Hi,

Hab folgendes problem.

Ich war mal wieder im internet unterwegs und hab mir durch nen dummen popup glaube was eingefangen. Denn dann kam ein fenster mit pornografischen bildern hervor das sich nicht schliessen lässt.

Da eh nix mehr ging hab ich den PC neugestartet.

Nun hab ich mit Antivirenkit2005 mein pc durchsucht und der hat 24 viren gefunden. Aber mein destop hintergrund ist komplett blau und in der mitte steht : SYSTEM STOPPED und noch was auf englisch darunter.

Der hintergrund lässt sich auch nicht ändern und in den taskmanager kann ich auch nicht rein. Da steht der administrator hätte ihn deaktiviert...

Und bei jedem windows start öffnet sich spysheriff. ich weis auch net voher das kommt, ich kenn es zumindest nicht. Hab noch nie vorher installiert..

Es sucht immer was und will das ich es aktiviere.

Wie bekomm ich das weg und wie kann ich mein desktop ändern und den taskmanager öffnen?? PLZ HELP!

Danke im vorraus

Poste zunächst einen Log mittels Hijackthis .

Logfile of HijackThis v1.99.1
Scan saved at 20:04:41, on 16.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\Explorer.exe
E:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
E:\Programme\AntiVirenKit 2005 trial\AVKService.exe
E:\Programme\AntiVirenKit 2005 trial\AVKWCtl.exe
E:\WINDOWS\System32\nvsvc32.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\System32\kernels32.exe
E:\Programme\Internet Explorer\iexplore.exe
E:\WINDOWS\System32\wuauclt.exe
C:\Program Files\SpySheriff\SpySheriff.exe
E:\DOKUME~1\F!ReFoX\LOKALE~1\Temp\Rar$EX00.360\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
F2 - REG:system.ini: Shell=Explorer.exe E:\WINDOWS\System32\kernels32.exe
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [System] E:\WINDOWS\System32\kernels32.exe
O4 - HKCU\..\Run: [AVKBar] "E:\Programme\AntiVirenKit 2005 trial\AVKBar.exe"
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - E:\WINDOWS\System32\Shdocvw.dll
O21 - SSODL: System - {7BD4A02C-09D4-40EE-B9F8-689E86BF5315} - vr_sys.dll (file missing)
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - E:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - E:\Programme\AntiVirenKit 2005 trial\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - E:\Programme\AntiVirenKit 2005 trial\AVKWCtl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - E:\WINDOWS\System32\HPZipm12.exe

Das sieht nicht gut aus.
Lass mal diese Datei :

C:\winstall.exe

zur Sicherheit hier prüfen:

http://virusscan.jotti.org/de/

Beende den laufenden Prozess vorher im Takmanager.

Datei: winstall.exe
Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: Bitte warten...

AntiVir PMS/Renos.A possible malicious software gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Trojan.DownLoader.2912 gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Misc/Renos.A gefunden
Kaspersky Anti-Virus not-virus:Hoax.Win32.Renos.a gefunden
mks_vir Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
VBA32 Keine Viren gefunden


Darüber war noch ne datei die mir verdächtig vorkam und hab sie auch prüfen lassen...



Datei: lo988804254.exe
Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: FSG

AntiVir TR/Dldr.Small.agq.1 gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Trojan.Downloader.Small-566 gefunden
Dr.Web Trojan.DownLoader.2911 gefunden
F-Prot Antivirus unknown virus gefunden (mögliche Variante)
Fortinet Misc/Generic.6C96 gefunden
Kaspersky Anti-Virus Trojan-Downloader.Win32.Small.axu gefunden
mks_vir Win32 gefunden (mögliche Variante)

NOD32 probably a variant of Win32/TrojanDownloader.Small.APD gefunden (mögliche Variante)

Norman Virus Control Keine Viren gefunden
VBA32 TR.Dldr.Small.agq.1 gefunden

Hallo,
lad dir mal a2 runter und lass es über dein System laufen, aber mit dem neuesten update. http://www.emsisoft.de/de/software/download/ Dann geb mal Spysheriff bei Google ein. Da findst du nur vier Einträge welche allerdings in französich verfasst sind. Die Seite läßt du dir von Google übersetzen. Da hat einer das gleiche Problem wie du.
Viel Erfolg

Dann überprüfe dein System zunächst mit Escan .
Teile uns die Ergebnisse mit.

a2 musste ich nen account erstellen. hab meinen namen und email adresse angegeben. da stand dann ich würde ne mail bekommen. Es kahm aber bis jetzt keine... habe die mail-adresse 3 mal überprüft und habe sie auch richtig geschrieben.

das andere tool hat beim ersten scan 8 und beim zweiten 12 viruse gefunden.
Beim 2ten scan hab ich aber diesmal nicht auf ok geklickt. kann ja sein dass ich was anderes machen muss und deswegen n paar viren geblieben sind. kernel32.exe ist noch vom ersten scan geblieben. da hat das programm nicht gelöscht. die anderen hab ich mir net gemerkt..

Und wenn ich bei google spysheriff eingebe kommen 10 seiten..

@ FIREWALLED!

Die Virus Log Information wäre uns lieber gewesen als die reine Aufzählung.
eScan löscht auch leider keine Malware mehr, da mußt du schon selbst Hand anlegen.

btw:
Die Mehrzahl von Virus heißt Viren.

Ach so sorry.

Die viren hat er gefunden:


File E:\WINDOWS\vr_sys.dll infected by "Trojan-PSW.Win32.LdPinch.os" Virus! Action Taken: No Action Taken.
File E:\WINDOWS\System32\kernels32.exe infected by "Trojan-Downloader.Win32.Small.axu" Virus! Action Taken: No Action Taken.
Object "Alexa Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "CWS.therealsearch Spyware/Adware" found in File System! Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "F:\Programme\InterVideo\Common\Bin\IVIPromotion.exe". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{88E729D6-BDC1-11D1-BD2A-00C04FB9603F}" refers to invalid object "fde.dll". Action Taken: No Action Taken.
Entry "HKCR\DSP.DSP" refers to invalid object "{9C123EA9-AEC9-4f75-BBC0-7565FA1398966}". Action Taken: No Action Taken.
Entry "HKCR\Plenoptic.Plenoptic" refers to invalid object "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Action Taken: No Action Taken.
Entry "HKCR\Plenoptic.Plenoptic.1" refers to invalid object "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Action Taken: No Action Taken.
Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr" refers to invalid object "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Action Taken: No Action Taken.
Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr.1" refers to invalid object "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Action Taken: No Action Taken.
File E:\WINDOWS\System32\abc.exe infected by "Trojan-PSW.Win32.LdPinch.os" Virus! Action Taken: No Action Taken.
File E:\WINDOWS\System32\latest.exe infected by "Trojan.Win32.Crypt.c" Virus! Action Taken: No Action Taken.
File E:\WINDOWS\System32\vxh8jkdq2.exe infected by "not-virus:Hoax.Win32.Renos.a" Virus! Action Taken: No Action Taken.
File E:\WINDOWS\System32\~update.exe infected by "Trojan.Win32.Crypt.c" Virus! Action Taken: No Action Taken.
File E:\DOKUME~1\F!ReFoX\LOKALE~1\Temp\2.qtdfmp infected by "not-virus:Hoax.Win32.Renos.a" Virus! Action Taken: No Action Taken.
File E:\DOKUME~1\F!ReFoX\LOKALE~1\Temp\6.qtdfmp infected by "Trojan-Downloader.Win32.Small.aux" Virus! Action Taken: No Action Taken.
File E:\DOKUME~1\F!ReFoX\LOKALE~1\Temp\7.qtdfmp infected by "Trojan-Downloader.Win32.Small.atl" Virus! Action Taken: No Action Taken.

Teile uns die Ergebnisse wie folgt mit:

Zitat:

[5] Rechtsklick auf die Find.rar -> Ziel speichern unter… z.B. 'C:\Find.rar' -> 'Find.rar' entpacken z.B. 'C:\Find.bat' -> 'Find.bat' doppelklicken und den Scan abwarten -> den Inhalt [6] der automatisch erstellten 'C:\eScan_neu.txt' posten.

So können wir feststellen, ob Escan richtig ausgeführt wurde.

Da im fenster steht folgendes:

E:\>if not eXist c:\bases\mwav.log goto 1

E:\>if not eXist c:\bases_X\mwav.log goto 2


eine eScan_neu.txt hat er nicht erstellt.

Die Pfade stimmen nicht mit den Abfragen überein, daher die Fehlermeldung.
Meiner Meinung nach, solltest du dein System neu aufsetzen, siehe meine Signatur.

OK. hab mein Windows neu insalliert. Viren und spysheriff sind weg!

Werde nieeeee wieder auf irgendeinen pop-up mit werbung klicken!!

Nochmals Danke für die Hilfe

Hallo zusammen,

ich habe genau das gleiche Problem auf meinen PC und habe auch mehr als 20 Trojaner auf dem Rechner gefunden. Aber genau wie erwähnt lädt sich auch bei mir immer dieses SpySheriff auf dem Desktop und blockiert mir den Task Manager und die Systemsteuerung. Werd mein System wohl auch neu formatieren dürfen.