Unbekannter Virus/Adware |
Willkommen, Gast ( Anmelden | Registrierung )
Unbekannter Virus/Adware |
03.03.2005, 19:17
Beitrag
#1
|
|
Ist neu hier Gruppe: Mitglieder Beiträge: 9 Mitglied seit: 03.03.2005 Mitglieds-Nr.: 1.976 Virenscanner: antivir |
hallo,
ich habe seit kurzem einen Warnhinweis auf meinem Desktop. Auf englisch steht da das meine daten für alle sichtbar wären und ich das ganz einfach removen können, dort befindet sich auch ein Link zu einer seite. Dieser Hinweis geht nicht mehr weg und ich habe im auf C: die datei r.exe. Ich habe wiederholt diese gelöscht doch sie kommt immer wieder, und der Hinweis ist durchgehent da. Den text des Hinweises hab ich gelöscht doch nun ist dort an der stelle ein weißes Feld. Der Virusscanner zeigt auch nix an und ihr seid meine letzte Hilfe. Vielen dank schonmal im vorraus!!! Logfile of HijackThis v1.99.0 Scan saved at 19:15:17, on 03.03.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Winamp\winampa.exe C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe C:\WINDOWS\System32\ctfmon.exe C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe C:\PROGRA~1\MOZILL~1\firefox.exe C:\Dokumente und Einstellungen\Administrator\Desktop\RedLine\vernichtung\HijackThis.exe R3 - Default URLSearchHook is missing O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Steganos Internet Anonym - {00000000-5736-4205-0008-781cd0e19f00} - c:\programme\steganos internet anonym pro 7\siapro7iep.dll O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Steam] C:\Programme\Valve\Steam\\Steam.exe -silent O4 - HKCU\..\Run: [Wallpaper4U] C:\PROGRA~1\WALLPA~1\WALLPA~1.EXE -w O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe" O4 - HKCU\..\Run: [a-squared] "C:\Programme\a2\a2guard.exe" O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: gameutil.exe.lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm O15 - Trusted IP range: (HKLM) O16 - DPF: {11111111-1111-1111-1111-222222222222} - ms-its:mhtml:file://C:one.MHT!http://www.t058.com//inst//x.chm::/open.exe O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe |
|
|
Gast_*Christian*_* |
03.03.2005, 20:21
Beitrag
#2
|
Gäste |
|
|
|
03.03.2005, 21:05
Beitrag
#3
|
|
Threadersteller Ist neu hier Gruppe: Mitglieder Beiträge: 9 Mitglied seit: 03.03.2005 Mitglieds-Nr.: 1.976 Virenscanner: antivir |
nach dem ich sie 2 mal gelöscht habe kann ich sie nicht mehr finden, aber dieses weiße feld ist immer noch da. Vielleicht hilft euch der Quelltext des Feldes:
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"> <!---- ***** This file is automatically generated by Microsoft Windows ***** --------><HTML><HEAD> <META http-equiv=Content-Type content="text/html; charset=windows-1252"></HEAD> <BODY style="BORDER-RIGHT: medium none; BORDER-TOP: medium none; BORDER-LEFT: medium none; BORDER-BOTTOM: medium none" bottomMargin=0 bgColor=#000000 leftMargin=0 background="" topMargin=0 rightMargin=0> <DIV style="LEFT: 0px; WIDTH: 1024px; POSITION: absolute; TOP: 0px; HEIGHT: 768px"><IMG style="LEFT: 0px; WIDTH: 100%; POSITION: absolute; TOP: 0px; HEIGHT: 100%" cache src="file:///C:/Wallpaper4U.bmp"> </DIV><IFRAME id=0 style="BACKGROUND: none transparent scroll repeat 0% 0%; LEFT: 0px; WIDTH:px; POSITION: absolute; TOP: 1px; HEIGHT: px" name=DeskMovrW marginWidth=0 marginHeight=0 src="file:///C:/WINDOWS/Web/desktop.html" frameBorder=0 scrolling=no subscribed_url="C:\WINDOWS\Web\desktop.html" resizeable=""> </IFRAME> <OBJECT id=ActiveDesktopMover style="LEFT: 0px; VISIBILITY: hidden; WIDTH: 0px; POSITION: absolute; TOP: 0px; HEIGHT: 0px; container: positioned; zIndex: 5" classid=clsid:72267F6A-A6F9-11D0-BC94-00C04FB67863></OBJECT> <OBJECT id=ActiveDesktopMoverW style="Z-INDEX: -1; LEFT: -1px; VISIBILITY: hidden; WIDTH: 802px; POSITION: absolute; TOP: 0px; HEIGHT: 571px; container: positioned" classid=clsid:72267F6A-A6F9-11D0-BC94-00C04FB67863></OBJECT> </BODY></HTML> Der Beitrag wurde von hypnos23 bearbeitet: 03.03.2005, 21:15 |
|
|
03.03.2005, 22:47
Beitrag
#4
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.934 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Da hat dich irgendwann ein Downloadder getroffen. Die r.exe war wohl Trojan-dropper.win32.smal.oy. Das weisse Feld bekommst du weg, indem du auf einen freien Teil des Desktops die rechte Maustaste drueckst und eignschaften/Desktop/desktop anpassen/web waehlst und die dort angegebene Seite loeschst
-------------------- MfG Ralf
|
|
|
04.03.2005, 19:57
Beitrag
#5
|
|
Threadersteller Ist neu hier Gruppe: Mitglieder Beiträge: 9 Mitglied seit: 03.03.2005 Mitglieds-Nr.: 1.976 Virenscanner: antivir |
danke
bin ich jetzt immer noch irgendwie gefährdet durch den trojaner?? |
|
|
04.03.2005, 20:15
Beitrag
#6
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.934 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Es ist schwer so eine "Attacke" ohne Schaden zu ueberstehen.
Versuche nochmal eScan. Vieleicht findet das noch was: http://www.rokop-security.de/index.php?showtopic=3867 -------------------- MfG Ralf
|
|
|
Vereinfachte Darstellung | Aktuelles Datum: 18.04.2024, 20:36 |