Hilfe, ich finde es nicht !

Dieses Thema im Forum "Sicherheit" wurde erstellt von Notori, 18. Januar 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Notori

    Notori Kbyte

    Registriert seit:
    21. Dezember 2003
    Beiträge:
    249
    Hallo.

    Folgendes Problem.

    Ein bekannter war am PC bei mir, im Internet und nun hab ich folgendes Problem.


    Wenn ich etwas spiele oder etwas mache ruckelt mein PC, obwohl ich 512 MB DDR Ram habe und 1600 MHz

    Er lief immer super schnell, aber nun nicht mehr
    Habe Virenscanner (shareware) alles prüfen lassen, er findet nichts.

    Nach jedem neustart des PC`s (trotz voriger löschung) habe ich in den Favoriten beim Explorer immer wieder so ****o Seiten drin stehn, und meine Startseite ist auch immer wieder weg und stellt sich auf http://my.search/hp.php selber ein.

    Auch wenn ich den Vewrlauf geleert habe und nach dem neustart sind lauter Sex Seiten im Verlauf, auf denen ich aber nie zuvor gewesen bin.

    Diese seiten heißen alle zB Free Sex, Free Dating Chat Programm, hier ein Screenshot, alles unter dem Markierten bereich kommt immer nach jedem reboot ohne das ich etwas tu.

    [​IMG]

    Diese ganzen Seiten haben irgendwie alle den gleichen namen bis auf eine Nummer am Ende, ich meine nicht Namen sondern die URL ist dieselbe bis auf eine Ziffer.

    Die heißen alle wie folgt:

    http://my.search/bk1.php
    http://my.search/bk2.php
    http://my.search/bk3.php
    http://my.search/bk4.php
    http://my.search/bk5.php
    http://my.search/bk6.php
    http://my.search/bk7.php
    http://my.search/bk8.php

    So, aber der Witz ist diese Seiten gibt es gar nicht, jedenfalls kommt bei mir nichts und ich glaube nicht das es daran liegt das ich im Lan bin.
    Der Host PC läuft übrigens underbar, also keine Probleme.

    Der andere Witz ist, ich habe mal nach dem Spielen von Counter Strike nachgesehen was ich für eine Auslastung des Systems habe,. da stand 86 % CPU Nutzung, und über die Hälfte des Arbeitsspeichers waren in gebrauch...

    Nun kann ich nicht mehr nachsehen, da mein Taskmanager auch net mehr richtig geht, dort sehe ich nur noch das wie auf dem Bild zu sehen :


    [​IMG]

    Ihr seht, ich kann also nicht mal mehr Herunterfahren wählen, oder sonst etwas, oder habe ich vielleicht irgend etwas falsches geklickt?

    Ich wäre euch dankbar wenn ihr mir helfen könntet, die microsoft homepage ladet bei mir auch nicht mehr, sonst hätte ich schonmal nach einem update gesucht.

    msblast.exe ist in der registry nicht vorhanden, also der wurm ist ausgeschlossen.

    Vielen dank schonmal

    Viele Grüße

    Sven
     
  2. trudenbiker

    trudenbiker Kbyte

    Registriert seit:
    14. Oktober 2003
    Beiträge:
    291
    Geh nicht zu hart ins Gericht mit deinem Kumpel. Dieses my.search..... tritt etwa seit 2 Monaten auf und nennt sich Trojaner StartPag-C oder so ähnlich. Die ersten Patches dagegen wird es etwa in ein zwei Wochen geben.

    Mehr gibt's bei Sophos.de, wenn du das suchwort search.php eingibts.

    Wenn du bis dahin nicht warten willst, dann mach mal folgendes:

    Zuerst die Systemwiederherstellung deaktivieren. Wie:
    URL=http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001012513122239]zur Sicherheit[/URL]

    Dann starte CWShredder:
    [hier die aktuelle Version

    Dann Hijack This! und lösche alle Einträge:

    R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://my.search/sp.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://my.search/sp.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://my.search/sp.php
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://my.search/hp.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://us4.hpwis.com/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-us4.hpwis.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-us4.hpwis.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://us4.hpwis.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-us4.hpwis.com/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://srch-us4.hpwis.com/
    O1 - Hosts: 64.237.53.4 ad.doubleclick.net
    O1 - Hosts: 64.237.53.4 aff.weatherbug.com
    O1 - Hosts: 209.87.155.230 date.com
    O1 - Hosts: 64.237.53.4 doubleclick.net
    O1 - Hosts: 64.237.53.4 my.search

    und

    O4 - HKCU\..\Run: [editpad] C:\WINDOWS\editpad.exe
    O4 - HKCU\..\Run: [Windows Control] C:\WINDOWS\control.exe
    O4 - HKCU\..\Run: [quicken] C:\WINDOWS\quicken.exe

    Neu starten.

    So das müsste funzen - habe das bei mir schon gemacht - Schweiß
     
  3. Notori

    Notori Kbyte

    Registriert seit:
    21. Dezember 2003
    Beiträge:
    249
    ja :(

    In den letzten 8 Jahren is mir sowas noch nie passiert, und seid 6 Jahren habe ich schon internet.

    Das dumme ist, ich habe einen Stadtwechsel also umzug hinter mir, und mein Rechner steht momentan bei meinem Bruder im Netzwerk so das ich hin und wieder Internet habe bis ich alles geklärt habe mit Telekom :=)

    Aber ich pass wieder auf.

    Danke

    Gruß Sven
     
  4. grizzly

    grizzly Megabyte

    Registriert seit:
    30. März 2001
    Beiträge:
    1.411
    wäre vielleicht sinnvoll,deinen bekannten nicht mehr an den rechner zu lassen.....

    ist doch immer dasselbe.sogenannte pseudoprofis machen sich an fremden rechnern zu schaffen und verändern dies und jenes....

    oder surfen auf seiten,auf denen sie zuhause nicht dürfen etc......

    hoffe,es war dir eine lehre...
     
  5. Notori

    Notori Kbyte

    Registriert seit:
    21. Dezember 2003
    Beiträge:
    249
    So, habe nun mal das Programm cwshredder und adaware benutzt, und er fand auch 49 Infizierte Dateien oder wie das hieß.
    Ich glaube fast alles im Temp Ordner bei Dokumente....

    Seid diesem Reboot ist mein Explorer und die Favoriten wieder sauber, muß morgen nach der Arbeit mal testen ob das spielen und der rest auch wieder normal läuft, sonst werd ich formatieren :P


    Nochmals vielen dank an alle hier, bin froh das es leute gibt die einem so schnell und prompt helfen :)

    Gute nacht.

    Grüße

    Sven
     
  6. Notori

    Notori Kbyte

    Registriert seit:
    21. Dezember 2003
    Beiträge:
    249
    huhu :)

    Erst mal danke.

    Nun, die SpoonWeg.exe kann ich nicht downloaden da keine angegebene seite zu finden ist,.
    Ich gab das in google ein, und selbst die 4 Links dort öffnet sich keine Seite, ich weiß nicht warum ob wegen dem Virus, oder weil sie down sind.

    Das andere versuch ich mal.

    Vielen dank.

    Ich meld mich dann wieder.

    Sven
     
  7. Gast

    Gast Guest

    Hallo,

    ich fürchte, der cwshredder wird es nicht bringen, ebenso wenig adaware oder spybot (hoffentlich täusche ich mich).

    Am besten installierst du dir Hijackthis und postest das log file. Dann schau'n wir mal weiter.
     
  8. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Hallo,

    das ist ein Hijacker den da jemand für dich eingefangen hat. Kann dir jetzt nicht genau sagen welcher aber der Cool Web Search der Firma 'Coolwebsearch' (CWS) ist weit verbreitet.

    Tool zum entfernen von CWS hier:
    http://lunatic-skydance.de/mr/soft/SpoonWeg.exe

    Website Hersteller:
    http://lunatic-skydance.de/mr/mr-index.html

    ist es der nicht dann beschaffe dir die Programme Adaware und Spybot und scanne mit denen deinen Rechner.

    Grüße
    Wolfgang
     
  9. mschuetzda

    mschuetzda Megabyte

    Registriert seit:
    5. September 2001
    Beiträge:
    1.131
    zu dem anderen Problem findest Du viele Beiträge mit "Suche" und den Suchtexten: search startseite bzw. cwshredder.

    mfg
    mschue
     
  10. Notori

    Notori Kbyte

    Registriert seit:
    21. Dezember 2003
    Beiträge:
    249
    *update*

    Das Problem mit dem Taskmanager ist behoben, hab etwas geschlafen :)

    Aber das andere Problem besteht immer noch :(

    Bitte um Hilfe
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen