Warning, you´re in danger - extended problems

Leinad · 20.03.2005, 09:55

Ich weiß, dass dieses Thema schon einmal hier behandelt wurde, aber ich habe es leider immer noch nicht gelöst. Also:

Ich bekomme beim Hochfahren ein Bild auf meinem Desktop mit der Meldung "warning, you´re in danger" mit schwarzem Hintergrund und einem netten Text drin. Dies kann ich dann ausschalten mit Start->ystemsteuerung->darstellung und designs->design des computers ändern->desktop->desktop anpassen->web und da das "security" löschen.

Aber:
Nach kurzer Zeit ist unten in der Task-Leiste ein Ausrufezeichen da, welches, wenn man draufklickt, zu der Seite http://www.topantispyware.com/spywareremovers.php?131
weiterleiten will. Auch kommt, wenn man eine Weile im Netz ist, plötlich ein blaues Fenster mit dem Internet Explorer von "Windows" welches sagt "warning. Windows has detected spyware installed on your computer". Wenn man da draufclickt, wird man zur gleichen Seite weitergeleitet.

Außerdem:
Beim nächsten Hochfahren ist das schwarze Fenster mit "Warning.." wieder da.

Was habe ich gemacht:
- Ich habe eine log file erzeugt, sie bei HijackThis prüfen lassen und die entsprechenden Dateien löschen lassen.
- Ich habe Adaware durchlaufen lassen
- ich habe Clear prog durchlaufen lassen.
- ich habe einen Wurm-Scanner durchlaufen lassen
- ich habe http://www.ravantivirus.com/scan/indexie.php
nach was suchen lassen.

Ich habe zwar eine ganze Menge Müll damit beseitigt, das Problem allerdings nicht.

Kann mir jemand helfen?
Vielen Dank.

20.03.2005, 10:04

hast du denn auch deine autostarts x kontrolliert? es befindet sich irgendwo eine datei, die überprüft, ob dieses active desktop bild noch vorhanden ist. wenn nicht, dann wird es neu erzeugt.

Rene-gad · 20.03.2005, 10:11

@Leinad

Zitat:

Ich habe eine log file erzeugt, sie bei HijackThis prüfen lassen und die entsprechenden Dateien löschen lassen.

Automatische Auswertung ist m.E. höchst unzuverläßig geworden. Poste deinen Log bitte hier.
Ich gehe aber stark davon aus, dass ohne Neuformatieren bekommst du dein PC kaum wieder zurück.

Leinad1 · 20.03.2005, 17:56

1) @mav1976:
Autostart x - wo finde ich das? Ich schätze, Du hast mit Deiner Annahme nämlich vielleicht eine gute Spur. Danke für eine kurze Antwort.

2) @ rene-gad:

Meine Log-file (hab das Bild vom Desktop entfernt, das Ausrufezeichen ist aber in der taskleiste vorhanden):

Logfile of HijackThis v1.99.1
Scan saved at 17:52:52, on 20.03.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\atievxx.exe
C:\Programme\CPUCooL\CooLSrv.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Teledat\WCOM\SYSTEM\ccui.exe
C:\PROGRA~1\Teledat\WCOM\SYSTEM\ADBSERV.EXE
C:\Programme\Teledat\WCOM\SYSTEM\RVSRmd.exe
C:\Programme\Teledat\WCOM\SYSTEM\CCSRV.EXE
C:\Programme\Teledat\WCOM\SYSTEM\CCSRV.EXE
C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\wincmd\WINCMD32.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\wincmd\WINCMD32.EXE
C:\DOKUME~1\Daniel\LOKALE~1\Temp\$wc0\HIJACK~1.EXE

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *new-search.net*;*x-google.net*
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [routcnf] C:\Programme\DeTeWe\TA 33 USB\routcnf.exe /capiactive
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [CommCenter] "C:\Programme\Teledat\WCOM\SYSTEM\ccui.exe"
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1109710506494
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{01E7AB8E-9CA9-4B15-A1A4-9E0078B798D6}: NameServer = 130.149.4.20 130.149.2.12
O17 - HKLM\System\CS1\Services\Tcpip\..\{01E7AB8E-9CA9-4B15-A1A4-9E0078B798D6}: NameServer = 130.149.4.20 130.149.2.12
O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Programme\CPUCooL\CooLSrv.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: RVS CommCenter (RvsCC) - Unknown owner - C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE
O23 - Service: RvscomSv - Living Byte Software GmbH, München - C:\Programme\Teledat\WCOM\SYSTEM\RVSCOMSV.EXE
O23 - Service: RVS Installer (RVSINST) - Living Byte Software GmbH, München - C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE

Leinad1 · 20.03.2005, 18:17

@ rene-gad: mache ich das Desktop-Hintergrundbild nicht weg, so ergeben sich folgende Unterschiede:

a) Mit Desktop-Hintergrundbild (gegenüber Desktop-Hintergrundbild weggemacht und Ausrufezeichen unten in der Taskleiste

zusätzlicher Eintrag:
C:\WINDOWS\System32\wuauclt.exe

b) Einträge, die nur auftauchen, wenn ich das Desktop-Hintergrundbild wegmache und in der Taskleiste bereits ein Ausrufezeichen ist (was erst nach ein paar Minten auftaucht, nachdem ich das Desktop-Hintergrundbild wegmache):

O17 - HKLM\System\CCS\Services\Tcpip\..\{01E7AB8E-9CA9-4B15-A1A4-9E0078B798D6}: NameServer = 130.149.4.20 130.149.2.12
O17 - HKLM\System\CS1\Services\Tcpip\..\{01E7AB8E-9CA9-4B15-A1A4-9E0078B798D6}: NameServer = 130.149.4.20 130.149.2.12

Hier nochmal meine komplette Logfile, ohne dass ich das Desktop-Bild weggemacht habe.

Logfile of HijackThis v1.99.1
Scan saved at 18:00:58, on 20.03.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\atievxx.exe
C:\Programme\CPUCooL\CooLSrv.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Teledat\WCOM\SYSTEM\ccui.exe
C:\PROGRA~1\Teledat\WCOM\SYSTEM\ADBSERV.EXE
C:\Programme\Teledat\WCOM\SYSTEM\RVSRmd.exe
C:\Programme\Teledat\WCOM\SYSTEM\CCSRV.EXE
C:\Programme\Teledat\WCOM\SYSTEM\CCSRV.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\DOKUME~1\Daniel\LOKALE~1\Temp\$wc0\HIJACK~1.EXE

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *new-search.net*;*x-google.net*
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [routcnf] C:\Programme\DeTeWe\TA 33 USB\routcnf.exe /capiactive
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [CommCenter] "C:\Programme\Teledat\WCOM\SYSTEM\ccui.exe"
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1109710506494
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Programme\CPUCooL\CooLSrv.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: RVS CommCenter (RvsCC) - Unknown owner - C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE
O23 - Service: RvscomSv - Living Byte Software GmbH, München - C:\Programme\Teledat\WCOM\SYSTEM\RVSCOMSV.EXE
O23 - Service: RVS Installer (RVSINST) - Living Byte Software GmbH, München - C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE

dartus · 20.03.2005, 18:18

Hallo,

wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung
http://www.systemwiederherstellung-d...indows-xp.html

Scan mit HijackThis und fixe (Häckchen vor folgende Einträge und auf fix checked klicken):

O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe

Datei manuell löschen:

C:\WINDOWS\System32\spoolsrv32.exe

Neustart --> Systemwiederherstellung aktivieren

UNBEDINGT WINDOWSUPDATEN und zwar auf SP 2!

Neues Logfile

dartus

20.03.2005, 10:04	#2
mav1976 Gast	Warning, you´re in danger - extended problems hast du denn auch deine autostarts x kontrolliert? es befindet sich irgendwo eine datei, die überprüft, ob dieses active desktop bild noch vorhanden ist. wenn nicht, dann wird es neu erzeugt. __________________

Warning, you´re in danger - extended problems

Plagegeister aller Art und deren Bekämpfung: Warning, you´re in danger - extended problems