Hallo,
meine Freundin hat sich heute morgen auf ihrem PC den Antivirus Xp 2008 eingefangen.
Sie kann hier nicht posten, da sie keine Internetseiten aufrufen kann, sondern auf irgendwelche Werbeseiten geleitet wird (wohl durch das programm).
Desweiteren ist der Desktophintergrund nicht mehr einstellbar und mit dem üblichen Käse zugekleistert.
Diverse Antivirenprogramme (Antivir, Spybot) haben nichts gebracht.
Den Ordner des Programms haben wir bereits gelöscht (Name war wirre Buchstabenfolge und es war unter Programme).
Im moment läuft malwarebytes' anti-malware, bereits 20 Infizierte dateien wurden gefunden (wie zuvor auch die anderen, obwohl sie dort gelöscht wurden).
Help!

Btw. scheint ja momentan ziemlich viele Infizierte damit zu geben, kann man da was machen, damit nicht noch mehr infiziert werden?
Ach ja meine Freundin verwendet Mozilla Firefox 3, ich den K-Meleon (der mich bis jetzt verschont hat).

Hallöle

Antivirus XP 2008 ist ein Rogue, das heißt ein Programm, das vorgibt ein
Antivirenprogramm zu sein, aber in Wirklichkeit ein Trojaner ist.
Dein Rechner ist nicht wirklich von den von Antivirus XP 2008 gefundenen Viren befallen, es will dich lediglich dazu bewegen Ihnen Geld zu überweisen.

verbessert mich wenn ich falsch liege

Das ist mir klar, nur das Programm selbst verursacht allen möglichen Krampf (wie oben beschrieben) und öffnet das Türchen für allerhand anderes Zeuch. Die Symptome kann ich auch bekämpfen, aber ich will ja die Wurzel loswerden.

Edit:
Wie es scheint wurde grade Antivir aktualisiert, mal schaun ob es was gegen den Übeltäter hilft.

Edit2:
Wenn ich Antivir schreibe, meine ich natürlich Avira Antivir PE Classic.

Edit3:
dann eben noch ein paar Infos zum infizierten PC:
Windows XP Professional SP2
3700+
1,5GB RAM

Kann uns denn niemand helfen?
Wir sind echt verzweifelt...
Um es nochmal zu wiederholen:
Windows XP SP2

Probleme:
siehe Anhang
-kann viele Internetseiten nicht mehr aufrufen oder wird auf eine Werbeseite geschickt
-kann den Bildschirmhintergrund und -schoner nicht mehr einstellen
-kann smitfraudfix nicht ausführen
-hin und wieder Bluescreens

Also helfen kann ich dir nicht so wie die Profis aber irgendwann solltest du SP3 installieren

Ok werden wir machen, denke aber nicht, dass es das Problem behebt...

nein nicht aber in nächster zeit wird bestimmt jemand danach gucken
aber mit Mozilla FF kann man wenigstens ein wenig sicherer surfen als mit IE

So,
wir haben jetzt SP3 installiert, nen weiteren Avira Antivir lauf gemacht, den CCleaner durchlaufen lassen, diverse Sachen aus der Software gelöscht und Firefox neu installiert.
Ergebnis:
- Der Desktophintergrund ist jetzt durchgehend blau, kann aber immer noch nicht geändert werden (zumindest nicht auf dem eigentlichen Weg).
- Der XYZ wurde nicht gefunden Fehler ist verschwunden.
- 2 GB weniger temporäre Daten
- Mit dem IE kann man nun alles korrekt ausführen, mit dem Firefox immer noch viele Sachen nicht über Suchmaschinen finden (man wird auf eine Seite mit clearask... oder direkt auf ieine Ad-page geleitet)

Was jetzt?

Edit: Es scheint, dass nur Google diesen "Fehler " hat... naja damit kann man Leben, bin mir aber trotzdem nicht so ganz sicher...

Haben jetzt einmal HJT drüber laufen lassen,
das ist das LOG:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:32:25, on 05.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\System32\snmp.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\wscntfy.exe
D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
D:\WINDOWS\Mixer.exe
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\WINDOWS\system32\RunDll32.exe
D:\Programme\Java\jre1.6.0_07\bin\jusched.exe
D:\WINDOWS\system32\RUNDLL32.EXE
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\Sonique\sqstart.exe
D:\Programme\Skype\Phone\Skype.exe
D:\Programme\buffed.de\Blasc\BLASC.exe
D:\Programme\Octoshape Streaming Services\****\OctoshapeClient.exe
D:\Programme\Tiscali\Tiscali Communicator\Tiscali Communicator.exe
D:\Programme\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe
D:\Programme\Stickies\stickies.exe
D:\Programme\Skype\Plugin Manager\SkypePM.exe
D:\WINDOWS\system32\wuauclt.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.neopets.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O3 - Toolbar: Neopets - {CD292324-974F-4224-D074-CACA427AA030} - D:\Programme\Neopets\Toolbar\Toolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SoniqueQuickStart] D:\Programme\Sonique\sqstart.exe -nostick
O4 - HKCU\..\Run: [Skype] "D:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Steam] "D:\Programme\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [BLASC] "D:\Programme\buffed.de\Blasc\BLASC.exe" silent
O4 - HKCU\..\Run: [Octoshape Streaming Services] "D:\Programme\Octoshape Streaming Services\*****\OctoshapeClient.exe" -inv:bootrun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot (User 'Default user')
O4 - Startup: IMVU.lnk = D:\Programme\IMVU\IMVUClient.exe
O4 - Startup: Stickies.lnk = D:\Programme\Stickies\stickies.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Tiscali Communicator.lnk = D:\Programme\Tiscali\Tiscali Communicator\Tiscali Communicator.exe
O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = ?
O8 - Extra context menu item: &Search - ?p=ZSYYYYYYYYDE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - D:\Dokumente und Einstellungen\****\Startmenü\Programme\IMVU\Run IMVU.lnk
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: D:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - h**p://w*w.acclaim.com/cabs/acclaim_v4.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O24 - Desktop Component 1: Anfy LAKE - D:\Programme\AnfyTeam\Applet\lake\preview.html

--
End of file - 7079 bytes
         

Vllt. könnt ihr damit ja was anfangen...

die gleichen probleme habe ich auch habe es heute eingefangen!
Aber mit spy emerency ging es weg aber leider nicht die probleme!
Internet stürzt ab (nach neustart des pc behoben), und ich kann keinen neuen hindergrund wählen und ich kann nicht defragmentieren!

@ mcsebbi
Hast du denn auch nur Probleme mit Firefox bei Google oder auch bei anderen Seiten?

Also fireball und yahoo gehen bei uns

Google, yahoo und andere suchmaschienen, link auf normale seiten sind kein problem!

@mcsebbi

Bitte eröffne ein eigenes Thema mit regelkonformer Beschreibung deines Problems, und hör bitte auf unnötig in andere Themen zu schreiben!

Danke
Sunny

wenn 2 leute oder mehr das gleiche problem haben warum immer ein neues eröffnen? Nacher sind 100 Threats deswegen da!

Zitat:

Zitat von mcsebbi

wenn 2 leute oder mehr das gleiche problem haben warum immer ein neues eröffnen? Nacher sind 100 Threats deswegen da!

Diese Diskussion hatte ich heute schon einmal mit einem User, nach kurzer Diskussion habe ich ihn gesperrt!

Hier sind nochmal die Regeln unseres Forums, entweder du hälst dich dran, oder du lässt es und bekommst keine Hilfe!

Zitat:

Die 7 goldenen Regeln im Trojaner-Board:

1. Bevor Du postest, benutze Google sowie die Boardsuche und informiere Dich über Dein Problem. Du bist erfahrungsgemäß nicht der erste, der diese Frage stellt. Arbeite die empfohlenen Maßnahmen durch.

2. Wenn Du Dein Problem im Board schildern willst, poste es genau einmal. Erstelle dafür ein eigenes Thema um Verwirrung zu vermeiden. Fallen Dir danach wichtige Details ein, editiere und ergänze Dein Posting, anstatt ein neues zu erstellen. Mehrfach- und Crosspostings landen in der Mülltonne.

3. Wähle einen aussagekräftigen Titel, der Dein Problem kurz und klar zusammenfaßt. Titel wie "hüllfääää ... überall viren!!!" führen dazu, daß Dein Posting ignoriert wird.

4. Schreibe in verständlichem Deutsch und in ganzen Sätzen. Vergiß nicht: Dies ist ein Forum, kein Chat. Du hast Zeit! Beseitige Fehler, bevor du Deinen Beitrag erstellst. Hältst Du Dich nicht an diese Regel, kannst Du keine hilfreichen Antworten erwarten.

5. Beschreibe Dein Problem genau und nenne alle erforderlichen Details. Dazu gehören Dein Betriebssystem, wortgetreue Wiedergaben von Fehlermeldungen, und Pfadangaben bei Schädlingsbefall. Fehlen diese Angaben, kann Dir niemand helfen.

6. Lies die Hinweise der Helfer sorgfältig und befolge sie. Verstehst Du etwas nicht, frage höflich nach. Hast Du Dein Problem erfolgreich gelöst, melde Dich. Vergiß nicht, Dich zu bedanken. Deine Helfer werden es nicht vergessen.

7. Zu guter Letzt: Zitiere externe Quellen immer mit Quellenangabe, da Du sonst das Team in rechtliche Schwierigkeiten bringst. Bei Nichtbeachtung dieser Regel werden entsprechende Postings kommentarlos gelöscht.