|
ich werde die spyware nicht los halloo...! ich hab mir auf irgendner dummen seite spyware eingafangen. jetzt springen ständig seiten auf die für antispyware werben ich erhalte ständig spyware - system- und windows security alerts und mein desktop hintergrund verwandelt sich regelmäßig in eine riesige werbung. ich hab schon mit allen möglichen programmen versucht die spyware loszuwerden aber nichts hilft. ich habs mit AVG probiert, Ad-Aware , spybot - search and destroy, hitman pro bla bla und ich bekomms nicht weg. es springen dann seiten wie http://scanner.spy-shredder.com/3/?advid=1216 auf und das so ca alle 30 sec.! mein pc wird dadurch natürlich total langsam. bitte helft mir..!:heulen: wäre echt total lieb! :heilig: |
Hallo c_C_c bitte erstelle nach folgender Anleitung ein Hijackthis Logfile und poste es anschließend: Anleitung Edit: Oh gleich 4fache Hilfe für den TO |
Hi, erstelle bitte als erstes ein HijackThislog. :) Daraus sollten man dann die nächsten Schritte schließen! :) lg myrtille EDIT: Hat denn hier keiner was zu tun? :kloppen: Wasn das für ein Ansturm? :D |
http://www.world-of-smilies.com/smil...18_x_b_f_b.gif Als erstes brauchen wir mehr Informationen zu deinem System, arbeite dazu folgende Anleitungen ab: Anleitung SmitfraudFix: Lade dir dieses Tool -> SmitfraudFix -Starte es dann und lass das System durchsuchen. (Option 1) http://www.castlecops.com/zx/sjpritch25/Fix01b.jpg -Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans Erstellung eines Hijacklog -Hier gibt es das Tool -> HijackThis (nur diese Version benutzen, nicht die BETA-Version!) -Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe' (Klick rechte Maustaste -> umbenennen) -Starte nun mit Doppelklick auf This.exe -Klicke auf den rot markierten Button Do a system scan and save a log file -Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein) F-Secure Blacklight – Rootkitscanner: * Scanne dein System mit F-Secure Blacklight * Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden.) Gruß Sunny EDIT: Das nennt man Threadvergewaltigung!!! :p |
Hallo mach bitte zuerst alle versteckten Dateien und Ordner sichtbar. Lies diese Anleitung bitte sehr genau und halte dich daran! Anschließend erstelle bitte ein HijackThis Log nach Anleitung, benenne aber die Hijackthis.exe um in z.B. ABC.exe und bitte editiere alle Links (z.B. http -> hxxp) sowie persönlichen Einträge wie realname usw. MFG Moin nochmal Sunny und Moin myrtille Edit - ja verdammt voll hier;) |
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:36:07, on 27.08.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe F:\Chat\INCRED~1\bin\ImApp.exe C:\Programme\ICQLite\ICQLite.exe F:\Programme\Mozilla Firefox\firefox.exe C:\DOKUME~1\Chelly\LOKALE~1\Temp\Rar$EX11.219\This.exe C:\DOKUME~1\Chelly\LOKALE~1\Temp\Rar$EX13.953\This.exe C:\DOKUME~1\Chelly\LOKALE~1\Temp\Rar$EX13.656\This.exe C:\DOKUME~1\Chelly\LOKALE~1\Temp\Rar$EX17.859\This.exe C:\DOKUME~1\Chelly\LOKALE~1\Temp\Rar$EX17.875\This.exe C:\DOKUME~1\Chelly\LOKALE~1\Temp\Rar$EX17.500\This.exe C:\DOKUME~1\Chelly\LOKALE~1\Temp\Rar$EX17.906\This.exe C:\DOKUME~1\Chelly\LOKALE~1\Temp\Rar$EX17.297\This.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [IncrediMail] F:\Chat\INCRED~1\bin\IncMail.exe /c O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'Default user') O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file) O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll O21 - SSODL: system32 - {856990A0-9F00-4642-819D-36DF836ADB47} - sysprinters.dll (file missing) O21 - SSODL: wmpenv - {951B3813-4BE0-488F-B46A-D8F99AA66509} - C:\WINDOWS\wmpenv.dll O21 - SSODL: wmpconf - {D7B27D62-F570-437E-9C00-58DE9AA1A9FB} - C:\WINDOWS\wmpconf.dll O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe O24 - Desktop Component 0: (no name) - file:///C:/WINDOWS/privacy_danger/images/spacer.gif -- End of file - 7077 bytes war das so jetzt richtig...? |
Kannst du bitte folgende Dateien: C:\WINDOWS\wmpenv.dll und C:\WINDOWS\wmpconf.dll bei Virustotal auswerten lassen und das Ergebnis anschließend hier Posten (Mit Dateigröße und Hash usw.) Hattest du den MSN Virus? Wegen: O21 - SSODL: system32 - {856990A0-9F00-4642-819D-36DF836ADB47} - sysprinters.dll (file missing) Hast du Entfernungsversuche deswegen unternommen? |
ich hoffe ihr könnt damit was anfangen....:confused: |
ich schreib einfach mal alles hin was da stand...weil ich mich echt nich so auskenne! hihi für wmpenv.dll : Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.8.28.0 2007.08.27 - AntiVir 7.4.1.63 2007.08.27 - Authentium 4.93.8 2007.08.26 - Avast 4.7.1029.0 2007.08.27 - AVG 7.5.0.484 2007.08.27 Clicker.HYY BitDefender 7.2 2007.08.27 - CAT-QuickHeal 9.00 2007.08.25 - ClamAV 0.91 2007.08.27 - DrWeb 4.33 2007.08.27 - eSafe 7.0.15.0 2007.08.26 - eTrust-Vet 31.1.5088 2007.08.27 - Ewido 4.0 2007.08.27 - FileAdvisor 1 2007.08.27 - Fortinet 2.91.0.0 2007.08.27 Adware/AdClicker F-Prot 4.3.2.48 2007.08.26 - F-Secure 6.70.13030.0 2007.08.27 - Ikarus T3.1.1.12 2007.08.27 Application.Win32.AdWare.Agent.NAR Kaspersky 4.0.2.24 2007.08.27 - McAfee 5106 2007.08.27 AdClicker-FC Microsoft 1.2803 2007.08.27 Trojan:Win32/Agent.gen!L NOD32v2 2486 2007.08.27 Win32/Adware.Agent.NAR Norman 5.80.02 2007.08.27 - Panda 9.0.0.4 2007.08.27 Suspicious file Prevx1 V2 2007.08.27 Trojan.SystemPoser Rising 19.38.02.00 2007.08.27 - Sophos 4.21.0 2007.08.27 - Sunbelt 2.2.907.0 2007.08.25 Trojan.NewMediaCodec Symantec 10 2007.08.27 Trojan Horse TheHacker 6.1.9.173 2007.08.27 - VBA32 3.12.2.3 2007.08.27 Application.Win32.Adware.Agent.NAR VirusBuster 4.3.26:9 2007.08.27 - Webwasher-Gateway 6.0.1 2007.08.27 Win32.NewMalware.UA!188416 weitere Informationen File size: 188416 bytes MD5: 6493da23658498d9dcc7dc891b37184d SHA1: 4e9ebc9ad02104977c969c8a950f35f0e8384df3 Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=6E8A9C5C000BD3E4E084027762666D0063F07D18 für wmpconf.dll : AhnLab-V3 2007.8.28.0 2007.08.27 - AntiVir 7.4.1.63 2007.08.27 - Authentium 4.93.8 2007.08.26 - Avast 4.7.1029.0 2007.08.27 - AVG 7.5.0.484 2007.08.27 Adware Generic2.JGP BitDefender 7.2 2007.08.27 - CAT-QuickHeal 9.00 2007.08.25 Trojan.Fakealert.Gen ClamAV 0.91 2007.08.27 - DrWeb 4.33 2007.08.27 Trojan.Fakealert.307 eSafe 7.0.15.0 2007.08.26 - eTrust-Vet 31.1.5088 2007.08.27 - Ewido 4.0 2007.08.27 - FileAdvisor 1 2007.08.27 - Fortinet 2.91.0.0 2007.08.27 Misc/Ultimate F-Prot 4.3.2.48 2007.08.26 - F-Secure 6.70.13030.0 2007.08.27 - Ikarus T3.1.1.12 2007.08.27 Application.Win32.AdWare.Agent.NAR Kaspersky 4.0.2.24 2007.08.27 - McAfee 5106 2007.08.27 potentially unwanted program Ultimate Microsoft 1.2803 2007.08.27 TrojanDownloader:Win32/Zlob.gen!L NOD32v2 2486 2007.08.27 Win32/Adware.Agent.NAR Norman 5.80.02 2007.08.27 - Panda 9.0.0.4 2007.08.27 Adware/VideoPlugin Prevx1 V2 2007.08.27 Generic.Malware Rising 19.38.02.00 2007.08.27 - Sophos 4.21.0 2007.08.27 - Sunbelt 2.2.907.0 2007.08.25 Trojan.NewMediaCodec Symantec 10 2007.08.27 - TheHacker 6.1.9.173 2007.08.27 - VBA32 3.12.2.3 2007.08.27 Application.Win32.Adware.Agent.NAR VirusBuster 4.3.26:9 2007.08.27 - Webwasher-Gateway 6.0.1 2007.08.27 - weitere Informationen File size: 221184 bytes MD5: 35dda5bcfef152874bf0efb4db0fb219 SHA1: ba0f6f285caeb0f1d1b5397e8c33be492ebea697 Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=1997D112008BE0A6602203BB8A82BA00E677919C |
Da du den MSN Virus offensichtlich hattest (und dir nichtmal sicher bist ob) MÜSSEN wir die Sache leider abkürzen um einen vertrauenswürdigen Zustand des Systems wiederherzustellen. Du musst dein System leider Neuaufsetzen. Gehe dabei nach dieser Anleitung vor: Anleitung Neuaufsetzen des Systems und anschliessende Absicherung Dieses hat in keinster Weise was mit der Adware die du dir eingefangen hast zu tun. Diese könnte man entfernen aber bei dir war/ist leider ein Backdoor aktiv. |
bedeutet neu aufsetzen dass ich ALLEs löschen muss um windows dann neu zu installieren?? |
Ja genau du kannst selbstverständlich Daten sichern (habe dir ja schon alles geschrieben woanders)... |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:44 Uhr. |
Copyright ©2000-2025, Trojaner-Board