| BlackDragon | Hallo. Ich hoffe, ihr könnt mir helfen, ich krieg gleich die Krise. Irgendwie hab ich mir einen Wurm eingefangen - fragt mich nicht wie, ich bin eigentlich relativ vorsichtig. AntiVir und Spybot hab ich schon drüberlaufen lassen, hat aber beides nichts geändert. Der Wurm (oder Virus oder was auch immer) hat folgende Auswirkungen: Mein normaler Desktophintergrund wird nichtmehr angezeigt, sondern eine Internetseite mit rotem Hintergrund und der Schrift "You're downloading illegal mp3s [tue ich gar nicht!] ...bla bla bla... You're Data is logged ... bla bla bla ... FBI knows everything about you ... bla bla bla ... Click here to remove all trackings" So blöd da drauf zu klicken war ich natürlich nicht. Ich hab in den Anzeigeeinstellungen schon die Internetseite gelöscht, die bei ActiveDesktop (oder wie dieser Microsoft-Müll auch immer heißt) aufgeführt war. Bringt nichts. Den Hintergrund einfach wieder zu ändern bringt auch nichts. Weiterhin zeigt der IE am oberen und unteren Rand jeder beliebigen Seite einen roten Balken mit der erwähnten Aufschrift und kann etliche Seiten (unter anderem NW) nicht öffnen und stürzt öfter ab. Firefox arbeitet (wen wunderts?) einwandfrei. Danke schonmal... P.S.: Ach ja: ich krieg jetzt andauernd so witzige kleine Fensterchen "WARNING! Your Computer is full of evidence. Click yes to remove...bla bla bla" Ich klick logischerweise immer auf Abbrechen. |
| Odessa | Liebster Tim, wenn es bis morgen vormittag Zeit hat... ich kann Mohammed fragen (den PC-Crack) und bin mir recht sicher, daß er Dir weiterhelfen kann. Ich melde mich morgen vormittag dann telefonisch bei Dir bzw. Mohammed, wenn das für Dich okay ist... Gruß zur Nacht, i. |
| BlackDragon | Das wäre wirklich superlieb, aber das wird wahrscheinlich 'ne ganze Zeit in Anspruch nehmen und ich muss morgen um 10 weg, weil ich noch 'ne Arbeit absprechen muss an der ich gerade noch sitze und die mir durch diesen elenden Wurm nicht gerade erleichtert wird. Danke Dir trotzdem... Übrigens hab ichs jetzt auch mit Ad-Aware versucht - bringt auch nichts. Die Startseite im IE hat sich auch auf die erwähnte Seite abgeändert, obwohl in der Adressleiste immernoch about:blank zu lesen ist. - Also doch ein HiJacker. |
| Hirogen | aloha! such mal mit google symantec online scan, dann auf symantec security check und schliesslich auf deren homepage irgendwas mit symantec online viren detection scan oder so. dann lässt du dich da halt mal online durch scannen. du musst nur drauf achten, dass du die active x sachen zu lässt und diese fenster mit "vertrauen sie symantec blablabla immer mit ja ankreuzt" , weil die ja serös sind. die spucken dir dann evtl aus, wie dein würmle heisst und wo bzw in welchem file du ihn findest, dass löscht du dann notfalls von hand. was auch immer recht hilfreich ist, sich von den "merkmalen" nen paar eindeutige schlagwörter oder phrasen rauszusuchen und bei google einzugeben. sehr oft gelangst du dann in foren, wo schon andere opfer euer problem beschreiben und hilfe, tips und tricks bekommen. ne firewall ist besonders bei win xp pflicht und unseriöse seiten solltest du in zukunft meiden, denn auch wenn du nichts anklickst, kannst du schon befallen werden, trotz firewall! ich betreue hier auch so einen fall, der nie auf unseriösen seiten ist geschweige denn dort was anklickt und trotzdem muss ich immer so seltsame pornowerbung und links entfernen..*hust* da weiss man doch genau, wo der hase lang läuft...tsts! am härtesten ists bei meinem bruder seinem laptop, den kriege ich vierteljährlich mal in die hände und muss immer zwischen 60 und 80 schädlinge entfernen. das ging sogar schon soweit, dass der lüfter ständig gelaufen ist, weil die cpu beim surfen 100 % ausgelastet war... jedenfalls, wenn du das ding entfernt hast, schildere auf alle fälle mal was es denn war und wie du es entfernen konntest. EDIT: irgendwo in deinem browser unter extras-internetoptionen-erweitert kannst du auch browsererweiterungen von drittanbietern oder so deaktivieren, evtl hilft das erst mal kurzfristig... mfG Hirohito |
| BlackDragon | Als Firewall benutze ich Sygate. Die hat aber auch nichts anormales gemeldet. Das mit Google hab ich auch probiert, aber das nutzt nicht viel, da das Teil keine sehr eindeutigen Phrasen verwendet. Das mit Symantec versuch ich morgen mal... Mit unseriösen Seiten hab ich eigentlich generell nix am Hut (Was denkst Du denn von mir Hiro? :D), aber das ist ja auch sowas, was mich aufregt: Da sucht man nach ein paar Infos für die Hausarbeit und denkt sich "Hey, das ist was!" und schon kommt das witzige Fenster "Bitte OK eingeben" ...jaja... Und wenn dann das Thema der Arbeit noch Siggi Freud ist, hat man sowieso hin und wieder einige...ähh...interessante Suchergebnisse. :D |
| BlackDragon | Nachtrag: Zumindest hat Würmchen manieren und sich gerade eben bei mir vorgestellt. Getarnt als Spyware-Tool hat er sich selbst gefunden und versucht mich dazu zu überreden, doch endlich mal auf seinen Link zu klicken. Er heißt Desktop.Hijacker.Afcore und wird mir langsam sympathisch. Ich glaub ich behalte ihn und nenne ihn Willy. [I]Willy Wurm - der ideale Lebensgefährte für nachtaktive Studenten. Nie wieder Langeweile![/I] |
| Seneca | So eine hatte ich mir mal am Arbeitsplatz beim unerlaubten Surfen auf "unsicheren Seiten" zugezogen, ich hab fast die halbe nachtschicht damit verbracht ihm manuell den Garaus zu machen...! Wirklich entfernt hatte ich ihn wohl nie, anfangs lud er sich auch ständig von neuem wieder herunter...irgendwann habe ich dann aber die richtige Datei erwischt nachdem ich ihn stundenlang beobachtet hatte...seitdem war ist er so schwer verletzt, das er sich zum sterben zurückzog, um beim der nächsten Virenscan restlich entsorgt zu werden. Glaubt hier jemand an Wiedergänger...?*g* *edit* Nachtrag Oh Goth, beim senden dieses Posts ging das pop-up Werbefenster auf, ich dachte schon ich hätte seine Auferstehung beschworen...;) |
| BlackDragon | [QUOTE]beim unerlaubten Surfen auf "unsicheren Seiten"[/QUOTE] Nachtwelten? Oder doch eher barockfetischisten.de? (Nicht übelnehmen, Seni, ich bin übermüdet und hab noch zwei Seiten zu schreiben.) So, ich geh wieder - Willy will wieder gefüttert werden. *Platz, Willy! Sitz! Nein! Nicht die regedit anfressen!* |
| BlackDragon | So, ich bin wieder am Anfang. Symantec online Scan funktioniert nicht - es sagt mir, dass ich den IE mit aktiviertem ActiveX benutzen muss. Den IE lass ich unter den gegebenen Umständen aber lieber zu und ActiveX aktiviere ich schonmal garnicht... Kennt sich eventuell jemand mit HiJackThis aus? |
| Mrs. Doe | Auskennen ist wohl zuviel gesagt, da von Computern im Allgemeinen nicht viel Ahnung, aber trotzdem hab ich mit HiJack This schon einige blinde Passagiere weggekriegt. Das Problem ist nur, man muß wissen, nach was man sucht, weil das Programm Dir relativ wahllos alles aufzählt, was ihm verdächtig erscheint, also auch Dateien, die man noch braucht. Wenn man den Dateinamen vom Wurm aber kennt, oder sich besser auskennt als ich, dann ist das bestenfalls nur noch ein Klick und Willy ist weg. Aber Du scheinst ja zu wissen, wie die Datei heißt, danach kannst Du ja dann in der Liste suchen, oder Du googelst vorher mal in so Computerforen nach dem Dateinamen von Deinem Wurm, da wird man normalerweise schnell fündig, dann geht das eigentlich relativ schnell mit HiJack This. |
| BlackDragon | Das Problem ist, dass ich glaube, dass Willy mir nicht seinen richtigen Namen mitgeteilt hat (wäre ja auch unlogisch), denn wenn ich danach suche, finde ich nichts brauchbares. Übrigens bekomme ich jetzt immer beim Start die Meldung "Datei oder Verzeichnis ist beschädigt und nicht lesbar. Führen sie CHKDSK aus." in der Taskleiste. Was das bedeuten soll weiß ich aber auch nicht... Hach, es ist zum Würmer melken... |
| Hirogen | [QUOTE][i]Original geschrieben von BlackDragon [/i] [B]So, ich bin wieder am Anfang. Symantec online Scan funktioniert nicht - es sagt mir, dass ich den IE mit aktiviertem ActiveX benutzen muss. Den IE lass ich unter den gegebenen Umständen aber lieber zu und ActiveX aktiviere ich schonmal garnicht... Kennt sich eventuell jemand mit HiJackThis aus? [/B][/QUOTE] öch! bist du nen mann oder ne maus? lass active x zu und lass dich scannen, wenn der wurm weg ist, kannst du es doch wieder aus machen... ich habs immer an und meinem computer gehts ganz gut und ich bin eigentlich ständig auf unseriösen seiten und versuche dort die abtrünnigen subjekte zu bekehren... dieses chkdsk ist jetzt auch nur ne windowssache die zb immer passiert, wenn deinen rechner nicht ordentlich runterfährst, resetest usw. sag dieser raupe endlich den kampf an und wenn du schon untergehst, dann mit hoch erhobenem haupte! mfG H. |
| Seneca | Oder steck eine DOS boot Diskette rein, und gib format c: ein...! |
| Mac | Ach je, da haste dir was eingefangen. Also ganz simpel : es kommt drauf an wie versiert du in der Bedienung von Windows bist. Wenn du dir manuelle Veränderungen in der registry bzw mit entsprechenden Programmen nicht zu traust kanns gut sein das du neuinstallieren darfst. Fragen : Kannst du einsehen was alles beim Start von Windows geladen wird? Kennst du dich bei deinen Prozessen aus? Hast du eine Ahnung wovon ich grade schreibe? Kannst du eine dieser Fragen nicht suffizient beantworten, kapp die Netzverbinung und such dir jemanden der sich damit auskennt! Mach nix selber, das zerstört ggf. mehr als es wieder ganz macht. Wenn ich deinen Wurm richtig einschätze wirst du mit ein wenig Glück Willy selbst loswerden aber NICHT die Änderungen an deinem System die er vorgenommen hat. Mäkchen |
| Hirogen | [QUOTE][i]Original geschrieben von Seneca [/i] [B]Oder steck eine DOS boot Diskette rein, und gib format c: ein...! [/B][/QUOTE] nein, wir dulden keine resignation! das ist so wie hanuta mit messer und gabel essen, wir besiegen das gewürm auf ehrliche weise. wir sind hart, aber gerecht! mfG Hirohito |
| Seneca | Was heisst den hier ehrlich. Ist denn z.B. der Einsatz von Nuklearwaffen zur Terrorbekämpfung unehrenhaft...? |
| BlackDragon | [QUOTE][i]Original geschrieben von Seneca [/i] [B]Was heisst den hier ehrlich. Ist denn z.B. der Einsatz von Nuklearwaffen zur Terrorbekämpfung unehrenhaft...? [/B][/QUOTE] Nein, aber der Einsatz von Nuklearwaffen zur Wurmbekämpfung. :cool: Zum Thema: Mac, ich kenne mich zwar halbwegs aus, aber meine Kenntnisse von Windows-Prozessen etc. beschränken sich auf das Minimum und ich traue mir auch nicht zu an selbigen rumzupfuschen. (was es bei mir wohl werden würde) Das Gute ist, dass ich mittlerweile von mehreren Seiten telefonische Hilfe angeboten bekommen habe. (Ich wusste schon, warum ich das Problem auf NW stelle, ihr seid einfach viel hilfsbereiter - super! Vielen Dank!) Vielleicht klappt es morgen ja so und auf jeden Fall melde ich mich morgen wieder mit einem aktuellen Lagebericht von der Front. ;) Dank schonmal und viele Grüße, Tim (Der eben seine Semesterarbeit fertiggestellt hat :) ) |
| Seneca | [QUOTE][i]Original geschrieben von BlackDragon [/i] [B](Der eben seine Semesterarbeit fertiggestellt hat :) ) [/B][/QUOTE] Na dann steht einer Formatierung der Festplatte ja nichts mehr im Weg...entzieh dem Wurm die Lebensgrundlage...totaler Overkill. Brutal aber Todsicher. |
| Gr. Gaulichter | also, weil drachen ja bekanntlich größer sind, als verfressene maden, werden sie selbige auch besiegen! steht schon mal fest. also spuck feuer, alter ;) mach mal den taskmanager an und liste hier die prozesse auf, die da laufen. bei den meisten kann ich dir sagen, welche du abschießen kannst und welche noch laufen müssen (es ist ja prinzipiell möglich, windows mit nur drei prozessen zu fahren ;) ). dann gibst du bei Start -> Ausführen das hier ein: msconfig und dort guckst du dir unter Dienste mal gaaanz genau an, was alles für müll startet, wenn du den rechner hochfährst. das microsoft-gerümpel lass drin, ist ja meist harmlos (unten gibst eine checkbox Alle Microsoft-Dienste ausblenden - draufklicken und die restlichen durchstöbern. falls dir was auffällt, schreibs hier rein (und z.b. Real Player Agent kannste getrost kicken, Quicktime Agent ebenfalls und da gibts noch mehr). wenn wir in deinem taskmanager möglichst viel gekillt haben, dann mach einfach den symantec-test und schalte danach gleich wieder Active-X aus. irgendwann solltest du mal neue booten, aber immer die prozesse im auge behalten und die abschießen, die wir zuvor schon beendet haben. so, bin gespannt. gg.grüße |
| Hirogen | [QUOTE][i]Original geschrieben von Seneca [/i] [B]Was heisst den hier ehrlich. Ist denn z.B. der Einsatz von Nuklearwaffen zur Terrorbekämpfung unehrenhaft...? [/B][/QUOTE] wenn die terroristen würmer sind, ists so wie mit kanonen auf spatzen schiessen, also unehrenhaft. mfG Hirohito |
| BlackDragon | Die Würmer sind auf dem Rückzug... Durch die hilfreiche Unterstützung von Lord Fallerton konnte ich die elende Plage zumindest eindämmen. Wir haben Cclean und HiJackThis drüberlaufen lassen und alles ausgemerzt, was uns unbekannt war. Danach habe ich noch über den Registry System Wizard den Active Desktop komplett deaktiviert. Jetzige Lage: Der Desktop ist in Ordnung und zeigt keinen unsinnigen Müll mehr an, allerdings ist der IE immernoch befallen und ich bekomme auch noch regelmäßig ca. alle 20 Minuten idiotische Warnungen, die ich aber einfach wegklicken kann. Über msconfig bekomm ich jetzt auch nur noch Dienste von Microsoft oder Antivir, Sygate etc. Außerdem laufen gerade folgende Prozesse: taskmgr.exe PROFIL~1.exe SC_WATCH.exe EXPLORER.exe WDFMGR.exe DAP.exe mysql-nt.exe mdm.exe SAgent2.exe CDAC11BA.exe AVWUPSRV.exe ATI2EVXX.exe AVGUARD.exe kernel.exe SPOOLSV.exe 4x SVCHOST.exe firefox.exe Smc.exe MulMouse.exe LSASS.exe SERVICES.exe WINLOGON.exe csrss.exe smss.exe ctfmon.exe avgnt.exe winampa.exe atiptaxx.exe system leerlaufprozess Da der IE allenthalben abstürzt, kann ich den Onlinescan von Symantec nicht ausführen. |
| AlienSexFiend | ...die blödsinnigen Nachrichten kommen aber nicht ganz unabhängig von dem Wurm vom Windows-Nachrichtendienst, oder...? ...der ließe sich ganz einfach deaktivieren... [url]http://www.emsisoft.de/de/kb/articles/tec021115/[/url] |
| BlackDragon | Nein, der Nachrichtendienst ist bei mir deaktiviert und ausserdem haben die Nachrichten kein "Ok" zum bestätigen, sondern eine Ja/Nein Wahlmöglichkeit... EDIT: Die Nachrichten scheinen aber seltener geworden zu sein... |
| Mac | klingt nach java |
| Gr. Gaulichter | taskmgr.exe - ohne worte PROFIL~1.exe - T-Online-gerümpel SC_WATCH.exe - T-Online EXPLORER.exe - ohne worte WDFMGR.exe - kann man beenden, teil vom win mediaplayer DAP.exe - Download Accelerator? wird gern infiziert, also beenden mysql-nt.exe - was, du hast MySQL laufen? wenn nicht gebraucht, beenden mdm.exe - machine debug manager. kann man beenden SAgent2.exe - irgendwas von Epson. deine sache CDAC11BA.exe - kopierschutz-software. würd ich sofort beenden AVWUPSRV.exe - antivir ATI2EVXX.exe - grafikkarte AVGUARD.exe - antivir kernel.exe - nicht beenden (geht ja auch gar nicht ;) ) SPOOLSV.exe - auch nicht beenden, ist fürn drucker 4x SVCHOST.exe - auch nicht beenden, es sei eine, eine davon quält dich firefox.exe - wie du magst Smc.exe - sygate firewall MulMouse.exe - deine mouse, wenn ich nicht irre LSASS.exe - lassen SERVICES.exe - lassen WINLOGON.exe - lassen csrss.exe - lassen smss.exe - lassen ctfmon.exe - beenden. startet sich, sobald du ein office-tool startest avgnt.exe - antivir winampa.exe - beenden und in winamp den Agent deaktivieren atiptaxx.exe - für deine grafikkarte system - lassen leerlaufprozess - lassen einige würmer befallen diese dateien auch. wenn dir eine merkwürdig vorkommt, dann speichere deine arbeit und schick sie testweise schlafen. gg.grüße |
| overdose | Da rollen sich mir ja die Fußnägel hoch, wenn ich hier manche Posts lese .. :eek: BlackDragon, poste mal bitte das komplette HiJackThis-Logfile. Dann gehen wir mit Runalyzer und CWShredder gegen das Vieh vor. Vllt. hilft auch schon Spybot. |
| BlackDragon | [QUOTE]Da rollen sich mir ja die Fußnägel hoch, wenn ich hier manche Posts lese ..[/QUOTE] Warum? @Gaulichter: Eigentlich hab ich mysql momentan nicht laufen. Würde ja auch nichts bringen, weil der Server (xampp) nicht läuft. @Overdose: Spybot hab ich schon probiert, hilft nicht. Hier das Logfile, die running processes hab ich mal weggelassen, weil ich die ja schon geposted hab. Die rot markierten Zeilen hab ich eigentlich heut nachmittag schon über HiJackThis gelöscht. Logfile of HijackThis v1.99.1 Scan saved at 22:23:52, on 23.01.2006 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url]http://www.t-online.de/service/redir/ie_t-online.htm[/url] R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = [url]http://www.t-online.de/service/redir/tosw5_internet.htm[/url] R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;; O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min [color=red]O4 - HKLM\..\Run: [fe8b14bdbb0] C:\WINDOWS\System32\fe8b14bdbb0.exe[/color] O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe [color=red]O4 - HKCU\..\Run: [fe8b14bdbb0] C:\WINDOWS\System32\fe8b14bdbb0.exe[/color] O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\SYSTEM32\spool\drivers\w32x86\3\E_SRCV02.EXE O4 - Global Startup: Labtec Maus Software 2.0.lnk = C:\Programme\Labtec\Wireless Mouse\MulMouse.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm O17 - HKLM\System\CCS\Services\Tcpip\..\{35175E58-4B60-46A5-ADC1-C0FEFEF3CBC6}: NameServer = 217.237.151.97 217.237.150.33 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe [color=red]O23 - Service: WindowInstallSystem (fe8b14bdbb0svr) - Unknown owner - C:\WINDOWS\fe8b14bdbb0.exe[/color] O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: mysql - Unknown owner - C:\Tim\Homepage\Server\xampp\mysql\bin\mysqld-nt.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe |
| overdose | Boah, was wird denn dann alles fürn Krempel mitgeladen? Zuerst nehmen wir mal den CW-Shredder, vllt bringt der schon was. Lade ihn mal hier runter und führe die .exe aus: [url]http://www.intermute.com/spysubtract/cwshredder_download.html[/url] Suche zuerst mit "Scan only", danach nochmal mit "Fix" |
| overdose | [QUOTE][i]Original geschrieben von BlackDragon [/i] [B]Warum? [/B][/QUOTE] Dass hier einige gleich mit formatieren kommen oder Windows neu installieren .. menno, wir leben nicht mehr in der Win95 Zeit. |
| overdose | [QUOTE][i]Original geschrieben von Lord_Fallerton [/i] [B]P.S.: @Tim, du hast hoffentlich das File (C:\WINDOWS\System32\fe8b14bdbb0.exe) schon gelöscht. Sollte es nach einem Systemstart wieder da sein, haben wir den Feind. [/B][/QUOTE] Das bringt nichts, die .exe-Dateien werden bei jedem Bootvorgang neu geschrieben. Wäre schön, wenn es so einfach wäre.:( |
| BlackDragon | CW-Shredder findet auch nichts. Den Onlinescan von Lord Fallerton werd ich erst morgen mal machen - der zeigt mir eine geschätzte Dauer von >70 min an... EDIT: Ach ja, die Files kommen wirklich bei jedem booten wieder - habs schon mit löschen versucht. |
| overdose | Mist. Ok, dann mach mal bitte folgendes: - öffne Spybot - oben findest Du das Fenster 'Modus'. Stell dort mal auf erweiterten Modus. - Gehe auf 'Werkzeuge', dann auf 'System-Start' - dort klickst Du oben auf 'Exportieren' - den Inhalt dieser Textdatei bitte hier mal reinkopieren |
| BlackDragon | Located: HK_LM:Run, ATIModeChange command: Ati2mdxx.exe file: C:\WINDOWS\system32\Ati2mdxx.exe size: 28672 MD5: fae95d6d7651b5629c4e19adbc9a3863 Located: HK_LM:Run, AtiPTA command: atiptaxx.exe file: C:\WINDOWS\system32\atiptaxx.exe size: 307200 MD5: 8e4e7a199cccdff173f5231af30ddbc1 Located: HK_LM:Run, AVGCtrl command: "C:\Programme\AVPersonal\AVGNT.EXE" /min file: C:\Programme\AVPersonal\AVGNT.EXE size: 180327 MD5: a9f455a03fa0fef8b85c68b123a5bb99 Located: HK_LM:Run, DownloadAccelerator command: C:\PROGRA~1\DAP\DAP.EXE /STARTUP file: C:\PROGRA~1\DAP\DAP.EXE size: 1254400 MD5: 65dbc672e4879b513d8a29727c06f6c8 Located: HK_LM:Run, fe8b14bdbb0 command: C:\WINDOWS\System32\fe8b14bdbb0.exe file: C:\WINDOWS\System32\fe8b14bdbb0.exe size: 82005 MD5: f02bd8199a93d92c6122e7b11f01e81a Located: HK_LM:Run, SmcService command: C:\PROGRA~1\Sygate\SPF\smc.exe -startgui file: C:\PROGRA~1\Sygate\SPF\smc.exe size: 2372760 MD5: f3cc67ebbd33ec8d87be51169b5add6d Located: HK_LM:Run, SystemTray command: SysTray.Exe file: C:\WINDOWS\system32\SysTray.Exe size: 3072 MD5: e3b901471faaaa0ae8e87e439a47ab32 Located: HK_LM:Run, VOBRegCheck command: C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg file: C:\WINDOWS\System32\VOBREGCheck.exe size: 153088 MD5: 6a38c3bf1da4914c78169a76665b12b9 Located: HK_LM:Run, WinampAgent command: C:\Programme\Winamp\winampa.exe file: C:\Programme\Winamp\winampa.exe size: 33792 MD5: 11aa6662a1be30375afd1a8407811e7e Located: HK_CU:Run, CTFMON.EXE command: C:\WINDOWS\System32\ctfmon.exe file: C:\WINDOWS\System32\ctfmon.exe size: 13312 MD5: d7ce89274b884b6b59764d96b49003df Located: HK_CU:Run, fe8b14bdbb0 command: C:\WINDOWS\System32\fe8b14bdbb0.exe file: C:\WINDOWS\System32\fe8b14bdbb0.exe size: 82005 MD5: f02bd8199a93d92c6122e7b11f01e81a Located: Startup (allgemein), Labtec Maus Software 2.0.lnk command: C:\Programme\Labtec\Wireless Mouse\MulMouse.exe file: C:\Programme\Labtec\Wireless Mouse\MulMouse.exe size: 253952 MD5: 60cf28bdb4d200685ee48801fa05fd0b Located: Startup (allgemein), EPSON Status Monitor 3 Environment Check 2.lnk command: C:\WINDOWS\SYSTEM32\spool\drivers\w32x86\3\E_SRCV02.EXE file: C:\WINDOWS\SYSTEM32\spool\drivers\w32x86\3\E_SRCV02.EXE size: 135680 MD5: 4508d0da06456fff34def785ba2e4d1e |
| overdose | Das sieht mir verdammt nach Look2Me aus, das Würmchen hatte ich schon 2 mal. Ich hoffe, dasses der ist. [url]http://www.wintotal.de/server/l2mfix.zip[/url] Lade Dir das Removal Tool bitte mal runter. l2mfix.exe (Look2Me-Fix) entpacken und installieren. Die l2mfix.bat öffnen, beliebige Taste drücken und dann den Anweisungen folgen. |
| BlackDragon | Beim Entpacken gibt mir AntiVir die Warnung "L2MFIX\PROCESS.EXE Enthält Signatur des SPR/Processor.20-Programmes" aus. Ich nehme an das ist normal? |
| overdose | [QUOTE][i]Original geschrieben von BlackDragon [/i] [B]Beim Entpacken gibt mir AntiVir die Warnung "L2MFIX\PROCESS.EXE Enthält Signatur des SPR/Processor.20-Programmes" aus. Ich nehme an das ist normal? [/B][/QUOTE] ja |
| BlackDragon | Fertig. Scheint aber nichts gebracht zu haben. [URL=http://www.szenische-paedagogik.de/log.txt]Hier[/URL] das Log... |
| overdose | Dann lass nochmal HJT drüberlaufen und kopiere das Log hier rein. Ich muss kurz nach etwas suchen. |
| BlackDragon | Logfile of HijackThis v1.99.1 Scan saved at 00:00:24, on 24.01.2006 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\WINDOWS\fe8b14bdbb0.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Tim\Homepage\Server\xampp\mysql\bin\mysqld-nt.exe C:\WINDOWS\System32\wdfmgr.exe C:\WINDOWS\System32\atiptaxx.exe C:\PROGRA~1\DAP\DAP.EXE C:\Programme\Winamp\winampa.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\fe8b14bdbb0.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Labtec\Wireless Mouse\MulMouse.exe C:\WINDOWS\System32\fe8b14bdbb0.exe C:\WINDOWS\explorer.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE C:\Programme\VideoLAN\VLC\vlc.exe C:\Dokumente und Einstellungen\lklhlrlh lklghll\Desktop\Musik\gfhjk\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url]http://www.t-online.de/service/redir/ie_t-online.htm[/url] R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = [url]http://www.t-online.de/service/redir/tosw5_internet.htm[/url] R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;; O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [fe8b14bdbb0] C:\WINDOWS\System32\fe8b14bdbb0.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [fe8b14bdbb0] C:\WINDOWS\System32\fe8b14bdbb0.exe O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\SYSTEM32\spool\drivers\w32x86\3\E_SRCV02.EXE O4 - Global Startup: Labtec Maus Software 2.0.lnk = C:\Programme\Labtec\Wireless Mouse\MulMouse.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm O17 - HKLM\System\CCS\Services\Tcpip\..\{35175E58-4B60-46A5-ADC1-C0FEFEF3CBC6}: NameServer = 217.237.151.97 217.237.150.33 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe O23 - Service: WindowInstallSystem (fe8b14bdbb0svr) - Unknown owner - C:\WINDOWS\fe8b14bdbb0.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: mysql - Unknown owner - C:\Tim\Homepage\Server\xampp\mysql\bin\mysqld-nt.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe |
| overdose | Da sind min. 5 Prozesse drinne, die da nicht hingehören. Ich werde mal sehen, was ich tun kann, kann etwas dauern. |
| BlackDragon | Lass Dir Zeit... Ich hab übrigens noch was vergessen zu erwähnen: Würde ich auf die Links im IE klicken, die mir der Wurm anzeigt, würde ich auf der Seite hier landen: [url]www.removetracks.info[/url] (Die Variablen hab ich bei der Adresse mal weggelassen, man kann also ruhig draufklicken...) |
| overdose | [quote]C:\WINDOWS\fe8b14bdbb0.exe C:\WINDOWS\System32\fe8b14bdbb0.exe C:\WINDOWS\System32\fe8b14bdbb0.exe O4 - HKLM\..\Run: [fe8b14bdbb0] C:\WINDOWS\System32\fe8b14bdbb0.exe O4 - HKCU\..\Run: [fe8b14bdbb0] C:\WINDOWS\System32\fe8b14bdbb0.exe O23 - Service: WindowInstallSystem (fe8b14bdbb0svr) - Unknown owner - C:\WINDOWS\fe8b14bdbb0.exe[/quote] Lade die Datei mal bitte hier hoch: [url]http://virusscan.jotti.org/[/url] Wenn sie bekannt ist, sollten wir wenigstens wissen, um welchen Wurm es sich handelt. Hoffe, Du kannst Dich von Willy trennen ;) |
| BlackDragon | Sieht mir nach 'nem Volltreffer aus?! Zu der Datei gibts übrigens noch 'ne gleichnamige .ini und .sys File: fe8b14bdbb0.exe Status: INFECTED/MALWARE MD5 aa72fe62bc984b199c653d5117022d59 Packers detected: - Scanner results AntiVir Found Backdoor-Server/HacDef.BJ backdoor ArcaVir Found Trojan.Small.A09.A4 Avast Found nothing AVG Antivirus Found BackDoor.Generic.MTB BitDefender Found Backdoor.Hacdef.BJ ClamAV Found nothing Dr.Web Found BackDoor.HackDef.117 F-Prot Antivirus Found W32/Hackdef.FD Fortinet Found W32/HacDef.BJ-bdr Kaspersky Anti-Virus Found Backdoor.Win32.HacDef.bj NOD32 Found Win32/HacDef Norman Virus Control Found W32/Hacdef.AP UNA Found Backdoor.Hacdef VBA32 Found Backdoor.Win32.HacDef.bj |
| overdose | Bingo! Ich suche mal nach nem externen Removal Tool, sonst versuchen wirs mit AntiVir. |
| overdose | Kennst Du das Programm "a²"? |
| BlackDragon | Nein, hab das nur in der Titelleiste der Seite, die Lord Fallerton verlinkt hat, gelesen... |
| overdose | Komm mal bitte im ICQ online, das muss man nicht unbedingt im Forum machen. |
| overdose | [url]http://www.f-secure.de/v-desk/hacdef.shtml[/url] Das ist Willy. Nur leider hat Blacklight nicht geholfen und andere Programme gegen Rootkits kenne ich bis jetzt nicht. Jemand ne Idee? |
| BlackDragon | Ja, wie overdose sagte, haben wir zumindest rausgefunden, was Willy denn nun ist. Ich Danke Dir nochmal vielmals, overdose! Blacklight findet nur einen Teil des rootkits. Ausserdem gibt es noch einen Unterschied zu den Beschreibungen bei obigem Link: Die folgenden zwei Registrierungsschlüssel fehlen, weshalb dem Teil mit normalen Mitteln auch im abgesichertem Modus nicht beizukommen ist: HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\[Dienstname] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\[Dienstname] Ich versuche nachher nochmal Blacklight im abgesicherten Modus laufen zu lassen, vielleicht findet es ja den schlummernden Wurm... |
| overdose | Da gibts noch andere Einträge, die weg müssen. Melde Dich mal im ICQ, dann gehts weiter ;) |
| BlackDragon | Muss nochmal schnell weg und schau dann so gegen 18:00 ins ICQ ob Du da bist. Gerade hab ich versucht die F-Security 2006er testweise zu installieren, aber die will nur, wenn ich antivir, Spybot und ad-aware deinstalliere. :rolleyes: |
| overdose | Das AntiVir kannst Du mal deinstallieren, das brauchen wir nachher nicht mehr. Lass Dir Zeit, bin ab etwa 19 Uhr on ... ;) |
| BlackDragon | Im Westen nichts neues... Wir haben das Problem jetzt eingegrenzt, aber nicht gelöst. Laut BitDefender handelt es sich um Backdoor.Hackdef.117 bzw. Backdoor.Hackdef.bj Das Bitdefenderlog findet sich [URL=http://www.szenische-paedagogik.de/bitdefend.txt]hier[/URL] Allerdings scheint Bitdefender nicht alles gefunden und gelöscht zu haben, denn der IE zeigt immernoch nur Schrott an. Warnungen und Errors habe ich bis jetzt nocht nicht wieder gehabt, aber das kommt sicherlich die nächsten minuten wieder. Auch finden sich im regedit unter Local Machine -> System -> CurrentControlSet -> Services zwei Schlüssel, deren Namen wie der der gefundenen infizierten Dateien beginnt und einmal auf drv und einmal auf svr endet. Löschen bringt nichts, beim Neustart sind sie wieder da... |
| Gr. Gaulichter | nochmal msconfig in Start -> Ausführen und auf den letzten reiter klicken. findet sich da was? ansonsten soll es ja auch würmer geben, die sich in die autoexec.bat unter c: packen. einfach mal reinschnüffeln. [URL=http://www.mlin.net/StartupCPL.shtml]der hier[/URL] ist auch ein "must have" und dann mach mal aus dem großen "Die" und dem großen "Träumen" in deiner signatur die kleinen varianten. gg.grüße |
| BlackDragon | Ups...das Träumen ändere ich, aber das Die bleibt, weil es ein Zeilenanfang ist und das bei Lyrik durchaus groß geschrieben wird. ;) Was Willy angeht: Er hat gewonnen. Wir haben wirklich gestern und heute stundenlang alles probiert: ad-aware, spybot, antivir, bitdefender, rootkitrevealer, regedit, hijackthis, ccleaner, a², rsw, bluelight und vieles mehr. Im abgesicherten und normalen Modus. Wir haben alles vor und zurück laufen lassen, manuell gelöscht, die registry bearbeitet - es hilft alles nichts. Entweder die Registryeinträge oder die Dateien kommen immer wieder... Nicht zuletzt findet sich beim Googeln auf allen Internetforen bei der Frage nach diesem RootKit nur eine Lösung: Format C:. Demzufolge werde ich die nächsten Tage mal alles brennen, was ich brauche und dann Windows neu installieren. :( @Gaulichter: Ja, da findet sich wiedermal 2x fe8b14bdbb0. Genauso heißen auch die Dateien (exe, ini und sys) und die im regedit gefundenen Schlüssel (einmal mit -drv und einmal mit -svr) |
| Gr. Gaulichter | momomoment mal, hier wird erstmal nüscht formatiert. dein log sagt, dass BitDefender nicht disinfecten konnte. macht ja nix. zumindest diese dateien sind extra nur für den wurm, die kann man im durchlauf auch löschen lassen. außerdem [url]http://de.trendmicro-europe.com/consumer/vinfo/encyclopedia.php?VName=BKDR_HACKDEF.C[/url] vielleicht hilft auch [url]http://www.pro-support.de/ps1.pl?noframes;read=1804[/url] oder das [url]http://support.microsoft.com/kb/890830/de[/url] gg.grüße |
| BlackDragon | Sowohl der erste, als auch der zweite Link von Gaulichter sagen mir ich solle Registrierungseinträge löschen, die bei mir nicht vorhanden sind - beziehen sich also auf eine andere Version des RootKits. Die Microsoftprodukte werd ich mir mal ankucken. Was mir noch einfiele, wäre die gesamte Registry zu durchsuchen und alles zu löschen, was fe8b14bdbb0 heißt. Da hab ich nämlich noch das ein oder ander gefunden. Mit viel Glück lösche ich dabei den Eintrag, der die anderen und die Dateien immer wieder neu schreibt. |
| BlackDragon | Der Wurm ist weg! Klingt komisch, ist aber so... Nachdem ich schon aufgegeben hatte und das System neu aufspielen wollte, ist der Wurm verschwunden. Dabei hab ich die letzten Tage garnichts mehr in der Richtung unternommen... Die Dateien und Registryeinträge sind weg, nur eine .sys-Datei war noch übrig und die hab ich gerade gelöscht. Kann es sein, dass das Ding eine Zeitschaltung oder Selbstzerstörung oder sowas in der Art hatte? O.o |
| Hirogen | vielleicht waren ihm die seiten zu unseriös, auf denen du dich rumgetrieben hast? oder er hat gemerkt, dass du ein wehrloses schlachtopfer bist und ihm wurde langweilig ect... egal, sei doch froh das er weg ist...evtl ists ja auch nur wieder eine finte.. mfG Hirohito |
| Sirius | Interessant - den hatte ich auch mal. Allerdings war das noch eine Vorgänger-Version, glaub ich. Gleiche Sympthome, jedoch nicht ganz so agressiv. Nachdem so ziemlich alle Viren-Killer kläglich versagt hatten (hartnäckige Sau, sehr resistent) half es schließlich, ganz simpel einen neuen Benutzer anzulegen und den verseuchten Benutzer zu löschen - traraaaaa. Ob das bei dem noch so funktioniert, weiß ich allerdings nicht... |
| Toxic Wolf | Ich weiss schon warum ich Unix benutze und kein Windows ;) Aber mal ein vorschlag fuer die weitere Zeit am "Windows" Rechner. AntiVirus: Kaspersky Anti Virus Firewall: Kerio Personal Firewall Spyware: A-Squared Maleware Browser: Firefox only ;) eMail: Thunderbird MfG Toxic Wolf PS: Ja, ich weiss das es sich hier um einen 3 Monate alten Thread handelt ;) |
