Servus,

habe seit einigen Tagen (Samstag dürfte es gewesen sein) das Problem, dass sich bei mir in der "aktive Programme"-Leiste ein rotes X meldet, verbunden mit einem "Pop-Up", dass mein PC infiziert wäre, und ich dochdie Seite besuchen sollte um einen Scan durchzuführen.
Bei einem Klick auf OK öffnet sich die Seite yourprivacyguard.com und will einen Scan durchführen. Leider kommt es immer und immer wieder, ich kann dagegebn scheinbar nichts unternehmen, ihr aber sicher, hehe.
Das Problem haben auch andere Leute, diese posteten ihren Hijack-Log, also will ich dies auch einmal tun. Name, sowie Internetanbieter wurden durch Musternamen ersetzt.
Anbei noch ein Screen der Meldung und der Seite.

[quote]Logfile of HijackThis v1.99.1
Scan saved at 12:53:38, on 26.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Acer\eManager\anbmServ.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ltmoh\ltmoh.exe
C:\Dokumente und Einstellungen\MUSTERNAME\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.INTERNETANBIETER.de/internet-cd/
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: MSVPS System - {A4D00A75-F69A-49FD-9058-AB925712CCFF} - C:\WINDOWS\popnetkqw.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: The jokwmp - {AB9235F6-DB9F-4FDC-AAFB-A3BAF1849E34} - C:\WINDOWS\jokwmp.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [ugdccw] "C:\PROGRA~1\YOURPR~1\UGDCcw.exe" -start
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: RaConfig2500.lnk = C:\Programme\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110a-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: rmvgor - {62AC7B96-EC0F-44E9-A639-28437334388A} - C:\WINDOWS\rmvgor.dll
O21 - SSODL: sapnet - {4E89FC71-DDE4-44E0-AEE0-F91EF2A31D17} - C:\WINDOWS\sapnet.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
[quote]

http://img249.imageshack.us/img249/402/gsdfdyx1.jpg


DANKE im Voraus!

Hi und Herzlich Willkommen im Trojaner-Board

das sieht mir doch ganz nach dem Zlob aus. Befolge als
erstes folgende Anleitung:
* Anleitung zur Entfernung von Zlob alias Puper, Fakealert, Smitfraud

* HijackThis - Fix Cecked
- Wechsel in den abgesicherten Modus (beim Booten F8 drücken)
- Führe deine Hijackthis.exe - Datei aus
(bestätige die eventuelle Warnung mit "ok")
- Wähle die Option "Do only a System Scan"
- Setze bei folgenden Einträgen links im Kästchen einen Haken

Zitat:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2

- Scrolle nach unten und klicke auf "Fix checked"
- Neustart in den Normalmodus

Erstelle anschließend ein weiteres HijackThis und einen Escan:
* MWAV (eScan) - Free Antivirus
1. Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
(Bei Updateproblemen -> Updateprobleme beheben
(Sollte der Hinweis erscheinen, dass du nur mit der Vollversion
die Funde löschen kannst, breche den Scan NICHT ab)
2. Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
- rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)
- führe die find.bat aus
- das erstellte Log kopierst du ab und postest in deinen nächsten Beitrag
3. Entferne bitte nicht selber von escan alarmierte Funde.
Es sind erfahrungsgemäß viele Fehlalarme dabei

mfg Cleriker

Danke schon einmal, echt klasse was ihr hier so macht und wie ihr helft!

Soll ich vorher alle wichtigen Dateien sichern, oder löscht hijack/escan wohl nichts (bei escan soll ich ja eh ncihts löschen), was mein Betriebssystem eventuell kaputt macht? Mag ja sein, dass so wichtige Dateeien beschädigt sind, dass naachher nichts mehr läuft o.ä.

Sind nämlich einige WICHTIGE Daten drauf...

also mit den Anleitungen, die ich eben gegeben habe,
wirst du erst mal nichts zerschießen. Ob dein System
nach der Berinigung sicher ist, kann ich allerdings nicht
gewährleisten. durch HijackThis werden nur Starteinträge
gelöscht, in dem Fall, Internetpopups

R1 und R0 Einträge findet HijackThis nicht, nachdem ich ja schon das andere hab durchlaufen lassen.
Lediglich einen R1-Eintrag, aber der lautet:
HKCU/Software/Microsoft/Internet Connection Wizard,ShellNext = htt://www.unserinternetanbieter(soll man auch net posten, meien ich^^).de/internet-cd/

Same as Smitfraudfix..

RemoveVideoActiveXObject
- Download: RVAXO.exe auf Deinen Desktop.
- Doppelklicke die Datei und wähle "Unzip".
- Jetzt öffne den RVAXO Ordner auf Deinem Desktop. Eventuelle Warunungen durch Dein AV Programm bitte Ignorieren, das Programm enthält keinen Virus, Dein AV Programm merkt aber, das es sich ähnlich verhält.
- In dem Order(RVAXO) sind fünf Dateien, doppelklicke die RVAXO.cmd
- Ein kleines schwarzes Fenster mit schnell laufenden Zeilen wird aufgehen, das ist normal.
- Dann kann es sein, das ein oder mehrere Unistaller von Zweifelhaften Scannern aufgehen. Schließe diese nicht, folge den Anweisungen und lass die Reinigung durchlaufen.
- Nach der Fertigstellung wird der Computer neustarten.
- Nach dem Neustart startet RVAXO mit.
- Wenn es fertig ist, erstelt es eine LogDatei RVAXO-results.log in C:\RVAXO-results.log
- Diese Logdatei dann im Forum posten.

- Um RVAXO wieder zu deinstallieren, kannst Du die Uninstall.cmd verwenden. Diese liegt im RVAXO Ordner auf Deinem Desktop.

Läuft schon wieder, musste nichts weiter machen als den ersten Schritt mit Smitfraudfix.

Ich danke Sie :P und werden Das Trojaner-Board weiterempfehlen, schließlich werden Sie hier geholfen

Poste abschließend bitte das Smitfrauffix Logfile und ein neues HJT.