|
TR/Dldr.Mediket.S.2 hallo erstmal folgendes Problem: Ich habe mir in den letzten Tagen mehrere Trojaner gefangen. Unter anderem halt auch den TR/Dldr.Mediket.S.2. Das war alles kein Problem. Mit Antivir und Spyware Doctor 3 war dich das alles schnell los. Allerdings hatte ich seit ich diesen Trojaner auf meinem Rechner habe ein neues Hintergrundbild. Und zwar ein Fake von nem Windows Blue Screen, der mir sagt, dass ich einen Trojaner auf dem rechner habe. Zusätzlich atte ich unten rechts in meiner Startleiste seitdem eine rotes Ausrufungszeichen wo ab und zu ein Pop Up hochkam das mir sagte ihr Computer ist infiziert. Das ganze war ne Werbekampange von PGGuard oder so, für deren AntiSpyware. Das rote dreieck bin ich losgeworden. Also diese Spyware von PGGuard. Aber den Hintergrund werde ich nicht los, denn in meinen Anzeige Optionen fehlen die Registerkarten!!!!! Nur die Registerkarten für Bildschirmschoner und Eigenschaften sind da. Aber nicht die, wo ich das Design und den Hintergrund ändern kann. WO SIND DIE HIN UND WIE BEKOMME ICH DIE WIEDER? :confused: :confused: :confused: Vielen Dank im Vorraus Urs |
Hallo Ursadon arbeite das hier durch und melde dich danach mit einem aktuellen HJT http://www.trojaner-board.de/showthread.php?t=17863 |
danke für den Tipp. Der hat mir auf jeden fall schonmal weitergeholfen. Ich habe jetzt alle Karteikarten in meiner Anzeige, also in meinen Bildschirmeigenschaften wieder. Allerdings geht der rote Kreis unten in der Taskleiste mit dem weissen Ausrufezeichen drin nicht weg. Habe inzwischen rausgefunden wo der lieg und wie die datei heisst: C:/Windows/System32/intel32.exe Die sitzt auch im Autostart. Habe ich über Regcleaner gefunden. Aber loeschen alleine geht net. Kommt immer wieder Das POP Up mit dem "Your Computer is infected! Click here to protect your computer from Spyware / virus Threat" kommt aber immernoch hoch. Und wenn ich drauf klicke, will es zur Seite: http://www.psguard.com/?aff=1&sub=0 Ich breche natürlich dann sofort ab, bzw bin gar nicht im internet. Folgendes allerdings: Als ich die anleitung von euch durchgearbeitet habe, da passiert folgendes bei der Killbox. Ich mache alles wie beschrieben, allerdings wenn ich bei der letzten datei auf JA fürs Rebooten gehe, dann kommt folgende Nachricht: PendingFileRenameOperations Registy Data has been Removed by External Prozess. Kann das daran liegen, oder habe ich einfach noch einen virus, trojaner, etc. mehr drauf? Bin für jede Hilfe dankbar Urs |
hast du wirklich alle beschriebenen Dateien auf deinem Rechner gesucht und wenn vorhanden entfernt? hast du den Virencheck bei Panda durchgeführt? Überprüfe das ganze nochmal und poste dann ein aktuelles HJT. Abschliessend ist da auch noch ein eScan empfohlen führe auch diesen durch und poste das Ergebnis |
so habe jetzt nochmal alles gechecked und du hattest recht. Habe einen Fehler gemacht. Die Pfade für die Killbox waren bei mir anders als in der Beschreibung. Hatte nicht expliziet danach gesucht. Habe dann mit der Killbox auchmal die inte32.exe gelscht und das auch erfolgreich. Habe allerdings jetzt noch ein neues Problem: Ich habe den Panda Online Virusscan durchlaufen lassen, der auch tatsächlich 8 weitere infizierte dateien gefunden hat. Nach dem Neustatrt des Rechners wollte ich dann den Scan nochmals durchlaufen lassen, da gings los. Es fehten mir massich Dll`s. Bezihungsweise die fehlten mir nicht, sondern waren beschädigt. Der Internet Explorer war platt, Outlook Express und alles andere was mit internet zu tuhen hat, wie ICQ, AntiVir Updater etc. Ich habe mir dann müselig die DL`s von nem anderen Rechner geholt. Aber mit einer, der entscheidenen, wie ich finde, komme ich nicht weiter. Meine SHLWapi.dll ist kaputt und deswegen bekomme ich bei den oben genannten Programmen folgende Nachricht: RunDLL32.exe - Einsprungspunkt nicht gefunden Der Einsprungspunkt "SHRegGetValueW" in der DLL "SHLWapi.dll" kann nicht gefunden werden. Danach schließen sich die Programme wieder. Ich habe versucht die Datei aus nem anderen Rechner zu holen und zu üerschreiben, aber das geht nicht, weil die selbst im Abgesicherten Modus immer verwendet wirdvon anderen Programmen. Um wieder emails abrufen zu koennen und im Internet zu surfen habe ich mir Mozilla und TheBat! Geholt. Aber eine wirkliche Loesung ist das nicht. Was soll ich tun??? Urs |
die Probleme die du beschreibst hatte, so weit ich weiss, noch kein User. Es gab des öffteren Probleme mit der explorer.exe aber die DLL's... Zitat:
Damit du mit Mozilla jetzt unterwegs bist ist eh besser als mit dem IE du solltest auch beim Mailprogramm umsteigen http://www.thunderbird-mail.de/thunderbird/ deine eMails kannst du vom Outloock übernehmen. Deinen IE bekommst du so http://www.jasik.de/tipps%20&%20tricks/tipp44.htm oder so http://www.wintotal.de/Tipps/Eintrag...ID=54&URBID=12 wieder hin poste mal ein aktuelles HJT |
danke für die Hilfe bis hier hin Gigamail. :party: ich bin auf dem Gebiet Viren Trojanern und Hijackern nicht so bewandelt. Kann es nicht sein, dass es ich immer noch einer der drei oben genannten handelt? Habe versucht malden errornuker laufen zu lassen, von der dll seite, wo du mich hinverwiesen hast. aber das kriege ich nicht installiert. Genau aus den gleichen Gründen warum ich auch nicht die anderen Programme installieren konnte. Das braucht anscheined auch die dll. :o :headbang: Also ich habe das mit dem umbennen versucht. Das hat auch geklappt. Habe dann die dll von dlldump runtergeladen und ins system32 kopiert. allerdings haten die da nur die Version 6.0.2900.2180. Ich brauchte allerdings die Version 6.0.2600.0. Nach dem Neustart gabs dann Probleme mit der explorer.exe. Habe das aber beheben koennen. Jetzt bin ich wieder im Windows ;). Du hast nicht zufällig ne Version 6.0.2600.0 von der shlwapi.dll? Habe auch schon ins dlldump forum gepostet. habe mal hijackthis durchlaufen lassen: habe noch nichts geloescht!!! Hier das ergebnis: " Logfile of HijackThis v1.99.1 Scan saved at 20:38:35, on 16.07.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I3T1.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\The Bat!\thebat.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Dokumente und Einstellungen\visor\Desktop\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file) O4 - HKLM\..\Run: [ati control panel] atiphexx.exe O4 - HKLM\..\Run: [EPSON Stylus C45 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I3T1.EXE /P23 "EPSON Stylus C45 Series" /O6 "USB002" /M "Stylus C45" O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\RunServices: [ati control panel] atiphexx.exe O4 - HKCU\..\Run: [ati control panel] atiphexx.exe O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1135539821146 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://www.pandasoftware.com/activescan/as5/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{D7ABEAB3-79C4-4FB3-91D8-1A0F6BC0760E}: NameServer = 202.84.149.2,202.84.149.17 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE " wäre klasse wenn du mal nen blick drauf werfen kannst. bin mir da ein bissle unsicher. Guck mir aber gerade mal das board toturia dazu an um für die zukunft dazu zu lernen Zitat Gigamail: "Damit du mit Mozilla jetzt unterwegs bist ist eh besser als mit dem IE du solltest auch beim Mailprogramm umsteigen http://www.thunderbird-mail.de/thunderbird/ deine eMails kannst du vom Outloock übernehmen." Meinstest du ich sollte von TheBat! als email programm weg, oder hattest du das überlesen? Urs |
Zitat:
da das HJT jetzt erst kommt, kann ich dazu auch erst was genaueres sagen, das erste Problem was du hast ist ein Uraltsystem SP2 ist aktuell. Des weiteren hast du Bots auf deinem System, die schleichen sich durch ungepachte Systeme und deshalb mein Rat setze die Kiste neu auf und sichere ab vor dem ersten Gang ins Internet Hilfe zum Neuaufsetzen und anschließende Absicherung Eine Reperatur mach in so einem Fall keinen Sinn mehr da der Rechner Kompromittert ist lese mal über Kompromittierung lese auch mal über Botnetze http://de.wikipedia.org/wiki/Botnet http://www.heise.de/newsticker/meldung/51689 |
Hi Gigamail Das wird ja immer besser: Formatieren der Festplatte und Neuaufsetzten des Windows steht ausser Frage!!! Hier mein Problem: Der Rechner, von dem aus ich schreibe ist ein alter Sony Vaio Laptop. Die orginal Tastatur ist kaputt, ich benutzte eine per USB 1 anzuschließende externe Tastatur. Das Bios hat keine USB Boot unterstützung, folglich fährt die Tastatur erst im Windows hoch. Das ist aber noch nicht alles. Ich habe kein Disketten und kein CD Laufwerk. Die Windows Version auf meinem Rechner ist Deutsch und jetzt kommt das beste: Ich sitzte in Bangladesch!!! Ich komm hier weder an die Tastatur, noch an ein bootfähiges, per pcmcia anzuschließendes cd drive ran. Zusätzlich, wenn ich das koennte, hätte ich noch keine deutsche Windows Version, sondern nur englische. Ich hätte es eigentlich besser wissen müssen! Der rechner ist eigentlich nur am Internet, weil mein Internetrechner den Geist aufgegeben hat und ich seit 4 Wochen auf die Reparatur warte. Und da ich hier Internet mit der Geschwindigkeit von 1Kb/s habe hätte die Service Packs runter zu laden Jahre gedauert. Du siehst, eine Wahnsinns Story, aber auch ein Debakel! Meine Frage also: Kann ich untr diesen Umständen noch irgendwas machen, oder sitzte ich fest. Gibt es irgendeine moeglichkeit noch was zu retten? Danke Urs |
Zitat:
Zitat:
Es nützt dir ja auch nichts wenn du SP2 bestellst CD-Bestellung SP2 wenn du mit der Möhre weiter im Netz bist, denn der holt sich laufend neue Sachen, du bekommst praktisch keine Ruhe und verbreitest ungewollt Malware im Netz. Tut mir Leid aber ich kann dir nichts anderes sagen als ich schon gepostet habe, es ist für deine Sicherheit und die Sicherheit anderer im Internet Sry |
ok. Dann gebe ich auf. Koennen sich diese Malwares auch über USB Sticks und externe Festplatten weiter verbreiten? Oder bin ich wenigsten da sicher, wenn ich nur Bilder und worddocs kopiere? Urs |
Zitat:
bei Bildern und Dokumenten sehe ich in deinem Fall keine Gefahr :daumenhoc |
Hilfe!!! Beim Antivir Virenscan fand sich ied_s7.cab bzw. TR/Dldr.Mediket.O ! Der Rechner lahmt seitdem im Netz. Droht irgendwelche Gefahr??? :dummguck: Wie krieg ich das Ding weg? Mit Antivir gehts nicht weg. Hab außerdem noch den TR/Dldr.Agent.CB drauf, aber der ist seit Monaten drauf und ich kriegt ihn bisher auch nicht weg... würde ich aber gern.. ;-) Wer weiß Rat? Danke! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 06:12 Uhr. |
Copyright ©2000-2025, Trojaner-Board