Viren, Spyware, Datenschutz 11.211 Themen, 94.124 Beiträge

Verfolgung starten Optionen

hilfe..komische dateien auf meinem pc

Opilein / 29 Antworten / Flachansicht Nickles

hallo ich hab mir gestern im internet ein paar komische dateien eingefangen.. es fing damit an das mein ativir dauernd warnmeldungen gebracht hat, das die datei xy das trojanische pferd blabla sein oder das die datei yx ein einwahlprogramm ist ok das hatte ich schon öfter und hab mir nix gedacht. heute hab ich den internet explorer geöffnet und dauernd gingen pop-ups auf von irgendwelchen sex-seiten, mein microsoft internet explorer hat eine komische "elitabar" toolleiste mit suche nach "viagra, casions, drugs, erotic" und so einem scheiss..den ordner dazu hab ich in winnnt gefunden und gelöscht, nach einem neutstart ist er aber wieder da. ausserdem hab ich eine "zea:::.exe" anwendung in meinem taskmanager unter prozesse, die auch nach jedem neustart wieder da ist und mir irgendwie verdächtig vorkommt. wenn ich antivir starte, gibt er mir immer folgende fehlermeldung: "die datei zea.exe konnte nicht in das verzeichnis xy eingefügt werden" ich weis nicht was ich jetzt noch machen kann..antivir ist auf dem neusten stand und gecheckt hab ich schon, ich hab xp-antispy und ad-aware, aber diese toolbar ist noch da, die zea datei auch und die popups sind auch nicht weg!! was kann ich denn jetzt machen?? *HELP* ich hoffe ihr könnt mir helfen!!

bei Antwort benachrichtigen
Es dürfte dies helfen klick mich cbuddeweg
so, ich hab mir das tool runtergeladen und alles verdächtige ... samfisher20041
wenn du english kannst lies bitte das: ... Mario32
na dann kopiere doch mal dein hijackthis logfile hier rein. dann können wir ... solitsnake
@solitsnake - oder es wird der Inhalt des Logfiles gleich in die ... BIMEX
Was steht eigentlich so in deiner hosts-Datei dürfte ne ziemliche Latte ... Nörgler
hosts-datei? was ist das denn jetzt? samfisher20041
Mach doch einfach mal ein Explorerfenster auf und such nach einer Datei mit ... Nörgler
so, hier mal mein hijackthis-verzeichnis..ich hoffe ihr könnt was mit ... samfisher20041
die O15 Trusted Zone... erscheinen mir irgendwie verdächtig..wisst ihr was ... samfisher20041
Dein Logfile mit Auswertung und Tipps, was zu tun ist. BIMEX
@solitsnake - tja, Hijackthis Logfile Auswertung in HTML Form gem. obigem ... BIMEX
das die datei xy das trojanische pferd blabla sein oder das die datei yx ... mmk
ich meinte damit, das ich sowas schon öfter mal hatte aber auch wieder ... samfisher20041
Mit wegbekommen irrst du. Das ist bei einer Infektion des Systems mit der ... mmk
kann ich die datein im hosts-ordner löschen? der ordner ist bei mir 20,6kb ... samfisher20041
O4 - HKLM .. Run: golumm C: WINNT system32 golumm services.exe O4 - HKCU .. ... samfisher20041
Hast du zufällig ne ziemlich hohe Systemauslastung? Und was verstehst du ... Nörgler
ich möchte auf deine hilfe nicht verzichten, es ist nur so, das ich mich ... samfisher20041
So wie ich das sehe hast du dir mehrere Sachen gezogen. Du benutzt auch ... Nörgler
ja, das vermute ich auch, das ich mehrere sachen hab. eine firewall habe ich ... samfisher20041
ok ich hab mir jetzt zone alarm runtergeladen, und wenn ich ins internet ... samfisher20041
Hast du eigentlich die hosts-Datei sie ist kein Ordner, was hast du bloß ... Nörgler
also wie gesagt meine hosts-datei ist voll mit allen möglichen adressen, ... samfisher20041
Nörgler samfisher20041 „also wie gesagt meine hosts-datei ist voll mit allen möglichen adressen, kann...“
Optionen

Hi,

deine hosts-Datei sah ursprünglich einmal so aus:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost

Alles was zusätzlich dazugekommen bzw. gelöscht wurde, hast du entweder selber, ein Bekannter von dir oder dieser Dialer/Wurm hingekriegt.

Geh bei deinen jetzt folgenden Tätigkeiten möglichst nicht online und notiere dir jede noch so kleine Änderung die du am System vornimmst, damit du sie nachher wieder rückgängig machen kannst. Sei mit dem Löschen von Dateien oder Einträgen sehr vorsichtig und benenne lieber um bzw. verschiebe oder im Falle von Einträgen, wenn du sie schon entfernst, speichere sie dir in einer anderen z. B. Text-Datei ab. Dokumentation ist das A und O!

Wenn du dir sicher bist, dass da keiner, der dir etwas gutes wollte, Eintragungen vorgenommen hat, dann benenne die hosts-Datei von hosts in hosts.verseucht um und nimm die Zeilen von mir da oben als Inhalt deiner neuen hosts-Datei.

Schau mal nach, was so alles unter unter Start->Programme->Autostart angezeigt wird. Notfalls kannst du den Ordner Autostart umbenennen, dann werden die Einträge nicht mehr berücksichtigt.

Alles was jetzt kommt würde ich an deiner Stelle nur machen, wenn ich genau wüsste, was ich da mache bzw. wenn ich ein Backup meiner Systempartition in der Hinterhand hätte. Genau genommen ist es nicht weiter gefährlich, aber du kannst dir dein System schon lahmlegen und deshalb wärst du mit einem Backup wirklich auf der sicheren Seite.

So, geh dann jetzt mal in deine Registry (Start->Ausführen->regedit) und schau unter diesen Einträgen mal nach dem Rechten:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Unter diesem Zweig siehst du die Programme, die Windows ebenfalls beim Systemstart automatisch ausführt. Schreibe, wenn dir etwas komisch vorkommt ein "rem" in den Wert eines Schlüssels, dann wird die Aktion nicht ausgeführt.

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

Unter diesem Registryzweig oder einem ähnlichen, falls du einen anderen Browser benutzt, steht die Startseite, die beim Öffnen des Browsers geladen werden soll. Kontrolliere auch hier mal was Sache ist und ersetze falls nötig den Eintrag z. B. mit www.nickles.de.

Sowohl die Einträge unter "Run" als auch die, die für die Startseite deines Browsers zuständig sind, können mehrmals auftauchen. Ändere alle, aber vergiß nicht zu notieren, was du geändert hast! Manchmal genügt auch eine Änderung an einer Stelle in der Registry und sie wird automatisch an anderer Stelle ebenfalls geändert; sicher bist du da erst, wenn der Rechner neu gestartet wurde.

Wenn du dann noch die Tätigkeit des Dialers/Wurms per Firewall unterbunden hast und dann noch heraus bekommst, welche Datei(en) für das Teil zuständig sind, dann hast du es geschafft. Aber dafür musst du dich höchstwahrscheinlich mit Diensten auskennen und ins Eingemachte gehen können.

Wie bereits erwähnt eine Neuinstallation ist einfacher. Und wenn du einmal ein sauberes System hast, leg dir ein Backup an. Und nicht nur ein Backup sondern mindestens zwei, von denen du immer das ältere Überspielen kannst, wenn dein System stabil läuft und du ein neues Backup anlegst. Man hangelt sich, bei zwei Backupdateien, sozusagen von einer Backupgeneratin zur übernächsten.

Armes Deutschland!

Armes Deutschland!
bei Antwort benachrichtigen
hi ja so ähnlich sah meine hosts-datei aus ich habe jetzt alle adressen ... samfisher20041
Keine Ahnung, welche Dateien für dich wichtig sind. Aber ich würde alle ... Nörgler
ok, dann werde ich nochmal rumfragen, was man mir in sachen backups ... samfisher20041
welchen programmen kann ich mit meiner firewall den zugriff aufs internet ... samfisher20041