danjoe

hallo liebe leute,

habe ein kleines problem mit dem computer^^

das hauptproblem ist: der firefox explorer öffnet ungewollt irgendwelche homepages wenn ich z.b. bei google was eingebe und dann auf einen gewünschten link drücke. ganau dann öffnet er nich die seite, die ich will sondern z.b.

Free Prize Give-Away

und noch ein paar andere seiten, die nicht ganz jugendfrei wären, deswegen schreib ich hier mal keine weiteren links hin. dies macht er net immer... aber ich musste den explorer 3x neu starten, um alleine in euer forum zu kommen =/ das macht er seit zirka ner woche.

ein weiteres problem: der pc hängt sich in letzter zeit ziemlich oft auf und er reagiert auf nichts mehr ausser stecker ziehn =/

das avira hat auch einiges in letzter zeit an trojaner usw gefunden, was mir langsam sorgen macht...

habe schon mal von hijackthis eine logfile angehängt, weil ich mir schon gedacht habe, dass ihr das brauchen werdet. habe allerdings keine ahnung was ich damit anfangen soll... müsst ihr mir bitte sagen, ob da alles ok ist.

vielen dank schon einmal für eure mühe

freundlicher gruß

Angehängte Dateien

logfile.txt (7,5 KB, 4x aufgerufen)

xandros

a) Dein System ist nicht auf dem aktuellen Stand. SP2 ist bereits veraltet. Da darf man sich nicht wundern, wenn durch fehlende Updates eine Schwachstelle ausgenutzt wird.....

b) Der IE6 ist auch schon seit mindestens 2 Generationen veraltet. Selbst wenn er nur wenig genutzt wird -> Aktualisieren!

c) laut dem Logfile laeuft aktuell Spybot neben SuperAntispyware und Avira. Dabei sind mindestens zwei Echtzeitscanner aktiv, die sich gegenseitig eher behindern. Spybot und Superantispyware inkl. aller Zusatzkomponenten deaktivieren, wenn Avira laeuft. Beim Einsatz anderer Scanner entsprechend Avira deaktivieren! (Sonst gibt es mehr Fehlalarme als notwendig!)

d) alle Eintraege aus HijackThis, die ein "(file missing)" anzeigen, koennen innerhalb des Programmes markiert und mit dem Button "Fix" entfernt werden.

e) Es sind zwei auffaellige Dateien dabei, die nicht dort gestartet wurden, wo sie eigentlich liegen sollen. Aus dem Temp-Verzeichnis startet Windows normalerweise keine benoetigten Dienste.
Daher wuerde ich hier gerne ein Logfile von Malwarebytes sehen....
(Anleitung und Downloadlink in diesem Beitrag)
http://www.modernboard.de/viren-wuer...tml#post678800

danjoe

also^^

zu punkt a: system is nun auf sp3... aber ich denke ein paar updates fehelen noch... weil nach den 5 neustarts, die ich hatte als noch updates verfügbar sind.

zu punkt b: hab jetzt ie8 geladen und install... besser geht net laut microsoft bei xp.

zu punkt c: habe jetzt nur noch antivir im systemstart. mit den anderen kann ich ja dann manuell wöchentlich den scan laufen lassen.

zu punkt d: 4 prozesse konnte ich entfernen... der eine kommt bei jedem scan wieder: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)

zu punkt e: muss ich morgen machen... hab jetzt keine lust mehr und will ins bett^^







datei hab ich dann noma angehängt

Angehängte Dateien

mbam-log-2011-04-04 (07-09-44).txt (4,5 KB, 4x aufgerufen)

Leonixx

1.Schritt
Mit Malwarebytes die Funde löschen mit "Auswahl entfernen". Poste anschließend das Logfile.

2.Schritt
Anschließend Onlinescan mit Eset durchführen. Halte dich an die Anleitung. Funde entfernen und Logfile posten.

Kostenlose Online Scanner

3.Schritt
Poste Logfiles von RSIT, wie in der Anleitung in meiner Signatur beschrieben.

danjoe

logfile nach entfernen:





Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes

Datenbank Version: 6260

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

04.04.2011 16:16:04
mbam-log-2011-04-04 (16-16-04).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 444341
Laufzeit: 1 Stunde(n), 56 Minute(n), 49 Sekunde(n)

Infizierte Speicherprozesse: 2
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 21

Infizierte Speicherprozesse:
c:\dokumente und einstellungen\hp_besitzer.danjoe\anwendungsdaten\d wm.exe (Trojan.Downloader) -> 1176 -> Unloaded process successfully.
c:\dokumente und einstellungen\hp_besitzer.danjoe\anwendungsdaten\m icrosoft\conhost.exe (Trojan.Agent) -> 1396 -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\conhost (Trojan.Agent) -> Value: conhost -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Value: Load -> Delete on reboot.
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Value: Shell -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Internet Settings\ProxyServer (PUM.Bad.Proxy) -> Value: ProxyServer -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Bad: (C:\DOKUME~1\HP_BES~1.DAN\LOKALE~1\Temp\csrss.exe) Good: () -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\hp_besitzer.danjoe\anwendungsdaten\d wm.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\hp_besitzer.danjoe\anwendungsdaten\m icrosoft\conhost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Dokumente und Einstellungen\HP_Besitzer.DANJOE\Lokale Einstellungen\Temp\csrss.exe (Trojan.Agent) -> Delete on reboot.
c:\dokumente und einstellungen\hp_besitzer.danjoe\lokale einstellungen\Temp\18.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\hp_besitzer.danjoe\lokale einstellungen\Temp\1A.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\hp_besitzer.danjoe\lokale einstellungen\Temp\1B.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\hp_besitzer.danjoe\lokale einstellungen\Temp\1C.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\hp_besitzer.danjoe\lokale einstellungen\Temp\1D.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\hp_besitzer.danjoe\lokale einstellungen\Temp\1E.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\hp_besitzer.danjoe\lokale einstellungen\Temp\1F.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\hp_besitzer.danjoe\lokale einstellungen\Temp\20.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\hp_besitzer.danjoe\lokale einstellungen\Temp\21.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\hp_besitzer.danjoe\eigene dateien\ICQ\307244841\receivedfiles\307244841\rece ivedfiles\285845873 mirco\tune.up.utilities.2009-patch.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\hp_besitzer.danjoe\eigene dateien\shit\garmin keygen 1.5\garmin keygen 1.5.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
c:\system volume information\_restore{2005cc72-e1d4-412c-8599-fdc32e05059e}\RP251\A0129154.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{2005cc72-e1d4-412c-8599-fdc32e05059e}\RP251\A0129162.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{2005cc72-e1d4-412c-8599-fdc32e05059e}\RP251\A0131162.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{2005cc72-e1d4-412c-8599-fdc32e05059e}\RP252\A0146337.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{2005cc72-e1d4-412c-8599-fdc32e05059e}\RP253\A0146344.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{2005cc72-e1d4-412c-8599-fdc32e05059e}\RP254\A0146412.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{2005cc72-e1d4-412c-8599-fdc32e05059e}\RP254\A0146413.exe (Trojan.Agent) -> Quarantined and deleted successfully.

stockcarpilot

Hallo

Weitermachen mit Schritt 2 (Onlinescan Eset) nach Neustart.

Gruß stockcarpilot

Leonixx

Da fällt mir nur eins ein. Selber schuld, wenn man keygens und patches ausführt.

c:\dokumente und einstellungen\hp_besitzer.danjoe\eigene dateien\ICQ\307244841\receivedfiles\307244841\rece ivedfiles\285845873 mirco\tune.up.utilities.2009-patch.exe (Trojan.Agent)

c:\dokumente und einstellungen\hp_besitzer.danjoe\eigene dateien\shit\garmin keygen 1.5\garmin keygen 1.5.exe (RiskWare.Tool.CK)

danjoe

so da wären entlich die letzten logs.
ich komm hier mitlerweile gar nemmer klar xD

firefox ging als net, da stand als was mit proxy-server.
dann hab ich automatische erkennenung eingeschaltet und dann gings wieder^^

naja is aber anderes thema denke... sagt mir bitte was ihr noch braucht wegen dem virenbefall =)

Angehängte Dateien

	logrsit.txt (49,9 KB, 2x aufgerufen)
	inforsit.txt (28,9 KB, 2x aufgerufen)
	logeset.txt (2,4 KB, 2x aufgerufen)

stockcarpilot

Hallo

Versuche mit diesem Programm die Ask Toolbar zu deinstallieren:

ASK Toolbar Remover - Download - CHIP Online

Bearshare würde ich auch dringend deinstallieren. Wenn dieses mein PC wäre, würde ich eine Datensicherung machen und den PC neu aufsetzen. So ist er wieder so schnell wie am ersten Tag. Und keine Cracks und Keygens installieren! Dann ein Backup und die eigenen Surf Gewohnheiten hinterfragen.

Gruß stockcarpilot

Leonixx

Wurde wohl eine Umleitung eingerichtet vom Schädling Mit Sicherheit auch im IE.

Tue dir selbst ein Gefallen und installiere neu.