28. März 2024, 14:24:18 Uhr

Virus problem

Begonnen von Fastrider, 23. September 2004, 18:17:49 Uhr

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 2 Gäste betrachten dieses Thema.

Fastrider

Hi leutz,

ich hab ein problem: Wenn ich auf mein Internet Explorer gehe kommt eine ***Seite, aber wenn ich das wieder umändere z.b auf yahoo.de bleibt das auch einige tage und kommt wieder. Ich hab mal mit dem Anti Vir programm gescant und das hat 2 Vieren gefunden, aber man kann sie nicht löschen. Da steht " Virus gefunden. Dieser Virus kann nicht gelöscht werden, da es in einem Archiv ist." Diese beiden Viren heissen: bridge-c18[1].cab und cax[1].cab. Wie kann ich es bloß löschen?????

Würde mich über antworten freuen.
Danke im vorraus

tyco

Zunächst würde ich den Rechner mal mit Ad-Aware (http://www.lavasoftusa.com/software/adaware/) und Spybot - Search & Destroy (http://www.safer-networking.org/de/spybotsd/index.html) scannen lassen.
Bitte keine Supportanfragen per PM stellen.

Fastrider

hab ich auch schon probiert, der findet´aber acuh nichts ausser so ein paar coockis oder so.

TMK

Hast Du das SP2 für WinXP schon installiert?

tyco

Zitat von: Fastrider am 24. September 2004, 17:37:16 Uhr
hab ich auch schon probiert, der findet´aber acuh nichts ausser so ein paar coockis oder so.

Als nächstes würde ich es mit dem CWSShredder versuchen und anschliessend mit HijackThis.

Den Logfile von HijackThis kannst Du dann mal posten.

Beide Tools bekommst Du hier:

http://www.lurkhere.com/~nicefiles/
Bitte keine Supportanfragen per PM stellen.

Fastrider

Zu TMK: ich find diesen sicherheitspack voll für den A*****
Zu Tyco: Das ist die log file:

Logfile of HijackThis v1.98.2
Scan saved at 11:19:22, on 25.09.2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\POP-UP~1\PSFree.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Sygate\SPF\Smc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Loschitzki\Desktop\HijackThis19802.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.ruserv.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.ruserv.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://yahoo.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.ruserv.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tetki.ru/index5.shtml
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet3_88.dll
O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717177657972} - C:\WINDOWS\System32\qwe7972.dll
O3 - Toolbar: (no name) - {00000000-0008-5041-4354-0020e48020af} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\Smc.exe -startgui
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\POP-UP~1\PSFree.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O10 - Broken Internet access because of LSP provider 'c:\windows\system32\wshbth.dll' missing
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://c:\nosuch.mht!http://66.230.167.218/galr/files.chm::/file.exe
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BD23F2AF-DA6F-4088-B819-476A9AABE880}: NameServer = 217.237.150.97 217.237.149.161

tyco

Okay, dann fixe mal mit HijackThis diese Einträge:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.ruserv.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.ruserv.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.ruserv.com

O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet3

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup

O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"

O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe

Wenn diese Einträge, Programme oder Webseiten Dir nichts sagen, solltest Du sie ebenfalls fixen.

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tetki.ru/index5.shtml

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://c:\nosuch.mht!http://66.230.



Bitte keine Supportanfragen per PM stellen.

Fastrider

25. September 2004, 12:25:02 Uhr #7 Letzte Bearbeitung: 25. September 2004, 12:39:55 Uhr von tyco
Dieses hier: R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tetki.ru/index5.shxml sagt mir was, aber das ist die seite die manchmal kommt. Aber bloß nicht draufklicken. Danke tyco, ich weis noch nicht ob das was gebracht hat, aber trotzdem danke

Fastrider

Aber ich ich glaub, dass dieses hier O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe auch probleme machen wird, weil ich mal mit antiVir ein Virus gefunden habe das juched hieß. Soll ich diese Datei viellciht auch Löschen?

TMK

Kannst du löschen, ist aber kein Virus oder sowas! Wird mit der "Java Virtual Machine" von Sun in die Registry geschrieben.

Fastrider

Aber es kann doch sein, dass ein Virus zugriff darauf hat oder?

tyco

Zitat von: Fastrider am 25. September 2004, 13:28:40 Uhr
Aber es kann doch sein, dass ein Virus zugriff darauf hat oder?

Eigentlich unbedenklich. Aber wenn Du ganz sicher gehen willst, und Du hast die anderen Probleme schon gefixt, dann fix das auch noch. Zur Not kannst Du diesen Eintrag ja per Backupfunktion von HijackThis zurückspielen.
Bitte keine Supportanfragen per PM stellen.

Fastrider

Wenn das unbedenklich ist, dann lass ich es lieber. Danke nochmals an Tyco und TMK

Fastrider

neeeeeeee, das hat nicht geklappt, da kommt trotzdem diese Seite, ich weiss echt nicht mehr was man machen kann.

American

Das Problem ist mir bekannt, ad-aware und Spybot sollten hier fast machtlos sein. Eigentlich ist es ganz einfach, wie ich es bisher immer an Rechnern machen durfte:

Du gehst in deinem Programm ordner, wo alle installierten Programme sind, schaust Dir dort alle Ordner an. es sollten Verdächtige Ordner da sein, die nichts mit einem Installierten Programm zu tun haben. Kannst auch in die Ordner wo du unsicher bist, reingehen, um nachzuschauen ob da ein Programm installiert ist. Meist ist ind en, wo so ein ist drinne ist, nur eine Datei. Diese kannst Du aber normal nicht löschen. Dazu musst Du Windows im Abgesichertem Modus starten -> Dann die Ordner raussuchen und Löschen (Zur Sicherung kannst Du die auch kopieren und auf einen andere Festplatte / Partition packen, aber eventuell zur Sicherheit gezippt mit winzip oder winrar, falls es ein falscher ordner war, dass Du dann ein backup hast). Danach windows wieder Starten und mal Spybot drüber laufen lassen, bitte neuste version / neuste Updates dafür vorher herunterladen. Dann sollte das weg sein.

ich hoffe das trifft auch bei Dir zu
mfg
American
Das Leben ist ein Geschenk, aber keiner hat mich gefragt, ob ich das Geschenk haben will.
Wenn dich einer fragt, ob du es haben willst, dann nimm es, fang von Vorne an und mach was draus.

Jede Beziehung geht mal durch eine Kriese. Wenn du das nicht kennst, dann weisst Du nicht was Liebe ist!


Dafür das Kinder auch Kinder sein dürfen

Fastrider

Eigentlich kam mir sehr wenig unbekannt vor, aber ich hab trotzdem ein paar ordner gelöscht. Mal sehen ob es geklappt hat

skyline

würde es mal mit dem tool 'Stinger' von Mac Afee versuchen gibt es bei www.chip.de (downloads)

O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"

sieht mir verdächtig aus

mfg skyline

Fastrider

"C:\Program Files\webHancer\Programs\whSurvey.exe"
ich sehe die datei nicht, auch nicht wenn ich alle versteckte dateien sichtbar mache.

TMK

...dann kannst es eh löschen!

Fastrider

Zu American: Das hat nicht geklappt, die Seite ist wieder aufgetaucht.
Man das gibts nicht, wieso geht das nicht weg  ???