Supportnet / Forum / WindowsXP
Spyware oder sonstwas?
Frage
High!
Mein Rechner hat mal wieder ne Krankheit. Wenn ich ins Netz gehe, aktualisiert er scheinbar immer irgendwelche Seiten neu. Auch die Favoriten wurden irgendwie um Sexseiten usw. ergänzt. In der Startseite taucht was von Webtracer.cc auf. HighjackThis findet das folgende:
Logfile of HijackThis v1.99.0
Scan saved at 22:11:08, on 26.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Windows ServeAd\WinServAd.exe
C:\Programme\security\Trojancheck 6\tcguard.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Windows ServeAd\WinServSuit.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Dokumente und Einstellungen\Markus\Lokale Einstellungen\Temp\Temporäres Verzeichnis 4 für hijackthis_199.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://rl.webtracer.cc/-/?bayzm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://rl.webtracer.cc/-/?bayzm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=surfproxy.freenet.de:8080
F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe
O1 - Hosts: 1159680172 auto.search.msn.com
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Windows ServeAd] C:\Program Files\Windows ServeAd\WinServAd.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\security\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\System32\msmsgs.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://C:oo.mht!http://superprogdownload.com/download/helps/id/187787/431260171.chm::/win.exe
O19 - User stylesheet: C:\WINDOWS\stsheets.dat
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Was hab ich zu tun, damit der Rechner wieder sauber wird? Wer kann mir helfen? Bitte so erklären, dass es auch ein Laie versteht.
Thanx
Hankman
Antwort 1 von Lutz1965
Antwort 2 von Frühaufsteher
Zitat:
Was hab ich zu tun, damit der Rechner wieder sauber wird? Wer kann mir helfen? Bitte so erklären, dass es auch ein Laie versteht.
Was hab ich zu tun, damit der Rechner wieder sauber wird? Wer kann mir helfen? Bitte so erklären, dass es auch ein Laie versteht.
dazu schrieb lutz folgendes
Zitat:
hier kannst Du HijackThis auswerten lassen.
hier kannst Du HijackThis auswerten lassen.
unser lutz eben ;-)
Antwort 3 von Lutz1965
@ Frühaufsteher
Ja so bin ich eben.....:-)
Und, wie kannst Du jetzt helfen ? Hast Du eine Lösung ?
Ja so bin ich eben.....:-)
Und, wie kannst Du jetzt helfen ? Hast Du eine Lösung ?
Antwort 4 von 3po
Hallo,
schon mal die Freeware Spybot oder AdAware genutzt ? Einfach mal googlen. Ansonsten findest du Info`s unter http://www.trojaner-info.de/
Gruß
3po
schon mal die Freeware Spybot oder AdAware genutzt ? Einfach mal googlen. Ansonsten findest du Info`s unter http://www.trojaner-info.de/
Gruß
3po
Antwort 5 von hankman
Moin,
habe das auf der Hijackthis-Seite mal ausprobiert. Die bösen Meldungen haben ich dann im abgesicherten Modus gefixt. Beim Neustart kommt aber dann von Trojancheck ein Hinweis bzgl. einer Änderung an C:\autoexec.bat. Ferner sind die vorher gefixten bösen Meldungen wieder da! Werde die folgenden Einträge nicht los:
O1 - Hosts: 1159680172 auto.search.msn.com
O19 - User stylesheet: C:\WINDOWS\stsheets.dat
Die unerwünschten Favoriten sind auch weiterhin beim Einstieg ins Netz da. Auch kann ich meine Mails bei Freenet.de nicht mehr abrufen. Hab aber keine Ahnung, ob das mit dem o. g. Problem zusammenhängt.
Wer hat noch guten Rat?
Gruß
Hankman
habe das auf der Hijackthis-Seite mal ausprobiert. Die bösen Meldungen haben ich dann im abgesicherten Modus gefixt. Beim Neustart kommt aber dann von Trojancheck ein Hinweis bzgl. einer Änderung an C:\autoexec.bat. Ferner sind die vorher gefixten bösen Meldungen wieder da! Werde die folgenden Einträge nicht los:
O1 - Hosts: 1159680172 auto.search.msn.com
O19 - User stylesheet: C:\WINDOWS\stsheets.dat
Die unerwünschten Favoriten sind auch weiterhin beim Einstieg ins Netz da. Auch kann ich meine Mails bei Freenet.de nicht mehr abrufen. Hab aber keine Ahnung, ob das mit dem o. g. Problem zusammenhängt.
Wer hat noch guten Rat?
Gruß
Hankman
Antwort 6 von hui
das war schon richtig so, aber wenn es sich nicht entfernen lässt macht man das ganze nochmal bei deaktivierter systemwiederherstellung bei winxp
viel erfolg
ps: und natürlich im abgesicherten modus
viel erfolg
ps: und natürlich im abgesicherten modus
Antwort 7 von hankman
Hab jetzt im abgesicherten Modus als Admin deaktiviert. Dann gefixt. Rechner neu gestartet. Keine Ahnung, wie ich jetzt wieder aktivire. Komme nicht zum Admin! Und: Nach erneutem HijackThis sind die Meldungen noch immer da! Und nun?
Antwort 8 von hankman
So,
das Aktivieren habe ich jetzt hinbekommen. Danke Dr. Google! ;-) Und: Der Hinweis von Trojancheck bzgl. der autoexec.bat ist auch verschwunden. Allerdings gibt mir HijackThis noch immer die o. g. Meld. aus. Langsam verzweifle ich....... Muss da doch der PC-Doktor her?
Gruß
Hankman
das Aktivieren habe ich jetzt hinbekommen. Danke Dr. Google! ;-) Und: Der Hinweis von Trojancheck bzgl. der autoexec.bat ist auch verschwunden. Allerdings gibt mir HijackThis noch immer die o. g. Meld. aus. Langsam verzweifle ich....... Muss da doch der PC-Doktor her?
Gruß
Hankman
Antwort 9 von p-e-t-e
Bei Wurm / Trojan Infektionen muss der Computer sehr, sehr
sorgfältig wieder gereinigt werden, und Hijack-This ist nicht unbedingt
das beste Tool dafür, für diese spezielle Reinigung.
Einige Voraussetzungen für eine gelungene Reinigung müssen auch
erfüllt sein :
Administrator / deaktivierte Systemwiederherstellung / Safe Mode
Diese Vorarbeit ist unbedingt notwendig bei Wurm/Trojan Infizierung.
Ferner im Explorer Ordner-Optionen "geschützte Systemdateien
ausblenden" den Haken rausnehmen....
Dazu ausserdem zwei Programme installieren :
F-Bot
http://www.softpedia.com/get/Antivirus/F-Secure-F-Bot-cleaner-tool....
etwas runterscrollen, dann bei "F Secure F Bot Cleaner Tool Download" den download machen....
Das andere Programm ist "Stinger"
Mit diesen beiden Programmen bei deaktivierter System-
Wiederherstellung und im Safe Mode zuerst das Programm
F-Bot scannen lassen.
Das Programm sagt Dir, ob es Infektionen im "Memory" und der
"Hard Disk" gefunden hat und sagt zum Schluss, dass die
Säuberung beendet ist.
Danach bleibst Du in "Safe Mode" und gehst in den Explorer und
löschst alle Temp-Ordner. Dies ist sehr wichtig, alle Temp-Ordner
von allen Benutzernamen inclusive Administrator. Du wirst beim
Administrator Temp-Ordner sehr viele AVC-Dateien finden über
Würmer / Viren / Trojaner, alles löschen. Ist von dem Programm.
Dann machst Du eine generelle Reinigung im Safe Mode von all
Deinen Browsern ( I.E. + Firefox etc ), alles radikal löschen (Cache,
Cookies, History usw. ).
Ausserdem die Registry reinigen mit Registry Cleaner, aber alles
weiter im Safe Mode!!
Dann danach auch weiterhin im Safe Mode das Programm "Stinger"
scannen lassen.
Danach wieder eine Vollreinigung wie oben angesprochen.
Falls Du einen Viren-Scanner hast, dann könntest Du diesen auch im
Safe Mode mal durchlaufen lassen, aber die meisten sind nicht in
der Lage diese speziellen "Scripts" von Würmern / Trojanern zu
entdecken.
F-Bot ist mit das Beste in der Hinsicht als Freeware.
Wenn Du komplett mehrere Male diese sorgfältige Reinigungs-
prozedur gemacht hast, dann hast Du gute Chancen, dass Dein
Rechner wieder "sauber" ist. Bist Du hierbei aber unachtsam dann
wirst Du die Trojaner / Würmer nicht wieder los.
Die nächsten Tage dann normal mit F-Bot mehrere Male täglich
immer wieder einen Scan machen, um sicherzustellen, dass keine
Infektionen mehr auf dem Rechner sind. F-Bot sagt Dir nach dem
Scan z. Bsp : no infection found......
Würmer / Trojaner sind mit das Schlimmste, was man auf den
Rechner bekommen kann, das System wird hier kompromittiert.
In vielen Fällen muss aus Sicherheitsgründen eine Neuinstallation
mit Formatierung/Partionierung gemacht werden.
Pete
sorgfältig wieder gereinigt werden, und Hijack-This ist nicht unbedingt
das beste Tool dafür, für diese spezielle Reinigung.
Einige Voraussetzungen für eine gelungene Reinigung müssen auch
erfüllt sein :
Administrator / deaktivierte Systemwiederherstellung / Safe Mode
Diese Vorarbeit ist unbedingt notwendig bei Wurm/Trojan Infizierung.
Ferner im Explorer Ordner-Optionen "geschützte Systemdateien
ausblenden" den Haken rausnehmen....
Dazu ausserdem zwei Programme installieren :
F-Bot
http://www.softpedia.com/get/Antivirus/F-Secure-F-Bot-cleaner-tool....
etwas runterscrollen, dann bei "F Secure F Bot Cleaner Tool Download" den download machen....
Das andere Programm ist "Stinger"
Mit diesen beiden Programmen bei deaktivierter System-
Wiederherstellung und im Safe Mode zuerst das Programm
F-Bot scannen lassen.
Das Programm sagt Dir, ob es Infektionen im "Memory" und der
"Hard Disk" gefunden hat und sagt zum Schluss, dass die
Säuberung beendet ist.
Danach bleibst Du in "Safe Mode" und gehst in den Explorer und
löschst alle Temp-Ordner. Dies ist sehr wichtig, alle Temp-Ordner
von allen Benutzernamen inclusive Administrator. Du wirst beim
Administrator Temp-Ordner sehr viele AVC-Dateien finden über
Würmer / Viren / Trojaner, alles löschen. Ist von dem Programm.
Dann machst Du eine generelle Reinigung im Safe Mode von all
Deinen Browsern ( I.E. + Firefox etc ), alles radikal löschen (Cache,
Cookies, History usw. ).
Ausserdem die Registry reinigen mit Registry Cleaner, aber alles
weiter im Safe Mode!!
Dann danach auch weiterhin im Safe Mode das Programm "Stinger"
scannen lassen.
Danach wieder eine Vollreinigung wie oben angesprochen.
Falls Du einen Viren-Scanner hast, dann könntest Du diesen auch im
Safe Mode mal durchlaufen lassen, aber die meisten sind nicht in
der Lage diese speziellen "Scripts" von Würmern / Trojanern zu
entdecken.
F-Bot ist mit das Beste in der Hinsicht als Freeware.
Wenn Du komplett mehrere Male diese sorgfältige Reinigungs-
prozedur gemacht hast, dann hast Du gute Chancen, dass Dein
Rechner wieder "sauber" ist. Bist Du hierbei aber unachtsam dann
wirst Du die Trojaner / Würmer nicht wieder los.
Die nächsten Tage dann normal mit F-Bot mehrere Male täglich
immer wieder einen Scan machen, um sicherzustellen, dass keine
Infektionen mehr auf dem Rechner sind. F-Bot sagt Dir nach dem
Scan z. Bsp : no infection found......
Würmer / Trojaner sind mit das Schlimmste, was man auf den
Rechner bekommen kann, das System wird hier kompromittiert.
In vielen Fällen muss aus Sicherheitsgründen eine Neuinstallation
mit Formatierung/Partionierung gemacht werden.
Pete