steffen134 Gast |
Guten Abend,
bitte um Tips, wie ich o.g. Trojaner loswerde. Trotz Antivir und Search & destroy (der mir jetzt sagt, dass keine Viren zu finden sind) kann ich nicht mehr googeln, ohne nicht auf Werbeseiten umgeleitet zu werden. Bin leider absoluter beginner, was sowas angeht, moechte es aber gerne selber hinbekommen.
Vielen Dank
Hat dir diese Antwort geholfen?
Mache bitte ein logfile mit hijackthis und poste es hier!
Download:
http://www.chip.de/downloads/c1_downloads_24575647.html
Klick:"Do a System scan and save Logfile"
Den text aus em Editor Komplett hier rein kopieren OHNE veränderungen!
Außerdem lasse deinen pc mal online scannen mit f-secure und panda:
http://www.pandasoftware.com/activescan/de/activescan_principal.htm
(internet explorer)
solltest du antivire auf em pc haben,wird es dir sagen,dass es was gefunden hat,da gehst du auf ignorieren.
F-secure:(internet explorer)
http://support.f-secure.de/ger/home/ols.shtml
außerdem scanne deinen pc mit Cureit:
Cureit:
Das kostenlose Programm muss nur herunter geladen, eine Installation ist nicht erforderlich und ist vollständig in Deutsch.
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
oder
http://www.freedrweb.com/cureit/?lng=de
Wähle nach der kurzen Expressprüfung deine Systempartition aus, in der Regel ist das Laufwerk C und
beginne den vollständigen Scan. Poste bitte bei einen Malware Fund auf jeden Fall den ausführlichen Scanreport von Cureit hier !
Die Aktion muss im abgesicherten Modus von Windows erfolgen und
achte darauf dass der Browser geschlossen ist und keine Internetverbindung besteht, Idealerweise sollten alle Anwendung geschlossen sein !
Unter http://www.bsi.de/av/texte/wiederher.htm
findet man eine Anleitung zum Start im abgesicherten Modus von Windows.
poste alle funde
gruß deniz
Hallo Deniz,
das sagt hijackthis, kannst Du was damit anfangen?
Ich mach erstmal weiter,
Danke
Imke
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Apoint2K\Apoint.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\S3trayp.exe
C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\Alice\Signup\AliceCnn.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\DOCUME~1\siemens\LOCALS~1\Temp\Répertoire temporaire 3 pour hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://alice.aol.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [S3Trayp] S3trayp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Photosmart Premier – Schnellstart.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{0935BD49-EF19-4679-9D99-B2E8603C7233}: NameServer = 213.191.74.11 213.191.92.82
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7DAB773-B10D-42EF-852E-AE68B390DBC4}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{B848F517-81A2-4862-852E-B41C53059F4E}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS1\Services\Tcpip\..\{0935BD49-EF19-4679-9D99-B2E8603C7233}: NameServer = 213.191.74.11 213.191.92.82
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
F secure hat
Folgende Elemente wurden gefunden
Ich bereinige sie.
Senden
Aktion
Seite
1 / 1
Tracking Cookie
KeineDesinfizieren
Tracking Cookie
KeineDesinfizieren
Tracking Cookie
KeineDesinfizieren
Tracking Cookie
KeineDesinfizieren
Tracking Cookie
KeineDesinfizieren
Tracking Cookie
KeineDesinfizieren
Tracking Cookie
KeineDesinfizieren
Tracking Cookie
KeineDesinfizieren
und das sind die details dazu:
Scanning Report
Tuesday, October 23, 2007 22:29:31 - 23:34:22
Computer name: FSC321208071501
Scanning type: Scan system for viruses, rootkits, spyware
Target: C:\
--------------------------------------------------------------------------------
Result: 8 malware found
Tracking Cookie (spyware)
System (Disinfected)
System
System
System
System
System
System
System
--------------------------------------------------------------------------------
Statistics
Scanned:
Files: 29119
System: 4412
Not scanned: 5
Actions:
Disinfected: 1
Renamed: 0
Deleted: 0
None: 7
Submitted: 0
Files not scanned:
C:\HIBERFIL.SYS
C:\PAGEFILE.SYS
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
C:\WINDOWS\SYSTEM32\ACTIVESCAN\PAV.ZIP
C:\WINDOWS\SOFTWAREDISTRIBUTION\EVENTCACHE\{F8A5CD87-5366-4C04-8172-239486AB24AF}.BIN
--------------------------------------------------------------------------------
Options
Scanning engines:
F-Secure Libra: 2.4.2, 2007-10-21
F-Secure AVP: 7.0.171, 2007-10-23
F-Secure Orion: 1.2.37, 2007-10-23
F-Secure Blacklight: 1.0.64
F-Secure Draco: 1.0.35, 0597-150-72
F-Secure Pegasus: 1.19.0, 2007-09-18
Scanning options:
Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB BAT LNK ANI AVB CEO CMD LSP MAP MHT MIF PDF PHP POT WMF NWS TAR TGZ WSF ZL? {* ZIP JAR ARJ LZH TAR TGZ GZ CAB RAR BZ2 HQX
Use Advanced heuristics
Hat dir diese Antwort geholfen?
Hallo,
sehe in dem Log nix auffälliges,
das hier müsste von deinem Provider sein:
O17 - HKLM\System\CCS\Services\Tcpip\..\{0935BD49-EF19-4679-9D99-B2E8603C7233}: NameServer = 213.191.74.11 213.191.92.82
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7DAB773-B10D-42EF-852E-AE68B390DBC4}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{B848F517-81A2-4862-852E-B41C53059F4E}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS1\Services\Tcpip\..\{0935BD49-EF19-4679-9D99-B2E8603C7233}: NameServer = 213.191.74.11 213.191.92.82
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
Die gefundenen Tracking cookies sind kein grund zur sorge,einfach löschen und gut ist.
gruß deniz
Hallo Deniz,
hab leider das popup fuer Panda gestern nicht zugelassen (der Name hoerte sich so komisch an...)und nun gibts immer ne Fehlermeldung beim runterladen. Kann ich den auch ueberspringen und gleich den PC im gesicherten Modus scannen, oder ist Panda ein Muss?
Gruesse
Imke
Hallo,
du öffnest dir nur unnötig Türen...mit diesen unseeligen Onlineprüfern...
Die bekommst von den "lieben Suchprogrammen" ein paar Dinge mit ,die mit jedem IE funktionieren und sich auch ansprechen lassen...
Lass den ** Netiquette! ** bleiben.Es ist außerdem höchst fragwürdig einen unter Vollast laufenden PC zu scannen.
Sehr viel besser ist ein Update zur Sicherheit deines eigenen Scanners dann Ausschalten des Teatimers von Spybot S&D,der verhindert nämlich zuverlässig jede Reinigung.....
ist das geschehen gehst du mit deinem AV Proggi in den abgesicherten Modus und machst einen Komplettsca.
Achte dabei darauf das kein anderer Scanner aktiv ist.Das führt nur zu Problemen die keiner braucht...
Das Ergebniss postest du bitte komplett hier in deinen Thread rein,wenn nötig ruhig über zwei Beiträge....
Sir Reklov
Update
Hier :
http://www.sunshine.it/index.php?option=com_content&task=view&id=4873&Itemid=42
diese IP eingeben und sagen ob sie dir bekannt vorkommt....
O17 - HKLM\System\CCS\Services\Tcpip\..\{0935BD49-EF19-4679-9D99-B2E8603C7233}: NameServer = 213.191.74.11 213.191.92.82
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7DAB773-B10D-42EF-852E-AE68B390DBC4}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{B848F517-81A2-4862-852E-B41C53059F4E}: NameServer = 208.67.220.220, 208.67.222.222
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220, 208.67.222.222
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220, 208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220, 208.67.222.222
Hat dir diese Antwort geholfen?
Habe dann wohl was falsches gelesen :'( :'( .
Alsoo :
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7DAB773-B10D-42EF-852E-AE68B390DBC4}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{B848F517-81A2-4862-852E-B41C53059F4E}: NameServer = 208.67.220.220, 208.67.222.222
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220, 208.67.222.222
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220, 208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220, 208.67.222.222
Die scheinen in San Francisco zu liegen!!
Scanne mit Cureit im abgesicherten modus,ist besser als Antivir.
Das kostenlose Programm muss nur herunter geladen, eine Installation ist nicht erforderlich und ist vollständig in Deutsch.
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
oder
http://www.freedrweb.com/cureit/?lng=de
Wähle nach der kurzen Expressprüfung deine Systempartition aus, in der Regel ist das Laufwerk C und
beginne den vollständigen Scan. Poste bitte bei einen Malware Fund auf jeden Fall den ausführlichen Scanreport von Cureit hier !
gruß deniz
Hat dir diese Antwort geholfen?
Lasse auch Antivir im Abgesicherten modus laufen.
(Nicht Cureit und Antivir gleichzeitig scannen lassen)
@Sir Reklov tuh nicht so als ob ich oder andere "immer" was falsches machen, beschäftige mich höchstens seit 3 Monaten mit Viren etc. meinse nicht dass sowas dann passieren kann???
gruß deniz
Jungs, was immer ihr zwei da mit/gegeneinander habt, das ist echt euer Ding.
Deniz, bevor ich in den abgesicherten Modus gegangen bin, hat mir Antivir gemeldet, dass er
TR/crypt.xpack.gen
gefunden hat. ich habe das dann geloescht.
Din dann Deiner Anleitung gefolgt und habe Cureit im abgesicherten Modus den Qick- und Festplattenscan laufen lassen. Was fuer eine Arbeit, dieser Rechner ist aus Frankreich und ich habe ein bischen probieren muessen...
anyway, gefunden wurden:
NIS_2006_9.1.vbs bei "c:\Addon\ Norton Internet Security"
und
A0005825.vbs bei "c:\system volume information\_restore{AEC0BEBA-3DDA-4BB4-B4001F86A98E5CE3}\RP38
habe beide desinfiziert und geloescht.
Heute scheint alles wieder okay zu sein.
San Francico? Deniz, soll ich jetzt sicherheitshalber mit Antivir nochmal scannen, oder ist das, was Ihr zwei meint, schon mit dabei gewesen?
Dickes Danke erstmal
Imke
Sir Reklov,
fuer mich ist das eine webpage eines Radiosenders. Assume, dass mein Freund drauf war. was ist dran?
http://www.sunshine.it/index.php?option=com_content&task=view&id=4873&Itemid=42
Muss sagen, dass mich eure konversation langsam echt verwirrt. Hab ich das jetzt richtig gemacht, oder schlummert noch was auf meinem PC? zerstoert sich dieses Programm nach Ablauf des Countdowns?
Ich werde auch Deinen Rat befolgen, wenn ich Deiner Meinng nach mit dem gestrigen scan nicht alles abgetoetet haben sollte,
please advise
imke
fuer mich ist das eine webpage eines Radiosenders
208.67.220.220sodann klickst du auf "whois" und wartest der Dinge die da kommen werden...
213.191.74.11ist dein Internetprovider Hansenet...
Prüfe es nach ,so wie du es oben gemacht hast...
| « Bei Google Suche werden falsche Seiten geöffnet | von wo bekomme ich brain » | ||
Win XP: Trojaner "TR/Dldr.DNSChanger.Gen" entfernen
Habe den Trojaner "TR/Dldr.DNSChanger.Gen" mit exe.Datei im Anhang auf meinem System."...
Hallo habe nen Trojaner auf meinem PC entdeckt...Habe Hijack...
hallo,ich habe seit 1 woche diesen virus auf meinem rechner!...
Wenn Ihnen diese Seite nicht weiterhilft, können Sie hier unsere ganze Webseite nach passenden Tipps oder ähnlichen Fragen durchsuchen lassen, oder im Chat nach Hilfe fragen!
Wie können wir ihnen (kostenlos!) weiterhelfen?
