Joa hast recht war nur zur Schnellhilfe. :AZitat von DVD
Spybot S&D is natürlich auch ne gute Idee sowie Onlinescanner.HiJackThis is nicht wirklich mein Ding.Hab gehört man kann sich damit ordentlich was im System zerschießen.
Joa hast recht war nur zur Schnellhilfe. :A
Spybot S&D is natürlich auch ne gute Idee sowie Onlinescanner.HiJackThis is nicht wirklich mein Ding.Hab gehört man kann sich damit ordentlich was im System zerschießen.
--
Wer sich zu dumm anstellt, dann ja.
HiJackThis bietet ne Backup Funktion an, die alles wieder auf den Ursprung setzt.
Aber bei HiJackThis muss man die Einträge lesen aber das haben wohl schon viele verlernt und drücken Wahllos auf die Buttons, bevorzugt wird auf den "ja" oder "OK" Button gedrückt, ohne zu wissen, was überhaupt los sei ...
--
Erstell doch mal mit http://www.hijackthis.de/
nen Logfile über die laufenden Prozesse und poste den mal bitte. Ich denk mal nicht das diese Adware so schlau ist und nen RootKit benutzt.
Ansonsten öffne mal die "msconfig.exe" und schau unter "Systemstart" nach ob du dort irgendetwas merkwürdiges erkennst...
Schau einfach mal nach dem Pfad der Anwendung...
Und falls du dir nicht sicher bist was davon Adware sein könnte und was nicht, mach einfach einen Screenshot und poste ihn hier.
Wenn du dir sicher bist welche Anwendung die Adware ist, stell die Systemwiederherstellung aus, geh in den Abgesicherten Modus (beim booten F8 drücken) und lösch das Ding. Wenn du im Systemstart etwas von der Adware findest schau noch in der Registry nach (per regedit.exe) und lösche die Einträge der Adware.
PS: Eventuell könnte es auch sein das du Teil eines BotNetze's bist. (http://de.wikipedia.org/wiki/Botnetz)
Über solche BotNetze könnte andere Schadsoftware wie halt Adware eingeschleust werden. Ich weiss nicht auf was für Seiten du dich rumtreibst und was du für .exe Dateien anklickst, ist mir aber auch eigentlich egal, aber man sollte immer drauf achten das man unseriöse Seiten und Anwendungen meidet, da diese, auch wenn es auf den ersten Blick nicht so scheint (.exe wird zB nicht vom Virenscanner gefunden...) oft Schadsoftware enthalten können.
Schau einfach mal hier Link um zu eventuell zu erkennen ob du Teil eines BotNetzes bist.
Desweiteren legt bekannte BotNetz Schadsoftware einige Einträge in der Registry an.
z.B:
Diese sind halt auch im Systemstart auffindbar, aber auch als Service in der Registry.
Schau einfach mal nach
mfg, duke
Geändert von duke (02.06.2007 um 19:00 Uhr)
Danke für den Tipp Duke, ich hab es probiert.
Hier die Logfile:
Logfile of HijackThis v1.99.1
Scan saved at 22:57:56, on 02.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
CWINDOWS\System32\smss.exe
C
C
C
C
C
C
C
C
C
C
C
C
C
C
D
C
C
C
D
C
C
C
D
C
C
F
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro-dart.de/
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - D
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C
O4 - HKLM\..\Run: [DATA BECKER Reminder] D
O4 - HKLM\..\Run: [QuickTime Task] "D
O4 - HKLM\..\Run: [setup] rundll32.exe "C
O4 - HKLM\..\Run: [j2231933] rundll32 C
O4 - HKCU\..\Run: [CTFMON.EXE] C
O4 - HKCU\..\Run: [BusNotes] C
O4 - Startup: Reminder.lnk = D
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - D
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache...up1.0.0.15.cab
O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binarie...hv32_EN_XP.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/.../GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093026384773
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary...o.cab56649.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary...t.cab57213.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin.cab
O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - http://de.errorsafe.com/pages/scanne...rInstallDE.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C
O23 - Service: Adobe LM Service - Adobe Systems - C
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C
O23 - Service: Ati HotKey Poller - Unknown owner - C
O23 - Service: ATI Smart - Unknown owner - C
O23 - Service: Autodesk Licensing Service - Autodesk - C
O23 - Service: DCPFLICS - Unknown owner - C
O23 - Service: GEARSecurity - GEAR Software - C
O23 - Service: License Management Service ESD - Unknown owner - C
O23 - Service: Macromedia Licensing Service - Unknown owner - C
O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - D
O23 - Service: O&O Defrag - O&O Software GmbH - C
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D
O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - Towitoko AG - C
O23 - Service: V2i Protector - PowerQuest Corporation - D
Ich hoffe du erkennst das Problem.
mfg DarkDali
Hmmm....
Also ich hab soweit nicht viel erkennen können. Google bzw. http://file.net sagte bei fast allen .exe das sie ungefährlich sind und halt zu normalen Programmen gehören.
Was mir aufgefallen ist ist die C
Dort meinte file.net das diese zu 35% schädlich ist und von element5.com stammen soll. Naja, auf der Seite hab ich nichts weiter wirklich entdecken können. Aber versuch mal das Ding eventuell zu löschen.
Die Log Auswertung auf der Seite spuckt ausserdem auch noch dieses hier aus:
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache...1.0.0. 15.cab
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binarie...hv32_EN_XP.cab
Should be fixed. This entry is possibly nasty. Bei beiden Einträgen
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin.cab
Should be fixed. This entry is possibly nasty.
Analyzerdetails Unknown
O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - http://de.errorsafe.com/pages/scanne...rInstallDE.cab
Check if you know this site and fix it if you do not. Unknown ActiveX-Objects, or ActiveX-Objects from unknown sites should always be fixed. If the name of the ActiveX-Object or the URL contains the words 'dialer', 'casino', 'free plugin' etc, it should be fixed!
Such mal nach den Einträgen (also http://de.errorsafe.com/pages/scanne...rInstallDE.cab usw.) inner Registry und lösch sie.
Desweiteren kenne ich diese DLLs nicht wirklich:
O4 - HKLM\..\Run: [setup] rundll32.exe "C
O4 - HKLM\..\Run: [j2231933] rundll32 C
Und bei D
Naja, versuch das erstmal und wenns nachm Neustart wieder kommt dann hmm. Du meintest zum Windows Start kommen Trojaner Meldungen? Welche .exe Dateien sind da infiziert und was fürn Trojaner ist das?
mfg, duke
Zu den Dateinamen findet Google nichts -> sie könnten zufallsgeneriert sein, was meines Wissens nach nur Malware praktiziert.Desweiteren kenne ich diese DLLs nicht wirklich:
O4 - HKLM\..\Run: [setup] rundll32.exe "C
O4 - HKLM\..\Run: [j2231933] rundll32 C
Eine Google-Suche nach "reals et" hijackthis ergab einige HijackThis-Treffer mit anderen (genauso zufällig aussehenden) DLLs. Ich rate dazu, das Ding zu killen und falls es später Probleme gibt, den Eintrag wiederherzustellen
Ein google nach sook hijackthis ergab das gleiche Bild für die andere DLL, nur eben mit anderen Zahlen. Siehe oben.
Erstmal danke für eure Hilfe. Ich habe gestern die schädlichen Dateien gefixt und habe gerade eben die Registry Einträge von Errorsafe gelöscht.
Die Trojaner sind irgendwelche komischen dll Dateien die sich in C: Dokume~\Lokale~1... befinden, wenn ich diesen Ort suchen dann lande ich bei C: Dokumente und Einstellungen\User\Lokale...
Wird das Pop up Blocker Zeichen eigentlicht nicht unten in der Leiste angezeigt? Bei mir steht das Ding komischer weise seit diesen Viren nicht mehr unten obwohl er aktiviert ist.
Ad-Aware hat auch nicht gerade viel gefund außer vier Dataminer Warnungen.
Wenn ich Anti-Vir in C suchen lassen dann findet er komischerweise nichts.
Duke:
Edit:Ich habe diese Einträge in der Registry gefunden. Was soll ich jetzt mit diesen Einträgen machen?
Hier noch ein Bild zu den Einträgen im Systemstart:
Auf dem Bild sieht man auch die oben erwähnten unbekannten Dateien.
mfg DarkDali
Geändert von DarkDali (03.06.2007 um 18:45 Uhr)
Such mal in beschriebenen Registry Orten nach den DLL Datei Einträgen und lösch sie. Dann sollten die DLLs auch nicht mehr mit starten, eventuell sind die DLLs die Adware.
Berechtigungen
Zitieren
