Farin_Urlaub!! Gast |
hm ich hoff mal dass ich hier in der richtigen abteilung bin
und zwar hab ich seit heut des problem, dass sich ziemlich oft so dumme popupfenster vom iexplorer aus öffnen (popups der deutschen bank usw. )
im internet selbst bin ich allerdings mit Firefox drin
msn hab ich gar net gestartet
und ich bin ja mit Firefox drin und net mit iexplorer (wobei ich bei dem popupblocker anhätte)
was ich au komisch find is, dass bei prozesse 2mal iexplorer steht 1x mit 7 k speicher und einmal mit 38k speicher
weiß ja net ob des normal is..ich finds nur eigenartig
Hallo,
lösche bitte mal deinen Browser Cache und alle sonstigen Temporären Dateien,
ebenso den Papierkorb. Benutze dazu einfach die Freeware CCleaner,
http://www.ccleaner.com/ccdownload.asp
setze bei den Einstellungen unter dem Reiter von Windows und Anwendungen alle möglichen Häckchen und führe CCleaner aus.
Lade dir die kostenlose Software von Ewido herunter.
ewido anti-malware, ca. 7,6 MB, Entwickelt für Windows 2000 und XP
http://www.ewido.net/de/download/
Bei der Installation bitte nicht den Hintergrundwächter aktivieren.
Nach der Installation der Software ist unbedingt noch das Update einzuspielen !
(Eventuellen Meldungen beim Scan von Ewido unter “TrackingCookie“ sind harmlos und stellen keine akute Gefahr dar.)
Um eine optimale Überprüfung mit dem Tool zu gewährleisten, sollte der PC ausschließlich mit der folgenden Anweisung gescannt werden.
1. PC vom Netzwerk und Internet trennen
2. Die Systemwiederherstellung deaktivieren (Nur Windows XP und ME)
3. PC im abgesicherten Modus starten
(Für den Punkt 2 und 3 findet man unter http://www.bsi.de/av/texte/wiederher.htm
eine Anleitung)
4. Die Antimalware-Software starten und eine komplette Überprüfung des Systems vornehmen. Bei einer erkannten Infektion sollte den Anweisungen der Software gefolgt werden.
5. PC wieder normal Starten und die Systemwiederherstellung aktivieren
Zur Kontrolle sollte noch eine Überprüfung mit den beiden kostenlosen Online-Scanner vorgenommen werden.
Panda ActiveScan
http://www.pandasoftware.com/activescan/de/activescan_principal.htm
(Findet zwar auch Spyware und Adware, kann diese aber nicht bereinigen.
Eventuellen Meldungen von Panda unter “Spyware:Cookie“ sind harmlos und stellen keine akute Gefahr dar.)
BitDefender Online Scanner
http://www.bitdefender.de/bd/site/page.php#
Bei Rückfragen bitte immer die Scan-Protokolle hier posten.
Zum Schluss erstelle ein HijackThis-Log und poste den Logfile hier.
Er liefert steht’s wertvolle Informationen über den Zustand deines Systems und
kann das eine oder andere Problem auch lösen.
Hier der Link zu dem Tool
http://www.hijackthis.de/
und folge den Anweisungen.
Downloadlink zum Tool
http://www.mmdirect.de/downloads/hijackthis_199.zip
Wenn du noch nicht weist, wie das Tool funktioniert, auf der folgenden Webseiten gibt es eine kleine Hilfestellung:
http://www.wintotal.de/Tipps/Eintrag.php?TID=873
oder
http://www.trojaner-board.de/showthread.php?t=17493
also erst mal daanke für die gute anleitung
gut
erstens mal
hab ich heut mal windows neu drauf gemacht, weils sowieso nötig war, danach kam aber immernoch der popup
dann hab ich alles gemacht wie in der anleitung, des ewido ding hat au glaub so 8 dateien in quarantäne geschoben
und des Panda ActiveScan hat au so 8 spyqware dinger gefunden.
der andere online scanner da hat keine viren gefunden
und hier is mein hijackthis teil da
Logfile of HijackThis v1.99.1
Scan saved at 17:36:23, on 15.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ewido anti-malware\ewidoguard.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Apps\Powercinema\PCMService.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\APPS\EmailChecker\ech.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Internet Explorer\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Softwin\BitDefender9\bdswitch.exe
C:\Programme\Softwin\BitDefender9\bdnagent.exe
C:\Programme\Softwin\BitDefender9\bdoesrv.exe
C:\Dokumente und Einstellungen\Dennis\Eigene Dateien\ICQ Lite\257455338\Chiller_222972895\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bin/redirect/?country=GE&range=AD&phase=6&key=SEARCH
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\ger.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: PBDEV2 - {4E7BD74F-2B8D-469E-A0E8-FA68B685FA7D} - C:\WINDOWS\system32\pbdev2.dll (file missing)
O2 - BHO: (no name) - {ABE78760-5146-89CD-9317-4E81AC5B9685} - C:\DOKUME~1\Dennis\ANWEND~1\RECTLI~1\Ooze debug.exe
O3 - Toolbar: PBDEV2 - {4E7BD74F-2B8D-469E-A0E8-FA68B685FA7D} - C:\WINDOWS\system32\pbdev2.dll (file missing)
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [licenseclosechicthird] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TheBashLicenseClose\objgrey.exe
O4 - HKLM\..\Run: [ClickMe] C:\apps\ClickMe\ClickMe.exe
O4 - HKLM\..\Run: [EmailChecker] C:\APPS\EmailChecker\ech.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender9\bdmcon.exe"
O4 - HKLM\..\Run: [BDOESRV] "C:\Programme\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender9\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "C:\Programme\Softwin\BitDefender9\bdswitch.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [book start] C:\DOKUME~1\Dennis\ANWEND~1\USERFL~1\MoreTheBalm.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
Kopier dein Logfile mal hier rein:
http://www.hijackthis.de
Da ist einiges bei was gefixt werden sollte.
Wie man das macht siehst du hier:
http://www.windowspower.de/artikel_HijackThis+Anleitung_653.html
Es kommt immer drauf an, deshalb kann man dort wo diese Sternchen sind auch nachlesen oder aber über Google ein paar Infos suchen.
***
Hier zum Beispiel:
C:\APPS\EmailChecker\ech.exe
Infos dazu -> ech.exe (trojan body)
***
Wo kommt denn das jetzt schon wieder alles her wenn du heute erst formatiert hast? Hmm.
Panda, ewido, Spybot, etc. reinigen dein System auf jedenfall, entweder hast du nicht richtig gescannt bzw. formatiert oder aber du stellst irgendwas mir unerklärliches mit deinem Rechner an...
ja wie kommt man an en protokoll von ewido?
von dem anderen hab ich eins:
Ereignis Zustand Standort
Adware:Adware/Lop Nicht desinfiziert C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TheBashLicenseClose\objgrey.exe
Spyware:Cookie/Atwola Nicht desinfiziert C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\Mozilla\Firefox\Profiles\99gcht42.default\cookies.txt[.atwola.com/]
Adware:Adware/Lop Nicht desinfiziert C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\Rect List\Ooze debug.exe
Adware:Adware/Lop Nicht desinfiziert C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\userflawokay\Fast view site.exe
Adware:Adware/Lop Nicht desinfiziert C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\userflawokay\hxwsuzdf.exe
Adware:Adware/Lop Nicht desinfiziert C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\userflawokay\MoreTheBalm.exe
Adware:Adware/Lop Nicht desinfiziert C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\userflawokay\REMOTEGRIMCOPYMFCD.exe
Adware:Adware/Lop Nicht desinfiziert C:\Dokumente und Einstellungen\Dennis\Lokale Einstellungen\Temp\bis37.exe
MoreTheBalm.exe
Ooze debug.exe
Jetzt weisst du z. B. auch welche du mit Hijackthis fixen kannst. Denn diese beiden da, als Beispiel, fallen auch bei der Logfile-Auswertung auf.
Wenn dir das alles zu umständlich und kompliziert ist, hol dir die Vollversion von Panda, somit biste das dann auch alles los.
http://www.panda-software.de/PandaWebsite/produkte/detailsIS.htm
Testversion 30 Tage nutzbar.
Ansonsten fixe mit Hijack. Anleitung findest du oben.
Lade dir bitte mal die Freeware Unlooker herunter
http://ccollomb.free.fr/unlocker/index.htm#download
(nur für Windows 2000 und XP)
und lösche die folgenden Dateien damit im abgesicherten Modus.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TheBashLicenseClose\objgrey.exe
C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\Rect List\Ooze debug.exe
C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\userflawokay\Fast view site.
C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\userflawokay\hxwsuzdf.exe
C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\userflawokay\MoreTheBalm.exe
C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\userflawokay\REMOTEGRIMCOPYMFCD.exe C:\Dokumente und Einstellungen\Dennis\Lokale Einstellungen\Temp\bis37.exe
| « Antivir Update bricht ab | Anti Viren Software » | ||
