Hilfe! "You are in danger!" :-)))

hallo,

ich habe seit gestern ein kleines problem ;-) : mein hintergrundbild wird überblendet von einer "warning, You are in danger!" meldung mit entsprechendem link zur hp eines security software herstellers. wie kriege ich das ding wieder los? und wie erkenne ich, dass ein dialer evtl. im hintergrund läuft?

des weiteren hab ich eine "services.exe" entdeckt(lässt sich nich im task manager beenden), deren erstellungsdatum sich ungefähr mit der zeit deckt, an dem das hintergrundbild das erste mal überblendet wurde. die datei ist unter den system32 dateien unter MSOFFICE (??) zu finden. ist das der übeltäter?

vielen dank im voraus für eure hilfe!

 

Prüfe dein System mit nem Virenscanner
(falls du keinen hast, AntiVir und AVG gibts kostenlos).

Lass zusätzlich noch Spybot S&D sowie Ad-aware scannen.

Erstelle mit HijackThis ein Log und jag es durch die Automatische Auswertung ( http://www.hijackthis.de/ )
Den Link zum Ergebnis ("Auswertung speichern", nach der Auswertung ganz unten auf der Seite) postest du dann hier. Nur den Link, nicht das komplette Log.
Und Vorsicht, die automatische Auswertung ist nicht perfekt. Nicht einfach alles löschen was dort als "böse" angezeigt wird.

 

falls nach der virenbeseitigung das ganze immernoch vorhanden ist:
- eigenschaften vom desktop
-> reiter :desktop
-> desktop anpassen
-> reiter: web
-> element in der liste auswählen und löschen

dann sollte es fertig sein

 

hey, hallo, vielen dank für deine antwort. werde das dann gleichmal probieren. leider ist jetzt noch einiges hinzugekommen: mein modem (56er kabel) piept :-) nicht mehr, die tonwahl ist aber aktiviert. unter den netzwerkverbindungen existiert eine verbindung names "SADLR" Dialer???????? jedenfalls hab ich die gelöscht, leider fehlt die tonwahl immernoch, hier stimmt irgendwas nicht :-( wenn ich auf den "zurück-button" im explorer drücke dann schaltet sich auf jeden fall irgendein fenster für irgend ne ****o seite ein und gibt mir den status ich sei verbunden, danach wählt sich das modem ab und wieder an :-(((( Hilfe!!

 

Zieh das Kabel vom Modem aus der Dose!

Du hast dir wahrscheinlioch en Dialer eingefangen. Lass das Kabel draussen bis das Teil weg is, alles andre is zu gefährlich (bzw. teuer).

Lad dir die Programme (AntiVir, Spbot, Ad-aware, HijackThis) auf nem anderen PC runter.

 

wie krieg ich das weg, hab sämtliche antivirenprogramme da....

 

Mach mit AntiVir einen kompletten Scan aller Dateien auf allen Festplatten.

Scanne mit Spybot S&D und Ad-aware das System und liste hier auf was die alles finden.

Zu HijackThis hatte ich ja schon geschrieben:

Erstelle mit HijackThis ein Log und jag es durch die Automatische Auswertung ( http://www.hijackthis.de/ )
Den Link zum Ergebnis ("Auswertung speichern", nach der Auswertung ganz unten auf der Seite) postest du dann hier. Nur den Link, nicht das komplette Log.
Und Vorsicht, die automatische Auswertung ist nicht perfekt. Nicht einfach alles löschen was dort als "böse" angezeigt wird.

 

hijackthis logfile:

http://www.hijackthis.de/logfiles/5d04aed3c56ac35bc19cd2ec4799ec17.html

habe alles gefixt was böse bzw. evtl böse ist....

rechner läuft, hintergrundbild is auch wieder in ordnung

"SADLR" wie gesagt, gelöscht aus den netzwerkverbindungen, trotzdem noch keine tonwahl bei modem :-( immernoch dialer installiert? reicht das löschen nicht?
wo find ich bei xp die tonwahleinstellungen? hoffe, dass ich vorhin bei den richtigen einstellungen geschaut habe...aber ein modem verstellt sich doch net selbsständig :-/

 

Zum Thema Dialer gibt es HIER einiges zu Lesen.

 

meine oben gestellte frage beantwortet sich dort trotzdem leider nicht :-((( weiss jemand was?

 

doch les mal meinen ersten post...

 

Weiß ja nicht ob das bei XP auch so geht, aber bei Win2000 macht man das so:
Systemsteuerung > Telefon- und Modemoptionen > Wählregeln > eigener Standort > Bearbeiten > Wählverfahren > Ton > OK


Und teil uns mal mit was AniVir, Spybot und Ad-aware so alles gefunden haben.

 

@the doctor

da ist leider schon ton eingestellt :-(( trotzdem bleibt das modem still. der t-online hotline berater meinte ich bräuchte mir keine sorgen machen solange ich "nichts anklicken " würde. mmhhh, der weiss wohl net, dass es auch dialer gibt, die sich automatisch einwählen ;-)))

aus den system 32 dateien habe ich "sexfuck.exe" gelöscht (40 kb anwendungsdatei), gleichzeitig "SADLR" aus den netzwerkverbindungen entfernt, seitdem kommt kein dialerfenster mehr

in quarantäne - anti spy info: amax.exe, customIEModule, gpi.dll, istsvc, services.exe

a²: findet nichts (hab a² datenbank gestern aktualisiert)



ad aware quarantäne (wird aber immer wieder gefunden):

obj[0]=IECache Entry : Cookie:micha@advertising.com/
obj[1]=IECache Entry : Cookie:micha@mediaplex.com/
obj[2]=IECache Entry : Cookie:micha@servedby.advertising.com/

ad aware (sicher in quarantäne, tritt nicht mehr auf):

COOLWEBSEARCH
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[3]=File : C:\Programme\AVPersonal\INFECTED\A0000402.EXE.VIR

Hauptproblem is leider immer noch die modemsache, die macht mir angst, dass ich doch noch irgendwo draufzahle, hab das ding jetzt 5 jahre und es hat immer laut gegeben ;-) (modemlautstärke ist übrigens auf höchststufe)


@doktor kongo

gemeint war natürlich die aktuellste meiner fragen im forum (sprich: modemprob)

 

Von welchem Programm wurden die Dateien in Quarantäne geschickt und warum?

.

Also ehrlich gesagt, mir wäre das ganze nicht geheuer. Da scheint sich ja eniges angesammelt zu haben auf deiner Kiste und ob der Dialer wirklich restlos weg is weißt du auch nicht...

Da würd ich dir fast zu ner Neuinstallation raten, dann kannst du wenigstens sicher sein dass das System wieder sauber ist.

 

ich hab die dateien in quarantäne gestellt da sie neu waren, unbekannter herkunft und leider auch als "potentiell gefährlich" eingestuft wurden.

ich hoffe jetzt einfach mal, dass ich von t-online morgen mal einblick in meine kosten von gestern und vorgestern bekomme...

alles neu installieren? :-(( bis auf die modemsache is ja eigentlich alles i.o. rechner läuft stabil, internet läuft schnell und sicher, keine besonderen meldungen und momentan lass ich nen 0190 warner laufen, ab mittwoch sperrt t-online dann die 0190 (und hoffentlich auch die anderen) nummern.....

 

ok, sorry , war etwas missverständlich
aber dein modem-problem ist schon kurios

 

juhu, hab durch zufall über google ne antwort auf meine frage bekommen......einige dialer schreiben irgendeinen string des modems um, damit es nicht so auffällt wenn der dialer sich einwählt. wenn man den dialer löscht dann bleibt dieser string, da er ja auf dauer umgeschrieben ist, bestehen (also ist der dialer wirklich über alle berge). hab das modem jetzt einfach neu installiert und siehe da, es piept und knackt wie früher ;-)

 

Na dann hoff ich mal dass die ganze Sache ohne größere Kosten für dich ausgeht.

Übrigens: T-Online hat mit deinen Telefonkosten und Nummernsperren nix zu tun. Dafür ist die T-Com (ehemals Telekom) zuständig.

 

Hallo am Abend, RebellDD !

Nur noch eine Ergänzung zu "you are in danger" aus einem anderen Forum:

http://www.trojaner-board.de/showthread.php?t=9122&page=2&pp=10

Ein User namens Phalanx schrieb am 03.11.2004 bzw. zitierte:

".....andere Foren berichteten bereits im Jahr 2000 hierüber, jedoch geben die meisten dann zum Schluß leider nicht Ihre Ergebnisse an .
Ein User hat kürzlich folgendes festgestellt :

Es ist kein Hintergrundbild sondern ein Pop up Fenster.
Wenn man seine Icon verschiebt und langsam mit gedrückter Maus über den Desktop geht, soll man eine schwache Linie entdecken können die oftmals auch wieder verschwunden ist, und schließlich findet man ein X zum Schließen
des Pop up Fensters. "

Und am 4. 11. 2004 schrieb darauf hin im gleichen Forum ein User eine Anleitung:

"Juhuu,
alsoooo anleitung wie man des wegbekommt:

1 - Taskleiste Rechtsklick - Eigenschaften.
2 - Taskleiste automatisch ausblenden Aktivieren.
3 - Man kann nun einen kleinen Teil des alten Desktop hintergrundes sehen, da wo die Taskleiste früher war.
4 - Rechtsklick - Eigenschaften auf den kleinen alten Desktop ausschnitt.
5 - Dektop - Desktop anpassen
6 - Web-Karteikarte auswählen
7 - Eintrag "Security" Löschen
___________________________________________________

Mehr - insbesondere zur Dialerfrage - konnte ich dazu auch nicht finden. Aber such mal weiter, vielleicht habe ich ja Glück und dann melde ich mich wieder :-)

 

Hallo,

hatte das selbe Problem.
Im Desktop - Web Eintrag Security löschen reichte bei mir nicht aus, kam immer wieder!
Im abgesicherten Modus (F8) im Verzeichnis C:\Windows\System32 die Datei mcsmss.exe löschen und PC wieder normal starten. Jetzt den Eintrag Security in Desktop Eigenschaften (rechte Maustaste) - Dektop - Desktop anpassen - Web löschen.
Am besten noch mit Hijack This den Eintrag O*mcsmss* fixen.
Dann war es bei mir wirklich weg!!