Panda Active-Scan Ergebnis:
Ereignis Zustand Standort
Potenziell unerwünschtes Tool:application/zango Nicht desinfiziert C:\WINDOWS\DOWNLOADED PROGRAM FILES\ClientAX.inf
Adware:adware/wupd Nicht desinfiziert Windows-Registry
Dialer:Dialer.Gen Nicht desinfiziert C:\WINDOWS\nachrichten.exe
Adware:Adware/nCase Nicht desinfiziert C:\WINDOWS\Downloaded Program Files\ClientAX.inf
Spyware:Cookie/Itrack Nicht desinfiziert C:\FOUND.009\FILE0000.CHK
Spyware:Cookie/Falkag Nicht desinfiziert C:\FOUND.019\FILE0030.CHK
Spyware:Cookie/Falkag Nicht desinfiziert C:\FOUND.025\FILE0009.CHK
Adware:Adware/Exact.BargainBuddy Nicht desinfiziert C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4PMZSXAN\webservice[2].htm
Adware:Adware/Exact.BargainBuddy Nicht desinfiziert C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\27KR6HOT\webservice[1].htm
Adware:Adware/Comet Nicht desinfiziert Lokale Ordner\Gelschte Objekte\spongebob bildschirmschoner fr alex\sinstaller.exe
Bericht von Bitdefender:
C:\System Volume Information\_restore{6A514A24-C84C-4A0D-B7AD-79EA7C5042E4}\RP17\A0153121.reg
Infiziert: Trojan.WinReg.LowZones.G
C:\System Volume Information\_restore{6A514A24-C84C-4A0D-B7AD-79EA7C5042E4}\RP17\A0153121.reg
Gelöscht
C:\System Volume Information\_restore{6A514A24-C84C-4A0D-B7AD-79EA7C5042E4}\RP17\A0153122.reg
Infiziert: Trojan.WinReg.LowZones.G
C:\System Volume Information\_restore{6A514A24-C84C-4A0D-B7AD-79EA7C5042E4}\RP17\A0153122.reg
Gelöscht
C:\System Volume Information\_restore{6A514A24-C84C-4A0D-B7AD-79EA7C5042E4}\RP17\A0153123.bat
Infiziert: Trojan.Bat.Secdrop.B
C:\System Volume Information\_restore{6A514A24-C84C-4A0D-B7AD-79EA7C5042E4}\RP17\A0153123.bat
Desinfektion fehlgeschlagen
C:\System Volume Information\_restore{6A514A24-C84C-4A0D-B7AD-79EA7C5042E4}\RP17\A0153123.bat
Gelöscht
Hallo $benni$,
auch du solltest noch die folgenden Tipps ausgeführen, damit die letzten Reste von Malware beseitigt werden:
Lösche bitte deinen Browser Cache und alle sonstigen Temporären Dateien,
Benutze dazu einfach die Freeware CCleaner,
http://www.ccleaner.com/ccdownload.asp
setze bei den Einstellungen unter dem Reiter von Windows und Anwendungen alle möglichen Häckchen und führe den Cleaner aus.
Lösche auch alle Ordner ohne Bedenken mit der Bezeichnung
C:\FOUND.xxx
(xxx steht für die drei Zahlen)
Lade dir bitte mal Unlook (Freeware)
http://ccollomb.free.fr/unlocker/index.htm#download
Als nächstes sollte mit Hilfe von Unlook die folgenden drei Dateien löschen.
C:\WINDOWS\nachrichten.exe
C:\WINDOWS\DOWNLOADED PROGRAM FILES\ClientAX.inf
C:\WINDOWS\Downloaded Program Files\ClientAX.inf
Danach lade dir unbedingt die ebenfalls kostenlose Software von Ewido herunter.
ewido anti-malware, ca. 7,6 MB
http://www.ewido.net/de/download/
Bei der Installation bitte nicht den Hintergrundwächter aktivieren.
Nach der Installation ist erst mal eine Aktualisierung fällig ist bevor ein vollständiger Scan gestartet wird, entweder über Software direkt oder manuell über den folgenden Link:
http://www.ewido.net/de/download/updates/
Dann lade das aktuelle Update von Spybot-S&D über die Softwarefunktion herunter oder über http://www.spybotupdates.com/updates/files/spybotsd_includes.exe
Das gleiche solltest du auch mit AD-AWARE machen.
Jetzt scanne den PC mit Spybot und AD-AWARE nach der folgenden Anleitung:
1. PC vom Netzwerk und Internet trennen
2. Die Systemwiederherstellung deaktivieren (Nur Windows XP und ME)
3. PC im abgesicherten Modus starten
(Für den Punkt 2 und 3 findet man unter http://www.bsi.de/av/texte/wiederher.htm eine Anleitung)
4. PC wieder normal Starten und die Systemwiederherstellung aktivieren
Zur Kontrolle scanne deinen PC noch mal mit den beiden Online-Scanner von Bitdefender und Panda.
Nach der großen Putzaktion sollte Bitdefender nicht mehr finden und Panda höchstens
noch ein paar harmlose Cookies.
Die Einträge im Logfile of HijackThis unter Böse und Unnötig sollten nur noch Reste von bereits gelöschter Malware sein, die keinen Schaden mehr anstellen können.
Benutze auch alternative einen anderen Browser.
Sehr empfehlenswert ist Firefox, er ist sicherer, schneller und besitzt von vorne rein einen Popup-Blocker.
http://www.chip.de/downloads/c1_downloads_18321112.html
Hallo $benni$,
in Anleitung zu Spybot und AD-AWARE fehlte was, siehe Punkt 4.
Anbei die korrigierte Version...
Dann lade das aktuelle Update von Spybot-S&D über die Softwarefunktion herunter oder über http://www.spybotupdates.com/updates/files/spybotsd_includes.exe
Das gleiche solltest du auch mit AD-AWARE machen.
Jetzt scanne den PC mit Spybot und AD-AWARE nach der folgenden Anleitung:
1. PC vom Netzwerk und Internet trennen
2. Die Systemwiederherstellung deaktivieren (Nur Windows XP und ME)
3. PC im abgesicherten Modus starten
(Für den Punkt 2 und 3 findet man unter http://www.bsi.de/av/texte/wiederher.htm eine Anleitung)
4. Die Antimalware-Software starten und eine komplette Überprüfung des Systems vornehmen. Bei einen erkannten Infektion sollte den Anweisungen der Software gefolgt werden. (Dieser Abschnitt fehlte!)
5. PC wieder normal Starten und die Systemwiederherstellung aktivieren
Hallo!
Bin ich froh, diesen Thread gefunden zu haben. Ich werde auch ständig auf die IQBattle-Seite weitergeleitet und meist folgt direkt danach noch ein weiterer Pop-Up. Den guten alten CWShredder hab ich schon durchlaufen und fixen lassen, er hat den CWS.msconfig gefunden und gelöscht, gottdank. Naja, jetzt hab ich noch das ClearProg und den CCleaner sowie den Panda ActiveScan laufen lassen, welcher mir als Ergebnis brachte: 3 Viren (.exe), und einen Trojaner (Trj/DNSChanger.BD in der Datei WINDOWS\system32\yaemu.exe). Ich habe auf jeden Fall (mit Hilfe der DOS-Eingabeaufforderung) alle exe-Dateien löschen können.
Hier noch der HijackThis-Log, ich hoffe der sagt euch was:
_____________________________________________________________________ _
Logfile of HijackThis v1.99.1
Scan saved at 20:33:29, on 06.03.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Zone Alarm\zlclient.exe
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Programme\Logitech\SetPoint\KEM.exe
D:\Programme\Logitech\SetPoint\KHALMNPR.EXE
I:\temp\=UNISUP=\HijackThis.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe Reader 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - D:\Programme\GetRight\xx2gr.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {F4786746-E9E7-485D-82AD-B97DE152842E} - D:\WINDOWS\System32\d3dx9_35.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Zone Labs Client] D:\Programme\Zone Alarm\zlclient.exe
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE D:\WINDOWS\System32\sti_ci.dll,WiaCreateWizardMenu
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Logitech SetPoint.lnk = D:\Programme\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: &Google-Suche - res://d:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://d:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Download with GetRight - D:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://d:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\Programme\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - D:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Verweisseiten - res://d:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://d:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - E:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - E:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\Programme\MICROS~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f008.mail.lycos.de/app/uploader/FileUploader.cab
O16 - DPF: {FE5B9F54-7764-4C01-89F0-4862601EE954} (DigWebHelper Class) - http://photos.msn.com/resources/neutral/controls/DigWebX2.cab?10,0,910,0
O17 - HKLM\System\CCS\Services\Tcpip\..\{EB257790-542A-4B71-B985-B58D082EAFDF}: NameServer = 85.255.113.92,85.255.112.13
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZoneLabs\vsmon.exe
_____________________________________________________________________
Danke im Voraus!!
-=[Sonata]=-
Hallo Sonata und $benni$,
scannt bitte jeder von euch eine bestimmte Datei
mit dem folgenden Onlinedateiscanner
http://www.virustotal.com/flash/index_en.html
oder
http://virusscan.jotti.org/de/
Sonata
D:\WINDOWS\System32\d3dx9_35.dll
$benni$
C:\WINDOWS\System32\dfsshlfx.dll
Bitte postet das Ergebnis hier.
Wenn ich nicht völlig falsch liege, ist dass die Ursache für IQBattle.
Ich bin mir sicher, wenn ihr auch Onlinescan von Bitdefender benützt hättet,
dann wäre eine entsprechende Meldung über diese Dateien in Erscheinung getreten.
Und Sonata,
dein Windows XP Betriebssystem ist nicht aktuell, es wurden nicht alle Sicherheitsupdates eingespielt.
Hier muss unbedingt gehandelt werden!
Nur mit SP2 und allen Patches ist Windows XP ausreichend vor Gefahren geschützt.
Bitte ungehend alle Windowsupdates einspielen, es gibt keine Ausrede weshalb man dies nicht machen sollte, sofern man einen DSL Anschluss hat. Ansonsten besorge die Updates über Freunde die einen DSL besitzen.
Updates Links für Windows XP:
Service Pack 2, ca. 265MB:
http://www.microsoft.com/downloads/details.aspx?FamilyID=049c9dbe-3b8e-4f30-8245-9e368d3cdb5a&displaylang=de
Sicherheitspatches nach SP2, ca. 82MB:
http://download.winboard.org/downloads.php?release_id=1086
Whoa, der VirusTotal-Scan brachte bei der D:\WINDOWS\System32\d3dx9_35.dll folgendes:
AntiVir 6.33.1.53 03.06.2006 ADSPY/BHO.aa.1
Avast 4.6.695.0 03.06.2006 Win32:Trojano-3384
Avira 6.33.1.53 03.06.2006 ADSPY/BHO.aa.1
Ewido 3.5 03.06.2006 Trojan.BHO.b
Fortinet 2.71.0.0 03.07.2006 Adware/KeenValue
F-Prot 3.16c 03.07.2006 security risk named W32/Downloader.MNI
Ikarus 0.2.59.0 03.06.2006 AdWare.BHO.AA
McAfee 4711 03.06.2006 potentially unwanted program Adware-KeenValue
Norman 5.70.10 03.06.2006 W32/BHO.X
TheHacker 5.9.5.107 03.06.2006 Adware/BHO.aa
UNA 1.83 03.02.2006 Trojan.Win32.BHO
VBA32 3.10.5 03.06.2006 suspected of Trojan-Downloader.Agent.51
(ich hab mal die "no virus found"-Dinger rausgelassen)
und bei dem Online-Malware-Scan sieht's ganz ähnlich aus. Kann ich die DLL-Datei einfach löschen oder ist das nicht so'ne gute Idee?
Ich werd jetzt erstmal die Windows-Updates laden, war bisher immer zu faul dazu. (Aber im Gegensatz zu Anderen hab ich zumindest ne Original-Win-CD 
)
Hallo zusammen!
Also nachdem ich tausende Scans aller möglichen Programme (im abgesicherten Modus) durchgeführt hab scheint das Problem behoben zu
sein. Jedenfalls habe ich schon eine Weile keine falschen Links mehr gehabt.
@ HELP
Die empfohlenen online-Scans haben unter der Datei
C:\WINDOWS\System32\dfsshlfx.dll nichts mehr gefunden.
Die Dateien
C:\WINDOWS\DOWNLOADED PROGRAM FILES\ClientAX.inf
C:\WINDOWS\Downloaded Program Files\ClientAX.inf
C:\FOUND.xxx
konnte ich nicht finden. Sind evtl. auch bereits von einer software gelöscht worden, oder?
Den Online-Scan von Bitdefender habe ich schon zwei mal durchgeführt. Werds aber zur Kontrolle noch mal machen.
Sonata,
gehe auf Nummer Sicher und lösche die Datei im abgesicherten Modus von Windows.
Gehe dazu parallel vor wie ich in der Anweisung für Spybot und AD-AWARE bereits beschrieben habe.
1. PC vom Netzwerk und Internet trennen
2. Die Systemwiederherstellung deaktivieren (Nur Windows XP und ME)
3. PC im abgesicherten Modus starten
(Für den Punkt 2 und 3 findet man unter http://www.bsi.de/av/texte/wiederher.htm eine Anleitung)
4. Lösche die Datei.
5. PC wieder normal Starten und die Systemwiederherstellung aktivieren
$benni$,
das hört sich an, als hast du deine Probleme gelöst.
Überprüfe doch bitte noch, ob bei dir alle Dateien und Ordner angezeigt werden.
Gehe dazu in Explorer unter
Extras – Ordneroptionen... – Ansicht
Bei
Erweiterungen bei bekannten Dateitypen ausblenden
und
Geschütze Systemdateien ausblenden
sollte kein Haken gesetzt sein!
Und unter „Versteckte Dateien und Ordner“
ist „Alle Dateien und Ordner anzeigen“ zu aktivieren.
Diese Einstellung bitte mit den Button „Übernehmen“ speichern und
mit dem Button „Für alle übernehmen“ auf alle Ordner zu kopieren.
Den Explorer schließen und wieder öffnen damit alle Einstellung umgesetzt werden.
Überprüfe jetzt ob die erwähnten Ordner bzw. Dateien wirklich nicht mehr vorhanden sind,
sofern diese Ansichteinstellung noch aktive war.
Ansonsten wünsch ich euch wieder viel Spas beim Surfen.
Hab jetzt nochmals Bitdefender und Panda scannen lassen.
Bitdefender findet nichts mehr.
Panda folgendes:
Potentially unwanted tool:application/zango Not disinfected C:\WINDOWS\DOWNLOADED PROGRAM FILES\ClientAX.inf
Adware:adware/wupd Not disinfected Windows Registry
Spyware:Cookie/Xiti Not disinfected C:\Dokumente und Einstellungen\Benni\Cookies\benni@xiti[1].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Benni\Cookies\[email protected][1].txt
Spyware:Cookie/Falkag Not disinfected
C:\Dokumente und Einstellungen\Benni\Cookies\[email protected][1].txt
Spyware:Cookie/2o7.net Not disinfected
C:\Dokumente und Einstellungen\Benni\Cookies\benni@2o[2].txt
Adware:Adware/nCase Not disinfected
C:\WINDOWS\Downloaded Program
Files\ClientAX.inf
Spyware:Cookie/Xiti Not disinfected
C:\Dokumente und Einstellungen\Benni\Cookies\benni@xit[1].txt
Spyware:Cookie/Falkag Not disinfected
C:\Dokumente und Einstellungen\Benni\Cookies\[email protected][1].txt
Spyware:Cookie/Falkag Not disinfected
C:\Dokumente und Einstellungen\Benni\Cookies\[email protected][1].txt
Spyware:Cookie/2o7.net Not disinfected
C:\Dokumente und Einstellungen\Benni\Cookies\benni@2o7[2].txt
Adware:Adware/Exact.BargainBuddy Not disinfected
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4PMZSXAN\webservice[2].htm
Adware:Adware/Exact.BargainBuddy Not disinfected
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\27KR6HOT\webservice[1].htm
Ist da noch was größeres dabei? Wie gesagt, mein ursprüngliches Problem scheint beseitigt zu sein. Online bauen sich die Seiten auch wieder schneller auf.
Noch eine Frage: Welche der ganzen Programme mit aktivem Hintergrundwächter soll ich behalten/laufen lassen und welche sind nicht so wichtig?
Panda desinfiziert "nur" Viren/Würmer/Trojaner.
Zumindest der kostenlose Online-Scan.
Das was bei dir da jetzt nicht desinfiziert wurde ist Spyware.
Deshalb steht auch hinter: Not disinfected.
Das sollteste aber mit Spybot/Ad-Aware los werden.
Auch Cache/Cookies im Browser löschen.
Hallo $benni$,
Panda hat noch 5 Einträge die noch geklärt werden sollten.
1. Potentially unwanted tool:application/zango Not disinfected C:\WINDOWS\DOWNLOADED PROGRAM FILES\ClientAX.inf
2. Adware:Adware/nCase Not disinfected
C:\WINDOWS\Downloaded Program
Files\ClientAX.inf
3. Adware:Adware/Exact.BargainBuddy Not disinfected
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4PMZSXAN\webservice[2].htm
4. Adware:Adware/Exact.BargainBuddy Not disinfected
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\27KR6HOT\webservice[1].htm
5. Adware:adware/wupd Not disinfected Windows Registry
Lösung:
1+2 = die Dateien manuell löschen
3+4 = IE Cache löschen
5 = ? (Die Meldung ist zu ungenau, um eine Lösung anbieten zu können)
Die anderen Einträge im Protokoll von Panda mit der Bezeichnung „Cookie“ sind recht harmlos. Regelmäßig den IE Cache löschen und die TrackingCookies sind weg.
Zu deiner Frage kann ich folgendes sagen:
Nur ewido anti-malware und Spybot-S&D besitzen einen Hintergrundwächter, die etwas an Ressourcen im Hauptspeicher benötigen, sofern der Wächter installiert bzw. aktiv ist.
Bei ewido anti-malware wird der Hintergrundwächter 14 Tage nach der Installation der Freeware automatisch deaktiviert.
Insgesamt werden die Tools um die 60 MB Festplattenspeicher belegt haben, also keine Größe um sie unbedingt wieder los zu werden.
Ich Empfehle, behalte sie.
Vielleicht werden sie in der Zukunft noch mal benötigt, was ich für dich hoffe.
| « virus "Your computer is infected".. | [AntiVir] 90% durchsuchter Dateien zeigen Warnungen » | ||
Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!
| Mehr Themen zu "Ständig falsche Links Virus iqbatlle"
