#1 27. Oktober 2005 Ich hab mir durch irgendwas Spyware reingehauen. Ich kann mich nocht an/abmelden, aber Desktop und alles andere reagieren nicht, ich hab nur den TaskManager zur Verfügung. Sobald ich mich anmelde hab ich ca. 5 Sekunden Zeit bis gar nix mehr reagiert und in diesen 5 Sekunden hab ich versucht versucht allmöglichen Programme zu starten ... Internet kann ich ya soweit auch nutzen, ich muss es halt nur zum starten bringen. SpyTrooper,SpyBot, XoftSpy ... alles hab ich schon versucht und ich hab schon weniger Spyware, aber trotzdem geht da nichts mehr. Ich hab Ad-Aware und kann auch updaten/scannen, aber am Ende des Scans oder wenn ich auf Stop Scan klicke, reagiert das System gar nicht mehr. Wie kann ich das umgehen um Ad-Aware zu starten!? Abgesicherter Modus ... hab ich auch alles hinter mir, ich komm einfach nicht weiter. BITTE HELFEN!!!
#2 27. Oktober 2005 k. 1. ein virenscan unter einem anderem betriebssystem http://www.inside-security.de/INSERT.html 2. die starteinträge überprüfen HijackThis Logfileauswertung logfile hier posten
#3 27. Oktober 2005 Sry, hab das nicht richtig verstanden ... zu 1: Soll ich yetzt INSERT v1.3.5a laden? Wenn ya was is das und was soll ich dann damit machen? zu 2: Soll ich das Programm Hijack laden? Welches Logfile? PS. BIG THX!!!!!!! Echt hammer nett von dir!!!!
#4 27. Oktober 2005 "insert" ist eine bootcd auf linuxbasis mit dem zu zugriff auf deine platte und eben auch die programme hast ohne dein windows zu starten... einfach runterladen, bei nem zweitrechner oder freund brennen und ab geht die post... weißt du wie man starteinträge prüft? wenn nein hör gut zu: start - ausführen, dann gib "msconfig" ein (ohne "") und geh auf startup... dann schau was du kennst - das lass drinnen und den rest kickste raus und startest neu... hijackthis ist ein programm, dass deinen ganzen pc auf laufende programme scannt und dir davon ne liste macht -> logfile und das sollst du hier reinkopieren, damit wir dir sagen können ob da was nicht stimmt alles klar? :] @spotting: sorry, dass ich dir deinen "schützling" weggeschnappt habe
#6 27. Oktober 2005 ich habs nicht runtergeladen, aber es sollte ein iso image sein, das brennste irgendwo auf cd und startest deinen betroffenen pc von der cd aus mit dem tool... verstehste nun was ich meine?
#7 27. Oktober 2005 Achso ... ok, verstanden! Hier mein HiJack Log: Logfile of HijackThis v1.99.1 Scan saved at 23:46:55, on 27.10.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\alg.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\wdfmgr.exe C:\WINDOWS\System32\imapi.exe C:\WINDOWS\system32\userinit.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\MessengerPlus! 3\MsgPlus.exe C:\Programme\WinRAR\WinRAR.exe C:\PROGRA~1\FIREFOX\FIREFOX.EXE C:\DOKUME~1\PLAYAH~1\LOKALE~1\Temp\Rar$EX00.045\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = O2 - BHO: HomepageBHO - {3bf1f86f-b1a8-489b-8d8b-43781d51411f} - C:\WINDOWS\System32\hpB47C.tmp O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: MedionShop - {A6747686-5D18-4BA9-9F88-1D27ACFAAB18} - http://www.medionshop.de (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de O15 - Trusted Zone: *.coolwebsearch.com O15 - Trusted Zone: *.searchmeup.com O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{623A2255-0490-4795-8132-44EF5C1142AC}: NameServer = 192.168.2.1 O20 - Winlogon Notify: st3 - C:\WINDOWS\system32\st3.dll O20 - Winlogon Notify: st3i - C:\WINDOWS\q38739945.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
#8 28. Oktober 2005 also so auf den ersten blick fällt mir da nichts besonderes auf... die exe's sind soweit in ordnung und am richtigen platz... aber vielleicht schaut sich das noch jemand anderer an zb spotting... ne zweite meinung ist immer gut... ich werd morgen schauen was sich bei dir tun lässt, falls niemand anderer in der zwischenzeit hilft... probier aber dennoch die iso aus!
#9 28. Oktober 2005 hmmm ok, gehe ich recht in der annahme, dass du eine realtek soundkarte verwendest? wenn nicht sind sämtliche einträge von soundman.exe wahrscheinlich böse. gehe mal auf http://virusscan.jotti.org/de/ unf lass dort die datei scannen ist es ein virus, dann befolge die antivirenanweisungen von zum beispiel sophos, die man zum "W32/Agobot-JS" finden kann (andere virenscanner nennen den anders) das wäre ein backdoor wurm, dann O2 - BHO: HomepageBHO - {3bf1f86f-b1a8-489b-8d8b-43781d51411f} - C:\WINDOWS\System32\hpB47C.tmp O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O15 - Trusted Zone: *.coolwebsearch.com O15 - Trusted Zone: *.searchmeup.com O20 - Winlogon Notify: st3 - C:\WINDOWS\system32\st3.dll O20 - Winlogon Notify: st3i - C:\WINDOWS\q38739945.dll sind alles fragwürdige dinge. sorgen bereiten mir vor allem die in vertrauenswürdige sites (trusted zone) einträge. die können von zuvor entfernten trojanern herrühren, oder aber noch auf bestehende hinweisen. die einträge winlogon (O20) sind mir unbekannt, hijackthis auch, also fixxen, so, aber zum fixxen. 1. in den abgesicherten modus gehen, dann erneut scannen, und dann die betroffenden einträge fixxen. (alles in O2 und O3 alles in O15 und O20 markieren und fixxen.) dann neu starten, erneut scannen, und logfile hier neu posten. sry aber das hab ich inzwischen drauf.
#10 28. Oktober 2005 Weg mit, das ist Spyware! Bei den anderen Dingen, die Spotting da gepostet hat, bin ich mir nich sicher, ich weiß ja nich was so alles auf deinem Rechner läuft/installiert ist! Also, das Prog "eTrust Pest patrol" hat bei mir bisher bei jedem Problemchen geholfen! Meiner Erfahrung nach würd ich mich auch nich auf Ad-Aware verlassen, und mit Hijackthis isses auch nich immer das beste wo du dran sein kannst! Da sachste ma "Fixxin" und als Antwort bekommste das alles erfolgreich war, aber wenn du nach einen neustart wieder suchst is nix verschwunden, alles wieder da! Wie gesagt, eTrust Pest Patrol hilft bestimmt! Wenn nich, Format C: tuts auf alles Fälle ! Also alternativ Möglichkeit würd ich auch mal bei "Msconfig" --> Startup ALLES deaktivieren! Nur mal so zum Test! Es muss nich immer unerwünschte Spyware oder ein böser Virus/Wurm sein ! Grz Darkspy
#11 30. Oktober 2005 Yetzt kann ich nicht mehr ins Internet kommen, aber hab immernoch 5 Sekunden Zeit bis gar nix mehr reagiert ... Ich hab alles versucht, alles ... aber nichts klappt. Insert hab ich auf CD und auch schon 1x auspropiert, aber ich komm damit nicht klar. Kann ich mit Insert/Linus z.B. Ad-Aware oder TuneUp von Windows oder so starten!? [/b]
#12 30. Oktober 2005 Ich würde dir noch empfelen FireFox zu benutzen nicht I-Exp. Und außerdem Install Service Pack 2 ! greetz. MF
#13 2. November 2005 k, nun, wie wirst du wieder spyware frei. ersteinmal zitiere ich sinngemäß eine aussage von microsoft. ein einmal durch malware (viren/trojaner/spyware) befallenes system kann man nur auf eine art und weise wieder sauber bekommen. indem man die gesammte festplatte formatiert, und windows neu installiert. nun, das ist jedoch in den meisten fällen nicht möglich, vor allem weil man vorher noch wichtige daten sichern muss ... wie solltest du jetzt vorgehen... 1. lege deine windows cd ins laufwerk, und starte deinen pc von cd. 2. wähle in der auswahl die option windows reparieren. 3. folge den anweisungen auf dem bildschirm das bringt dir die möglichkeit, die wichtigsten daten zu sichern, oder zumindest dich von deinen daten zu verabschieden. 4. gehe auf http://www.cbltech.de/daten-schredder.html undlade dir einen festplatten shredder (programm selber nicht getestet) herunter. nutze es, und lösche deine festplatten so, dass es nicht möglich irgendwelche daten wieder herzustellen. 5. starte deinen pc erneut unter zuhilfe name von deiner windows cd, und installier deinen pc neu. wenn du das getan hast, besuche http://www.ntsvcfg.de lese, lerne und handele danach. dann besorge dir firefox oder opera, und surfe in zukunft mit einem alternativen browser, der kein activec unterstützt. mfg spotting
#14 2. November 2005 das prob hatt ich auch mal ich denke nicht dass ich dir weiter helfen kann aber hab ma n tipp:ich hab die spyware,die bei mir auch net weg ging,so gelöscht,indem ich geguckt hab wo die spyware ist und den ordner gelöscht habe,wenn das nicht geht,versuch die spyware einzeln zu löschen such genau diese datei.nur son tipp,denk aber net dass es funktioniert