Hilfe! "You are in danger!" :-)))

Dieses Thema im Forum "Sicherheit" wurde erstellt von RebellDD, 6. November 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. RebellDD

    RebellDD Byte

    Registriert seit:
    31. August 2004
    Beiträge:
    20
    hallo,

    ich habe seit gestern ein kleines problem ;-) : mein hintergrundbild wird überblendet von einer "warning, You are in danger!" meldung mit entsprechendem link zur hp eines security software herstellers. wie kriege ich das ding wieder los? und wie erkenne ich, dass ein dialer evtl. im hintergrund läuft?

    des weiteren hab ich eine "services.exe" entdeckt(lässt sich nich im task manager beenden), deren erstellungsdatum sich ungefähr mit der zeit deckt, an dem das hintergrundbild das erste mal überblendet wurde. die datei ist unter den system32 dateien unter MSOFFICE (??) zu finden. ist das der übeltäter?

    vielen dank im voraus für eure hilfe!
     
  2. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Prüfe dein System mit nem Virenscanner
    (falls du keinen hast, AntiVir und AVG gibts kostenlos).

    Lass zusätzlich noch Spybot S&D sowie Ad-aware scannen.

    Erstelle mit HijackThis ein Log und jag es durch die Automatische Auswertung ( http://www.hijackthis.de/ )
    Den Link zum Ergebnis ("Auswertung speichern", nach der Auswertung ganz unten auf der Seite) postest du dann hier. Nur den Link, nicht das komplette Log.
    Und Vorsicht, die automatische Auswertung ist nicht perfekt. Nicht einfach alles löschen was dort als "böse" angezeigt wird.
     
  3. Doktor_Kongo

    Doktor_Kongo Halbes Megabyte

    Registriert seit:
    12. August 2003
    Beiträge:
    953
    falls nach der virenbeseitigung das ganze immernoch vorhanden ist:
    - eigenschaften vom desktop
    -> reiter :desktop
    -> desktop anpassen
    -> reiter: web
    -> element in der liste auswählen und löschen

    dann sollte es fertig sein :)
     
  4. RebellDD

    RebellDD Byte

    Registriert seit:
    31. August 2004
    Beiträge:
    20
    hey, hallo, vielen dank für deine antwort. werde das dann gleichmal probieren. leider ist jetzt noch einiges hinzugekommen: mein modem (56er kabel) piept :-) nicht mehr, die tonwahl ist aber aktiviert. unter den netzwerkverbindungen existiert eine verbindung names "SADLR" Dialer???????? jedenfalls hab ich die gelöscht, leider fehlt die tonwahl immernoch, hier stimmt irgendwas nicht :-( wenn ich auf den "zurück-button" im explorer drücke dann schaltet sich auf jeden fall irgendein fenster für irgend ne ****o seite ein und gibt mir den status ich sei verbunden, danach wählt sich das modem ab und wieder an :-(((( Hilfe!!
     
  5. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Zieh das Kabel vom Modem aus der Dose!

    Du hast dir wahrscheinlioch en Dialer eingefangen. Lass das Kabel draussen bis das Teil weg is, alles andre is zu gefährlich (bzw. teuer).

    Lad dir die Programme (AntiVir, Spbot, Ad-aware, HijackThis) auf nem anderen PC runter.
     
  6. RebellDD

    RebellDD Byte

    Registriert seit:
    31. August 2004
    Beiträge:
    20
    wie krieg ich das weg, hab sämtliche antivirenprogramme da....
     
  7. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Mach mit AntiVir einen kompletten Scan aller Dateien auf allen Festplatten.

    Scanne mit Spybot S&D und Ad-aware das System und liste hier auf was die alles finden.

    Zu HijackThis hatte ich ja schon geschrieben:

    Erstelle mit HijackThis ein Log und jag es durch die Automatische Auswertung ( http://www.hijackthis.de/ )
    Den Link zum Ergebnis ("Auswertung speichern", nach der Auswertung ganz unten auf der Seite) postest du dann hier. Nur den Link, nicht das komplette Log.
    Und Vorsicht, die automatische Auswertung ist nicht perfekt. Nicht einfach alles löschen was dort als "böse" angezeigt wird.
     
  8. RebellDD

    RebellDD Byte

    Registriert seit:
    31. August 2004
    Beiträge:
    20
    hijackthis logfile:

    http://www.hijackthis.de/logfiles/5d04aed3c56ac35bc19cd2ec4799ec17.html

    habe alles gefixt was böse bzw. evtl böse ist....

    rechner läuft, hintergrundbild is auch wieder in ordnung

    "SADLR" wie gesagt, gelöscht aus den netzwerkverbindungen, trotzdem noch keine tonwahl bei modem :-( immernoch dialer installiert? reicht das löschen nicht?
    wo find ich bei xp die tonwahleinstellungen? hoffe, dass ich vorhin bei den richtigen einstellungen geschaut habe...aber ein modem verstellt sich doch net selbsständig :-/
     
  9. tobiy

    tobiy Kbyte

    Registriert seit:
    4. April 2004
    Beiträge:
    370
    Zum Thema Dialer gibt es HIER einiges zu Lesen. ;)
     
  10. RebellDD

    RebellDD Byte

    Registriert seit:
    31. August 2004
    Beiträge:
    20
    meine oben gestellte frage beantwortet sich dort trotzdem leider nicht :-((( weiss jemand was?
     
  11. Doktor_Kongo

    Doktor_Kongo Halbes Megabyte

    Registriert seit:
    12. August 2003
    Beiträge:
    953
    doch les mal meinen ersten post... :aua:
     
  12. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Weiß ja nicht ob das bei XP auch so geht, aber bei Win2000 macht man das so:
    Systemsteuerung > Telefon- und Modemoptionen > Wählregeln > eigener Standort > Bearbeiten > Wählverfahren > Ton > OK


    Und teil uns mal mit was AniVir, Spybot und Ad-aware so alles gefunden haben.
     
  13. RebellDD

    RebellDD Byte

    Registriert seit:
    31. August 2004
    Beiträge:
    20
    @the doctor

    da ist leider schon ton eingestellt :-(( trotzdem bleibt das modem still. der t-online hotline berater meinte ich bräuchte mir keine sorgen machen solange ich "nichts anklicken " würde. mmhhh, der weiss wohl net, dass es auch dialer gibt, die sich automatisch einwählen ;-)))

    aus den system 32 dateien habe ich "sexfuck.exe" gelöscht (40 kb anwendungsdatei), gleichzeitig "SADLR" aus den netzwerkverbindungen entfernt, seitdem kommt kein dialerfenster mehr

    in quarantäne - anti spy info: amax.exe, customIEModule, gpi.dll, istsvc, services.exe

    a²: findet nichts (hab a² datenbank gestern aktualisiert)



    ad aware quarantäne (wird aber immer wieder gefunden):

    obj[0]=IECache Entry : Cookie:micha@advertising.com/
    obj[1]=IECache Entry : Cookie:micha@mediaplex.com/
    obj[2]=IECache Entry : Cookie:micha@servedby.advertising.com/

    ad aware (sicher in quarantäne, tritt nicht mehr auf):

    COOLWEBSEARCH
    »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
    obj[3]=File : C:\Programme\AVPersonal\INFECTED\A0000402.EXE.VIR

    Hauptproblem is leider immer noch die modemsache, die macht mir angst, dass ich doch noch irgendwo draufzahle, hab das ding jetzt 5 jahre und es hat immer laut gegeben ;-) (modemlautstärke ist übrigens auf höchststufe)


    @doktor kongo

    gemeint war natürlich die aktuellste meiner fragen im forum (sprich: modemprob)
     
  14. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Von welchem Programm wurden die Dateien in Quarantäne geschickt und warum?

    .

    Also ehrlich gesagt, mir wäre das ganze nicht geheuer. Da scheint sich ja eniges angesammelt zu haben auf deiner Kiste und ob der Dialer wirklich restlos weg is weißt du auch nicht...

    Da würd ich dir fast zu ner Neuinstallation raten, dann kannst du wenigstens sicher sein dass das System wieder sauber ist.
     
  15. RebellDD

    RebellDD Byte

    Registriert seit:
    31. August 2004
    Beiträge:
    20
    ich hab die dateien in quarantäne gestellt da sie neu waren, unbekannter herkunft und leider auch als "potentiell gefährlich" eingestuft wurden.

    ich hoffe jetzt einfach mal, dass ich von t-online morgen mal einblick in meine kosten von gestern und vorgestern bekomme...

    alles neu installieren? :-(( bis auf die modemsache is ja eigentlich alles i.o. rechner läuft stabil, internet läuft schnell und sicher, keine besonderen meldungen und momentan lass ich nen 0190 warner laufen, ab mittwoch sperrt t-online dann die 0190 (und hoffentlich auch die anderen) nummern.....
     
  16. Doktor_Kongo

    Doktor_Kongo Halbes Megabyte

    Registriert seit:
    12. August 2003
    Beiträge:
    953
    ok, sorry , war etwas missverständlich :)
    aber dein modem-problem ist schon kurios :rolleyes:
     
  17. RebellDD

    RebellDD Byte

    Registriert seit:
    31. August 2004
    Beiträge:
    20
    juhu, hab durch zufall über google ne antwort auf meine frage bekommen......einige dialer schreiben irgendeinen string des modems um, damit es nicht so auffällt wenn der dialer sich einwählt. wenn man den dialer löscht dann bleibt dieser string, da er ja auf dauer umgeschrieben ist, bestehen (also ist der dialer wirklich über alle berge). hab das modem jetzt einfach neu installiert und siehe da, es piept und knackt wie früher ;-)
     
  18. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Na dann hoff ich mal dass die ganze Sache ohne größere Kosten für dich ausgeht. ;)

    Übrigens: T-Online hat mit deinen Telefonkosten und Nummernsperren nix zu tun. Dafür ist die T-Com (ehemals Telekom) zuständig.
     
  19. wolfgang300

    wolfgang300 Kbyte

    Registriert seit:
    23. Februar 2002
    Beiträge:
    157
    Hallo am Abend, RebellDD !

    Nur noch eine Ergänzung zu "you are in danger" aus einem anderen Forum:

    http://www.trojaner-board.de/showthread.php?t=9122&page=2&pp=10

    Ein User namens Phalanx schrieb am 03.11.2004 bzw. zitierte:

    ".....andere Foren berichteten bereits im Jahr 2000 hierüber, jedoch geben die meisten dann zum Schluß leider nicht Ihre Ergebnisse an .
    Ein User hat kürzlich folgendes festgestellt :

    Es ist kein Hintergrundbild sondern ein Pop up Fenster.
    Wenn man seine Icon verschiebt und langsam mit gedrückter Maus über den Desktop geht, soll man eine schwache Linie entdecken können die oftmals auch wieder verschwunden ist, und schließlich findet man ein X zum Schließen
    des Pop up Fensters. "

    Und am 4. 11. 2004 schrieb darauf hin im gleichen Forum ein User eine Anleitung:

    "Juhuu,
    alsoooo anleitung wie man des wegbekommt:

    1 - Taskleiste Rechtsklick - Eigenschaften.
    2 - Taskleiste automatisch ausblenden Aktivieren.
    3 - Man kann nun einen kleinen Teil des alten Desktop hintergrundes sehen, da wo die Taskleiste früher war.
    4 - Rechtsklick - Eigenschaften auf den kleinen alten Desktop ausschnitt.
    5 - Dektop - Desktop anpassen
    6 - Web-Karteikarte auswählen
    7 - Eintrag "Security" Löschen
    ___________________________________________________

    Mehr - insbesondere zur Dialerfrage - konnte ich dazu auch nicht finden. Aber such mal weiter, vielleicht habe ich ja Glück und dann melde ich mich wieder :-)
     
  20. Merhaba

    Merhaba ROM

    Registriert seit:
    26. Februar 2003
    Beiträge:
    7
    Hallo,

    hatte das selbe Problem.
    Im Desktop - Web Eintrag Security löschen reichte bei mir nicht aus, kam immer wieder!
    Im abgesicherten Modus (F8) im Verzeichnis C:\Windows\System32 die Datei mcsmss.exe löschen und PC wieder normal starten. Jetzt den Eintrag Security in Desktop Eigenschaften (rechte Maustaste) - Dektop - Desktop anpassen - Web löschen.
    Am besten noch mit Hijack This den Eintrag O*mcsmss* fixen.
    Dann war es bei mir wirklich weg!! ;)
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen