|
adware.Winad-Wie kriegt den eine Anfängerin weg? Hallo zusammen! Folgender Bericht ist bei der Systemprüfung mit Norton rausgekommen: Quelle: C:\Dokumente und Einstellungen\hp\Lokale Einstellungen\Temporary Internet Files\Content.IE5\JV8VWI4O\ClientCom[1].dll Beschreibung: Die Datei C:\Dokumente und Einstellungen\hp\Lokale Einstellungen\Temporary Internet Files\Content.IE5\JV8VWI4O\ClientCom[1].dll ist eine Adware-Bedrohung. Klicken Sie hier, um weitere Informationen über diese Bedrohung zu erhalten: Adware.WinAd Ich bin zwar keine PC-Anfängerin was Windows-Programme angeht, aber mit so was kenn ich mich nicht aus. Bisher hab ich nur mal einem Kollegen den Sasser weggekriegt und das war schon schwer. Ich hab mich etwas umgesehen den Winad betreffend, aber alle Anleitungen waren zu kompliziert. Habe gar nichts verstanden. Dann hab ich den Link zu 2-Spyware (Tip von Cidre) genutzt und ich glaube Spy-Hunt runtergeladen, nur muss man da die Vollversion kaufen. Wer kann mir in einfachen Worten und Schritt für Schritt erklären, wie man das wegbringt. (Bitte nicht zu viele Wörter wie "gefixt", Threads, Logs usw. davon versteh ich noch zuwenig.) Ich brauch eine Idiotensichere Anleitung. Sorry! Was macht dieser Winad eigentlich genau? Für Eure Hilfe und Geduld thx's schon jetzt! Verzweifelte Marion PS: Norton hatte mich gefragt, ob ich etwas unternehmen will (löschen? ich weiss nicht mehr genau) und ich habe nein gesagt, da ich irgendwo gelesen habe, dass man das nicht machen solle, da Antivirenprogramme das System beschädigen würden/können. Stimmt das wirklich? :balla: |
In dem Fall dürfte noch nichts weiter passiert sein, die gefundenen Dateien befinden sich in den temporären Internetdateien, eine Art Zwischenspeicher des Browsers. Je nachdem, wie deine Einstellungen (bezüglich aktiver Inhalte)sind, liegt er da zwar rum, wurde aber wahrscheinlich nicht ausgeführt, wäre also ungefährlich. Lösche einfach deine temporären Dateien, dann müsste diese beiden auch weg sein. Im IE auf Extras/Internetoptionen/Allgemein/Dateien löschen und dann auch einen Haken bei "Offlineinhalte löschen" machen. Winad ist Adware, das heisst, es nistet sich auf deinem PC ein und bringt Werbepopups und solche Sachen. Es kann aber wohl auch noch unschönere Dinge aus dem Netz nachladen eventuell, wird auch stellenweise unter Dialer geführt. Im positiven Fall bist du also wie gesagt nicht wirklich infiziert worden. Falls doch, könntest du das wohl schon damit rauskriegen, indem du im Taskmanager nachschaust, ob da ein Prozess namens WinAd auftaucht, oder ob es in deinem Ordner Programme oder Program Files einen entsprechenden Winad-Unterordner gibt. Ich will nicht ausschließen, dass Winad evtl zusätzlich auch noch dlls im temporären Ordner erstellt, aber da Norton dir sonst nichts weiter gemeldet hat, würde das mich schon wundern. Zur Sicherheit solltest du ein Log von Hijackthis erstellen und den Inhalt hier hereinkopieren: http://www.trojaner-board.de/51130-a...ijackthis.html Rein theoretisch ist es natürlich möglich, das Antivirenprogramme das System beschädigen, falls sie eine wichtige Datei löschen, wobei es auch sein kann, dass Systemdateien manipuliert wurden und sowieso nur eine Neuinstallation hilft. Was sich in temporären Ordnern befindet, kann man aber meist ohne Probleme löschen, das wird sowieso automatisch gemacht früher oder später. Mir sind allerdings wenig Fälle bekannt, in denen ein Virenscanner ein System völlig zerschossen hätte, weil er aufgrund eines Fehlalarms eventuell etwas gelöscht hat, es gibt zumindest bei den neueren Windows-Versionen ja immer noch eine Reihe von Möglichkeiten, das Betriebssystem oder >Dateien wiederherzustellen. Also, poste mal den Inhalt des Logs, dann sehen wir weiter. |
Danke. Dazu habe ich noch Fragen: 1. Ich habe gestern im Windows-Explorer mit Rechtsklick auf die Datei Content.IE5 (s. unten) geklickt und dann auf Eigenschaften. Im Fenster das sich dann öffnet, hat sich dann sofort die Grösse der Datei verändert. Was könnte das bedeuten? 2. Dieses "Log von Hijackthis" lese ich immer wieder, aber ich habe keine Ahnung was das erstens bedeutet, und zweitens wie man das macht. Sorry. Und fragt mich jetzt ja nicht ob ich blond bin! Ich hab von diesen Dingen einfach (noch!) keine Ahnung, bin aber sehr eifrig dabei meinen Wissensstand aufzubessern, aber es ist so viel... Deshalb danke an alle, die mir dabei helfen! Tschüss Marion |
http://www.trojaner-board.de/51130-a...ijackthis.html Sollte verständlich sein.;) |
Nachtrag: Gestern habe ich diesen Ordner Content.IE5 gelöscht, heute war er wieder da. Könnte das daran liegen, dass ich im IE diesen Haken bei "Offlineinhalte löschen" nicht hatte? Ich habe das jetzt gemacht und den Ordner nochmals gelöscht. Für den Fall, dass dieser Winad zur Zeit nur rumliegt: gibt es irgendwas das ich nicht tun sollte, da er ev. sonst ausgeführt wird? Er hat übrigens 4 Unterordner: 9YUEGS1B GKIKMF9E GVVFTD1M VY4VRZYD od. VY4VRZ4D (konnte meine Handschrift nicht mehr lesen und hab den Ordner schon gelöscht) Noch eine letzte Frage: Was bedeutet "Registry"? Danke fürs helfen! Marion |
Danke Schalke! Ich dachte es handle sich ausschliesslich um eine Aktion die ich auf dem PC machen muss (irgendwo irgendwelche Daten rauskopieren) und die dann in diesen Link reinkopieren, damit z.Bsp. MountainKing sie sich ansehen kann. Danke für den Tip. Ich werds mal probieren ob ich das checke. Sind die Buttons unten auf der Site hjt.klaffke.de (Valid XHTML 1.0! und Valid CSS!) irgendwie von Bedeutung für mich? |
Hallo, Zitat:
Zitat:
|
Der Content-IE-Ordner wird immer wieder angelegt, das hat nichts zu sagen, es ist, wie gesagt ein Zwischenspeicher des Browsers und sobald du wieder damit surfst werden dort dann auch wieder Daten gespeichert. |
Ich habe gerade den Download von Hijackthis beendet. werde mal versuchen ob ich das zustande bringe. Tschüss erst mal und danke. Ich halte euch ja ganz schön auf Trab, sorry. Toll dass es dieses Forum gibt! Bye Marion |
Also hier ist es: Logfile of HijackThis v1.98.2 Scan saved at 09:44:19, on 11.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\hkcmd.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\HP\Digital Imaging\Unload\hpqcmon.exe C:\Programme\HP\HP Share-to-Web\hpgs2wnd.exe C:\WINDOWS\System32\hphmon05.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe C:\Programme\HP\HP Share-to-Web\hpgs2wnf.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\Programme\Logitech\Video\LogiTray.exe C:\WINDOWS\System32\LVCOMSX.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe C:\Programme\Logitech\Video\FxSvr2.exe C:\Dokumente und Einstellungen\Internetkonto\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://internet.sunrise.ch/de/hom/default.asp O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [CamMonitor] C:\Programme\HP\Digital Imaging\Unload\hpqcmon.exe O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\HP\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [HPHUPD05] c:\Programme\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe" O4 - HKLM\..\Run: [AutoTBar] C:\Programme\HP\Digital Imaging\bin\AUTOTBAR.EXE O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [ScanRegistry] C:\W O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O14 - IERESET.INF: START_PAGE_URL=http://internet.sunrise.ch/de/hom/default.asp O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...4dc059235d440b Hoffentlich ist das so richtig. Was muss ich jetzt tun? Löschen? Aber was? Thx |
Erst mal HJT in einen eigenen Ordner entpacken und von da aus starten, sonst kann das Programm keine Backups anlegen. Systemwiederherstellung deaktivieren: http://www.systemwiederherstellung-d...indows-xp.html Mit HJT fixen: O4 - HKLM\..\Run: [ScanRegistry] C:\W O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f... dc059235d440b Reboot, Systemwiederherstellung wieder aktivieren. |
Danke Also, hier wieder mal ein paar "blöde" Fragen, aber bevor ich was mache, will ich sicher sein. 1. wenn ich HJT richtig entpackt habe: Dynamitstangen im Symbol? 2. Zuerst HJT starten, was dann? Programm offen lassen od. Log wieder speichern? 3. Erst dann Systemwiederherstellung deaktivieren? 4. Im abgesicherten Modus neu starten? 5. Wie und wo löschen? Muss ich HJT im abgesicherten Modus nochmal starten und dann genau die Zeilen die Du aufgeschrieben hast rauslöschen? Danke für die Hilfe! Gruss. Marion :crazy: |
Zitat:
Zu 1: Ja, das stimmt so, ist das offizielle Programmsymbol. Zu 2: HJT starten, Scan drücken, die genannten Einträge markieren, Fix checked drücken. Ein Logfile brauchst du diesmal nicht anzulegen. Zu 3: Nein, vorher bitte (geht vielleicht auch danach, aber so ists sicherer). Zu 4: Ja, siehe den Zusatz unten. Zu 5: Nein, du löschst es wie in zwei beschrieben im normalen Modus, der abgesicherte Modus ist für E-Scan, siehe unten. Zusatz: Ich bin mir nicht ganz sicher, ob du auch E-Scan schon verwendet hast? Wenn nicht, füge das mal noch dazu, hole dir vor all den anderen Schritten noch E-Scan und update ihn wie beschrieben in diesem Link: http://www.trojaner-board.de/42731-escan-anleitung.html Danach dann Systemsteuerung deaktivieren, die Einträge fixen (siehe 2), booten in den abgesicherten Modus. Dort lässt du dann E-Scan mit den Einstellungen, die im Link beschrieben sind, durchlaufen. Schreibe dir auf, ob und welche Schädlinge noch gefunden wurde (ich hoffe, keiner :)). Danach bootest du wieder normal (Standardmodus) und erstellst ein neues Logfile mit HJT und postes es wieder. Die Systemsteuerung dann auch wieder aktivieren. |
Vielen Dank! Mal sehen ob ich das zusammenkriege. Übrigens an dieser Stelle mal noch ein riesiges Dankeschön für die grossartige Arbeit die Du und Deine Kollegen hier leistet. Ich kann mir vorstellen, dass es wohl mit der Zeit ziemlich ermüdend sein kann, so Leuten wie mir immer wieder dasselbe zu erklären. Ich bin aber unglaublich froh, dass ihr die Geduld habt, es trotzdem immer wieder zu tun, denn anders könnte ich das nicht lernen. DANKE! Wirklich toll! Tschüss für heute. :daumenhoc |
Da bin ich nochmal: habe gerade den Download beendet. Auf TI steht geschrieben, dass ich es in das Verzeichnis C:\bases entpacken muss. Muss ich direkt im C: selbst einen Ordner mit Namen bases erstellen oder sollte der irgendwo schon existieren? |
Noch was: bevor ich entpacke: muss ich AutoProtect von Norton deaktivieren oder spielt das hier keine Rolle? |
genau ! du musst manuell einen ordner C:\Bases anlegen, und die datei mwav.exe dahin entpacken lassen. danach online die datei kavupd.exe updaten (doppelklick), in den abgesicherten modus wechseln (neustart und mehrfach F8 druecken), und dein system mit der datei mwavscan.com scannen lassen ... (dafuer alle haekchen setzen und scan clean druecken) viel spass Zappel :daumenhoc |
Für die Verwendung von HJT spielt AutoProtect keine Rolle und im abgesicherten Modus wird es nicht geladen, kommt sich also mit E-Scan auch nicht ins Gehege. Falls du E-scan mal im normalen Modus durchführen willst, kannst du Autoprotect vielleicht deaktivieren, aber das musst du nicht nochmal machen. |
Stimmt das, das ich das schon jetzt updaten muss? Hab ich gestern nicht gleich die aktuellste Version ge-downloaded? |
Kaspersky (deren Signaturen E-Scan verwendet) aktualisieren ihre Virendefinitionen mehrmals täglich, also schadet es nichts, direkt vor dem Scan noch einmal ein Update zu machen. |
Hi also: A) Hab nochmals Hijackthis laufen lassen und die Einträge die Du mir gesagt hast gefixt. Dazu meine Fragen: A1. was habe ich da eigentlich gelöscht? A2. kann man eigentlich rausfinden, wo man sich etwas eingefangen hat? B) eScan gemacht und folgendes kam raus: Total Number of Virus Found: 1 Total Number of Files Renamed: 1 Total Number of Errors: 3 Virus Log Information: File C:\Programme\hijackthis 1982\backups\backup-20040912-234152-360.dll infected by "not-a-virus: AdvWare.Winad" Virus. Action Taken: File Renamed Meine Fragen dazu: B1. Was bedeuten diese 3 Errors? B2. Weshalb ist dieses File ein Virus, oder eben nicht, aber weshalb dann umbenannt? C) Hijackthis (nach eScan) gemacht, hier das Log: Logfile of HijackThis v1.98.2 Scan saved at 01:01:17, on 13.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\gearsec.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\hkcmd.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\HP\Digital Imaging\Unload\hpqcmon.exe C:\Programme\HP\HP Share-to-Web\hpgs2wnd.exe C:\WINDOWS\System32\hphmon05.exe C:\Programme\HP\HP Share-to-Web\hpgs2wnf.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\Programme\Logitech\Video\LogiTray.exe C:\Programme\HPQ\SHARED\HPQWMI.exe C:\WINDOWS\System32\LVCOMSX.EXE C:\Programme\Messenger\msmsgs.exe C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe C:\IC3\IC3.exe C:\Programme\Logitech\Video\FxSvr2.exe C:\Programme\Microsoft Office\Office10\msoffice.exe C:\Programme\hijackthis1982\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://internet.sunrise.ch/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://internet.sunrise.ch/de/hom/default.asp R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programme\Outlook Express\msimn.exe" R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [CamMonitor] C:\Programme\HP\Digital Imaging\Unload\hpqcmon.exe O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\HP\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe" O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [BackupNotify] C:\Programme\HP\Digital Imaging\bin\backupnotify.exe O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot O4 - Startup: Notesbrowser.lnk = C:\IC3\IC3.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O14 - IERESET.INF: START_PAGE_URL=http://internet.sunrise.ch/de/hom/default.asp D) Allgemeines D1. wenn ich etwas aus dem Internet downloade das länger als ca. 20 Min. dauert, wird immer versucht, die Verbindung zu trennen, kann ich das irgendwo einstellen od. abstellen? D2. Worin liegt der Unterschied, ob man im abgesicherten Modus scannt oder nicht. Danke für die ganze Arbeit. Ich bin ab morgen Montag für drei Wochen in den Ferien. Schaue aber morgen früh nochmals rein. Ich wünsche Euch allen eine gute Zeit. Schaue ab dem 3. Oktober mal wieder rein, obs inzwischen was Neues gegeben hat. Tschüss zusammen. Marion |
Das Log sieht sauber aus, allerdings kann ich damit nichts anfangen: C:\IC3\IC3.exe Weisst du, welches Programm das ist? "A1. was habe ich da eigentlich gelöscht?" Reste des Schädlings in der Registry bzw. nicht schädliche, aber überflpüssige Rückstände schon deinstallierter Programme. "A2. kann man eigentlich rausfinden, wo man sich etwas eingefangen hat?" Lässt sich so pauschal nicht beantworten, kommt ganz auf den Schädling an. Die Adware-Sachen sind meist mit einem anderen programm verknüpft, das man sich installiert, da lässt es sich noch am ehesten feststellen, andere Schädlinge verbreiten sich über mails, wieder andere über Webseiten, letztere sind wahrscheinlich am Schwierigsten festzustellen. Außerdem tauchen ständig neue Varianten desselben Grundtyps auf oder es werden kleine Programme vorgeschickt (die Downloader), die dann erst die richtigen Schädlinge nachladen, da wird es dann ganz schwer, festzustellen. "B1. Was bedeuten diese 3 Errors?" Dazu müsste man wissen, bei welchen Dateien sie aufgetreten sind, das kann bei solchen passieren, die besonders geschützt sind, wie Systemordnern, ist aber nichts Schlimmes. "B2. Weshalb ist dieses File ein Virus, oder eben nicht, aber weshalb dann umbenannt?" Dieses File gehört ja zum Backup von Hijackthis, also das ist sozusagen der Beweis, dass du mit HJT einen Teil dieses Schädlings erwischt hast. HJT legt von allen Dingen, die du fixst, eine Sicherungskopie an, falls mal etwas dabei sein sollte, dass sich im Nachhinein als fälschlich gelöscht herausstellen sollte. In diesem Fall alsow ohl eine *.dll-Datei, die dadurch nach wie vor die Signatur von WinAd enthält und deswegen von E-Scan angemeckert wird.Wieso da gleichzeitig virus und not a virus steht, weiss ich allerdings auch nicht. Zumindest hat er es umbenannt. "D1. wenn ich etwas aus dem Internet downloade das länger als ca. 20 Min. dauert, wird immer versucht, die Verbindung zu trennen, kann ich das irgendwo einstellen od. abstellen?" Hm, anscheinend wird das da nicht als Netzwerkaktivität erkannt, das sollte eigentlich nicht sein. Wenn du in den Netzwerkverbindungen auf die Verbindung rechtsklickst und dann auf Optionen gehst, siehst du die Option "Leerlaufzeit", die müsste auf 20 Minuten stehen, das ist der Standard. Soll also heißen, dass nach 20 Minuten ohne jeglichen Datenverkehr die Verbindung automatisch getrennt wird (damit es keie Kosten verursacht beispielsweise). Wenn du eine Flatrate hast, ist das ja dann sowieso unerheblich ansonsten verändere den Wert mal und schau nach, ob das immer noch passiert. Komisch trotzdem, weil bei einem Download ja Datenverkehr da ist und deswegen diese Regel nicht gelten sollte. "D2. Worin liegt der Unterschied, ob man im abgesicherten Modus scannt oder nicht" Der abgesicherte Modus bedeutet ja, dass Windows nur mit der absolut notwendigen Grundfunktion gestartet wird, nur mit den Treibern, die das Betriebssystem selbst bereitstellt usw. Hat den Sinn, dass alle Programme, die du selbst installiert hast und mit denen es evtl. Probleme gibt oder die gar das Booten verhindern, dort nicht mit geladen werden und du so trotzdem zur Windowsoberfläche kommst und das Programm entfernen kannst. Beispielsweise wird ja auch dein Grafikkartentreiber nicht mit geladen sondern nur der einfache VGA-Treiber genommen, deswegen die komische Auflösung. Viele der Viren oder vor allem Trojaner schreiben sich ja auch in die Starteinträge rein und werden mit geladen (das sieht man u.a. in HJT), auch die fallen im abgesicherten Modus dann weg, denn was da gestartet wird ist prinzipiell festegelegt und wird von dir nicht beeinflusst. Da manche Viren die Funktionsweise von Scannern behindern, ist das schon mal deswegen sicherer, auch kommen sich dann mehrere Scanner nicht in den Weg (hatten wir ja schon besprochen). Schönen Urlaub dann! :) |
Danke für die schnelle Antwort: Also, IC3 ist Notesbrowser, ein Multifunktions-Notizblock (Freeware) Hier die Errors, ich habe nur die jeweiligen Zeilen reinkopiert, hoffe es wäre nicht der ganze Block nötig gewesen. Sun Sep 12 23:57:53 2004 => ERROR!!! Invalid Entry HPHUPD05 = c:\Programme\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe. Removing it. Sun Sep 12 23:57:53 2004 => ERROR!!! Invalid Entry AutoTBar = C:\Programme\HP\Digital Imaging\bin\AUTOTBAR.EXE. Removing it. Sun Sep 12 23:58:01 2004 => ERROR!!! Invalid Entry \Sys in SYSTEM\CurrentControlSet\Services\OMSCAN... Betreffend der Trennung der Verbindung: Genau das finde ich ja auch so komisch. Ich habe nämlich in den Optionen angegeben, dass bei Leerlauf die Verbindung "niemals" getrennt werden soll. Sie wird ja auch nicht von selbst getrennt. Es erscheint ein Fenster, und dort werde ich gefragt, ob die Verbindung getrennt oder beibehalten werden soll. Es ist aber auch schon geschehen, dass dieses Fenster wohl hinter dem Downloadfenster "versteckt" war und ich es so nicht sah. Ich bin mir nicht ganz sicher, aber wenn dieses Fenster erscheint, muss ich relativ schnell antworten ob Trennen oder Beibehalten, da es sonst selbst trennt. Auch ist mir schon passiert, dass die Meldung kam, dass die Verbindung vom Server getrennt wurde. So, also danke und Tschüss. (Ich hoffe, wir haben schönes Wetter dort, nicht so wie hier...) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:30 Uhr. |
Copyright ©2000-2025, Trojaner-Board