Hallo Leute,

ich habe seit ein paar Tagen ein kleines Problem hier, nämlich: Immer nach einem Betriebssystemstart, stellt sich sich mein Desktop um, da ist nun alles Rot, ein Sichel ähnliches Zeichen und drunter steht: "Your privacy is in danger - please download protection software now". Ich habe schon bei Google nach diesem Problemkind gesucht, aber alle gezeigten Methoden haben nichts genützt - klar, wir haben ja nicht alle den gleichen PC mit derselben Software... Den Ordner "privacy_danger" im Verzeichnis E:\WINDOWS\ zu löschen bringt nichts, er erstellt sich immer wieder neu. Bisher habe ich den nervigen Desktophintergrund umgangen, in dem ich "Start->Systemsteuerung->Darstellung und Designs->Anzeige->Desktop->Anpassen->Web" und dort dann "privacy_danger" rausgelöscht habe, dann war bis zum nächsten Systemstart mein Desktopn wieder normal. Nebenbei, ich benutze Kaspersky Ant-Hacker Firewall und Kaspersky Anti-Virus 7. Ich hoffe es gibt ne Lösung dafür, langsam geht's einem echt auf den Geist. Hier der HijackThis Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:46:18, on 01.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\Explorer.EXE
D:\Programme\Razer\Krait\razerhid.exe
D:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE
E:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
E:\Programme\Java\jre1.6.0_04\bin\jusched.exe
E:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
D:\Programme\DAEMON Tools Lite\daemon.exe
D:\Programme\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
E:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
E:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
D:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
D:\Programme\Razer\Krait\razerofa.exe
D:\Programme\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
D:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
D:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
E:\WINDOWS\system32\PnkBstrA.exe
E:\WINDOWS\System32\svchost.exe
D:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
E:\WINDOWS\System32\svchost.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Winamp\winamp.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h++p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h++p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h++p://www.razerzone.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
F3 - REG:win.ini: run=
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - D:\Programme\FlashGet\jccatch.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - D:\Programme\FlashFXP\IEFlash.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - D:\Programme\FlashGet\getflash.dll
O3 - Toolbar: ekvgsnw - {60570909-486A-4609-B7AE-CBCAA3831168} - (no file)
O4 - HKLM\..\Run: [Krait] D:\Programme\Razer\Krait\razerhid.exe
O4 - HKLM\..\Run: [PRISMSVR.EXE] "D:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [StartCCC] "E:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [AVP] "D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Programme\Java\jre1.6.0_04\bin\jusched.exe"
O4 - HKCU\..\Run: [RocketDock] "E:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = D:\Programme\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
O8 - Extra context menu item: &Alles mit FlashGet laden - D:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - D:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'e:\programme\bonjour\mdnsnsp.dll' missing
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - h++p://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A0811FBD-8AF4-433F-8874-D8D7112053B9}: NameServer = 192.168.1.1
O20 - Winlogon Notify: iifcbba - E:\WINDOWS\
O21 - SSODL: alofkmn - {AF7E1CA4-ECB5-47BB-B37B-AC0BCFFC4005} - E:\WINDOWS\alofkmn.dll
O21 - SSODL: bxlrvps - {DB7D5ED2-AF9D-4745-AB98-3CA43DF3A3F8} - (no file)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - E:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - E:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - E:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Unknown owner - E:\Programme\Bonjour\mDNSResponder.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - E:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - D:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - D:\Programme\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - D:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - D:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
O23 - Service: PnkBstrA - Unknown owner - E:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 7785 bytes

Ach und noch was: Ca. alle 5 Minuten öffnet sich ein IE Browserfenster mit irgendsolchem "mediasmega" und "Software" Krams, ich schließ es immer wieder. Habe auch schon mal geguckt, ob beim IE unter "Add-Ons" irgendwas mit privacy_danger ist, ohne Erfolg... Spybot S&D u.ä. bringen hier nur bis zum nächsten Systemstart etwas. Außerdem hatte ich vor langer Zeit mal ein "Bonjour" Virus-ähnliches Teil im Rechner, ich habe im abgesicherten Modus von Windows im Verzeichnis E:\Programme\ einfach den Ordner "Bonjour" gelöscht, danach war alles in Ordnung...

MfG

Hi
Vundo ist dir nicht zufällig ein Begriff oder?

Man sieht recht viele Reste von Infektionen, daher würd ich dich bitten folgende Analysetools über den Rechner laufen zu lassen, bevor wir uns an die Bereinigung machen:

• Silentrunners
• Blacklight (wenn der Link nicht lädt bitte Bescheid geben)
• dieses script:

  
  - Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
  - Doppelklick auf listing7.cmd auf dem Desktop
  - nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

  Diese listing.txt z.B. bei File-Upload.net - Ihr kostenloser File Hoster! hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.
• SmitfraudFix
  -Lade des Tool herunter
  -Starte es dann und lass das System durchsuchen. (Option 1)
  
  
  
  -Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans

Alle Logs, außer wenn anders beschrieben, hier posten.

lg myrtille

Zitat:

Zitat von myrtille

• Blacklight (wenn der Link nicht lädt bitte Bescheid geben)

Hi!

der Link zu Blacklight funktioniert leider nicht, er weiß nicht, wohin er weiterleiten soll...

MfG

Ach, P.S.: Nein, Vundo sagt mir grad nichts.

Ok, dann war das nicht nur mein Problem.

Probier mal folgenden Link: klick

lg myritlle

So,

• Silentrunners Ergebnis
• Blacklight Ergebnis
• listing7.cmd Ergebnis
• SmitfraudFix Ergebnis

Ich hoffe ich hab alles richtig gemacht...

MfG

Jein. Auf jedenfall hast du nichts falsch gemacht.

Kannst du mir bitte sagen, was du mit BFU gemacht hast? Bzw woher der Ordner BFU unter E:\ kommt?

Dann bitte folgende Dateien bei virustotal auswerten lassen:

Zitat:

E:\WINDOWS\system32\mskras.dll
E:\windows\system32\cnpsedufet4d.EXT
E:\WINDOWS\iun506.exe

Poste die Ergebnisse dann bitte hier.

lg myrtille
Schau bitte außerdem mal in folgenden Ordner:

Zitat:

E:\WINDOWS\system32\o01PrEz

Sag mir welche Dateien sich in dem Ordner befinden. Lasse eventuell ausführbare Dateien (.exe) auch bei virustotal auswerten. (Wenns nicht grad 20.000 sind. Dann vorher nochmal melden. )