Your fucking copmuter is danger!

[Oktofalz]

Kennt das weisse X im roten kreis in der taskleiste jemand?
verdammte kacke, immer diese meldungen. gestern habe ich mein 2. pc der voller trojaner war reparieren lasssen, und hete sind die verdammten trojanischen pferde, säue, hunde was auch immer auf dem anderen pc.

jetzt lädt es mir die ganze zeit spywareprogramme auf den desktop!

wie kann ich die scheisse am besten entfernen, ohne den pc noch mehr zu beschädigen?

[Empty]

jetzt lädt es mir die ganze zeit spywareprogramme auf den desktop!

wie kann ich die scheisse am besten entfernen, ohne den pc noch mehr zu beschädigen?

das würde mich auch sehr interessieren.habe nämlich dasselbe problem seit einiger zeit.

[Gast]

Hm, das kommt mir bekannt vor. Ich hatte mal einen Trojaner, der gab sich als Spyware-Blocker aus, voll übel. Ich musste alles neu aufsetzen, hoffe das ist bei dir nicht nötig.

[Arwald]

Versuchs damit:

http://www.lavasoft.de/software/adaware/

und damit:

http://www.intermute.com/spysubtract/cw ... nload.html

und deinen PC schützt du in Zukunft damit:

http://www.free-av.de/


@j.
wars etwa dieses verfickte Spyaxe? Damit hab ich mich mal nen ganzen Monat rumgeschlagen.

[Saschisch]

Mit Adaware kann man per Such Knopf ganz einfach und effizient Spyware-Loader, Dialer etc entfernen.
Hat bei mir so gut wie immer gefunzt.
Updates erscheinen glaub alle 2 Wochen.

[Oktofalz]

hmm... können so viren auch via memorystick übertragen werden? währe natürlich eine möglichkeit.

das übelste sind die "e-mailmessages" die es zigweise öffnet, und wenn man eine schliesst öffnen sich gleich 3..

[Arwald]

hmm... können so viren auch via memorystick übertragen werden? währe natürlich eine möglichkeit.

nicht wenn du ein bisschen antipiotika auf den USB-Anschluss tropfst.

[Agramon]

Ich habs so gelöst... Neueste Version des AntiVir runtergeladen.

Dann PC herunterfahren und komplett vom Netz nehmen (am besten Stecker ziehen!). PC starten, AntiVir komplett durchlaufen lassen. Danach nach Ordner suchen die auffällig sind (vorallem gibts glaub ich unter Programme den Ordner SpyAxe).

Dann Start -> Ausführen... -> Regedit

Nach SpyAxe suchen und alle Einträge die SpyAxe enthalten löschen.

PC runterfahren, ans Netz hängen und hoffen das die SpyWare komplett entfernt wurde sonst lädt sie sich nämlich gleich wieder auf den PC.

[Tom]

Dann PC herunterfahren und komplett vom Netz nehmen (am besten Stecker ziehen!).

Hab ich gemacht, aber ohne Strom läuft der nicht

Als Antiviren Prog würde ich lieber AVG Free Edition nehmen, weil der bei weitem mehr Viren kennt und auch welche aus Archiven löschen kann ohne dass man das ganze Archiv löschen musst. Wennst nämlich eine Mail mit einem Virus bekommst, dann löscht Antivir entweder das ganze Archiv oder gar nichts. Und ein Archiv sind alle Mails eine Adresse. Zugreifen um manuell zu löschen liess er mich damals auch nicht mehr.

Für Ad- und Spayware würde ich auch Adaware empfehlen. Allerdings lasse ich öfters den CCleaner drüberlaufen, der löscht alle temp Sachen aus sämtlichen Programmen und Cookies und alles von allen Browsern (was sich natürlich konfigurieren lässt, auch Cookies speichern ist möglich) und er reinigt auch die Registry. Damti bekommt man von Haus aus schon weniger Scheiss drauf.

Eine Firewall oder am besten ein Router sind natürlich auch noch sehr wichtig.

[Oktofalz]

wie lässt sich denn ein google suchverlauf löschen? temporäre files und cookes löschen nützt nichts...

ich hab da begriffe, nach denen ich niemals gesucht habe und möchte sie loswerden

[Belken The Fleshless]

ich hab ein ähnliches problem. ich werd den trojaner TR/Swizzor.A nicht mehr los o.O
immer wieder findet Antivir dieses ding.
kan mir jemand helfen?

hier ist die logfile von HijackThis.exe

Logfile of HijackThis v1.99.1
Scan saved at 10:51:21, on 27.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\Twain_32\GiGiCam\GiGiSrv.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\StarOffice7\program\soffice.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\xampp\xampp\apache\bin\apache.exe
D:\xampp\xampp\FileZillaFTP\FileZillaServer.exe
D:\xampp\xampp\mysql\bin\mysqld-nt.exe
D:\xampp\xampp\apache\bin\apache.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\mozilla.org\Mozilla\mozilla.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\user\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.advocatus-mortis.de.vu/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {F52B451C-EE8E-7A49-10FE-131FCA69349F} - C:\DOKUME~1\user\ANWEND~1\STARTB~1\onlinedvd.exe
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [GiGiSrv] C:\WINDOWS\Twain_32\GiGiCam\GiGiSrv.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [rdirector] C:\WINDOWS\system32\rdirector.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [proxy chin shim first] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\road idol proxy chin\JUGS SEND.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [rdirector] C:\WINDOWS\system32\rdirector.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [inside scr] C:\DOKUME~1\user\ANWEND~1\VCMESS~1\01plus.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: StarOffice 7.lnk = C:\Programme\StarOffice7\program\quickstart.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{0B289331-F6F6-49C1-BC33-2190D6845528}: NameServer = 172.16.0.5,194.94.72.37
O17 - HKLM\System\CS1\Services\Tcpip\..\{0B289331-F6F6-49C1-BC33-2190D6845528}: NameServer = 172.16.0.5,194.94.72.37
O17 - HKLM\System\CS2\Services\Tcpip\..\{0B289331-F6F6-49C1-BC33-2190D6845528}: NameServer = 172.16.0.5,194.94.72.37
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2 - Unknown owner - D:\xampp\xampp\apache\bin\apache.exe" -k runservice (file missing)
O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - D:\xampp\xampp\FileZillaFTP\FileZillaServer.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: mysql - Unknown owner - D:\xampp\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

[Huenengrab]

Die "C:\WINDOWS\system32\RUNDLL32.EXE" stört mich etwas. Eigentlich wird der Prozess nur aufgerufen, wenn ein anderes Programm darauf zugreift und bestimmte Befehle aufrucht. Am Schulrechner, den ich hier gerade vor mir habe (System: XP SP2+aktuelles Updates) ist die Datei ausserdem klein geschrieben (rundll32.exe).

Verräterisch ist auch, dass gerade die RUNDLL32.EXE oft ersetzt wird, da man glaubt, sie gehören zum System und zieht keine große Aufmerksamkeit auf sich.

Kennt eventuell jemand den Dienst, bei dem man eine vermeintlich gefährliche Datei hochladen kann, die dann von ~20 aktuellen Virenscannern gleichzeitig überprüft wird und kann ihm die URL mitteilen?

Edit: Via Google finde ich einige Forenbeiträge, die alle eine Lösung versprechen und gleich ausfallen:

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bgtdfqdsdt.com/Cob7KFNhNTisO ... UD4GjdvyKM sB5ESBse04YRq/.html

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.accoona.com/search?q=%s
O2 - BHO: ADefaultSearch Class - {944864A5-3916-46E2-96A9-A2E84F3F1208} - (no file)
O2 - BHO: (no name) - {B95A45EB-C2C7-2A11-A0BB-903BD355A294} - C:\DOKUME~1\Ich\ANWEND~1\WAITEQ~1\HOLE ARMY.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\RunServices: [] winlog.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart

PC neustarten

**.
lade und scanne:
Families Cleaned by the Malicious Software Removal Tool
http://virus-protect.org/antivirenfree.html

Sophos
aktuellste Virendefinitionsdateien
1.) IDEs für SAV Version April 2006 (4.04) Aktuelle Web-Version
Aktuelle CD und Web-Version Download Zip Download Exe 121
http://www.sophos.de/downloads/ide/
2.) http://www.sophos.de/tools/sav32sfx.exe
3.) gehe in C:\
4.) klicke SAV32CLI

**.
MessengerPlus! 3 deinstallieren

**.
arbeite as ab: Swizzor loeschen
http://virus-protect.org/artikel/spyware/lop1.html

zu loeschen sind:

C:\Programme\MessengerPlus! 3
C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\WAITEQ...

den Rest (2 kann ich nicht sehen...) wird wahrscheinlich der Panda und der Counterspy finden.

**.
wenn CleanUp, Counterspy und Panda abgearbeitet/alles geloescht ist:

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:


Zitat:
dir %Windir%\tasks /a h > files.txt
notepad files.txt



- Speichern als: findjobs.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text

[Belken The Fleshless]

hm. ja ich hab auch schon ein wenig gegooglet aber irgenwie verstehe ich das leider nicht so recht

und du bist sicher daß es die RUNDLL32 ist. ich dachte die wäre wichtig für das betriebssystem wichtig.

[Huenengrab]

Ich bin mir eben *nicht* sicher. Ich dachte, das ginge aus meinem Beitrag hervor.

[Agramon]

Die Rundll ist sehr wichtig, ob gross oder klein geschrieben spielt bei WinDoof keine Rolle. Das Ding also nie löschen...

Wie schon oben beschrieben bringt man viele Viren nur weg wenn man den PC vom Netz nimmt und dann offline alles durchforstet. Neben AntiVir ist auch noch Ad-Aware der neben der Spyware auch viele Viren vernichtet.

[Belken The Fleshless]

danke ^^

[diaokhi]

vorbeugen ist das beste^^
wenn ich das zeu trotzdem bekomme ist meisten das beste pc neu aufsetzen^^ hab mir auch nochmal ne grosse externe hd zugelegt das ich alles gesaved habe!

[Belken The Fleshless]

das wollte ich jetzt sowieso in angriff nehmen.
D explodiert fast.

[diaokhi]

ja,, anatraugh is glaub mal computer abgebrennt^^ nonstop gelaufen... dan war nix mehr da^^ garantiefall^^

[Gezeitenfürst]

So Leute:

Formatieren - Alle Windows Updates raufspielen - Firewall an - Antivir (www.free-av.de) installieren und updaten.

Dann alle Progs und Treiber usw. installieren und das System so einrichten, wie man es optimal verwendet.

Anschließend Acronis True Image oder Norton Ghost besorgen, die Platte imagen und fertig ist.

Alle Mp3's und was weiß ich für Dateien speichert man einfach auf eine andere Partition, so gibts kein Datenverlust wenn C gelöscht wird.

Wenn man dann mal wieder das System fickt, einfach das Image raufspielen, dauert fünf Minuten und der PC ist wieder im Optimalzustand.
-kb