|
Googe Links fehlerhaft hallo leute, ich hab ein ähnliches probem wie jemand andres hier (klick) Wenn ich bei google nach irgendetwas suche und auf die links klicke, öffnet sich ein zweiter tab mit ner komplett andren adresse... insgesamt dauert alles auf meinem pc etwas länger :( und jedesmal, wenn mein pc hochfährt, dann stoppt er auf der WILLKOMMEN-seite und bleibt hängen :headbang: ich muss dann immer aufn reset-knopf drücken :( AntiVir hab ich schon durchlaufen lassen, findet aber nichts -.- Ich hab schon in der SuFu und bei google gesucht ( ich kann ja die link-adresse kopieren), aber das fachchinesisch kaper ich nich (HiJack oder so^^) kann mir bitte jemand erklären, was ich genau machen soll ? ich kann mitm pc spielen und ins internet, sonst kenn ich mich net aus:rolleyes: vielen dank schonmal im vorraus |
Ich hab jetzt so ein HiJack-Vieh gemacht : kann mir jemand helfen ? Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:14:28, on 21.01.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\KGB\Mpk.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAHE.EXE C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Free Download Manager\FUM\fumoei.exe C:\Programme\ICQ6\ICQ.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [EPSON Stylus Photo R240 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAHE.EXE /P30 "EPSON Stylus Photo R240 Series" /O6 "USB001" /M "Stylus Photo R240" O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Free Uploader Oe Integration] C:\Programme\Free Download Manager\FUM\fumoei.exe O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - HKLM\..\Policies\Explorer\Run: [Mpk.exe] C:\Programme\KGB\Mpk.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - S-1-5-18 Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'SYSTEM') O4 - .DEFAULT Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'Default user') O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: Upload - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - C:\Programme\Free Download Manager\FUM\fumiebtn.dll O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe -- End of file - 7305 bytes bitte erklärt mir das was ich machen soll, auf deutsch, also verständlich für jemanden, der sich damit nicht auskennt :) |
Hi, hmm, Du hast einen Keylogger auf Deinem Rechner... Schöner Verzeichnisname, KGB... O4 - HKLM\..\Policies\Explorer\Run: [Mpk.exe] C:\Programme\KGB\Mpk.exe ->http://www.prevx.com/filenames/2135554590069668093-0/MPK.EXE.html Datei Online prüfen lassen, MAM laufen lassen... Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code: C:\Programme\KGB\Mpk.exe
Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://saved.im/mzi3ndg3nta0/aven.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code: Files to delete:4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code: O4 - HKLM\..\Policies\Explorer\Run: [Mpk.exe] C:\Programme\KGB\Mpk.exeAnleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html Fullscan und alles bereinigen lassen! Log posten. chris |
hmm... den keylogger hab ich mir selber runtergeladen... das is n eigenes programm, mit dem ich sehen kann, was noch so auf meinem pc abgeht, wenn ich grade nich da bin und mein kleiner bruder sich auf irgendwelchen seiten rumtreibt^^ liegt da wirklich das problem ? den hab ich schon ziemlich lange und gestört hat er noch nie... www.chip.de/downloads/Free-KGB-Keylogger-4.5_14493439.html |
Hi, dann lass mal MAM wie beschrieben laufen und RSIT: RSIT Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/ speichere es auf Deinem Desktop. Starte mit Doppelklick die RSIT.exe. Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. chris |
geht nicht: Verbindung fehlgeschlagen Firefox kann keine Verbindung zu dem Server unter www.irgendneseite.de aufbauen. Obwohl die Website gültig erscheint, konnte keine Verbindung aufgebaut werden. Das kommt bei vielen Seiten (vor allem anti-virsu-seiten -.-) ich benutze übrigenz firefox von andren seiten runterladen hab ich auch schon erfolglos versucht :( |
Hi, dann hat sich was in Dein System eingegraben, was im HJ-Log nicht sichtbar ist und die Ausführung/Download von Dateien die ihm gefährlich werden könnten verhindert... Kein gutes Zeichen... Von einem sicheren Rechner erstmal alle Passwörter ändern (eBay, Banking etc.)... So, ich stelle Dir eine gepackte Datei mit den Tools MAM, RSIT und Combofix hier bereit: http://www.file-upload.net/download-...Tools.zip.html Wenn das nicht geht bitte eine PM an mich mit Email-Adresse von Dir (dann als Anhang) oder auf einen anderen Rechner downloaden, CD-Brennen (kein USB-Stick, da Infektionsgefahr) und dann von CD aus installieren)... Alle Tools auf dem Desktop auspacken... Mit MAM anfangen (update versuchen nach Installation), danach Combofix und RSIT zum Schluß. Alle Logs speichern, während der Bereinigung immer offline bleiben, zum Ende alle Logs posten... Malwarebytes Antimalware (MAM). Anleitung hier: http://www.trojaner-board.de/51187-m...i-malware.html Fullscan und alles bereinigen lassen! Log posten. combofix: Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/comb...x-benutzt-wird Hinweis: unter : C:\WINDOWS\erdnt wird ein Backup angelegt. RSIT Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. Starte mit Doppelklick die RSIT.exe. Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. chris |
Hallo, ich klinke mich hier mal ein, da ich das gleiche problem habe und auch auf viele seiten (virustotal etc) nicht zugreifen kann. Habe die .zip datei heruntergeladen, allerdings laesst sich combofix und mam nicht ausfuehren bzw installieren! rsit funktioniert als einziges ... Noch eine Idee? gruss |
@sundance: Bitte eigenen Thread eröffnen...! Versuche die Dateien umzubenennen. Wenn sonst nichts geht, dann muss von außen gescannt werden: Antivir, Rescue-CD http://www.avira.de/de/support/support_downloads.html Dort bitte das Rescue System sowie das update dazu runterladen. Beim Start der Anwendung leere CD in den Brenner, CD brennen lassen. Zweite CD brennen mit dem ausgepackten Update. Von CD booten (Einstellung im BIOS vornehmen)... http://www.pcwelt.de/start/sicherheit/antivirus/news/149200/ chris |
bei mir das selbe wie bei sundance, wenn ich auf eins der beiden andren programme klicke, passiert rein gar nix...auch umbenennen in z.B. "NummerEins" und "NummerZwei" hat nix gebracht... RSIT ging (siehe unten) -------> ich hab übrigens keinen brenner, nur n einzelnes DVD-Laufwerk -.- log.txt: Code: Logfile of random's system information tool 1.05 (written by random/random) |
info.txt: Code: info.txt logfile of random's system information tool 1.05 2009-01-23 16:42:29Übrigenz: Schonmal vielen Dank für eure (deine) ganze Mühe :) |
Hi, auf die Schnelle einen Wurm gefunden (mach gleich Schluß): 2008-12-28 00:30:27 ----A---- C:\WINDOWS\rasqervy.dll 2008-12-28 00:30:25 ----A---- C:\WINDOWS\sdfinacs.dll 2008-12-28 00:30:20 ----A---- C:\WINDOWS\sdfixwcs.dll 2008-12-27 22:47:41 ----A---- C:\WINDOWS\wuasirvy.dll Das ist eigentlich ein Fall für SmitFraudFix: Anweisungen und Download hier: http://siri.urz.free.fr/Fix/SmitfraudFix_De.php Falls das nicht geht, muss mindestens Avenger zum Laufen gebracht werden, oder Killbox: KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html oder http://www.wintotal.de/Software/index.php?id=4101 Options: Delete on Reboot --> anhaken reinkopieren: C:\WINDOWS\rasqervy.dll C:\WINDOWS\sdfinacs.dll C:\WINDOWS\sdfixwcs.dll C:\WINDOWS\wuasirvy.dll und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" PC neustarten Dann sofort Update der Scanner oder eines der empfohlen Tools laufen lassen... chris |
smitfraudfix kann nicht ausgeführt werden... hab das mit killbox gemacht, das problem besteht aber noch immer -.-# edit: soll ich jetz nochmal die .txt dateien von RSIT / HiJackThis.txt posten ? edit2: SmitFraudFix.exe wird von antivir als datei mit mehrern viren und/oder unerwünschten programmen erkannt..... normal ? o.O |
ich habs jetz doch geschafft combofix zu starten: hier das ergebnis: Code: ComboFix 09-01-21.04 - Administrator 2009-01-25 19:30:44.1 - NTFSx86bis jetzt hab ich noch nix gemerkt von nem virus... ich teste jetz nochmal alles, was vrher nich ging und sag euch dann bescheid |
okay, es scheint wirklich alles weg zu sein und wieder zu gehen :D mann... vielen, vielen, vielen dank !!! ich wüsste gar nich, was ich hätte machen sollen, wenn es nicht geklappt hätte... hab nämlich grade festgestellt, dass ich die windows xp-cd nich mehr hab -.- dann werd ich wohl in zukunft mehr acht geben :D nochmals danke, Chris4You respekt :D :cool: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:33 Uhr. |
Copyright ©2000-2025, Trojaner-Board