|
Diverse Probleme u.a. Zonealarm hallo, ich lese schon länger hier im forum herum, und habe nun selber eine frage. und hoffe das jemand sich vielleicht die zeit nimmt mir zu helfen. habe schon seit längerem mehrere probleme: 1. google seite lädt sich nicht.(Ich habe firefox, zonealarm, antivir, windows xp) nur wenn ich die nummer eingebe: 66.249.93.104 2. zonalarm lässt sich nicht updaten, die warnung erscheint: ein update ist verfügbar..., und dann lädt sich die seite nicht(das gleiche wie bei 1.: fehlermeldung- seite kann nicht gefunden werden...) ich weiß nicht woran das liegt, habe hier von escan und so gelesen, würde das auch gerne mal machen, weil ich schon ein ungutes gefühl habe, bräuchte aber hilfe. wäre sehr erfreut, wenn mir jemand hilft, auch wenn das problem nicht sehr schlimm scheint, es stört ziemlich, hab auch schon mehrere leute gefragt, keiner wusste was. vielen dank jetzt schonmal. |
Hallöle. Stelle uns bitte ein Hijackthis log sowie ein eScan log zur Verfügung. Anleitung in meiner Signatur verlinkt oder im FAQ Bereich. Ich würde dir auf jeden Fall raten Zonealarm zu deinstallieren, danach mit cCleaner aufzuräumen und dann die XP Firewall zu aktivieren. Die ist genauso gut und macht VIEL weniger Probleme! Gruß Undoreal |
Der link mit der auswertedatei bei escan, anleitung mit router, kann das sein das das nur ein dokument ist, wo ganz viel geschrieben steht?wie soll ich das denn runterladen? das geht so los: @echo off REM Version 2007.05.07.01 REM REM Die Grundlage für diese Batchdatei wurde von Haui45 geschaffen. REM Ein Dankeschön an Cidre und KarlKarl für ihre Verbesserungsvorschläge. REM Danke auch an undoreal, cad, ordell1234 sowie alle ungenannten, REM freiwilligen sowie unfreiwilligen Tester.... ist das überhaupt richtig so????? |
also hier schonmal das mit dem hijack: Logfile of HijackThis v1.99.1 Scan saved at 16:21:14, on 10.05.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16414) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\ALCWZRD.EXE C:\WINDOWS\AGRSMMSG.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\HijackThis\Hijack_programm\hijackthis\HijackThis.exe C:\Programme\HijackThis\Hijack_programm\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://download.zonelabs.com/bin/media/pdf/zaclient60_user_manual.pdf O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: Picture Motion Browser Medienprüfung.lnk = C:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe |
Zitat:
|
was?versteh ich jetzt nicht, was soll ich machen, wenn ich das ding runterladen will muss ich doch doppelt draufklicken, also auf denn link?und dann kommt gleich der text. welchen namen soll ich denn ändern? |
Du kannst auch einfach den gesamten Text markieren und in einen Texteditor kopieren. Das ganze dann unter dem Namen "find.bat" speichern und du hast was du willst. ;) EDIT: Oder so wie Mighty das macht. :) |
Zitat:
|
oh jetzt:daumenhoc , alles klar, danke, werde das jetzt mal machen....:) noch eine frage: muss ich jetzt antivir und zonalarm alles ausschalten? |
Zitat:
|
hab ichs doch gewusst, das irgendwas nicht stimmt.hat der escan doch was gefunden, krieg ich das jetzt noch weg? ist das sehr gefährlich, ich würde es gerne löschen: und was soll das mit dem passwort geschützt heißen, hab ich da doch was falsch gemacht?muss dazu sagen der rechner ist durch 4 benutzerkonten getrennt, 3 haben ein passwort, liegt das daran? ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.05.07.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NORMAL eScan Version: 9.2.2 Sprache: German C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temp\MWAV.LOG C:\Dokumente und Einstellungen\admin\Desktop\MWAV.LOG ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ Datei D:\Daten_Uwe\Laptop_Dell\Laufwerk_D\Eigene Dateien\fun\April\DrunkMouse.exe markiert als not-virus:BadJoke.Win32.MovingMouse.a. Keine Aktion vorgenommen. Datei D:\Daten_Uwe\Laptop_Dell\Laufwerk_D\Eigene Dateien\fun\April\floppy.exe/floppy.exe markiert als not-virus:BadJoke.Win32.MADFlop.a. Keine Aktion vorgenommen. Datei D:\Daten_Uwe\Laptop_Dell\Laufwerk_D\Eigene Dateien\fun\April\Finger\finger.exe markiert als not-virus:BadJoke.Win32.Finger.b. Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\WINDOWS\system32\reboot.exe ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\DOKUME~1\admin\LOKALE~1\Temp\GLB56.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\DOKUME~1\admin\LOKALE~1\Temp\GLB60.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\DOKUME~1\admin\LOKALE~1\Temp\GLBF.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\DOKUME~1\admin\LOKALE~1\Temp\GLB43.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\GLB22.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\A***\Lokale Einstellungen\Temp\GLB8.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\A***l\Lokale Einstellungen\Temp\xt1ecs4e.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\A***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FVQRYKCJ\pllangs[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\U***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\VVUCJKRT\SkypeSetup[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XC9QCYGU\SkypeSetup[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9W6MURWB\SkypeSetup[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temp\GLB56.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temp\GLB60.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temp\GLBF.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temp\GLB43.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : C:\WINDOWS\System32\drivers\etc\hosts : C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 138814 Gefundene Viren: 4 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 367 Dauer des Scans bisher: 01:19:46 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 18:31:23,20 Batchende: 18:31:56,51 |
CCleaner.com runterladen, starten und dann unter der Kategorie Cleaner, Karteireiter Windows "Analyze" und dann "Run Cleaner" klicken. Danach eScan nochmals laufen lassen, diesmal den Haken bei "scan Only/Nur Scannen" entfernen. Ergebnis der find.bat posten. |
also das ist der escan!! ist jetzt alles weg? und was heißt denn : C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FVQRYKCJ\pllangs[1].exe nicht gescannt. ist das alles nicht gescannt worden?und wie wenn nein wie kann ich das denn dann scannen und prüfen?und da steht ja er hat 4viren gefunden?aber ich kann nur einen trojaner sehen(also ich kenn mich ja nicht aus)was waren das für viren?und kann man sagen ungefähr wo ich sie herhaben könnte und seit wann?vielen, vielen dank für die mühe!!!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.05.07.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NORMAL eScan Version: 9.2.2 Sprache: German C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temp\MWAV.LOG C:\Dokumente und Einstellungen\admin\Desktop\MWAV.LOG C:\bases_x\MWAV.LOG ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "trojan-downloader.bat.ftp.ab Trojan-Downloader" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Einträge entfernt. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ Datei D:\Daten_***\Laptop_Dell\Laufwerk_D\Eigene Dateien\fun\April\DrunkMouse.exe markiert als not-virus:BadJoke.Win32.MovingMouse.a. Keine Aktion vorgenommen. Datei D:\Daten_***\Laptop_Dell\Laufwerk_D\Eigene Dateien\fun\April\floppy.exe/floppy.exe markiert als not-virus:BadJoke.Win32.MADFlop.a. Keine Aktion vorgenommen. Datei D:\Daten_***\Laptop_Dell\Laufwerk_D\Eigene Dateien\fun\April\Finger\finger.exe markiert als not-virus:BadJoke.Win32.Finger.b. Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\WINDOWS\system32\reboot.exe ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\GLB22.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\GLB8.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\xt1ecs4e.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FVQRYKCJ\pllangs[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\VVUCJKRT\SkypeSetup[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XC9QCYGU\SkypeSetup[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9W6MURWB\SkypeSetup[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : C:\WINDOWS\System32\drivers\etc\hosts : C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 137676 Gefundene Viren: 4 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 205 Anzahl Fehler: 205 Dauer des Scans bisher: 01:19:08 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 20:14:18,66 Batchende: 20:15:31,91 |
also heute habe ich den antivir scanner laufen lassen und der hat folgendes gefunden?wo kommt das denn plötzlich her?hab das alles löschen lassen.ist es jetzt weg?und was sind das für viren, habe nirgends info gefunden google, antvir etc. Beginne mit der Suche in 'C:\' <ACER> C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Beginne mit der Suche in 'D:\' D:\Daten_Uwe\Laptop_Dell\Laufwerk_D\Eigene Dateien\fun\jwjagd.exe [0] Archivtyp: ZIP SFX (self extracting) --> Moorhuhn.exe [FUND] Enthält Signatur des Spielprogrammes GAME/Moorhuhn [INFO] Die Datei wurde gelöscht. D:\Daten_Uwe\Laptop_Dell\Laufwerk_D\Eigene Dateien\fun\April\BurpInst.exe [0] Archivtyp: ZIP SFX (self extracting) --> burp.exe [FUND] Enthält Signatur des Scherzprogrammes JOKE/Burp.C [INFO] Die Datei wurde gelöscht. D:\Daten_Uwe\Laptop_Dell\Laufwerk_D\Eigene Dateien\fun\April\DrunkMouse.exe [FUND] Enthält Signatur des Scherzprogrammes JOKE/MovingMouse [INFO] Die Datei wurde gelöscht. D:\Daten_Uwe\Laptop_Dell\Laufwerk_D\Eigene Dateien\fun\April\burp.exe [FUND] Enthält Signatur des Scherzprogrammes JOKE/Burp.C [INFO] Die Datei wurde gelöscht. D:\Daten_Uwe\Laptop_Dell\Laufwerk_D\Eigene Dateien\fun\April\clickme.exe [0] Archivtyp: ZIP SFX (self extracting) --> clickme.exe [FUND] Enthält Signatur des Scherzprogrammes JOKE/ClickMe.10.1 [INFO] Die Datei wurde gelöscht. D:\Daten_Uwe\Laptop_Dell\Laufwerk_D\Eigene Dateien\fun\April\floppy.exe [0] Archivtyp: ZIP SFX (self extracting) --> floppy.exe [FUND] Enthält Signatur des Scherzprogrammes JOKE/MADFlop.A [INFO] Die Datei wurde gelöscht. D:\Daten_Uwe\Laptop_Dell\Laufwerk_D\Eigene Dateien\fun\April\Finger\finger.exe [FUND] Enthält Signatur des Scherzprogrammes JOKE/Finger.B [INFO] Die Datei wurde gelöscht. |
Hi, wenn du dir den eScan-Bericht anschaust, wirst du sehen, dass auch dort die Dateien gefunden und festgehalten worden. (Das sind 3 der 4 Viren, die bei dir gefunden worden, der 4. dürfte die reboot.exe sein) Ich kenn mich da nicht so aus, aber ich vermute, dass es sich da wirklich um "badjokes" also um sich selbst öffnende Laufwerke, unkontrollierbaren Mauszeiger etc. dreht und die keine Gefahr für den Rechner darstellen. Wäre aber gut, wenn dir das nochmal wer bestätigen könnte. :) lg myrtille |
Hallo, die "Joke Programme dürften auch das kleinste Problem sein.... Das hier habe ich bei F-Secure gefunden F-Secure Virendefinition: BAT.Ftp Irrlicht |
würde mir die seite gerne anschauen, da ist auch mein altes problem die seite öffnet sich nicht, fehlermeldung...wie bei sovielen seiten.woran liegt das?: Fehler: Server nicht gefunden Der Server unter F-Secure.de > F-Secure.de konnte nicht gefunden werden. * Bitte überprüfen Sie die Adresse auf Tippfehler, wie ww.beispiel.de statt www.beispiel.de * Wenn Sie auch keine andere Website aufrufen können, überprüfen Sie bitte die Netzwerk-/Internetverbindung. * Wenn Ihr Computer oder Netzwerk von einer Firewall oder einem Proxy geschützt wird, stellen Sie bitte sicher, dass Firefox auf das Internet zugreifen darf. |
Hi, ich zitiere mal aus der F-Secure Seite: Zitat:
Das passt überhaupt nicht zu reboot.exe. Hast Du auf deinem System mal den Smitfraudfix eingesetzt? Der enthält eine reboot.exe die er nach system32 kopiert und die der Escan genau mit der Meldung, die Du bekommen hast, versieht. Welche Version Zonealarm hast Du auf deinem Rechner? Die aktuelle 7.337? Ich habe in der letzten Zeit diverse Fälle erlebt, in denen deren Deinstallation (die nicht einfach ist, Zonealarm ist extrem klebrig) schwere Probleme beseitigt hat. Dein Windows hat eine Firewall, die sehr gut funktioniert und keine Probleme macht. |
nein dieses smithfraud habe ich noch nicht gemacht, hab ich diesen trojaner denn schon länger oder kann man das nicht sagen, was macht der?sich uploaden?ich weiß schon mich ausspionieren oder so? sitzt da einer hinterm rechner und sieht alles was ich tippe? ich habe im moment die testversion von zonealarm pro, ich glaube das war ein fehler, diese blöde zonealarm ist eh voll der scheiß, kapiert man überhaupt nicht.was mir noch aufällt ist beim benutzerwechsel hat er am ende noch zlclient.exe beendet, was neu ist. |
Hallo, hat was für sich,Karl Karl.... Wird aber die Exe nicht auch im EScan mit Namen benannt ? Die Fehlversuche F-Secure zu ereichen ? Irrlicht |
Der Name kann natürlich täuschen, aber es schien mir sehr wahrscheinlich, da ich das oft sehe. Dann lass die reboot.exe mal bei VirusTotal oder Jotti scannen und kopiere die Ergebnisse hierher. Wichtig: die zusätzlichen Daten wie Dateigröße, MD5, usw. ebenfalls. |
ich habe gesehen ich habe diese datei schon seit 12.2.2005 ist ja voll lang, sollte ich alle passwörter ändern?was macht das ding auf meinem rechner der letzte zugriff war heute.virustotal-auswertung: Antivirus Version Update Result AhnLab-V3 2007.5.10.0 05.11.2007 no virus found AntiVir 7.4.0.15 05.13.2007 no virus found Authentium 4.93.8 05.12.2007 no virus found Avast 4.7.997.0 05.13.2007 no virus found AVG 7.5.0.467 05.13.2007 no virus found BitDefender 7.2 05.13.2007 no virus found CAT-QuickHeal 9.00 05.12.2007 no virus found ClamAV devel-20070416 05.13.2007 no virus found DrWeb 4.33 05.13.2007 no virus found eSafe 7.0.15.0 05.13.2007 no virus found eTrust-Vet 30.7.3628 05.11.2007 no virus found Ewido 4.0 05.13.2007 no virus found FileAdvisor 1 05.13.2007 No threat detected Fortinet 2.85.0.0 05.13.2007 no virus found F-Prot 4.3.2.48 05.12.2007 no virus found F-Secure 6.70.13030.0 05.11.2007 no virus found Ikarus T3.1.1.7 05.13.2007 no virus found Kaspersky 4.0.2.24 05.13.2007 no virus found McAfee 5029 05.11.2007 no virus found Microsoft 1.2503 05.13.2007 no virus found NOD32v2 2262 05.12.2007 no virus found Norman 5.80.02 05.11.2007 no virus found Panda 9.0.0.4 05.13.2007 no virus found Prevx1 V2 05.13.2007 no virus found Sophos 4.17.0 05.11.2007 no virus found Sunbelt 2.2.907.0 05.12.2007 no virus found Symantec 10 05.13.2007 no virus found TheHacker 6.1.6.114 05.12.2007 no virus found VBA32 3.12.0 05.13.2007 no virus found VirusBuster 4.3.7:9 05.13.2007 no virus found Webwasher-Gateway 6.0.1 05.13.2007 no virus found Aditional Information File size: 4405 bytes MD5: 79eb06b91657a30fa4f21944ccad90d8 SHA1: 64b67908a1287fba34d363981d07a49b4db18647 Bit9 info: Bit9 FileAdvisor - Search Results |
was sollte ich denn jetzt weiterhin machen? |
Was für ein Computer ist das denn? ein Acer Notebook? Anhand der Daten des Onlinescans konnte ich orten, dass diese Datei Teil eines Acer Softwarepaketes "aac_support/server/diags/m5diag.exe" ist. Wenn Du der Sache immer noch nicht traust: Besuche die Seite The Spykiller - Index und eröffne dort einen neuen Thread mit "New Topic", Du musst dafür nicht registriert sein. Fülle das Formular aus, schreibe als Titel "for karl". Kopiere auch eventuell schon vorhandene Scanresultate für die folgenden Dateien. Mit "Durchsuchen ..." suche nun folgende Datei/en und lade sie als Anhang hoch.
Die Datei ist sehr klein, sollte kein Problem sein, schnell zu ermitteln, was sie tut. Ich gehe stark davon aus, dass sie den Rechner neu startet ;) Noch eins: Nicht auch noch andere Foren damit beschäftigen. Das führt zur Vervielfachung der Arbeit für Freiwillige. |
ja okay, alles klar, habs verstanden.:) danke für die hilfe, die gut war, bis hierhin. |
Ist wirklich ein Reboot Programm. Allerdings nicht das aus dem Smitfraudfix, sondern ein richtig antikes: Msdos 16 Bit Real Modus. Ich hab es ausprobiert: unter Windows überhaupt nicht lauffähig (da man dort nicht mehr direkt auf den Speicher zugreifen kann). Beim Anblick dieses Codes kamen richtig nostalgische Gefühle auf, mit Turbo C habe ich einst auch programmiert. Die Escan Meldungen mit "offending" basieren auf dem Namen einer Datei oder eines Ordners. Da kommen mehr Fehlalarme bei raus als wirkliche Erkennungen. Probleme wie Du sie mit dem Internet hast, habe ich in der letzten Zeit mehrfach erlebt. In einigen dieser Fälle hat sich Zonealarm als Ursache des Problems herausgestellt. Welche Version hast Du drauf? |
ich habe zonealarm pro version 6.1.744.001, will es eh runtertun, wenn das so einfach wäre, wie ich hier schon lesen konnte. ist die anleitung diesselbe wie bei zonealarmpro 3?(anleitung steht nämlich im forum) was macht dieses reboot.exe, oder hat es mal was gemacht, wenn du sagst es ist sehr alt.?! |
Code: ; int __cdecl main(int argc,const char **argv,const char *envp)Da hast Du noch eine etwas ältere Version Zonealarm. Die mir bekannten Probleme beziehen sich auf die aktuelle 7.337. In diesem Fall solltest Du dich erstmal durch die Konfiguration der Firewall hindurcharbeiten ob da was verstellt ist. Nicht updaten, sogar die Gurus im Zonealarm Forum raten davon ab. Die Anleitung kann ich nicht überprüfen. Ich hatte mal vor Jahren eine 5er Version. Als ich dann bemerkte, dass die andauernd verschlüsselte Daten von meinem Computer zu ihrem Hersteller übertrug war das loswerden etwas schwierig, habe sie von Hand aus dem Dateisystem und der Registry entfernt, da die normale Deinstallation dazu führte, dass danach mein Browser gehijackt wurde von einer Zonealarm-Seite mit weiteren Hinweisen deren Abarbeitung aber nichts mehr änderte. Formatieren und neu installieren wäre schneller gewesen :( |
Okay, soll ich die Datei reboot.exe dann einfach löschen? Ich hoffe das ist überhaupt möglich.Also ich hatte mal eine Zeit, ist schon über 1Jahr her, da hat sich mein Rechner immer einfach so gestartet, hatte dann auch ein Virus, den mir aber ein Bekannter gelöscht hat, das fällt mir beim Stichwort, einfach booten ein.Also einfach löschen und ignorieren??? Und sonst sieht mein Rechner soweit "sauber" aus? |
Die reboot.exe ist sowieso nicht lauffähig, sie startet zwar, kann aber ihre vorgesehene Aufgabe nicht ausführen, jedenfalls nicht unter Windows, sonst hätte mein Rechner heute schon einige Neustarts gehabt. Also werden die Neustarts damals einen anderen Grund gehabt haben, da wurde ja bereits was unternommen. Bei dem, was ich hier von deinem Rechner sehe, sehe ich keine Hinweise auf aktive Malware. Allerdings besteht eine gewisse Möglichkeit, dass da was sein könnte, was in den bisherigen Untersuchungen nicht sichtbar wird. 100% kann man nie garantieren bei so einer Onlineuntersuchung. Ich weiß noch nicht einmal ob das zu schaffen ist, wenn man den Computer vor sich stehen hat. Ich hab hier noch zwei Links die neulich schon jemand anders geholfen haben, Zonealarm loszuwerden. Link Link |
Ja also vielen Dank.Mal schaun, ob ich das mit dem Deinstallieren von Zone-Alarm hinbekomme, da ich mit den Englischen Fachbegriffen, mich schwer tue.Aber mal schaun. Werde den Rechner eh bald mal neu installieren, wenn die Zeit da ist. Ja sicher kann man sich nie sein, ob nicht doch irgendwo ein spion sitzt.Auf jeden Fall ist mir jetzt einiges klarer. PS:hast du zwei Rechner einen für die viren und einen richtigen?:) Habe mir gerade das mit dem zonealarm reinstall angeschaut, sind beide sehr unterschiedlich, welchem sollte man den trauen?ich glaube ich lass es lieber, bevor garnichts mehr funktioniert. |
Ich meinte schon auf beiden Seiten jeweils nur die Teile, die sich mit der Deinstallation beschäftigen. Die am Schluss folgende Installation sollte ausgelassen werden, sonst hätte es ja nichts gebracht. Wie schon angemerkt: Die Probleme mit Zonealarm, denen ich in der letzten Zeit begegnet bin, hingen mit der neuen Version 7.337 (ist mir fast schon peinlich, dass ich die Zahl unterdessen auswendig weiß) zusammen. Den Rechner mal neu installieren ist ok, bei undurchsichtigen Problemen oft die schnellste und sicherste Lösung. Mache ich öfter hier. Ich hab derzeit 5 Rechner, außerdem Vmware, eine Software die virtuelle Rechner im Speicher anlegt. Von denen habe ich einige Dutzend in großen Dateien gespeichert. Solange es geht, benutze ich die für die Viren, leider gibt es da welche, die den Schwindel bemerken. |
Klingt alles sehr interssant, leider kenn ich mich bis jetzt viel zuwenig aus, will aber unbedingt mehr wissen, was gar nicht so einfach ist allein, so vor dem Rechner, was mich noch interessiert, was hätte denn diese reboot.exe angestellt, wenn sie in einem alten system(welchem?DOS?)gelaufen wäre?und wieso ist sie jetzt hier auf dem Rechner, wo schon immer nur windows läuft?gibt es eine erklärung?Dann geb ich auch mal ruh.:)hab die Datei jetzt gelöscht. |
Auf einem entsprechend alten System hätte sie den Rechner neu gestartet. Warum sie auf deinem Rechner ist, weiß ich nicht. Sie wurde jedenfalls mit irgendeinem Softwarepaket geladen. Bei Acer wurde eins gefunden, das sie enthält. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 08:01 Uhr. |
Copyright ©2000-2025, Trojaner-Board