinsame dokumente" und "netzwerkumgebung."
außerdem gibts bei mir windows explorer nicht bei "programme" , sondern steht separat oberhalb der "programme". aaahh, ist mir wirklich peinlich, gott-sei-dank sieht man sich hier nie...

hab jetzt nochmal im gesicherten modus escan drüber laufen lassen und da ich immer noch dran arbeite, das logfile irgendwie herzukriegen, jetzt einfach von hand!:

darf/kann/soll ich all das löschen bei escan?:

1. C:\adwxx.chm infected by "Trojan.Win32.Dialer.ce"Virus

2.-12. alles auf File C:\Dokumente und Einstellungen\.....

2. "Trojan.Java.Nocheat"Virus
3. "Trojan.Java.Nocheat"Virus
4. "Trojan.Java.ClassLoader.k"Virus
5. "Trojan.Java.ClassLoader.k"Virus
6. "Trojan.Java.Femad"
7. "Trojan.Java.StartPage.j"Virus
8. "Trojan.Downloader.Java.OpenStream.c"Virus
9. "Trojan.Downloader.Java.OpenConnection.s"Virus
10. "Trojan.Java.Nocheat"Virus
11. "Trojan.JS.StartPage.u"Virus
12. "Trojan.Java.ClassLoader.Dummy.d"Virus

13.-29. alles auf FileC:\Programme\Norton Antivirus\Quarantine .....(entweder ganz oder nur zip, class oder htm infected)

13. "Exploit.HTML.Mht"
14. "Trojan.Java.ClassLoader.c"Virus
15. "Trojan.Java.ClassLoader.c"Virus
16. "Trojan.Java.ClassLoader.Dummy.a"Virus
17. tagged as not a virus:PornWare.Dialer.Intexdial.
18. "Trojan.Win32.StartPage.gr"Virus
19. "Trojan-Downloader.JS.IstBar.b"Virus
20. tagged as not a virus:PornWare.Dialer.Intexdial.
21. "Exploit.Java.Bytverify"
22. "Exploit.HTML.ObjData"
23. "Exploit.HTML.Mht"
24. "Trojan.Java.ClassLoader.c"
25. "Exploit.Java.Bytverify"
26. "Exploit.HTML.ObjData"
27. "Exploit.Java.Bytverify"
28. "Trojan.Java.Nocheat"Virus
29. "Trojan.Java.ClassLoader.Dummy.e"Virus

wer den rechner nicht bedienen kann, greift eben wieder zu papier und bleistift..... der bricht auch höchstens nur ab!.....bin leicht entnervt ob meiner völligen ahnungslosigkeit am rechner (mwav in C:\... bringen üb ich noch).
außerdem hätt ich am liebsten alle 29 dinger bei escan gleich gelöscht, aber wenn die sich jetzt nur so NENNEN , aber überhaupt keine trojaner sind?....
so ein mist.........








:koch: :koch:

Hallo ulla, wir schaffen das schon :)

Lade dir bitte diese Escan Version herunter

eScan-V 4.4.6 => über den Menübalken (der Seite www.xtra-media.de/index.php?site=xtra-media&ID=&PID=99) => "Info" => "Downloads".

entpacke sie in den ordner c:\bases , starte dann dort die kavupd.exe , nachdem das update Fertig ist. Deaktiviere die Systemwiederherstellung und starte den computer im abgesicherten Modus (Link beachten!) , scanne dann mit escan.

Diese Escan version löscht die Viren auf deinem System von selbst.

hi lidius,
danke erst mal für deine aufmunternden worte, allerdings bezweifel ich das mittlerweile wirklich.

ich würd das ja gern in C:\bases bringen (die version klingt mal so, als ob sie wie für mich geschaffen wär..:-), aber ich hab mittlerweile ein anderes problem:

sämtliche escan-downloads haben sich ihren eigenen weg in C:\dokumente und einstellungen\ulla\......blabla gesucht.

bei meinen verzweifelten versuchen das ding richtig abzuspeichern, hab ich wohl einmal "bases" unter C.\dok+einst\ulla\desktop gespeichert und einmal "base" unter c:\base gespeichert!

also einmal ist der ort falsch und einmal die bezeichnung!

versuch ich jetzt bases unter c/doku/ulla.... zu löschen, sagt mir der rechner, daß dies nicht ginge, weil andrweitig benützt.....
öffne ich aber mit doppelklick die "base", unzipped der sich rasend schnell wieder nach dokumente...ulla....blabla.

herrje! jetzt könnt ich schon längst allen mist gelöscht haben, aber dann hakts an den einfachsten dingen!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

seh grad die 2biertrinkenden smilies, ich glaub, das muß jetzt sein



:party:

Hallo ulla-wenigahnung,

http://www.trojaner-board.de/images/smilies/party.gif meinst Du diese? *lach* .. wir schaffen das schon .. ein bißchen Nachhilfe-Unterricht ist ja auch nicht verkehrt ;-)

Also, weisst Du wie man Ordner umbenennen kann? Nein? Macht nichts, dann lernst Du es: Dateien umbenennen

Du bist jetzt unter START -> Programme-> im Windows Explorer, unter C:\ müsstest Du nun den Ordner "base" sehen?
Oki, Du klickst jetzt mit der rechten Maustaste auf diesen Ordner, damit müsste sich der Ordner blau färben. Nun klickst Du nochmal mit der rechten Maustaste auf den Ordner, nun erscheint ein graues Fensterchen in dem unter anderen steht "Name ändern", klick dadrauf und nun färbt sich die Schrift unter dem Ordner blau, das heisst, Du kannst jetzt noch ein s an "base" anfügen, also "bases" .. und genau das sollte unter diesem Ordner stehen. Soviel zu C:\bases

Geschafft? Gut.

Aus dem Ordner C.\dok+einst\ulla\desktop löscht du den Ordner "bases" .. das heisst erst leerst Du den Inhalt des Ordners "bases" in den Papierkorb, dann wirfst Du den Ordner "bases" hinterher in den Papierkorb. (Ordner löschen)

Geschafft? Wenn Du soweit bist, bitte melden.

ein Tutorial zum Umgang mit Windows: online windows lernen

SD

Ha! ich habs geschafft!!!!!!!!!!!!!!!!!!!
keine ahnung wie, is auch nicht die alte, selbstlöschende version von escan, sondern die, bei der ich euch fragen muß, was ich löschen kann.
hat jetzt auch ewig gedauert, bis durch vermutlich nen zufallstreffer escan im richtigen ordner mit dem richtigen werkzeug geöffnet wurde - aber: bin im glück!
vielen dank auch für sämtliches "unter-die-arme-greifen" bisher! (hab jetzt ein paar tage gebraucht, um euch überhaupt die richtige info zu mailen, windows-grundkenntnisse u.ä. muß ich mir gleich im anschluß aneignen)

so, nu also:
bei eingabe : infected kam dies:

Fri Nov 19 10:49:56 2004 => File C:\adwxx.chm infected by "Trojan.Win32.Dialer.ce" Virus. Action Taken: No Action Taken.

Fri Nov 19 10:50:30 2004 => File C:\Dokumente und Einstellungen\alex der boss\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\ok.class-1607cddc-52ad2077.class infected by "Trojan.Java.Nocheat" Virus. Action Taken: No Action Taken.

Fri Nov 19 10:50:31 2004 => File C:\Dokumente und Einstellungen\alex der boss\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\ar3.jar-4f5829ba-1ef24c0b.zip infected by "Trojan.Java.ClassLoader.k" Virus. Action Taken: No Action Taken.

Fri Nov 19 10:50:31 2004 => File C:\Dokumente und Einstellungen\alex der boss\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\ar3.jar-5f21fc27-29432a44.zip infected by "Trojan.Java.ClassLoader.k" Virus. Action Taken: No Action Taken.

Fri Nov 19 10:50:31 2004 => File C:\Dokumente und Einstellungen\alex der boss\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\arc.zip-64a5dabb-678baf9d.zip infected by "Trojan.Java.Femad" Virus. Action Taken: No Action Taken.

Fri Nov 19 10:50:35 2004 => File C:\Dokumente und Einstellungen\alex der boss\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\counter.jar-1425fe31-27d808ab.zip infected by "Trojan.Java.StartPage.j" Virus. Action Taken: No Action Taken.

Fri Nov 19 10:50:36 2004 => File C:\Dokumente und Einstellungen\alex der boss\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv107.jar-841e2dc-1e1f58bb.zip infected by "TrojanDownloader.Java.OpenStream.c" Virus. Action Taken: No Action Taken.


Fri Nov 19 10:50:36 2004 => File C:\Dokumente und Einstellungen\alex der boss\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\nocheat.jar-11f63847-3fac8f6d.zip infected by "TrojanDownloader.Java.OpenConnection.s" Virus. Action Taken: No Action Taken.

Fri Nov 19 10:50:36 2004 => File C:\Dokumente und Einstellungen\alex der boss\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\stat.zip-1f0b70a4-4bd1e3c7.zip infected by "Trojan.Java.Nocheat" Virus. Action Taken: No Action Taken.

Fri Nov 19 10:52:33 2004 => File C:\Dokumente und Einstellungen\maximilian sherriff\Lokale Einstellungen\Temp\sp.html infected by "Trojan.JS.StartPage.u" Virus. Action Taken: No Action Taken.

Fri Nov 19 10:53:03 2004 => File C:\Dokumente und Einstellungen\ulla der big boss\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\Dummy.class-2c807b52-5da7c18e.class infected by "Trojan.Java.ClassLoader.Dummy.d" Virus. Action Taken: No Action Taken.

Fri Nov 19 11:07:08 2004 => File C:\Programme\Norton AntiVirus\Quarantine\0E055A58.htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.

Fri Nov 19 11:07:08 2004 => File C:\Programme\Norton AntiVirus\Quarantine\0E332626.zip infected by "Trojan.Java.ClassLoader.c" Virus. Action Taken: No Action Taken.

Fri Nov 19 11:07:09 2004 => File C:\Programme\Norton AntiVirus\Quarantine\0E365022.class infected by "Trojan.Java.ClassLoader.c" Virus. Action Taken: No Action Taken.

Fri Nov 19 11:07:09 2004 => File C:\Programme\Norton AntiVirus\Quarantine\0E4D7609.class infected by "Trojan.Java.ClassLoader.Dummy.a" Virus. Action Taken: No Action Taken.

Fri Nov 19 11:07:09 2004 => File C:\Programme\Norton AntiVirus\Quarantine\3E2E69A0 infected by "Trojan.Win32.StartPage.qr" Virus. Action Taken: No Action Taken.

Fri Nov 19 11:07:09 2004 => File C:\Programme\Norton AntiVirus\Quarantine\3E31139C infected by "Trojan-Downloader.JS.IstBar.b" Virus. Action Taken: No Action Taken.

Fri Nov 19 11:07:09 2004 => File C:\Programme\Norton AntiVirus\Quarantine\534843A4.class infected by "Exploit.Java.Bytverify" Virus. Action Taken: No Action Taken.

Fri Nov 19 11:07:09 2004 => File C:\Programme\Norton AntiVirus\Quarantine\54142FB3.htm infected by "Exploit.HTML.ObjData" Virus. Action Taken: No Action Taken.

Fri Nov 19 11:07:09 2004 => File C:\Programme\Norton AntiVirus\Quarantine\5EB93665.htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.

Fri Nov 19 11:07:10 2004 => File C:\Programme\Norton AntiVirus\Quarantine\5EEA2C2F.class infected by "Trojan.Java.ClassLoader.c" Virus. Action Taken: No Action Taken.

Fri Nov 19 11:07:10 2004 => File C:\Programme\Norton AntiVirus\Quarantine\5EED562C.class infected by "Exploit.Java.Bytverify" Virus. Action Taken: No Action Taken.

Fri Nov 19 11:07:10 2004 => File C:\Programme\Norton AntiVirus\Quarantine\5EED562C.htm infected by "Exploit.HTML.ObjData" Virus. Action Taken: No Action Taken.

Fri Nov 19 11:07:10 2004 => File C:\Programme\Norton AntiVirus\Quarantine\5F2B73E8.class infected by "Exploit.Java.Bytverify" Virus. Action Taken: No Action Taken.

Fri Nov 19 11:07:10 2004 => File C:\Programme\Norton AntiVirus\Quarantine\6B7A385C.class infected by "Trojan.Java.Nocheat" Virus. Action Taken: No Action Taken.

Fri Nov 19 11:07:10 2004 => File C:\Programme\Norton AntiVirus\Quarantine\6B7E6258.zip infected by "Trojan.Java.ClassLoader.Dummy.e" Virus. Action Taken: No Action Taken.



bei eingabe "dialer" kam dies:

Fri Nov 19 11:27:57 2004 => Scanning File C:\WINDOWS.0\SoftwareDistribution\Download\fa6fb01ac82a6e60ca928c584157ebda\dialer.exe

Fri Nov 19 11:23:11 2004 => Scanning File C:\WINDOWS.0\ServicePackFiles\i386\dialer.exe

Fri Nov 19 11:27:57 2004 => Scanning File C:\WINDOWS.0\SoftwareDistribution\Download\fa6fb01ac82a6e60ca928c584157ebda\dialer.exe

Fri Nov 19 11:27:57 2004 => Scanning File C:\WINDOWS.0\SoftwareDistribution\Download\fa6fb01ac82a6e60ca928c584157ebda\dialer.exe


und dann fand ich noch "pornware" (mädels ankucken find ich jetzt nicht so dolle)

Fri Nov 19 11:07:09 2004 => File C:\Programme\Norton AntiVirus\Quarantine\40C44203 tagged as not-a-virus:PornWare.Dialer.Intexdial. No Action Taken.

Fri Nov 19 11:07:09 2004 => File C:\Programme\Norton AntiVirus\Quarantine\3BD46B30 tagged as not-a-virus:PornWare.Dialer.Intexdial. No Action Taken.



und? darf ich jetzt dies alles löschen?!
schließ euch alle in meine abendgebete ein!















































:knuddel:

Hallo ulla-wenigahnung,

--> jain ;-) [edit] achte auf MountainKings Posting (Heute, 20:04). [/edit]

Du hast Glück in jeder Beziehung! Zum einen sind die Trojaner, die Du auf dem Rechner hast 'nur' Downloade-Trojaner, das heisst, sie laden Code auf Dein System runter, um Deinen Browser auf Websiten zu führen, die Du vermutlich nicht freiwillig besuchen würdest ... zum anderen befindet sich die Malware, die Du hier angegeben hast, in drei Ordnern, die Du entweder von Hand oder mit dem Clear Prog leeren kannst. Es geht um diese Ordner:

1.) C:\Dokumente und Einstellungen\alex der boss\Anwendungsdaten\Sun\Java\Deployment\cache
2.) C:\Dokumente und Einstellungen\maximilian sherriff\Lokale Einstellungen\Temp
3.) C:\Programme\Norton AntiVirus\Quarantine

Alle Dialer solltest Du vor dem entfernen auf Diskette sichern, falls sich Deine Telefonrechnung erhöht, siehe dazu --> Dialer-Hinweis.

Du wirst aber sehr wahrscheinlich noch weitere Malware auf dem System haben, die Du findest, wenn Du eingibst "not-a-virus", dabei handelt es sich dann um die adware, die ebenfalls entfernt werden musst. Wenn Du uns die Einträge in der Dir schon bekannten Art ins Forum gibst, können wir Dir zeigen, wie Du sie löschen kannst.

Sollte noch Malware von Hand zu löschen sein, mach folgendes:

1.) --> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre)

2.) --> Boote dann in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" (Cidre) Nach dem löschen in den normalen Modus booten und die Systemwiederherstellung wieder aktivieren.

SD

hi ulla

das ist nur die erkennung, ob du ihn nützt oder nicht, spielt hier keine rolle.
aber wir sehen, dein system ist aktuell :daumenhoc

Logfile of HijackThis v1.97.7 -> da sollte aber schon die aktuelle version verwendet werden, da damit auch einträge >20 angezeigt werden, und auch hier manche "schweinerei" versteckt wird

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe -> java update durchführen

uuuppppsss: jetzt habe ich auf gestern 16:11 geantwortet und den rest nicht gesehen, macht nichts, lass ich trotzdem stehen :lach:

ACHTUNG:

C:\WINDOWS.0\SoftwareDistribution\Download\fa6fb01ac82a6e60ca 928c584157ebda\dialer.exe

Fri Nov 19 11:23:11 2004 => Scanning File C:\WINDOWS.0\ServicePackFiles\i386\dialer.exe

Fri Nov 19 11:27:57 2004 => Scanning File C:\WINDOWS.0\SoftwareDistribution\Download\fa6fb01ac82a6e60ca 928c584157ebda\dialer.exe

Fri Nov 19 11:27:57 2004 => Scanning File C:\WINDOWS.0\SoftwareDistribution\Download\fa6fb01ac82a6e60ca 928c584157ebda\dialer.exe

Diese Dateien NICHT löschen! Es handelt sich um Windows-Systemdateien. Diese Dateien wurden von E-Scan auch nicht als Schädlinge identifiziert, sonst würde dahinter ja auch stehen, welcher es sein soll und dann "No Action Taken". Was du da durch das Suchen gefunden hast, ist lediglich die Information, dass E-Scan diese Dateien auf Viren untersucht hat, aber NICHT fündig wurde.

moin passat2002, mountainking und shadowdance,

hab jetzt mal die (hoffentlich) neue version von hijackthis runtergeladen und sende euch das neue logfile.
mountainking hab ich gelesen und werd die "dialer"-sachen nicht löschen (dachte nur das wär eins der bösesten wörter überhaupt und ich such mal danach..... ok, kapiert!)
im anschluß werd ich mit escan löschen und euch dann das logfile mailen.... kann dauern.....
lieben dank schon mal euch allen für die suuuper hilfe!
und passat2002: macht nix, wenn du auf ne "ältere" mail von mir antwortest: für mich ist alles neu und wichtig!

Logfile of HijackThis v1.98.2
Scan saved at 11:03:37, on 21.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\WINDOWS.0\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS.0\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS.0\system32\RUNDLL32.EXE
C:\Program Files\interMute\SpySubtract\SpySub.exe
C:\WinZip\WZQKPICK.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS.0\System32\nvsvc32.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\hijackthisneu\HijackThis.exe
C:\Programme\Mozilla Firefox\firefox.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS.0\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS.0\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

danke!

Dein Log-File sieht sauber aus.

hier nun auch das neue escan-logfile:

Sun Nov 21 18:21:08 2004 => File C:\adwxx.chm infected by "Trojan.Win32.Dialer.ce" Virus. Action Taken: No Action Taken.

Sun Nov 21 18:38:59 2004 => File C:\Programme\Norton AntiVirus\Quarantine\40C44203 tagged as not-a-virus:PornWare.Dialer.Intexdial. No Action Taken.

Sun Nov 21 18:38:58 2004 => File C:\Programme\Norton AntiVirus\Quarantine\3BD46B30 tagged as not-a-virus:PornWare.Dialer.Intexdial. No Action Taken.

Sun Nov 21 19:07:40 2004 => Total Virus(es) Found: 3

is das nu soweit in ordnung?!
liebe grüße, vielen dank erstmal an alle netten, hilfsbereiten, geduldigen, erklärbereiten und sympathischen menschen am andern ende der leitung!
komm demnächst sicher wieder, wenn ich versuch, das alles zu verstehen, was ich bisher mit eurer hilfe gemacht hab....

Hallo ulla-wenigahnung,

zum einen solltest Du noch dableiben, weil Du noch nicht fertig bist, hier in diesem Thread .. und zum anderen, warum willst Du schon gehen? Du darfst ruhig bleiben, wenn es Dir bei uns gefällt ... :)

Eigentlich solltest Du nun noch von uns wissen wollen, wie Du die auf Deinem System gefundene Malware wieder los wirst ;). Das geht folgendermaßen:

1.) --> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre)

2.) --> Boote dann in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" (Cidre) Nach dem löschen in den normalen Modus booten und die Systemwiederherstellung wieder aktivieren.

Wobei zu beachten ist, dass dieser Dialer zunächst auf Diskette gesichert werden sollten, falls sich Deine Telefonrechnung erhöht: Dialer-Hinweis

Sun Nov 21 18:21:08 2004 => File C:\adwxx.chm infected by "Trojan.Win32.Dialer.ce" Virus. Action Taken: No Action Taken.

Und hier kannst Du einfach den Ordner "C:\Programme\Norton AntiVirus\Quarantine" leeren:

Sun Nov 21 18:38:59 2004 => File C:\Programme\Norton AntiVirus\Quarantine\40C44203 tagged as not-a-virus:PornWare.Dialer.Intexdial. No Action Taken.

Sun Nov 21 18:38:58 2004 => File C:\Programme\Norton AntiVirus\Quarantine\3BD46B30 tagged as not-a-virus:PornWare.Dialer.Intexdial. No Action Taken.

Damit bist Du Deine Malware los.

SD

__________________

Pflichtlektüre:

- Vorbeugende Maßnahmen
- IE sicher konfigurieren und Browser-Sicherheit
- Einschränktes Benutzerkonto: www.ntsvcfg.de.
- Entfernung von Schädlingen und Kompromittierung unvermeidbar?
- faq.underflow.de
- Hijacker-Entfernung

guten morgen sd,
hast ja recht..... ich bleib noch.... außerdem klappt da was nicht so ganz :dummguck:

fragenkatalog:
1. C:\adwxx.chm : bei allen andern viren hab ich nur ne datei AUS dem jeweiligen ordner gelöscht, der ordner selbst blieb ja erhalten. jetzt würde ich aber den kompletten ordner löschen, is sowas wie ne hilfedatei, sollte ich laut mountainking ja NICHT löschen, weil ich die noch irgendwie brauch, andererseits bleibt dann auch der virus drauf - drama galama - SOLL ich das nu löschen oder NICHT? trau mich nicht....würd aber gern....

2. die 2 not-a-virus PornWare-dateien find ich, kann sie auch zu windows rüberkopieren, hab festgestellt, daß insgesamt 6 ordner bei norton\quarantine drin sind, 2 davon die "bösen", nur das mit dem "leeren" versteh ich nu wieder nicht! ich könnte beide LÖSCHEN! aber "leeren" find ich nicht.... ich klick mit der rechten maus die in windows gefundene datei an, dann kommt "ausschneiden, kopieren, löschen, öffnen....." wie geht das?!

3. ich hab zwar im abgesicherten modus escan drüber laufen lassen, von da stammt auch das logfile, gelöscht hab ich aber die 26 viren im normalen modus, da das zwar im abgesicherten modus an sich ging (2 o. 3 auch dort gelöscht), allerdings hats mir beim weitersuchen immer die seite verspult, hab den blauen balken auf "infected" nicht gesehn..... war einfach übersichtlicher im Normalmodus - schlimm?!

4. hab keinen überblick mehr über sämtliche runtergeladenen antivirenprogramme u.ä. , was sie eigtl bewirken, usw. Hab evtl. zu viel mittlerweile, deshalb bitte auch hilfestellung hier!
ist meine definition der programme richtig?! kann ja sein, daß sie für was ganz andres eingesetzt werden....

Norton: sucht+löscht viren usw., funktioniert hoffentlich bald wieder richtig

spybot: hab ich gelöscht, da ich die ewigen fragen (spybot hat registrierungseintrag festgestellt: bestätigen oder verweigern) NIE mit sicherheit richtig beantworten konnte, wußte ja nicht, ob ICH oder ein trojaner was verändert hat.....

ad-aware: selbe funktion wie norton, is mir aber viiiiel lieber, da der mehr gefunden und vor allen dingen auch gelöscht hat!

escan: wie norton, aber im abgesicherten modus drüber : findet am meisten, allerdings muß ich da immer nachfragen (macht MIR nix...
:) )

hijackthis: war nur für about:blank - problem, könnt ich eigtl. wieder löschen ?!

SpHjfix: hat bei mir nur festgestellt, daß ich nicht infiziert bin - obwohl ichs wohl war....? Löschen?!

clearprog: zum Löschen NACH dem löschen (löscht papierkorb?!)

SpySubtract: hat den cw-shredder, das gleiche wie clearprog. einen von beiden löschen?!

5. hab das problem mit dem windows messenger zwar gelesen, auch was runtergeladen, um den abzuschalten, funktioniert aber nicht richtig, muß von hand abmelden, ist auch schon länger her.... weiß jmd, wo ich das richtige download dafür herhol, evtl mit idiotensicherer anleitung?!

6. irgendwas ist noch mit meinem norton: mach ich den rechner an, kommt immer die sicherheitswarnung, daß norton deaktiviert ist. er aktiviert sich aber innerhalb der ersten ca 2 minuten von selbst. hab ich da was verstellt?! kann der nicht gleich aktiv sein? darf ich in dieser kurzen zeitspanne schon das internet (über mozilla firefox) anklicken, oder besser warten?

so, das wär erst mal mein fragenkatalog.
natürlich kuck ich auch auf sämtliche links, manche hab ich aber aus zeitgründen noch nicht geschafft, wird erst nach und nach aufgearbeitet.... hoffe, ihr seht das nicht als unverschämtheit an, wenn ich hier was frag, was evtl auf nem schon vor tagen gesendeten link erklärt wird..... die zeit!.....

vielen dank an alle, die's bis hier unten geschafft haben!

Hallo ulla-wenigahnung,

Sun Nov 21 18:21:08 2004 => File C:\adwxx.chm infected by "Trojan.Win32.Dialer.ce" Virus. Action Taken: No Action Taken.

--> löschen, lautet meine Antwort. Aber warte mal auf mehr Meinungen dazu.

--> Du kannst die einzelnen Dateien in einem Ordner löschen. Du kannst aber auch den Ordner "quarantine" leeren. Stell Dir mal einen Mülleimer vor. Nimmst Du alles einzeln raus, wenn Du ihn leeren willst oder schüttest Du den gesamten Inhalt des Mülleimers in einen Plastiksack? Schön, Du kannst alles einzeln rausnehmen oder alles aufeinmal ausleeren. Ausleeren geht von Hand so: linke Maustaste, Klick Ordner, er öffnet sich, der Inhalt liegt vor Dir. STRG + linke Maustaste, Klick auf erste Datei blaufärben, STRG eingedrückt halten, runterscrollen, Klick auf letzte Datei, alle Dateien sollten nun blau sein. STRG loslassen, rechte Maustaste Klick irgendwohin in diesem blauen Feld, Löschen? ja. Alles in den Papierkoorb? ja Papierkorb leeren? ja Wollen Sie alles leeren? ja .. Windows ;-) Idiotensicher? Nein, aber kompliziert.

--> Nein, solange Du die Systemwiederherstellung deaktiviert hast, nicht. Hattest Du sie nicht deaktiviert, wirst Du bei Neustart alle gelöschten Dateien wieder auf Deinem System zurückfinden.

--> wenn nicht, auch kein Problem, es gibt bessere AV-Programme. Solltest Du Dich von Norton trennen wollen, nur zu.

--> Spybot S&D gehört zu den Programmen, die wir empfehlen.

--> sollte man unbedingt auf dem System haben, regelmäßig updaten und den Rechner immer wieder damit kontrollieren.

--> dazu kommen wir gleich ;-) --> siehe 2. Teil.

--> erstelle einen Ordner Hijack This, kopiere das Programm Hijack This dort hinein und update es ab und an ... Du brauchst es vielleicht noch öfter.

--> ja!

--> nein, zum Leeren der ORDNER, die regelmäßig geleert werden sollen: TEMP, Temporary Internet Files, Cookies, Cache, Verlauf. Leert Papierkorb, wenn Du es eingibst, leert den Ordner Quarantine von Norton, wenn Du es eingibst.

--> ich kenne SpySubtract nicht .... warte auf den Rat der anderen.

--> welchen Messenger meinst Du?

--> ich kenne Norton nicht --> Frage weitergegeben.

Ich verstehe nicht, Du bist doch im Internet? Verwendest Du immer noch den IE? Verwende besser den Firefox.

Und nun kommen wir zu Teil 2, einer kleinen Übung, die ich letzthin schon mit einer anderen Dame praktiziert habe. Ich kopiere mein Posting hier her:

Eine der beiden eScan-Versionen kannst Du vom System entfernen. TIP: nimm den, der nicht löscht, wirf den gesamten Ordner "C:\bases_nodelete" mit Inhalt in den Papierkorb. Der löschende eScan ist eine ältere Version des eScan, der online geupdatet werden kann und dann über die aktuellen Signaturen verfügt. Die neuen Versionen des eScan löschen in der freeware-Version nicht mehr automatisch, leider. Die ältere Version ist zwar nicht aus dem Verkehr gezogen, aber schwer zu finden ;-) Danke an Lutz, Raman und Lidius.

SD

hi sd (und falls sich doch noch jemand auf die seite der ahnungslose traut..., obwohl, so gaaanz langsam seh ich land..)
lieben dank für die tips!

1. hab soweit alles umgestellt, d.h. hab die ältere version von escan drauf!
hat auch einiges umbenannt und gelöscht.
nur WO find ich jetzt die namen der viren? die muß ich ja auch wieder mit suchen-infected eingeben, oder?

hier also das alte-version-escan-ergebnis:

C:\adwxx.chm infected by "Trojan.Win32.Dialer.ce" Virus. Action Taken: File Deleted.

C:\Dokumente und Einstellungen\ulla der big boss\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0123OLAN\on-line[1].exe infected by "Trojan.Win32.Dialer.ce" Virus. Action Taken: File Deleted.

C:\Dokumente und Einstellungen\ulla der big boss\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0123OLAN\on-line[2].exe infected by "Trojan.Win32.Dialer.ce" Virus. Action Taken: File Deleted.

C:\Programme\Norton AntiVirus\Quarantine\5EBF0A5E.htm infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed.

C:\Programme\Norton AntiVirus\Quarantine\5F2B73E8.htm infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed.

Total Number of Virus(es) Found: 7
Total Number of Disinfected Files: 0
Total Number of Files Renamed: 2
Total Number of Deleted Files: 3

ich find nur 5 unter "infected"! dann hab ich's noch mit not-a-virus versucht, da kamen dann meine 2 PornWare-sachen, mit denen hat er aber nix angestellt. könnten es die gewesen sein, damit ich 2+3+2=7 rechnen kann?!

2.ja, ich hab immer vor meinem abgesicherten modus die systemwiederherstellung deaktiviert. ooops, sollte ich gleich wieder umstellen!

3.ja, ich benutz mittlerweile auch mozilla firefox statt IE

4.windows messenger is doch dieses kleine schlupfloch, ehemals von windows eingerichtet, um wichtige notizen o.ä. zu versenden. nutzt aber microsoft sowieso nimmer und außerdem kommen da wohl mittlerweile popups rein, die ähnlich den windows popups aussehen, aber eben keine sind, sondern irgendwas nervenaufreibendes. das symbol für diesen messenger sind die beiden quakenden figuren in grün rechts unten am bildschirm. ich klick dann eben deren fenster an und dann auf "anmelden abbrechen" oder wenn ich's verschlafen hab auf "abmelden".
werd irgendwann nochmal danach bei google suchen....

5.dank auch für die erklärung, wie man leert, war mir nicht sicher. hätts dann doch wohl richtig gemacht (hab immer im hinterkopf: ein falscher klick, und der rechner ist total verspult...sonst sehr selbstsicherer mensch, aber vorm rechner.....)

also, falls ich dann damit fertig bin, lad ich alle gern mal nach tübingen auf'n bier ein!
aber freut euch nicht zu früh, ich werd euch schon erhalten bleiben! jetzt, wo ich schon mal erahnen kann, was man aufm rechner so alles machen kann. kann nicht einsehen, daß die kiste mich bestimmt! anders rum solls sein!
:party:

Hi, Ulla,
die alte version hat alles gekillt, wie zu sehen ist.
Du solltest immer wieder mal den Quarantäne-Ordner des Norton leeren.
außerdem lade dir clearprog 1.4.0 final runter, mach alle Häkchen bei IE, firefox, Windows und drücke auf löschen. Dann sind auch die temporären Dateien und temp. Internet files weg. Diesen Durchlauf machst du immer, bevor Du den Rechner ausschaltest.
Den Messenger solltest Du deaktivieren.
also, denn
cacatoa

hi cacatoa,
danke für den tip! hab auch grad an anderer stelle gelesen, daß man den clearprog immer einsetzen soll - dachte, das gehört zu den wöchentlichen aktionen (naja, mittlerweile mehrmals täglich..)
aber so langsam krieg ich das mit den netten leuten hier in'n griff (hoff ich zumindest...tücke lauert überall) :knuddel:

noch ne frage zu clearprog:
man kann da links unten ja auch "alles löschen" drücken - hab ich gemacht......äääääääääähhhhhhhhhhh.... war das zu viel gelöscht?!

und noch zu dem messenger:
ich klick den immer auf meiner bildschirmleiste rechts unten an, entweder "anmelden abbrechen" oder "abmelden" - da gibts doch sicher auch was zum runterladen, damit der gar nicht erst anspringt, oder? wo find ich denn das download?

schon mal vielen dank und grüße :bussi:

@ ulla-wenigahnung.

zu 1) das ist meiner Ansicht in Ordnung, damit leerst Du alle zu leerenden Ordner mit enem Klick.

zu 2) ein Programm zum downloaden gibt es nicht, aber Du kannst den Windows Messenger abschalten oder deinstallieren, siehe: Allgemeine Tipps (nach unten scrollen): Entfernen oder Deaktivieren des Windows Messenger

SD

guten morgen sd und alle anderen,
is ja prima! jetzt ist mein messenger ausgeschaltet! supi! vielen dank! :bussi: