Hallo und schönen dank für die Aufnahme,

wie so oft führt mich meine eigene Naivität und Dummheit hierher, denn ich habe (hatte) mir diese blöde XPAntivirus 2008 Spyware eingefangen. Mit einiger Mühe ist es mir nun gelungen das Teil wieder runterzukriegen. Was aber nach wie vor nicht läuft ist, das einige Websites manipuliert werden oder nicht vollständig geladen werden. Was aber noch mehr nervt,ist das ich nichts mehr vollständig runterladen kann, z.B dieses HijackThis Progr.,dass hier immer angepriesen wird, da kommen nur die ersten 30-40kb an.

Falls mir hier jemand weiterhelfen könnte wäre ich sehr dankbar.

Joe

Mein BS ist XPhome

Zitat:

dieses HijackThis Progr.,dass hier immer angepriesen wird, da kommen nur die ersten 30-40kb an.

Hmm das ist natürlich doof! Hast du es bei verschiedenen seiten versucht herunter zu laden?

Das Problem hab ich auch... Da kannst du nix machen -denke ich-.
Du musst es an einem anderen Pc ruterladen, von nem freund kriegen oder per E-Mail geschickt bekommen(oder ist die datei zu groß?).
Viel Glück jedenfalls mit der Säuberungsaktion!

@Someonelse Man kann da etwas machen!

Zitat:

Du musst es an einem anderen Pc ruterladen, von nem freund kriegen oder per E-Mail geschickt bekommen(oder ist die datei zu groß?)

Das steht in keinem zusammenhang mit diesem threat! Ich verstehe nicht einmal was du damit meinst!

Firefox, W-Explorer, kopieren/einfügen - alles probiert. Funzt einfach nicht. 38kb v.ich glaub 7Mb kommen blitzartig und dann ist schluss. Also irgendetwas ist da noch im Busch. Das einzige was ich habe ist Malewarebytes, AntivirClassic (das mit dem Regenschirm) und Windows Defender. Alles frisch geupt.
Sicher zu wenig, aber ich war doch immer sooooo vorsichtig...

Malwarebytes ist ein anfang! Lass es scannen und poste den vollständigen bericht aber noch nichts löschen!

Zitat:

Das einzige was ich habe ist Malewarebytes, AntivirClassic (das mit dem Regenschirm) und Windows Defender

Programme sind verhältnismäßig unwichtig viel wichtiger ist das

Zitat:

aber ich war doch immer sooooo vorsichtig...

Denn nur das was du herunterlädst und installierst kann dir schaden! Es gibt seiten den man vertrauen kann zb. chip, computerbild usw. so seiten habe wenig bis gar kein infiziertes material trotzdem sollte man skäptisch bleiben!

Gut, lasse es noch mal komplett durchlaufen.
Anbei den Bericht vom letzten mal, vielleicht kannst Du damit schon was anfangen. Allerdings habe ich, glaube ich, alles gelöscht was da angezeigt wurde. Zumindest alles was so ähnlich wie "wblphcpvej0ej55" aussah. Auch in der Regestryabteilung.

Hier der Bericht:

Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1088
Windows 5.1.2600 Service Pack 2

23:05:31 26.08.2008
mbam-log-08-26-2008 (23-05-31).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 23822
Laufzeit: 7 minute(s), 22 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 8
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\blphcpvej0ej55.scr (Trojan.FakeAlert) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\acm.acmfactory (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\acm.acmfactory.1 (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{43382522-a846-46f4-ac57-1f71ae6e1086} (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{572fb162-c0ba-4edf-8cff-e3846153b9b0} (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{72a836d1-bc00-43c0-a941-17960e4fb842} (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{a9aae1ab-9688-42c5-86f5-c12f6b9015ad} (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{df901432-1b9f-4f5b-9e56-301c553f9095} (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{127df9b4-d75d-44a6-af78-8c3a8ceb03db} (Adware.WhenUSave) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\blphcpvej0ej55.scr (Trojan.FakeAlert) -> Delete on reboot.

Hast du schon neugestartet das die restlichen dateien beim neustart gelöscht werden? Wenn nicht dann mache das jetzt! Danach ist es dir vielleicht möglich ein HijackThis log zu erstellen!

Tschuldige wenn alles ein bißchen dauert bei mir, also das ist jetzt die aktuelle Logdatei. Erschreckend. Was kannst Du damit anfangen...

Werde in der Zwischenzeit einen Neustart machen

Hier der Aktuelle Bericht:

Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1088
Windows 5.1.2600 Service Pack 2

21:05:07 29.08.2008
mbam-log-08-29-2008 (21-04-58).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 154541
Laufzeit: 51 minute(s), 38 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 7
Infizierte Dateien: 27

Infizierte Speicherprozesse:
C:\WINDOWS\system32\drivers\svchost.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\AntispywareBot (Rogue.AntiSpywareBot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave (Adware.WhenUSave) -> No action taken.
HKEY_CLASSES_ROOT\AppID\ACM.DLL (Adware.WhenUSave) -> No action taken.
HKEY_CLASSES_ROOT\WUSN.1 (Adware.WhenUSave) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4e7bd74f-2b8d-469e-ccb0-b130eedbe97c} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{4e7bd74f-2b8d-469e-ccb0-b130eedbe97c} (Trojan.BHO) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
C:\Programme\AntiSpywareBot (Rogue.AntiSpywareBot) -> No action taken.
C:\Programme\AntiSpywareBot\AntiSpywareBot (Rogue.AntiSpywareBot) -> No action taken.
C:\Programme\AntiSpywareBot\Log (Rogue.AntiSpywareBot) -> No action taken.
C:\Programme\AntiSpywareBot\Log (Rogue.AntiSpywareBot) -> Files: 544 -> No action taken.
C:\Programme\AntiSpywareBot\Quarantine (Rogue.AntiSpywareBot) -> No action taken.
C:\Programme\AntiSpywareBot\Registry Backups (Rogue.AntiSpywareBot) -> No action taken.
C:\Programme\AntiSpywareBot\Settings (Rogue.AntiSpywareBot) -> No action taken.

Infizierte Dateien:
C:\Programme\AntiSpywareBot\AntiSpywareBot.dll (Rogue.AntiSpywareBot) -> No action taken.
C:\Programme\AntiSpywareBot\AntiSpywareBot.exe (Rogue.AntiSpywareBot) -> No action taken.
C:\Programme\AntiSpywareBot\AntiSpywareBot.url (Rogue.AntiSpywareBot) -> No action taken.
C:\Programme\AntiSpywareBot\DataBase.ref (Rogue.AntiSpywareBot) -> No action taken.
C:\Programme\AntiSpywareBot\Launcher.exe (Rogue.AntiSpywareBot) -> No action taken.
C:\Programme\AntiSpywareBot\Scheduler.exe (Rogue.AntiSpywareBot) -> No action taken.
C:\Programme\AntiSpywareBot\unins000.dat (Rogue.AntiSpywareBot) -> No action taken.
C:\Programme\AntiSpywareBot\unins000.exe (Rogue.AntiSpywareBot) -> No action taken.
C:\Programme\AntiSpywareBot\AntiSpywareBot\DataBase.ref (Rogue.AntiSpywareBot) -> No action taken.
C:\Programme\AntiSpywareBot\Settings\CustomScan.stg (Rogue.AntiSpywareBot) -> No action taken.
C:\Programme\AntiSpywareBot\Settings\IgnoreList.stg (Rogue.AntiSpywareBot) -> No action taken.
C:\Programme\AntiSpywareBot\Settings\ScanInfo.stg (Rogue.AntiSpywareBot) -> No action taken.
C:\Programme\AntiSpywareBot\Settings\ScanResults.stg (Rogue.AntiSpywareBot) -> No action taken.
C:\Programme\AntiSpywareBot\Settings\SelectedFolders.stg (Rogue.AntiSpywareBot) -> No action taken.
C:\Programme\AntiSpywareBot\Settings\Settings.stg (Rogue.AntiSpywareBot) -> No action taken.
C:\WINDOWS\system32\drivers\svchost.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\lphcpvej0ej55.exe (Trojan.FakeAlert) -> No action taken.
C:\Dokumente und Einstellungen\Johannes\Desktop\AntiSpywareBot.lnk (Rogue.Antispyware) -> No action taken.
C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk (Rogue.Antivirus2008) -> No action taken.

Jetzt nochmal scannen und die funde löschen!

Habe ich alles gemacht, die Websiteprobleme scheinen behoben, nur die downloads funzen immer noch nicht... leider. Danke vorerst

Tschuldigung, war etwas zu schnell, ich bin wieder glücklich. Scanne jetzt alles nochmal mit hijack. Danke nochmals.

Joe

OK Poste noch ein aktuelles HijackThis log!

Ging ja flott:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:57:08, on 29.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\DeTeMedien\Das Telefonbuch für Deutschland\OMAlarm.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\hijackthis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = [url=http://red.clientapps.yahoo.com/customize/fuji/defaults/su/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - (no file)
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [InstantOn] "C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe" /c
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: OfficeManager Terminerinnerung.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

--
End of file - 6026 bytes

Ok dein log ist sauber!

Und wegen den downloads es gibt möglichkeiten zb. den Browser neu installieren oder wenn du den IE benutzt auf einen anderen browser wie Firefox oder Opera wechseln!
Sollte dsa nicht funktionieren dann installiere doch mal einen Downloadmanager kann auch nicht schaden!