Dialer oder so bei jedem Neustart wieder da!!!

Dieses Thema im Forum "Sicherheit" wurde erstellt von comcrack, 17. Juni 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. comcrack

    comcrack Byte

    Registriert seit:
    24. Juli 2003
    Beiträge:
    68
    Ich hab irgendeinen Dialer oder Ad-/Spyware auf meinem Rechner!
    Und zwar schreibt er bei jedem Neustart 3 neue Favoriten in die Liste und verändert immer die Startseite!
    Hab mit Ad-Aware nix gefunden!
     
  2. Gast

    Gast Guest

    *Seufz* hättest Du die Suchfunktion bemüht... obwohl, geht die eigentlich schon...?
    Egal. Lad Dir bitte das hier runter:
    http://www.hjt.klaffke.de
    da ist ne bebilderte Anleitung bei. Damit ein Logfile erstellen und hier posten... dann schau'n mir mal, was Du so auf Deinem Rechner hast. Eine Frage noch: Welchen Browser verwendest Du? Und welches Betriebssystem? Meine Kristallkugel ist grad zur Politur...

    MfG
    Vimes
     
  3. Gast

    Gast Guest

    lade Dir mal das hier runter: Klick und poste das Log dann hier für unsere Profis.

    Sch.... Vimes war schneller :D
     
  4. Allgaeuer

    Allgaeuer Kbyte

    Registriert seit:
    28. August 2001
    Beiträge:
    382
    Bei mir öffnet sich eine Internetseite: http://www.datahelm.com/dl/popup.html

    Dann öffnet sich ein Fenster mit der Aufforderung ein "IE-Plugin" runterzuladen.

    Wenn ich auf "no" klicke, kommt ein kleineres Fenster, welches mich auffordert auf "yes" zu klicken.

    Die Internetseite kann ich nur über den Task-Manager schließen.

    Betriebssystem ist Windows XP.

    Hier das Ergebnis von Hijack. Hilft mir aber als laie nicht viel.
    Logfile of HijackThis v1.97.7
    Scan saved at 21:20:32, on 19.06.2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\AVPersonal\AVGNT.EXE
    C:\Programme\AVPersonal\AVSched32.EXE
    C:\WINDOWS\System32\qwerty.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Programme\Messenger\msmsgs.exe
    C:\Programme\AVPersonal\AVGUARD.EXE
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Dokumente und Einstellungen\Desiree\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1977.zip\HijackThis.exe

    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
    O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
    O4 - HKLM\..\Run: [Microsoft Update Machine] qwerty.exe
    O4 - HKLM\..\RunServices: [Microsoft Update Machine] qwerty.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [Microsoft Update Machine] qwerty.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
    O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
    O9 - Extra button: Messenger (HKLM)
    O9 - Extra 'Tools' menuitem: Messenger (HKLM)
    O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - [URL]http://office.microsoft.com/officeupdate/content/opuc.cab[/URL]
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - [URL]http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38155.547974537[/URL]

    Würde mich über Hilfe freuen.
    Danke aus dem Allgäu
    Gruß franz

    Danke für die Hilfe!
    Für die es interessiert, so sah mein Logfile nach der hoffentlich erfolgreichen Bearbeitung von mir aus:
    Logfile of HijackThis v1.97.7
    Scan saved at 16:50:11, on 20.06.2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\AVPersonal\AVGNT.EXE
    C:\Programme\AVPersonal\AVSched32.EXE
    C:\WINDOWS\System32\ctfmon.exe
    C:\Programme\BHODemon\BHODemon.exe
    C:\Programme\AVPersonal\AVGUARD.EXE
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
    C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
    C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
    C:\Dokumente und Einstellungen\Desiree\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis1977.zip\HijackThis.exe

    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
    O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - Startup: BHODemon.lnk = C:\Programme\BHODemon\BHODemon.exe
    O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
    O9 - Extra button: Messenger (HKLM)
    O9 - Extra 'Tools' menuitem: Messenger (HKLM)
    O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38155.547974537

     
  5. Gast

    Gast Guest

    Hallo,

    zunächst einmal wäre es gut, wenn du den Link editieren könntest (z.b. h**p oder sowas).

    In deinem erfreulich kurzen Log fällt mir nur "qwerty.exe" ins Auge. Was soll denn das sein? Falls du es auch nicht weißt, solltest du alles mit "qwerty.exe" fixen. Am besten vorher (vorübergehend) Systemwiederherstellung deaktivieren und im abgesicherten Modus fixen.
     
  6. Allgaeuer

    Allgaeuer Kbyte

    Registriert seit:
    28. August 2001
    Beiträge:
    382
    danke für die Hilfe!
    So sah mein Logfile nach hoffentlich erfolgreicher Bearbeitung aus:

    Logfile of HijackThis v1.97.7
    Scan saved at 16:50:11, on 20.06.2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\AVPersonal\AVGNT.EXE
    C:\Programme\AVPersonal\AVSched32.EXE
    C:\WINDOWS\System32\ctfmon.exe
    C:\Programme\BHODemon\BHODemon.exe
    C:\Programme\AVPersonal\AVGUARD.EXE
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
    C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
    C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
    C:\Dokumente und Einstellungen\Desiree\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis1977.zip\HijackThis.exe

    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
    O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - Startup: BHODemon.lnk = C:\Programme\BHODemon\BHODemon.exe
    O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
    O9 - Extra button: Messenger (HKLM)
    O9 - Extra 'Tools' menuitem: Messenger (HKLM)
    O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38155.547974537

    Vielleicht ist der Unterschied für einige interessant!?
    Gruß Franz
     
  7. AntiDepressiva

    AntiDepressiva CD-R 80

    Registriert seit:
    22. April 2003
    Beiträge:
    7.651
    Mal 'ne Frage nur aus Neugier:
    Ist es echt nötig, jeden Dussel dazu aufzufordern, ein ellenlanges Log von Hijack hier zu posten, nur, weil es out ist, daß man sich ein wenig informiert?
    Ich möchte echt nicht wisen, wieviele Logs mit entsprechenden Erläuterungen hier im Forum schon existieren, in denen man einfach nur mal nachlesen muß.

    Schon mal darüber nachgedacht, daß solche überflüssigen Logs alle in einer Datenbank landen, die nach und nach immer mehr aufgebläht wird und wirklich teuren Serverplattenplatz belegt?

    Und für was?
    Für User, die bisher nicht in der Lage waren, sich zu informieren und es wahrscheinlich auch nie sein werden...

    Langsam denke ich, daß der Grund, daß das Forum immer noch nicht läuft, in der Tatsache zu suchen ist, daß der Admin mit dem Einbau neuer Platten nicht mehr nachkommt...
     
  8. Gast

    Gast Guest

    :D:D Zustimmung !!
    Und unfair sondergleichen finde ich es, wenn User sich in einen bestehenden Thread einklinken, Ihn somit vereinnahmen und dem Threadstarter am Ende die Hilfe verwehren. :motz:

    @Allgäuer
    Du bist doch schon ne Weile dabei, kannst Du keinen eigenen Thraed aufmachen ?
     
  9. Gast

    Gast Guest

    Der Grund könnten auch unnötige Ellenlange nichts mit dem Thema zutun habende Postings sein
    :rolleyes:
     
  10. Gast

    Gast Guest


    [/QUOTE]
    Der Grund könnten auch unnötige Ellenlange nichts mit dem Thema zutun habende Postings sein
    :rolleyes:
    [/QUOTE]


    Oder Fullquotes :D
     
  11. Gast

    Gast Guest

    Lieber Fullquotes als anzunehmen das der Admin für ein Forum Platten einbauen würde :D
     
  12. Gast

    Gast Guest

     
  13. AntiDepressiva

    AntiDepressiva CD-R 80

    Registriert seit:
    22. April 2003
    Beiträge:
    7.651

    DAS ist doch mal eine ziemlich gute Idee!

    @dedie
    Klar, die Datenbanken werden sicher auf Disketten gespeichert und nicht auf Platten...
     
  14. Gast

    Gast Guest

Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen