Hallo Liebe User,

wie die Überschrift schon sagt, habe ich mir unerklärlicherweise einen Virus gefangen und seit dem habe ich ein Programm, welches sich AntiVirusXP 2008 nennt.

Folgende veränderungen spüre ich:

- Blauer Desktophintergrund mit einer großen "Warning"meldung
- Langsames Internet
- Wenn ich bei google auf einen link klicke, führt mich dies zu dubiosen Homepages


Ansonsten kann ich weiterhin arbeiten. Alle Programme (Word, Outlook, Scanner etc.) funktionieren problemlos.

Kann mir jemand helfen und definitiv sagen, ob man dieses Programm wieder los wird, da ich es natürlich nicht behalten möchte

Im internet wird so viel erzählt und geschrieben, doch vertraue ich diesbezüglich nur einer Meinung eines Trojaner Board Users.

Über eine schnelle Antwort wäre ich euch sehr dankbar.

Viele Liebe Grüße
Mathias

Hallo,

anbei eine Anmerkung:

Es ist nicht möglich, dass ich das Windows neue draufspiele, da dass sehr schwierig und Zeitaufwendig war (netzwerk etc.). Es wäre allerdings möglich, dass ich es wieder auf Null setze (Anfangseinstellungen) weiss aber nicht wie das geht. Ich habe auf jeden Fall kaum etwas auf meiner Festplatte gespeichert, nur im Netzwerk. Die Dinge die ich dann neu installieren müsste, hätte ich in 30 minuten wieder drauf.

Ist so etwas möglich oder kennt jemand ein Programm dass alles wieder herstellt oder das Programm entfernt? Oder kann mir überhaupt helfen?

Vielen Dank und Grüße
Mathias

Hi,

bitte HJ-Log gemäß der Signatur und den Boardregeln;
MAM installieren, updaten und laufen/bereinigen lassen, Log posten.

MAM (Malwarebytes Antimalware).
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html

chris

Huhu,

danke für die schnelle Nachricht. Anbei die HijackThis Log. Die Log von MAM kommt gleich !

Grüße

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:51:23, on 10.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\PDF Complete\pdfsty.exe
C:\WINDOWS\SMINST\Scheduler.exe
C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Gemeinsame Dateien\OLXShared\OLXAddInMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\pphcngcj0e529.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\OLXTools\OLXTeamOutlook\OLXTOWStandBy.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\twain_32\escndv\escndv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [PDF Complete] "C:\Programme\PDF Complete\pdfsty.exe"
O4 - HKLM\..\Run: [SetRefresh] C:\Programme\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe
O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe
O4 - HKLM\..\Run: [StatusClient 2.6] "C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe" /auto
O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Programme\Hewlett-Packard\Toolbox\hpbpsttp.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [pdfFactory Dispatcher v3] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe" /source=HKLM
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [OLXAddinMonitor] "C:\Programme\Gemeinsame Dateien\OLXShared\OLXAddInMonitor.exe"
O4 - HKLM\..\Run: [eTrustPPAP] "C:\Programme\CA\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe"
O4 - HKLM\..\Run: [SMrhcjgcj0e529] C:\Programme\rhcjgcj0e529\rhcjgcj0e529.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {CE8267C2-D41A-4A50-A69D-F32B5C289F14} (FileOpenInstaller) - http://plugin.fileopen.com/current/FileOpen.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2933FEC1-1F06-45E3-966B-945969C8550F}: NameServer = 192.168.0.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{2933FEC1-1F06-45E3-966B-945969C8550F}: NameServer = 192.168.0.2
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: OLXConvert Agent - GANGL Dienstleistungen - C:\Programme\OLXAgents\OLXConvert Agent\OLXConvertAgent.exe
O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe
O23 - Service: PDF Document Manager (pdfcDispatcher) - PDF Complete Inc - C:\Programme\PDF Complete\pdfsvc.exe

--
End of file - 7028 bytes

Hi,

Dein Problem dürfte hier liegen, mal sehen ob MAM es erwischt:

Bitte folgende Files prüfen:

Zitat:

C:\WINDOWS\system32\pphcngcj0e529.exe
C:\Programme\rhcjgcj0e529\rhcjgcj0e529.exe

http://www.virustotal.com/flash/index_en.html
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
Poste jeweils das gesamte Ergebnis mit Filename

chris

Zitat:

Zitat von Chris4You

Hi,

Dein Problem dürfte hier liegen, mal sehen ob MAM es erwischt:

Bitte folgende Files prüfen:

http://www.virustotal.com/flash/index_en.html
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
Poste jeweils das gesamte Ergebnis mit Filename

chris

Hy chris,

die Homepage geht bei mir nicht bzw. wird nicht gefunden aber andere wie z.b. diese gehen!

Grüße

Hallo,

anbei die Logdatei von MAM.

Danke und Grüße


Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1136
Windows 5.1.2600 Service Pack 2

10.09.2008 14:21:00
mbam-log-2008-09-10 (14-20-56).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 97168
Laufzeit: 18 minute(s), 37 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 5
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 12
Infizierte Dateien: 23

Infizierte Speicherprozesse:
C:\WINDOWS\system32\pphcngcj0e529.exe (Trojan.FakeAlert) -> No action taken.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\rhcjgcj0e529 (Rogue.Multiple) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\rhcjgcj0e529 (Rogue.Multiple) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\smrhcjgcj0e529 (Rogue.Multiple) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Malware.Trace) -> Data: c:\windows\system32\ -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Malware.Trace) -> Data: system32\ -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
C:\Programme\rhcjgcj0e529 (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\rhcjgcj0e529 (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\rhcjgcj0e529\Quarantine (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\rhcjgcj0e529\Quarantine\Autorun (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\rhcjgcj0e529\Quarantine\Autorun\HKCU (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\rhcjgcj0e529\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\rhcjgcj0e529\Quarantine\Autorun\HKLM (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\rhcjgcj0e529\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\rhcjgcj0e529\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\rhcjgcj0e529\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\rhcjgcj0e529\Quarantine\BrowserObjects (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\rhcjgcj0e529\Quarantine\Packages (Rogue.Multiple) -> No action taken.

Infizierte Dateien:
C:\System Volume Information\_restore{57A6823A-1951-404C-9B13-3C57FE463739}\RP89\A0047387.scr (Trojan.FakeAlert) -> No action taken.
C:\Programme\rhcjgcj0e529\database.dat (Rogue.Multiple) -> No action taken.
C:\Programme\rhcjgcj0e529\license.txt (Rogue.Multiple) -> No action taken.
C:\Programme\rhcjgcj0e529\MFC71.dll (Rogue.Multiple) -> No action taken.
C:\Programme\rhcjgcj0e529\MFC71ENU.DLL (Rogue.Multiple) -> No action taken.
C:\Programme\rhcjgcj0e529\msvcp71.dll (Rogue.Multiple) -> No action taken.
C:\Programme\rhcjgcj0e529\msvcr71.dll (Rogue.Multiple) -> No action taken.
C:\Programme\rhcjgcj0e529\rhcjgcj0e529.exe (Rogue.Multiple) -> No action taken.
C:\Programme\rhcjgcj0e529\rhcjgcj0e529.exe.local (Rogue.Multiple) -> No action taken.
C:\Programme\rhcjgcj0e529\Uninstall.exe (Rogue.Multiple) -> No action taken.
C:\WINDOWS\system32\casino1.ico (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\casino2.ico (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\casino3.ico (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\ (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\phcngcj0e529.bmp (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\pphcngcj0e529.exe (Trojan.FakeAlert) -> No action taken.

Hy,

kann mir jemand sagen wie der RegCleaner funktioniert?

Ich soll versch. Zeilen suchen und löschen:

"HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System\DisableRegedit <-löschen
Suche den Schlüssel:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System\DisableTaskMgr = "dword:00000001" --> auf 0 (oder den ganzen Schluessel "DisableTaskMgr" löschen)
DisableRegistryTools = "dword:00000001" --> auf 0 (oder den ganzen Schluessel loeschen)
HKEY_CURRENT_USER\Software\Microsoft\Windows\Syste m\DisableCMD
(Ohne den Schlüssel Policies)"


Anbei ein Screen!

http://www.bilder-hochladen.net/files/604k-y-jpg.html

Wo muss ich das suchen oder hat jmd. ein anderes Programm?

Grüße