Willkommen auf Planet-Liebe

diskutiere über Liebe, Sex und Leidenschaft und werde Teil einer spannenden Community! :)

jetzt registrieren

Ernstes PC-Problem: Trojaner und Spyware

Dieses Thema im Forum "Musik, Filme, Computer und andere Medien" wurde erstellt von User 8944, 11 Oktober 2004.

  1. User 8944
    Verbringt hier viel Zeit
    1.187
    121
    0
    nicht angegeben
    Hallo zusammen,

    da mache ich heute an diesem so ansich schönen Tag den Rechner an, und meine Startseite ist verschwunden. Stattdessen bricht der IE (Schande über mich, ich weiß ) den Ladevorgang ab, und lädt diese dubiose Seite:

    *** - bitte keine URL - denn so sind auch unsere user gefährdet

    Nun, ich mit Adaware alles gescannt, mit Antivir (neustes Update gerade geladen) gescannt, nichts hat sich getan, dafür wird nun 10-sekündlich dies hier entdeckt:


    C:\WINDOWS\SYSTEM32\FOLAEQIR.DLL

    Enthält Signatur des Droppers DR/Agent.BH.2


    Weder löschen, verschieben, überschreiben, zugriff verweigen funktioniert, und mein gesamter Rechner ist aufgeschmissen ...


    Ich übertreibe nicht, wenn ich sage, diese File wird 10 sekündlich erkannt ...


    Ich weiß leider nicht mehr, was ich noch tun kann ...

    Vll. kennt sich ja meine Hoffnung Kirby mit der File aus oder weiß, worum es sich handeln kann ...

    Vielen Dank
     
    #1
    User 8944, 11 Oktober 2004
  2. User 631
    Verbringt hier viel Zeit
    547
    103
    6
    nicht angegeben
    Hi und Happy Birthday :kiss:

    Ich hör mich mal nach dieser Malware um.....

    Soo, bitte mal alle Prozesse auflisten und die "msconfig" ausführen (Unter "Start/Ausführen" "msconfig" eingeben) und die Karteikarte Systemstart ansehen und nach verdächtigen Programmen suchen und oder hier auflisten.

     
    #2
    User 631, 11 Oktober 2004
  3. Rob19
    Rob19 (31)
    Verbringt hier viel Zeit
    852
    101
    0
    Single
    Virus was ist das??

    MAC user *g*


    oder nutz mal Linux (SuSe 9.1 oder so) das lästige sypware, adaware, viren, trojaner usw. würden mir langsam auf den Keks gehen :zwinker:
     
    #3
    Rob19, 11 Oktober 2004
  4. Event Horizon
    Verbringt hier viel Zeit
    197
    101
    0
    vergeben und glücklich
    Also, diese Datei ist sicherlich dafür verantwortlich.

    Besorg dir mal Spybot S&D und jag es drüber. Wenn das nicht hilft:

    Öffne mal den Taskmanager (STR ALt ENTF) , und schau dir die Prozesse an (Du hast doch XP oder 2000?)

    Fällt dir was ungewöhnliches auf? Dann beende die unbekannten Prozesse und versuche, Antivir nochmal die DAtei löschen zu lassen. Folgende Prozesse sollten nciht beendet werden:

    svchost,exe
    explorer.exe
    services.exe
    alg.exe
    AVWUPSRV.EXE
    AVGUARD.exe
    AVGNT.EXE

    Denn AntiVir kann die Datei nicht killen, solange sie noch in Benutzung ist. Und so beendest du alles, was drauf zugreifen könnte. Danach einfach neu starten.
    Kann aber sein, daß es nciht hilft.
     
    #4
    Event Horizon, 11 Oktober 2004
  5. Mr. Poldi
    Verbringt hier viel Zeit
    3.068
    121
    0
    vergeben und glücklich
    Wenn sich die Datei partout nicht löschen lässt (da gesperrt und zegehöriger-Prozess lässt sich auch nicht beenden) gibt es 2 Möglichkeiten:

    a) Es gibt ne software (glaube von Sysinternals) mit der sich dateien zwangsschließen lassen
    b) Widerherstellungskonsole oder Knoppix booten und das Dingen von Hand löschen

    > alg.exe
    Kenn ich ned -> auch abschiessen :grin:
     
    #5
    Mr. Poldi, 12 Oktober 2004
  6. User 8944
    Verbringt hier viel Zeit Themenstarter
    1.187
    121
    0
    nicht angegeben
    Ich danke euch allen für die Hilfe, aber gestern Abend wurde es so schlimm, dass ich den PC vor Frustriertheit ausgemacht habe, und erstmal Auto gefahren bin ... (<<--seit gestern darf ich das ja :tongue:, obwohl man das ja nicht zum Abreagieren machen sollte :/) ... Auf jedenfall habe ich heute im Abgesicherten Modus gestartet, Viren scann gemacht, und er hat sie auch gefunden ... Sagte, sie wäre gelockt und ob ich sie nach einem Neustart löschen wolle ... Ja geklickt ... Neu gestartet, und nun scheint es zu laufen ... obwohl ich von dieser folaeqir.dll nun nichts mehr im system32 Ordner hab e... finde ich diese Dateien:

    FOLAEQIR.DLL.001

    und

    FOLAEQIR.DLL.VIR


    Beim scannen erkennt er aber gar nichts ...


    Meint ihr, die sind noch gefährlich?



    Unter SystemProzesse habe ich das hier:


    htpatch.exe
    Dit.exe
    linkinfo.exe
    em_exec.exe
    DitExp.exe
    Webrebates1.exe <<--noch nie gesehen bisher
    Webrates0.exe
    svchost.exe
    smss.exe
    csrss.exe
    winlogon.exe
    lsass.exe
    spoolsv.exe
    mdm.exe
    slee401.exe
    MsPMSPs.exe



    Ich glaube, ich bin ein Nest .... :/
     
    #6
    User 8944, 12 Oktober 2004
  7. User 631
    Verbringt hier viel Zeit
    547
    103
    6
    nicht angegeben
    Da hast du noch ein wenig Mist in der Prozess-Liste.

    Such nach den "Webrates0.exe" in der Registry und im Programm "msconfig".

    Kill den Prozess, lösch die automatischen Startversuche in Registry und msconfig und lösch die Datei oder benenn sie um.
     
    #7
    User 631, 12 Oktober 2004
  8. Paper
    Paper (30)
    Verbringt hier viel Zeit
    91
    91
    0
    vergeben und glücklich
    ohgott holt das insektenspay ^^

    p.s
    das zur alg.exe hab ich auch und gehört zu windoof :zwinker:

    Application Layer Gateway service. Unterstützung für Internetverbindung für jede Art von Programmen (auch dem Betriebssystem). Internet Connection Sharing/Internet Connection Firewall. Sollte nicht beendet werden, ansonsten werden alle Internetverbindungen gekappt (bis zum nächsten Neustart oder Login).

    Wichtig: Die Datei "alg.exe" befindet sich im Ordner C:\Windows\System32. Wenn das nicht der Fall ist, handelt es sich bei alg.exe um einen Virus, Spyware, Trojaner oder Worm!
     
    #8
    Paper, 12 Oktober 2004
  9. User 8944
    Verbringt hier viel Zeit Themenstarter
    1.187
    121
    0
    nicht angegeben
    OK Jan,

    hab es alles rausgemacht, was ich finden konnte ... ist auch nicht mehr aufgeführt ...

    Nun stehen also praktisch noch Dinge in der Prozess-Liste die ich entweder kenne, oder halt die hier ...


    htpatch.exe
    Dit.exe
    linkinfo.exe
    em_exec.exe
    DitExp.exe
    svchost.exe
    smss.exe
    csrss.exe
    winlogon.exe
    lsass.exe
    spoolsv.exe
    mdm.exe
    slee401.exe
    MsPMSPs.exe
     
    #9
    User 8944, 12 Oktober 2004
  10. User 631
    Verbringt hier viel Zeit
    547
    103
    6
    nicht angegeben
    "linkinfo.exe"
    "MsPMSPs.exe"

    Zu diesen beiden bitte ich dich, herauszufinden, wo sie auf deiner Festplatte sind. Die kenn ich so nicht und sind mir verdächtig.
     
    #10
    User 631, 12 Oktober 2004
  11. Mr. Poldi
    Verbringt hier viel Zeit
    3.068
    121
    0
    vergeben und glücklich
    > htpatch.exe
    HyperThreading Patch für SiS-Chipsets

    > Dit.exe
    Drive Icon and Label Utility

    > linkinfo.exe
    Keine Ahnung.
    In welchem Verzeichnis befindet sich die?

    > em_exec.exe
    Logitech MouseWare

    > DitExp.exe
    ICSI USB 2.0 reader

    > svchost.exe
    MS Service Host

    > smss.exe
    Session Manager Subsystem

    > csrss.exe
    C/S Runtime Server Subsystem

    > winlogon.exe
    Windows Logon

    > lsass.exe
    Local Security Authority Sub System

    > spoolsv.exe
    Printer Spooler

    > mdm.exe
    Machine Debug Manager

    > slee401.exe
    Teil von Steganos Security Suite
    Ist die installiert?

    > MsPMSPs.exe
    Und nochmal: Keine Ahnung
    Verzeichnis?
     
    #11
    Mr. Poldi, 12 Oktober 2004
  12. User 631
    Verbringt hier viel Zeit
    547
    103
    6
    nicht angegeben
    Oder so :tongue:

    Hab da zwei chice Datenbänke im Internet gefunden, die Prozesse katalogisieren....:smile:
     
    #12
    User 631, 12 Oktober 2004
  13. User 8944
    Verbringt hier viel Zeit Themenstarter
    1.187
    121
    0
    nicht angegeben
    Ich habe die dumpfe Erinnerung, Steganos 4 installiert zu haben,richtig.
    Aber mal davon abgesehen, habe ich null Ahnung für was die anderen genannten Dinge von dir Kirby für Funktionen haben. Darum die laienhafte Frage: Ist irgendeins schädlich?


    unter msconfig sagt er mir bei Systemstart:

    linkinfo.exe C:\WINDOWS\System32\linkinfo.exe


    Dieses MsPMSPs.exe habe ich in der Registry gefunden ... da heißt es folgendermaßen:

    EventMessageFile

    Typ: REG_EXPAND_SZ

    Wert:
    C:\WINDOWS\System32\MsPMSPv.exe


    Dazu noch eine dll in System32 ...

    C:\WINDOWS\System32\mspmspsv.dll


    ImagePath: C:\WINDOWS\System32\MsPMSPSv.exe



    :what:
     
    #13
    User 8944, 12 Oktober 2004
  14. User 631
    Verbringt hier viel Zeit
    547
    103
    6
    nicht angegeben
    Die Linkinfo.exe würd ich gnadenlos....umbenennen :grin: Wenn sie dir doch fehlt, benenn sie wieder richtig....
    Und mach in der msconfig den Haken vor diesem Eintrag weg

    Bei der anderen Datei hast du uns vorher vergessen zu sagen, dass du ein "v" am Ende vergessen hast :grin: Die Datei ist sauber :smile:
     
    #14
    User 631, 12 Oktober 2004
  15. Mr. Poldi
    Verbringt hier viel Zeit
    3.068
    121
    0
    vergeben und glücklich
    Die linkinfo würde ich wie Jan schon erwähnt hat weghauen.,

    Wenn die doch zu irgendwas nutze ist wird die entsprechende Soft- oder Hardware schon meckern.

    Die mspmdingsbums ist sauber, ebenso wie die anderen Dateien.

    @Jan
    processlibrary.com :smile:
     
    #15
    Mr. Poldi, 12 Oktober 2004
  16. User 8944
    Verbringt hier viel Zeit Themenstarter
    1.187
    121
    0
    nicht angegeben
    Oh pardon ... war schon selbst verwirrt von der mpdingsbums ... Was hattn die für ne Aufgabe? Oder ist die so zum Spaß da? :tongue:


    Und vielen Dank schonmal ... habe die linkinfo aus der msconfig genommen und umbenannt ... Für den Notfall :tongue:
     
    #16
    User 8944, 12 Oktober 2004
  17. User 631
    Verbringt hier viel Zeit
    547
    103
    6
    nicht angegeben
    Die Datei gehört zum Windows Media Player - also ein halber Trojaner :zwinker:
     
    #17
    User 631, 12 Oktober 2004
  18. User 8944
    Verbringt hier viel Zeit Themenstarter
    1.187
    121
    0
    nicht angegeben
    Oh ... achso ... na gut, dann lass ich das nochmal durchgehen ...

    Scheint ja wieder in Ordnung zu sein ... :schuechte puh ... Danke!
     
    #18
    User 8944, 13 Oktober 2004
  19. User 631
    Verbringt hier viel Zeit
    547
    103
    6
    nicht angegeben
    Mein Leben ist Geben :zwinker:
     
    #19
    User 631, 13 Oktober 2004
  20. User 8944
    Verbringt hier viel Zeit Themenstarter
    1.187
    121
    0
    nicht angegeben
    :angryfire wo man vom Teufel spricht ... da läuft es und was passiert gerade?


    C:\TEMP\LC.EXE

    Ist das Trojanische Pferd TR/Dldr.Bety.A

    C:\TEMP\MSBB.EXE

    Ist das Trojanische Pferd TR/LowZones.A.2

    C:\TEMP\INSTALLER2.EXE

    Ist das Trojanische Pferd TR/Dldr.Delf.R




    Bang ...


    Dauerhafte neue Nachrichten again ...


    Ist es von irgendeiner Belangnis zu erwähnen, dass ich gerade auf meiner Clan-Page war und meine Emails per Outlook Shitpress abgerufen habe?


    ich krieg nen hals ... :eek:
     
    #20
    User 8944, 13 Oktober 2004

jetzt kostenlos registrieren und hier antworten
Die Seite wird geladen...

Ähnliche Fragen - Ernstes Problem Trojaner
ProxySurfer
Musik, Filme, Computer und andere Medien Forum
17 November 2016
3 Antworten
Katjes
Musik, Filme, Computer und andere Medien Forum
29 Oktober 2016
12 Antworten
huhngesicht
Musik, Filme, Computer und andere Medien Forum
29 Juni 2015
19 Antworten
Test