Computerhilfen.de Logo
Forum
Tipps
News

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Obige Tipps beziehen sich auf PC 2, der klar verseucht ist!

Bei PC 1 stört eigentlich nur "Pokerstars" sowie "Comeon Poker 2.0", das sich im Systemstart befindet, auf den ersten Blick.

Spybot allerdings auch ;)

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button
Nachtrag: startsear.ch ist ein Browser-Hijacker und damit ein Schädling!!

Start-> Ausführen, eingeben: regedit

Nun folgende Schlüssel suchen und löschen:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\  HKEY_CURRENT_USER\Software\PAV 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internetsettings  ‘ProxyOverride’ = ”

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings ‘ProxyEnable’ = ’1′

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies \System\DisableTaskMgr

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AntiSolution

Registry-Editor  schließen, danach Neustart.

davon hab ich in der regirtry nur eine sache gefunden. Alle anderen sind nicht da.

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

 

Zitat
davon hab ich in der regirtry nur eine sache gefunden.

1.: WELCHE Sache und 2.: auf welchem Rechner?
Du solltest schon den mit der startsear.ch -Startseite nehmen, also PC2!!

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button


Weiter geht`s mit Systemstart bereinigen:

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"

O4 - HKCU\..\Run: [IcqUpdater] "C:\DOKUME~1\ps22222\LOKALE~1\Temp\IcqUpdater.exe" upgrade 1640

Start-> Ausführen, eintippen: msconfig
Dann Reiter "Systemstart" und die entsprechenden Häkchen entfernen.
Manche Sachen wie z. B. den Bonjour-Service findest du auch unter Systemsteuerung-> Verwaltung-> Dienste.
Dort Doppelklick auf den / die Dienste und den Starttyp auf mindestens manuell bzw. deaktiviert setzen.

Übrigens ist das hier ein Schädling:

O3 - Toolbar: toolplugin - {DFEFCDEE-CF1A-4FC8-89AF-189327213627} - C:\Dokumente und Einstellungen\ps22222\Anwendungsdaten\toolplugin\toolbar.dll

und kommt vermutlich daher:

O3 - Toolbar: VShareToolBar - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Programme\vShare.tv plugin\BarLcher.dll

 ;)

 

Davon finde ich nichts. Weder im Systemstart noch in der Verwaltung. Bei Systemstart ist der Haken nur beim Antivirusprogramm, ICQ und Skype gesetz.

VShare benutze ich regelmäßig zum Fußballgucken. Davon sehen ich auch keine Toolbar im Browser.

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

1.: WELCHE Sache und 2.: auf welchem Rechner?
Du solltest schon den mit der startsear.ch -Startseite nehmen, also PC2!!

Auf Rechner 2
das Proxy Enable

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Malwarebytes laden + aktualisieren:

http://www.malwarebytes.org/products/malwarebytes_free

Danach zunächst einen Quickscan durchführen, am Ende des Scans auf "Entferne Auswahl" klicken.

Das Logfile hierher posten.

Anschließend Vollscan durchführen.

PS: Auf BEIDEN Rechnern ist der Internet Explorer 8 (in Worten: Acht) dringend zu installieren!!

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

PC 1

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 7999

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

22.10.2011 14:34:18
mbam-log-2011-10-22 (14-34-08).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 165497
Laufzeit: 2 Minute(n), 40 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\geeeeee\eigene dateien\downloads\setupcasino_296830.exe (PUP.Casino) -> No action taken.
c:\dokumente und einstellungen\geeeeee\eigene dateien\downloads\setuppoker_366d03.exe (PUP.Casino) -> No action taken.
c:\dokumente und einstellungen\geeeeee\eigene dateien\downloads\setuppoker_856ef3.exe (PUP.Casino) -> No action taken.
c:\dokumente und einstellungen\geeeeee\eigene dateien\downloads\download_ladbrokes.exe (PUP.Casino.Gen) -> No action taken.
 

PC2:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 7999

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

22.10.2011 14:47:27
mbam-log-2011-10-22 (14-47-18).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 156500
Laufzeit: 9 Minute(n), 49 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://startsear.ch/?aff=1) Good: (http://www.google.com) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://startsear.ch/?aff=1) Good: (http://www.google.com) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\ps22222\eigene dateien\downloads\pic04402011.jpg.scr (Backdoor.IRCBot.WR) -> No action taken.

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

No action taken!!

Also: den Vorgang wiederholen mit Malwarebytes, die Funde am Ende markieren und auf "Entferne Auswahl" klicken!!!!

Und in Zukunft besser mitlesen und nachdenken, wenn du irgend etwas installierst-> Benutzerdefiniert (= Custom) wählen und entsprechende Haken rausnehmen!

Ansonsten bestätigt der Scan zu 100% meine Angaben / Vermutungen  ():-)

Ein Vollscan mit Malwarebytes wäre mal angebracht, danach ESET:




ESET Online Scanner
Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

    Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt so öffnen: per Rechtsklick => als Administrator ausführen[/COLOR]
    • Dein Anti-Virus-Programm während des Scans deaktivieren.


    Button (<< klick) drücken.
    • Firefox-User:
      Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
    • IE-User:
      müssen das Installieren eines ActiveX Elements erlauben.
    • Setze den einen Haken bei Yes, i accept the Terms of Use.
    • Drücke den Button.
    • Warte bis die Komponenten herunter geladen wurden.
    • Setze einen Haken bei "Scan archives".
    • Gehe sicher das bei Remove Found Threats kein Hacken gesetzt ist.
    • drücken.
    • Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.
    Wenn der Scan beendet wurde
    • Klicke Finish.
    • Browser schließen.
    Drücke bitte die + R Taste und kopiere folgenden Text in das Ausführen Fenster.
    "%PROGRAMFILES%\Eset\Eset Online Scanner\log.txt"
    Hinweis: Falls du ein 64-Bit-Windows einsetzt, lautet der Pfad so:

    "%PROGRAMFILES(X86)%\Eset\Eset Online Scanner\log.txt"
    Poste nun den Inhalt der log.txt.

    Hat dir diese Antwort geholfen?

    Danke ButtonHilfreiche Antwort Button

     

    Zitat
    Ein Vollscan mit Malwarebytes wäre mal angebracht

    Steht bereits in Antwort 20 (und vielleicht läuft der auch gerade...?? )

    Ansonsten sind die Funde ja "vergleichsweise" mal relativ harmlos ;)

     

    Zitat
    Steht bereits in Antwort 20 (und vielleicht läuft der auch gerade...?? )

    Noch seh ich kein Vollscan-Log  ::)

     
    Zitat
    Ansonsten sind die Funde ja "vergleichsweise" mal relativ harmlos

    Und das ist ein Grund einfach aufzuhören?  ???
    Neue Töne hier ??? Sonst wurde bei CH bei jeder Toolbar ein planlos zugemülltest System diagnostiziert und ein FORMAT C verordnet  ;D 

    Hat dir diese Antwort geholfen?

    Danke ButtonHilfreiche Antwort Button

     

    Zitat
    Sonst wurde bei CH bei jeder Toolbar ein planlos zugemülltest System diagnostiziert und ein FORMAT C verordnet 

    Bitte fair bleiben: DAS betrifft aber NICHT mich ():-)

    Man schmeißt ja auch kein Auto nur wegen einer verbeulten Beifahrertüre weg....

    Stmmt DU warst das nicht  ;)

     

    Zitat
    Man schmeißt ja auch kein Auto nur wegen einer verbeulten Beifahrertüre weg....

    Aber bei einem vollen Aschebecher  ;D

    Hat dir diese Antwort geholfen?

    Danke ButtonHilfreiche Antwort Button

     

    Zitat
    Aber bei einem vollen Aschebecher 

    Richtig!

    Allerdings sollte dann der Füllpegel von der Fußmatte bis Oberkante Nackenstütze (oder zum Dachhimmel) reichen!

    Dann ja, und zwar sofort  ;D

    « Worm:Win32/Rebhip.AIch glaube ich wurde gehackt »
     

    Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!