|
Trojaner will einfach nicht weg Habe ein riesiges Problem.. Ich wollte mir gestern einen Film ansehen.. lade mir dazu den DivX Player 1.0.3 und den Xvid codec runter.. während des Films öffneten sich dann selbstständig InternetExplorer Fenster : http://www.automotive.com/redir/newc...93&kw_camp=ron http://www.pcsecurityshield.com/webApp/90014fs3.asp http://e.rn11.com/a/a174-admed-ron und weitere Websites die für "Anti Spyware" werben Ich habe so ziemlich alles ausprobiert... - Norton AntiVirus - AntiVir Xp PE ("erfolgreich" Trojaner entfernt) - eScan ("erfolgreich" 28 Schädlinge entfernt) - HijackThis (log automaisch überprüfen lassen und 4 Einträge mit LSPFix.exe gefixed) - CW Schredder - Ad-Aware - SpyBot SD (erfolgreich einige Einträge gefixed) also die ganze Kiste entwurmt.. aber die fenster öffnen sich immer noch.. habe die kompletten programme zich mal durchlaufen lassen.. ohne Erfolg ! Ich hoffe Ihr könnt mir anhand meiner Schilderung oder des .log Files helfen OS :Windows XP Sp2 Logfile of HijackThis v1.98.2 Scan saved at 12:58:04, on 02.10.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Symphony\sw_serv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Acer\Notebook Manager\almxptray.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\SED\SED.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Symphony\maestro.exe C:\DOKUME~1\Fischer\LOKALE~1\Temp\mwavscan.com C:\DOKUME~1\Fischer\LOKALE~1\Temp\kavss.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Fischer\Eigene Dateien\install\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank O1 - Hosts: 69.20.16.183 ieautosearch O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [AcerNotebookManager] C:\Programme\Acer\Notebook Manager\almxptray.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE O4 - HKLM\..\Run: [SESync] "C:\Programme\SED\SED.exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: win-data Zahlungserinnerung.lnk = C:\Programme\win-data 2ooo\win-data Zahlungserinnerung.exe O4 - Global Startup: Gigaset H48data Konfiguration.lnk = C:\Programme\Symphony\maestro.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = KT.local O17 - HKLM\Software\..\Telephony: DomainName = KT.local O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = KT.local vielen Dank im Voraus ! |
Deinstalliere unter Software -> Ezula beinhaltet Adware Fixe diese Einträge: R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank O1 - Hosts: 69.20.16.183 ieautosearch O4 - HKLM\..\Run: [SESync] "C:\Programme\SED\SED.exe" Welche Malware wurde denn von AntiVir und eScan entfernt? |
öhm hab mir nicht alle gemerkt :headbang: not-a-virus:AdvWare.Look2Me.k TrojanDownloader.Win32.Wintool etc pp ^^ ich befolge gleich mal deine anweisungen und werde bericht erstatten was sich da so getan hat.. Danke schon mal für die schnelle Antwort |
Zitat:
AntiVir Hauptprogramm starten -> Report -> Kurzreport anzeigen -> ggf. auf + klicken und Treffer posten |
soo.. - TrojanDownloader.Win32.Small.vl (File deleted) - not-a-virus:AdvWare.Look2Me.k (File renamed) - not-a-virus:AdvWare.WinShow.b (File renamed) - not-a-virus:AdvWare.MetaDirect.a (File renamed) - not-a-virus:AdvWare.Look2Me.k (File renamed) - TrojanDownloader.Win32.WinShow.t (File deleted) - Trojan.Java.ClassLoader.Dummy.a (File deleted) - not-a-virus:AdvWare.SmartPops. (File renamed) das war alles was ich rausbekommen habe... ich recherchiere gerade in anderen Logs.. wenn ich noch etwas finde werde ich es posten... das schräge ist.. es ist der Laptop meines Vaters.. wenn ich das bis Montag nich unauffällig behoben habe --> :teufel2: :koch: deswegen danke für jegliche Hilfe (edit) hab doch noch was gefunden (AntiVir) - TR/StartPage.JM.2 - Tr/Dldr.Agent.BG.1 - Tr/Dldr.WinSh.AC.07 und dieses Ezula stand nicht in der Liste der installierten Programme |
Zitat:
EDIT: Schau mal ob die SED unter Software steht. http://computercops.biz/startuplist-4716.html Zitat:
|
Ich hab alles zwielichtige runtergeschmissen.. unter software ist nichts mehr das ich nicht zuordnen konnte ... die SED exe is noch vorhanden.. aber wieso Beweissicherung bzw was soll ich mit dem link anfangen ? *leicht irritiert* |
Zitat:
|
d.h ich habe ein Dailerproblem.. ?! mit Dsl Flat und Wireless lan dürfte mir doch eigentlich nichts passieren oder ?! Es ist zwar trotzdem ärgerlich aber nicht gravierend.. und was mach ich jetzt nach der Sicherung von SED.exe ich will den anderen Schmodder ja auch los werden ^^ |
Zitat:
Führe das nochmal aus: Das eScan AV Toolkit (mwav.exe) herunterladen, die Datei in den Ordner "c:\Bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen. Abgesicherter Modus und den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken. http://www.mwti.net/antivirus/free_utilities.asp Danach Neustart und ein Log-File von HiJackThis hier posten. |
Sry wenn ich dumm fragen muss. Abgesicherter Modus von Windows ? und wie komm ich da rein - f8 beim booten ?(hab noch nicht lange XP :p 98 konnte man leichter konfigurieren) |
Zitat:
http://www.bsi.bund.de/av/texte/wiederher_xp.htm |
hmm das zieht sich... sitze grad an meinem Rechner von ~ 38000 durchsuchten dateien 4 schädlinge gefunden - not-a-virus:AdvWare.Look2Me.k . File Renamed - not-a-virus:RiskWare.Tool.Exporun . No Action Taken (3x) das kann dauern - in der Zeit... :party: |
Scannst du jetzt mit eScan und bist gleichzeitig im I-net? Ich hab doch ausdrücklich gepostet: Zitat:
|
Ruhig Blut.. ich war an meinem rechner und nich am Laptop ^^ Hier das angeforderte Logfile... hoffe du wirst daraus schlau :daumenhoc Logfile of HijackThis v1.98.2 Scan saved at 16:03:20, on 02.10.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Symphony\sw_serv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Acer\Notebook Manager\almxptray.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\Fischer\Eigene Dateien\install\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [AcerNotebookManager] C:\Programme\Acer\Notebook Manager\almxptray.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: win-data Zahlungserinnerung.lnk = C:\Programme\win-data 2ooo\win-data Zahlungserinnerung.exe O4 - Global Startup: Gigaset H48data Konfiguration.lnk = C:\Programme\Symphony\maestro.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = KT.local O17 - HKLM\Software\..\Telephony: DomainName = KT.local O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = KT.local |
Alles sauber. :daumenhoc Um die Sicherheit deines Systems zu erhöhen, solltest du diese Punkte noch abarbeiten: - IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html - Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 19:34 Uhr. |
Copyright ©2000-2025, Trojaner-Board