Hallo zusammen,
Seit heute habe ich das Problem, dass sich bei jedem PC-Start ein Fenster öffnet "Persönliche Einstellungen werden geladen für: shar".

Ich habe schon so ziemlich alles im Internet abgeklappert (Online-Trojaner Checker, AVG, Microsoft Spyware Finder, CCleaner, Adaware etc..) finde aber keine Lösung dazu.

Es deaktiviert mir den Antivir Guard, er lässt sich danach auch nicht wieder aktivieren er wird immer wieder deaktiviert?

Was ist das bloss? und wie werde ich das wieder los?

Kann mir bitte jemand helfen

Danke!

mawal

Da wollen wir doch mal hoffen, daß aus dem shar kein shark wird.
Du machst ein Hijackthis-Log und postest es hier.
http://www.trojaner-board.de/17493-a...ijackthis.html

Nimm als Download-Link
WinTotal - Software - HijackThis

O.k.
hier das logfile, allerdings bin ich nicht so der Computerextere ich hoffe ich habe es richtig gemacht und Ihr könnt mir helfen:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:07:16, on 06.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
C:\WINDOWS\rundll32 .exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\RocketDock\RocketDock.exe
C:\HiJack\HijackThis.exe
C:\Programme\Mozilla Firefox\firefox.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bluewin.ch/index_d.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Dcads Search Assistant - {1648E328-3E5A-4EA5-A9C6-E5F09EE272DA} - C:\WINDOWS\system32\dcads_sidebar.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: dcads - {6FC3C36D-7635-4D43-BA62-0D9D2F2CD06E} - C:\WINDOWS\system32\nsm18.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Tooltipizer - {C004D9F0-A742-4DC7-AFD0-BC29CE3FE04A} - (no file)
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKCU\..\Run: [Windows Update] C:\WINDOWS\rundll32 .exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - Global Startup: RocketDock.lnk = C:\Programme\RocketDock\RocketDock.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\Microsoft Office\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\Microsoft Office\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\Microsoft Office\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: DirMS_Defragmentation - Unknown owner - C:\Programme\MATCO\DirmsService.exe (file missing)
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 6125 bytes


Vielen Dank!

mawal

Hallo!

Zitat:

C:\WINDOWS\rundll32.exe

ist dein Problem

Lasse diese datei bitte bei VirusTotal auswerten, und poste das Ergebnis - auch wenn nichts gefunden wurde!

___________________

Nun noch bitte eScan durchlaufenlassen, und den Bericht posten!


___________________

Öffne HijackThis, klicke auf scan, und mache vor diese Einträge ein Häckchen:

Zitat:

O2 - BHO: Dcads Search Assistant - {1648E328-3E5A-4EA5-A9C6-E5F09EE272DA} - C:\WINDOWS\system32\dcads_sidebar.dll

O2 - BHO: dcads - {6FC3C36D-7635-4D43-BA62-0D9D2F2CD06E} - C:\WINDOWS\system32\nsm18.dll

O4 - HKCU\..\Run: [Windows Update] C:\WINDOWS\rundll32 .exe

nun "Fix checked" klicken, und PC neustarten.

_________________________

Das fixen und Bereinigen kannst du dir sparen.

Bei dir läuft dieses nette Würmchen und spioniert dich fleißig aus.

Setzte deinen Rechner daher umgehend neu auf! Anleitung ist in meiner Signatur verlinkt.
Ändere danach umgehend alle Zugangsdaten und Passwörter!

Hallo,
Danke an Alle! Besonders an 11boy11 für die Hilfe!! Ich habe alles nach Deiner Anleitung gemacht, leider ohne Erfolg.

Virustotal meldet das:

Datei rundll32.exe empfangen 2008.01.06 05:12:11 (CET)
Status: Beendet
Ergebnis: 0/32 (0.00%)

eScan findet Probleme, leider kann ich das Protokoll weder anhängen noch die Zeilen posten da es zu gross ist.

Ich glaube ich muss den PC so wie es undoreal vorschlägt platt machen..........

Welche Idiot haben da Spass dran.... Ich kapier diese blöden Hersteller von Trojaner nicht.....

Danke !!

mawal

Zitat:

Zitat von mawal

Welche Idiot haben da Spass dran.... Ich kapier diese blöden Hersteller von Trojaner nicht.....

zu allen Dingen gehören 2, Du hast Dir den Wurm installiert, kein anderer.
Und wenn Du Dein Verhalten nicht änderst, wird es wohl wieder passieren, ganz einfach.

btw: ändere alle Passwörter, nach dem Formatieren.

have fun,
Heike

@undoreal: Was micht Dich sicher, daß es sich um gerade diesen Wurm handelt?

@mawal : Hast Du wirklich
C:\WINDOWS\rundll32.exe
und nicht
C:\WINDOWS\system32\rundll32.exe gescannt?
Letzteres ist eine Systemdatei.

Auch
C:\WINDOWS\system32\nsm18.dll
würde ich bei virustotal.com überprüfen lassen.