Hallo,
Bei meinem Computer ist so einiges im Argen: Ständig öffnet sich ein ie-Fenster mit dem Titel „search results for poker online“, "im ie befindet sich eine „elite bar“, ständig Fehlermeldungen (angebliche Systemfehler auf Internetseiten, ständig "Das System wird nach einem schwerwiegenden Fehler wieder ausgeführt etc.), außerdem startet der Computer neu, wenn man zur Oberfläche eines anderen Benutzers wechseln will.
Ich habe Ad Aware laufen lassen. Das Programm findet dann auch immer so an die 100 Dateien, aber es hilft nicht, diese zu löschen.
Kann mir jemand sagen, wie ich das loswerde?
In anderen Foren habe ich gelesen, dass man bei dem Problem wohl den Computer neu formatieren muss. Wenn das nun wirklich so ist: Ich habe das noch nie gemacht. Was muss ich beachten, was kann passieren, welche Risiken gibt es? Ist nachher das Problem wirklich behoben? Ich würde mich freuen, wenn mir jemand das genauer erklären könnte, bzw. i-netsites mit Erklärungen empfehlen könnte.
Danke, Lorinda
Kann mir jemand sagen, wie ich das loswerde?
In anderen Foren habe ich gelesen, dass man bei dem Problem
wohl den Computer neu formatieren muss. Wenn das nun wirklich
so ist: Ich habe das noch nie gemacht. Was muss ich beachten,
was kann passieren, welche Risiken gibt es? Ist nachher das
Problem wirklich behoben? Ich würde mich freuen, wenn mir
jemand das genauer erklären könnte, bzw. i-netsites mit
Erklärungen empfehlen könnte.
Formatierung und Neuinstallation sind nicht zwingend erforderlich, es gibt Tools, die selbst die aufdringlichste Spyware (zumindest weitgehend) entfernen. Sicherheit bieten diese Tools allerdings nicht, es gibt gute Gründe, ein infiziertes System vollständig neu aufzusetzen.
Aber auch das ist nur sinnvoll, wenn du bereits im Vorfeld einige Dinge klärst. Hast du eine Kopie deiner Daten auf einem Drittmedium (CD, DVD, Band…) gesichert? Wenn nein, ist der erste Schritt (völlig egal, wie du weiter vorgehst), diese Daten zu sichern. Ein sorgfältiges Vorgehen und eine anschliessende Prüfung, ob du die Sicherheitskopien im Bedarfsfall auch wieder lesen kannst, ist obligatorisch.
Weiter: Weisst du, auf welchem Wege dein Computer infiziert wurde? Eine Neuinstallation oder Desinfektion ist völlig sinnfrei, wenn du anschliessend weitermachst wie bisher. Dann hast du spätestens in einer Woche die gleichen Probleme wieder. In deinem Fall dürfte das Problem durch die Nutzung des IE zustande gekommen sein, die Folgerung lautet also, zukünftig den IE sicher zu konfigurieren, oder besser, auf ihn zu verzichten.
Schliesslich: Hast du alle benötigten Installationsdatenträger (CDs) zur Hand, um Betriebssystem, Treiber und die von dir benötigte Software neu installieren zu können? Hast du evtl. benötigte Updates, Servicepacks und Patches zur Hand, um deinen Rechner nach der Neuinstallation sicher konfigurieren zu können?
Wenn du diese Punkte geklärt hast, kannst du dich an die Neuinstallation machen. Hierfür aber empfehle ich dir dringend, wenn dies deine erste eigene Neuinstallation ist, jemanden zu Rate zu ziehen, der derartiges schon ein paar mal gemacht hat.
Willst du das aber selbst machen, solltest du einen ziemlichen Zeit- und Lernaufwand sowie einigen Frust einkalkulieren. Überaus hilfreich ist es dabei, einen zweiten Rechner zur Hand zu haben, um bei auftretenden Problemen eine der zahlreichen Hilfequellen im Internet konsultieren zu können. Google, die MS-Knowledge-Base, die Supportseiten der Hardwarehersteller deines Rechners, diverse ‚So installiere ich einen PC‘-Seiten und, wenn das alles nicht mehr weiterhilft, Onlineforen wie werweisswas.
Gruss
Schorsch
Hallo,
Bei meinem Computer ist so einiges im Argen: Ständig öffnet
sich ein ie-Fenster mit dem Titel „search results for poker
online“, "im ie befindet sich eine „elite bar“, ständig
Fehlermeldungen (angebliche Systemfehler auf Internetseiten,
ständig "Das System wird nach einem schwerwiegenden Fehler
wieder ausgeführt etc.), außerdem startet der Computer neu,
wenn man zur Oberfläche eines anderen Benutzers wechseln will.
Ich habe Ad Aware laufen lassen. Das Programm findet dann auch
immer so an die 100 Dateien, aber es hilft nicht, diese zu
löschen.
hast du auch mal Spybot laufen lassen? Und die Dateien im Abgesicherten Modus gelöscht? Und auch die Systemwiederherstellung solltest du vorher ausschalten. Ggf lass auch noch Hjiack this mal scannen, auch wenn ich gerade nicht weiß, ob dir das helfen wird, einen Versuch ist es her.
Hast du auch einen normalen Virenscanner scannen lassen?
In anderen Foren habe ich gelesen, dass man bei dem Problem
wohl den Computer neu formatieren muss.
Müssen musst du gar nichts. Das wird gern bei geraten, weil es einfach die sauberste Lösung ist. Auch ich würde dir dazu raten. Die Probleme sind wahrscheinlich durchaus auch anders in den griff zu bekommen, aber eine Neuinstallation ist eben das Sicherste.
Wenn das nun wirklich
so ist: Ich habe das noch nie gemacht. Was muss ich beachten,
was kann passieren, welche Risiken gibt es? Ist nachher das
Problem wirklich behoben? Ich würde mich freuen, wenn mir
jemand das genauer erklären könnte, bzw. i-netsites mit
Erklärungen empfehlen könnte.
Da hier niemand hellsehen kann solltest du für diesbezügliche Hilfe dein Betriebssystem angeben. Im Regelfall legst du deine InstallationsCD ein, stellst dein BIOS um (beim Starten F2, F3, Ent - das ist unterscheidlich - drücken und als First Boot Device dein CD-Laufwerk auswählen) und dann einfach die Schritte durchgehen. Normalerweise wird dort alles angezeigt, was du zu tun hast. Du solltest deinen Produktkey zur Hand haben (meist hinten auf dem PC zu finden, wenn du ein Komplettsystem hast). Nach der Installation solltest du zuerst etwaige ServicePacks installieren bevor du ins Internet gehst.
Zukünftig solltest du nicht mehr mit dem IE surfen, er ist sehr unsicher. Ich empfehle dir den Firefox.
LG Timi
Hallo,
erst mal vielen Dank für die Antworten. Ich glaube ich muss das mit dem Formatieren erst mal lassen, weil ich gerade keinen anderen Computer habe und auch niemanden, der damit schon Erfahrung hat und alleine ist mir das ein bißchen zu riskant.
Ich habe hijackthis durchlaufen lassen und wollte mal fragen, ob mir jemand sagen kann, was ich von den gefundenen Dateien löschen kann und was auf keinen Fall. Darum anbei die logfile. Vielen Dank,
Lorinda.
Logfile of HijackThis v1.99.0
Scan saved at 21:00:45, on 26.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Winamp\Winampa.exe
C:\WINDOWS\System32\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQ\Icq.exe
C:\Programme\WinAce\WinAce.exe
C:\Dokumente und Einstellungen\Katrin\Lokale Einstellungen\Temp\HijackThis.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startseite.de/searchbar
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 59.dll
O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file)
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 59.dll
O4 - HKLM…\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM…\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM…\Run: [routcnf] C:\Programme\Telekom\Eumex 604PC HomeNet\routcnf.exe
O4 - HKLM…\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM…\Run: [WinampAgent] „C:\Programme\Winamp\Winampa.exe“
O4 - HKLM…\Run: [QuickTime Task] C:\WINDOWS\System32\qttask.exe
O4 - HKLM…\Run: [AVGCtrl] „C:\Programme\AVPersonal\AVGNT.EXE“ /min
O4 - HKLM…\Run: [PAV.EXE] C:\WINDOWS
O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM…\Run: [kalvsys] C:\windows\system32\kalvuhb32.exe
O4 - HKLM…\RunServices: [Msbb.exe] Msbb.exe
O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU…\Run: [MSMSGS] „C:\Programme\Messenger\msmsgs.exe“ /background
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra ‚Tools‘ menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: AOL Instant Messenger ™ - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Dokumente und Einstellungen\Katrin\aim.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra ‚Tools‘ menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {31ED57C0-CF7A-4182-9456-BC43F14B14B9} (STVMgr Class) - http://www.strip.tv/fireball.de/files/StripTV.cab
O16 - DPF: {7A32634B-029C-4836-A023-528983982A49} (MSN Chat Control 4.2) - http://fdl.msn.com/public/chat/msnchat42.cab
O16 - DPF: {E87A6788-1D0F-4444-8898-1D25829B6755} - http://fdl.msn.com/public/chat/msnchat4.cab
O17 - HKLM\System\CCS\Services\Tcpip…{F0EE2A3F-C18E-4E07-BFD2-C004FF4960DC}: NameServer = 217.237.149.161 217.237.151.225
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: IMAPI CD-Burning COM Service - Unknown - C:\WINDOWS\System32\ImapiRox.exe (file missing)
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
Ich habe hijackthis durchlaufen lassen und wollte mal fragen,
ob mir jemand sagen kann, was ich von den gefundenen Dateien
löschen kann und was auf keinen Fall. Darum anbei die logfile.
Die Liste der laufenden Prozesse ist i. O. Die Einträge aber in der Registry
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} -
C:\WINDOWS\EliteToolBar\EliteToolBar version 59.dll
O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} -
(no file)
O3 - Toolbar: &EliteBar -
{825CF5BD-8862-4430-B771-0C15C5CA8DEF} -
C:\WINDOWS\EliteToolBar\EliteToolBar version 59.dll
O4 - HKLM…\Run: [kalvsys] C:\windows\system32\kalvuhb32.exe
O16 - DPF: {31ED57C0-CF7A-4182-9456-BC43F14B14B9} (STVMgr
Class) - http://www.strip.tv/fireball.de/files/StripTV.cab
zeigen eine Verseuchung deines Rechners mit div. Trojanern an. Timids Tipps sowie eine Google-Suche nach EliteToolBar sollten dir da weiterhelfen, vielleicht auch folgender Thread http://board.protecus.de/showtopic.php?threadid=12972
Für StripTV ist die Vermutung naheliegend, dass dieser Eintrag in Folge einer Trojaner-Infektion in deine Registry geschrieben wurde, ohne weitere Informationen würde ich dem aber zunächst keine grössere Bedeutung zumessen.
Die kalvsys C:\windows\system32\kalvuhb32.exe ist mit Sicherheit ebenfalls ein Trojaner (möglicherweise „Ebates MoneyMaker“?), vielleicht hilft folgender Thread bei der Entfernung weiter: http://www.computing.net/security/wwwboard/forum/144…
Sehr hilfreich kann der Einsatz eines Programmes sein, welches dir anzeigt, welche Verbindungen dein Rechner ins Internet öffnet. Dies kann eine Personal Firewall sein oder das kleine Freeware-Tool ActivePorts http://www.protect-me.com/freeware.html
Allerdings hast du sehr viele Dienste laufen, welche sich notorisch und kontinuierlich ins Internet verbinden, eine Auswertung der Daten von ActivePorts dürfte daher einige Erfahrung voraussetzen.
Gruss
Schorsch
Hm, danke erst mal für die genauere Analyse. Aber ehrlich gesagt bin ich damit immer noch ziemlich überfordert.
Und: was ist denn überhaupt der abgesicherte Modus und wie starte ich den PC im abgesicherten Modus?
Die planlose Lorinda
Hm, danke erst mal für die genauere Analyse. Aber ehrlich
gesagt bin ich damit immer noch ziemlich überfordert.
Was genau überfordert dich denn?
Und: was ist denn überhaupt der abgesicherte Modus und wie
starte ich den PC im abgesicherten Modus?
Drücke beim Starten des PC’s die Taste F8, dann solltest du ein Auswahlmenue angezeigt bekommen („Windows normal starten“, … und eben „Abgesichert starten“
Problem wohl gelöst
So, mit ein paar Tips aus einem anderen Forum habe ich das Starten im abgesicherten Modus hingekriegt und anscheind alle relevanten Dateien gelöscht, jetzt funzt jedenfalls erst mal alles so gut wie seit Ewigkeiten nicht mehr, kanns noch gar nicht glauben!
Vielen Dank noch mal für Eure Mühen!
Lorinda
Problem vorerst gelöst owT
s.u.
Vorsicht, nicht zu früh freuen!
Scan dein System nochmal zur Sicherheit mit Spybot Search & Destroy und immunisier deinen Internet Explorer. Danach solltest du nocheinmal booten und einen Lauf mit Hijackthis machen und bei http://www.hijackthis.de auswerten lassen.
In Zukunft solltest du vielleicht mit dem Installieren von Programmen etwas vorsichtiger sein, die meisten Trojaner bekommt man nämlich so. auch den Wechsel auf einen „sicheren“ Browser - vorzugsweise Firefox - solltest du ins Auge fassen.
Weitere Infos und Downloadadressen findest du auf meiner Page zur Computersicherheit http://www.comsafe.de
Dazu habe ich dann noch mal eine Frage: Wie kriege ich raus, was ich von den von Spybot gefundenen Dateien löschen kann? Auch einfach in nem Forum posten? Gibt es da auch so eine Überprüfung wie bei hijackthis.de?
Nicht das ich wüsste. Aber bei Spybot werden die Grenzen enger gezogen, da kannst du im Prinzip alles löschen was angezeigt wird. Ausserdem gibt´s im Eingangsmenü eine Recoveryfunktion, die das Gelöschte wieder herstellt. Weitere Infos findest du auf der Hompepage von Spybot http://www.spybot.info/de/index.html
Natürlich kannst du mit dne gefunden Begriffen auch googlen, aber wie bereits oben gesagt, halte ich das für Zeitverschwendung.