» Willkommen Gast   | Registrieren

PC Forum
Software
Trojaner/Virenproblem
» Willkommen auf Software «

<<Thema>>
Seite 12
  

Neues ThemaAntworten
Live1982
aus Nümbrecht
offline



Real OC or Post God !
23 Jahre dabei !

AMD Ryzen 5
4200 MHz

:moin::moin:

Jedesmal wenn ich den Internet Explorer starte, krieg ich vom AVGuard Virenmeldungen.

C:\WINDOWS\EXPLORER.EXE:WPPLA

Ist das Trojanische Pferd TR/Dldr.WinSh.AC.02

Manchmal findet er noch andere .EXE Dateien oder DLL's... Außerdem "poppen" öfters einfach Werbefenster auf.

Wie krieg ich den Müll wieder weg?? Ad-Aware hab ich laufen lassen und alles gefundene entfernt. Spybot habe ich auch arbeiten lassen. XP-Clean hab ich auch benutzt, sowie HD-Cleaner. Antivir findet jetzt beim scannen auch nichts mehr.

Trotzdem kommen immer wieder diese Virenmeldungen. Immer nur wenn ich den Internet Explorer starte. Hab die Schnauze voll :gripe:

Was kann ich noch machen? Der Autostart ist sauber... Hängt das noch irgendwo in der Registry? Hilfe :godlike:

check meine Band: Knocking Dog
Beiträge gesamt: 20659 | Durchschnitt: 2 Postings pro Tag
Registrierung: Jan. 2003 | Dabei seit: 8539 Tagen | Erstellt: 12:14 am 30. Aug. 2004
Eisenblut
offline



OC God
23 Jahre dabei !

Du musst die ganzen Programme im abgesicherten Modus laufenlassen.

With all due respect Sir, but...
Beiträge gesamt: 3756 | Durchschnitt: 0 Postings pro Tag
Registrierung: Okt. 2002 | Dabei seit: 8650 Tagen | Erstellt: 13:34 am 30. Aug. 2004
Live1982
aus Nümbrecht
offline



Real OC or Post God !
23 Jahre dabei !

AMD Ryzen 5
4200 MHz

Bringt nichts, die Virenmeldungen sind weiterhin da. Ständig werden irgendwelche .exe Dateien gemeldet.

Ich versteh den Mist nicht. Windows+Antivir sind immer auf dem neuesten Stand :noidea:

check meine Band: Knocking Dog
Beiträge gesamt: 20659 | Durchschnitt: 2 Postings pro Tag
Registrierung: Jan. 2003 | Dabei seit: 8539 Tagen | Erstellt: 14:45 am 30. Aug. 2004
Eisenblut
offline



OC God
23 Jahre dabei !

Reparatur machen und alle Patches neuinstallieren. Dann sind alle Dateien durch die Originale ersetzt.

With all due respect Sir, but...
Beiträge gesamt: 3756 | Durchschnitt: 0 Postings pro Tag
Registrierung: Okt. 2002 | Dabei seit: 8650 Tagen | Erstellt: 16:05 am 30. Aug. 2004
Metal666Heart
aus Rödermark
offline


Basic OC
21 Jahre dabei !

AMD Athlon XP
2000 MHz @ 2164 MHz
51°C mit 1.744 Volt

Formatieren :PP

Life is the slowest form of suicide
Beiträge gesamt: 223 | Durchschnitt: 0 Postings pro Tag
Registrierung: Juli 2004 | Dabei seit: 8000 Tagen | Erstellt: 16:09 am 30. Aug. 2004
CMOS
aus senminister
offline



OC God
22 Jahre dabei !

Other CPU-Type

Systemwiederherstellung deaktivieren;mit AntiVir, Ad-aware und Spybot scannen, wobei das entscheidene ist, dass die von Spybot/Adaware identifizierten Dateien MANUELL gelöscht werden müssen , da Spybot diese nur scheinbar löscht ; genauso müssen Temporary Internet Files, Cookies gelöscht werden und nicht durch den Internet Explorer.

Und dannach mal das durchlaufen lassen-->http://www.spychecker.com/program/hijackthis.html


--> wie ich von betroffenen usern erfahren habe, funzt die entfernung zwar, aber sobald sie sich wieder ins inet einwählen (mit dem IE) haben sie den sch**** wieder !!! -> muss also eine sicherheitsprob im ...  genau IE ... sein.

bis ein entsprechender patch released wird, ist es wohl ratsam auf den IExploiter zu verzichten und zb firefox, etc zu nutzen.

ps: in diesem fall ist der vorschlag meines vorredners gar nicht so verkehrt ;(

viel glück


(Geändert von CMOS um 16:30 am Aug. 30, 2004)

Sys: C64; CPUtyp: 6510/8 bit; OS: BASIC 4.0; RAM: 64KB; Floppy Disk, max. 170 KB, 40 Bildschirmzeichen je Zeile, 25 Bildschirmzeilen; 64000 Grafikpunkte; 16 Farbtöne; programmierbare Töne; ASCII; Funktionstasten; Schnittstellen: seriell, parallel;  Preis: ca. 680 Mark
Beiträge gesamt: 2012 | Durchschnitt: 0 Postings pro Tag
Registrierung: Nov. 2003 | Dabei seit: 8249 Tagen | Erstellt: 16:30 am 30. Aug. 2004
Live1982
aus Nümbrecht
offline



Real OC or Post God !
23 Jahre dabei !

AMD Ryzen 5
4200 MHz

Hier ist die Log-Datei von Hijackthis:

Logfile of HijackThis v1.97.7
Scan saved at 16:50:58, on 30.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\sdkzp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Spybot\TeaTimer.exe
C:\Programme\AOL 8.0\waol.exe
C:\Programme\AOL 8.0\shellmon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Raffi\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ntnjp.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ntnjp.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ntnjp.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ntnjp.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\ntnjp.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ntnjp.dll/sp.html#29126
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {C726D36D-9BDF-0383-F849-161DD3B7B85F} - C:\WINDOWS\system32\nethy32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [sdkzp.exe] C:\WINDOWS\sdkzp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot\TeaTimer.exe
O4 - Startup: ruhezeitaktivität.bat
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Real.com (HKLM)
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchmiracle.com
O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=9eafaeb2a8e2a9518112bc6e0cedee1552dd4ecb1dd748bcf1cf4d42ced1394245b14c137e17952f3a6abadc3d36297b2b37:b70ac5aa8ec48e2e58a29296baabe1d6
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8DE41653-611B-4DDD-B327-5FE6FB95CD37}: NameServer = 205.188.146.146


Kann da einer was mit anfangen?

check meine Band: Knocking Dog
Beiträge gesamt: 20659 | Durchschnitt: 2 Postings pro Tag
Registrierung: Jan. 2003 | Dabei seit: 8539 Tagen | Erstellt: 16:51 am 30. Aug. 2004
SchlitzerMcGourgh
aus Bielefeld
offline



Real OC or Post God !
23 Jahre dabei !

Intel Pentium IV
2200 MHz @ 2200 MHz
48°C

HijackThis is a tool, that lists all installed browser add-on, buttons, startup items and allows you to inspect, and optionally remove selected items. The program can create a backup of your original settings and also ignore selected items. Additional features include a simple list of all startup items, default start page, online updates and more. Intended for advanced users.


das ist eben das alles was da steht und was auch mit dem system hochfährt ;)

(Geändert von SchlitzerMcGourgh um 20:09 am Aug. 30, 2004)

Spanky Ham, Ling Ling, Garfield and Angus
Beiträge gesamt: 11475 | Durchschnitt: 1 Postings pro Tag
Registrierung: Juni 2002 | Dabei seit: 8748 Tagen | Erstellt: 20:08 am 30. Aug. 2004
Eisenblut
offline



OC God
23 Jahre dabei !

Zitat von Live1982 am 16:51 am Aug. 30, 2004

C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\sdkzp.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ntnjp.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ntnjp.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ntnjp.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ntnjp.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\ntnjp.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ntnjp.dll/sp.html#29126
O2 - BHO: (no name) - {C726D36D-9BDF-0383-F849-161DD3B7B85F} - C:\WINDOWS\system32\nethy32.dll
O4 - HKLM\..\Run: [sdkzp.exe] C:\WINDOWS\sdkzp.exe
O4 - Startup: ruhezeitaktivität.bat
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchmiracle.com
O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{8DE41653-611B-4DDD-B327-5FE6FB95CD37}: NameServer = 205.188.146.146


Das sind die Sachen, die mir komisch vorkommen. Die Exes müssen nichts bedeuten, können von einer bei dir installierten Software stammen. Überprüfe das.

Aber die Umleitung deines Internetverkehrs über die ntnjp.dll ist sehr ungewöhnlich und deine Start- und Suchseiten sind wohl auf Searchmiracle umgeleitet. Die Webseiten in der Trusted Zone sind verdächtig, dadurch können sie dir nämlich Programme auf den Rechner schieben.

Und überprüfe, ob der Nameserver der von deinem Provider ist oder du ihn fest eingetragen hast.

Deine Browser Helper Objects überprüfst du mit dem
BHO Demon 2.0.

With all due respect Sir, but...
Beiträge gesamt: 3756 | Durchschnitt: 0 Postings pro Tag
Registrierung: Okt. 2002 | Dabei seit: 8650 Tagen | Erstellt: 22:09 am 30. Aug. 2004
Live1982
aus Nümbrecht
offline



Real OC or Post God !
23 Jahre dabei !

AMD Ryzen 5
4200 MHz

Hi!

Ja da sind mir einige Sachen auch sehr suspekt, daher werde ich Windows morgen neu installieren. :blubb:

Ist zwar ne Menge arbeit, aber was solls :gulp:

check meine Band: Knocking Dog
Beiträge gesamt: 20659 | Durchschnitt: 2 Postings pro Tag
Registrierung: Jan. 2003 | Dabei seit: 8539 Tagen | Erstellt: 1:12 am 31. Aug. 2004
Neues ThemaAntworten

<<Thema>>
Seite 12 >>
×
 Software
OCinside.de PC Forum