|
adware.Winad-Wie kriegt den eine Anfängerin weg? Hallo zusammen! Folgender Bericht ist bei der Systemprüfung mit Norton rausgekommen: Quelle: C:\Dokumente und Einstellungen\hp\Lokale Einstellungen\Temporary Internet Files\Content.IE5\JV8VWI4O\ClientCom[1].dll Beschreibung: Die Datei C:\Dokumente und Einstellungen\hp\Lokale Einstellungen\Temporary Internet Files\Content.IE5\JV8VWI4O\ClientCom[1].dll ist eine Adware-Bedrohung. Klicken Sie hier, um weitere Informationen über diese Bedrohung zu erhalten: Adware.WinAd Ich bin zwar keine PC-Anfängerin was Windows-Programme angeht, aber mit so was kenn ich mich nicht aus. Bisher hab ich nur mal einem Kollegen den Sasser weggekriegt und das war schon schwer. Ich hab mich etwas umgesehen den Winad betreffend, aber alle Anleitungen waren zu kompliziert. Habe gar nichts verstanden. Dann hab ich den Link zu 2-Spyware (Tip von Cidre) genutzt und ich glaube Spy-Hunt runtergeladen, nur muss man da die Vollversion kaufen. Wer kann mir in einfachen Worten und Schritt für Schritt erklären, wie man das wegbringt. (Bitte nicht zu viele Wörter wie "gefixt", Threads, Logs usw. davon versteh ich noch zuwenig.) Ich brauch eine Idiotensichere Anleitung. Sorry! Was macht dieser Winad eigentlich genau? Für Eure Hilfe und Geduld thx's schon jetzt! Verzweifelte Marion PS: Norton hatte mich gefragt, ob ich etwas unternehmen will (löschen? ich weiss nicht mehr genau) und ich habe nein gesagt, da ich irgendwo gelesen habe, dass man das nicht machen solle, da Antivirenprogramme das System beschädigen würden/können. Stimmt das wirklich? :balla: |
In dem Fall dürfte noch nichts weiter passiert sein, die gefundenen Dateien befinden sich in den temporären Internetdateien, eine Art Zwischenspeicher des Browsers. Je nachdem, wie deine Einstellungen (bezüglich aktiver Inhalte)sind, liegt er da zwar rum, wurde aber wahrscheinlich nicht ausgeführt, wäre also ungefährlich. Lösche einfach deine temporären Dateien, dann müsste diese beiden auch weg sein. Im IE auf Extras/Internetoptionen/Allgemein/Dateien löschen und dann auch einen Haken bei "Offlineinhalte löschen" machen. Winad ist Adware, das heisst, es nistet sich auf deinem PC ein und bringt Werbepopups und solche Sachen. Es kann aber wohl auch noch unschönere Dinge aus dem Netz nachladen eventuell, wird auch stellenweise unter Dialer geführt. Im positiven Fall bist du also wie gesagt nicht wirklich infiziert worden. Falls doch, könntest du das wohl schon damit rauskriegen, indem du im Taskmanager nachschaust, ob da ein Prozess namens WinAd auftaucht, oder ob es in deinem Ordner Programme oder Program Files einen entsprechenden Winad-Unterordner gibt. Ich will nicht ausschließen, dass Winad evtl zusätzlich auch noch dlls im temporären Ordner erstellt, aber da Norton dir sonst nichts weiter gemeldet hat, würde das mich schon wundern. Zur Sicherheit solltest du ein Log von Hijackthis erstellen und den Inhalt hier hereinkopieren: http://www.trojaner-board.de/51130-a...ijackthis.html Rein theoretisch ist es natürlich möglich, das Antivirenprogramme das System beschädigen, falls sie eine wichtige Datei löschen, wobei es auch sein kann, dass Systemdateien manipuliert wurden und sowieso nur eine Neuinstallation hilft. Was sich in temporären Ordnern befindet, kann man aber meist ohne Probleme löschen, das wird sowieso automatisch gemacht früher oder später. Mir sind allerdings wenig Fälle bekannt, in denen ein Virenscanner ein System völlig zerschossen hätte, weil er aufgrund eines Fehlalarms eventuell etwas gelöscht hat, es gibt zumindest bei den neueren Windows-Versionen ja immer noch eine Reihe von Möglichkeiten, das Betriebssystem oder >Dateien wiederherzustellen. Also, poste mal den Inhalt des Logs, dann sehen wir weiter. |
Danke. Dazu habe ich noch Fragen: 1. Ich habe gestern im Windows-Explorer mit Rechtsklick auf die Datei Content.IE5 (s. unten) geklickt und dann auf Eigenschaften. Im Fenster das sich dann öffnet, hat sich dann sofort die Grösse der Datei verändert. Was könnte das bedeuten? 2. Dieses "Log von Hijackthis" lese ich immer wieder, aber ich habe keine Ahnung was das erstens bedeutet, und zweitens wie man das macht. Sorry. Und fragt mich jetzt ja nicht ob ich blond bin! Ich hab von diesen Dingen einfach (noch!) keine Ahnung, bin aber sehr eifrig dabei meinen Wissensstand aufzubessern, aber es ist so viel... Deshalb danke an alle, die mir dabei helfen! Tschüss Marion |
http://www.trojaner-board.de/51130-a...ijackthis.html Sollte verständlich sein.;) |
Nachtrag: Gestern habe ich diesen Ordner Content.IE5 gelöscht, heute war er wieder da. Könnte das daran liegen, dass ich im IE diesen Haken bei "Offlineinhalte löschen" nicht hatte? Ich habe das jetzt gemacht und den Ordner nochmals gelöscht. Für den Fall, dass dieser Winad zur Zeit nur rumliegt: gibt es irgendwas das ich nicht tun sollte, da er ev. sonst ausgeführt wird? Er hat übrigens 4 Unterordner: 9YUEGS1B GKIKMF9E GVVFTD1M VY4VRZYD od. VY4VRZ4D (konnte meine Handschrift nicht mehr lesen und hab den Ordner schon gelöscht) Noch eine letzte Frage: Was bedeutet "Registry"? Danke fürs helfen! Marion |
Danke Schalke! Ich dachte es handle sich ausschliesslich um eine Aktion die ich auf dem PC machen muss (irgendwo irgendwelche Daten rauskopieren) und die dann in diesen Link reinkopieren, damit z.Bsp. MountainKing sie sich ansehen kann. Danke für den Tip. Ich werds mal probieren ob ich das checke. Sind die Buttons unten auf der Site hjt.klaffke.de (Valid XHTML 1.0! und Valid CSS!) irgendwie von Bedeutung für mich? |
Hallo, Zitat:
Zitat:
|
Der Content-IE-Ordner wird immer wieder angelegt, das hat nichts zu sagen, es ist, wie gesagt ein Zwischenspeicher des Browsers und sobald du wieder damit surfst werden dort dann auch wieder Daten gespeichert. |
Ich habe gerade den Download von Hijackthis beendet. werde mal versuchen ob ich das zustande bringe. Tschüss erst mal und danke. Ich halte euch ja ganz schön auf Trab, sorry. Toll dass es dieses Forum gibt! Bye Marion |
Also hier ist es: Logfile of HijackThis v1.98.2 Scan saved at 09:44:19, on 11.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\hkcmd.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\HP\Digital Imaging\Unload\hpqcmon.exe C:\Programme\HP\HP Share-to-Web\hpgs2wnd.exe C:\WINDOWS\System32\hphmon05.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe C:\Programme\HP\HP Share-to-Web\hpgs2wnf.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\Programme\Logitech\Video\LogiTray.exe C:\WINDOWS\System32\LVCOMSX.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe C:\Programme\Logitech\Video\FxSvr2.exe C:\Dokumente und Einstellungen\Internetkonto\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://internet.sunrise.ch/de/hom/default.asp O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [CamMonitor] C:\Programme\HP\Digital Imaging\Unload\hpqcmon.exe O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\HP\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [HPHUPD05] c:\Programme\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe" O4 - HKLM\..\Run: [AutoTBar] C:\Programme\HP\Digital Imaging\bin\AUTOTBAR.EXE O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [ScanRegistry] C:\W O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O14 - IERESET.INF: START_PAGE_URL=http://internet.sunrise.ch/de/hom/default.asp O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...4dc059235d440b Hoffentlich ist das so richtig. Was muss ich jetzt tun? Löschen? Aber was? Thx |
Erst mal HJT in einen eigenen Ordner entpacken und von da aus starten, sonst kann das Programm keine Backups anlegen. Systemwiederherstellung deaktivieren: http://www.systemwiederherstellung-d...indows-xp.html Mit HJT fixen: O4 - HKLM\..\Run: [ScanRegistry] C:\W O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f... dc059235d440b Reboot, Systemwiederherstellung wieder aktivieren. |
Danke Also, hier wieder mal ein paar "blöde" Fragen, aber bevor ich was mache, will ich sicher sein. 1. wenn ich HJT richtig entpackt habe: Dynamitstangen im Symbol? 2. Zuerst HJT starten, was dann? Programm offen lassen od. Log wieder speichern? 3. Erst dann Systemwiederherstellung deaktivieren? 4. Im abgesicherten Modus neu starten? 5. Wie und wo löschen? Muss ich HJT im abgesicherten Modus nochmal starten und dann genau die Zeilen die Du aufgeschrieben hast rauslöschen? Danke für die Hilfe! Gruss. Marion :crazy: |
Zitat:
Zu 1: Ja, das stimmt so, ist das offizielle Programmsymbol. Zu 2: HJT starten, Scan drücken, die genannten Einträge markieren, Fix checked drücken. Ein Logfile brauchst du diesmal nicht anzulegen. Zu 3: Nein, vorher bitte (geht vielleicht auch danach, aber so ists sicherer). Zu 4: Ja, siehe den Zusatz unten. Zu 5: Nein, du löschst es wie in zwei beschrieben im normalen Modus, der abgesicherte Modus ist für E-Scan, siehe unten. Zusatz: Ich bin mir nicht ganz sicher, ob du auch E-Scan schon verwendet hast? Wenn nicht, füge das mal noch dazu, hole dir vor all den anderen Schritten noch E-Scan und update ihn wie beschrieben in diesem Link: http://www.trojaner-board.de/42731-escan-anleitung.html Danach dann Systemsteuerung deaktivieren, die Einträge fixen (siehe 2), booten in den abgesicherten Modus. Dort lässt du dann E-Scan mit den Einstellungen, die im Link beschrieben sind, durchlaufen. Schreibe dir auf, ob und welche Schädlinge noch gefunden wurde (ich hoffe, keiner :)). Danach bootest du wieder normal (Standardmodus) und erstellst ein neues Logfile mit HJT und postes es wieder. Die Systemsteuerung dann auch wieder aktivieren. |
Vielen Dank! Mal sehen ob ich das zusammenkriege. Übrigens an dieser Stelle mal noch ein riesiges Dankeschön für die grossartige Arbeit die Du und Deine Kollegen hier leistet. Ich kann mir vorstellen, dass es wohl mit der Zeit ziemlich ermüdend sein kann, so Leuten wie mir immer wieder dasselbe zu erklären. Ich bin aber unglaublich froh, dass ihr die Geduld habt, es trotzdem immer wieder zu tun, denn anders könnte ich das nicht lernen. DANKE! Wirklich toll! Tschüss für heute. :daumenhoc |
Da bin ich nochmal: habe gerade den Download beendet. Auf TI steht geschrieben, dass ich es in das Verzeichnis C:\bases entpacken muss. Muss ich direkt im C: selbst einen Ordner mit Namen bases erstellen oder sollte der irgendwo schon existieren? |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:20 Uhr. |
Copyright ©2000-2025, Trojaner-Board