Hoy Leute!

Nachdem meine Anfrage in den Müll transferiert wurde hier nochmals mein Problem!

Mein Sohnemann war gestern am Pc meiner Schwester und seither is da son Mistprogramm drauf das sich fantasielos System Security nennt und als Symbol einen schwarz-gelb gestreiften Schild aufweist!
Nun hab ich das Problem,dass ich dieses Mistding nicht mal in der Systemsteuerung finde und es somit nicht entfernen kann!Es öffnen sich dauernd Fenster mit Meldungen,dass der pc verseucht ist und ob ich dieses Programm kaufen möchte,u.s.w.!!Zumindest mal habe ich im task manager endlich rausgefunden welchen Prozess ich beenden muss damit es wenigstens mal schweigt!
Ausserdem zeigt mir dieses Ding andauernd an dass mein explorer von Lsas.Blaster.Keylogger befallen ist!

Hier nochmals die logs die Aggro Berlin gewünscht hat:


Hjt:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:51:36, on 1.1.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\vVX3000.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\SweetIM\Messenger\SweetIM.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Dokumente und Einstellungen\All Users\Application Data\1028132154\372791599.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\Vk5YH4f8.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://home.sweetim.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von chello broadband n.v.
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [VX3000] C:\WINDOWS\vVX3000.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe "
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SweetIM] C:\Programme\SweetIM\Messenger\SweetIM.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [372791599] "C:\Dokumente und Einstellungen\All Users\Application Data\1028132154\372791599.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] ~"C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKCU\..\Run: [MSFox] C:\DOKUME~1\Karl Heinz Rumgezicke\LOKALE~1\Temp\yyy3189.exe
O4 - HKCU\..\Run: [Cognac] C:\DOKUME~1\Karl Heinz Rumgezicke\LOKALE~1\Temp\D0.tmp.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://home.deu.chello.at/ssi/welcome/welcome.php?url=home
O15 - Trusted Zone: h**p://www.dogsoftheseas.com
O16 - DPF: {149E45D8-163E-4189-86FC-45022AB2B6C9} (SpinTop DRM Control) - file://C:\Programme\Monopoly\Images\stg_drm.ocx
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h**p://gfx1.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1223664422707
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - h**p://go.divx.com/plugin/DivXBrowserPlugin.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - h**p://javadl.sun.com/webapps/download/AutoDL?BundleId=23100
O16 - DPF: {CC450D71-CC90-424C-8638-1F2DBAC87A54} (ArmHelper Control) - file://C:\Programme\Monopoly\Images\armhelper.ocx
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - h**p://data.myflatcast.com/data/objects/NpFv415.dll
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F554} (Flatcast Viewer 4.16) - h**p://data.myflatcast.com/data/objects/NpFv41629.dll
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F557} (Flatcast Viewer 5.0) - h**p://80.237.209.20/objects/NpFv501.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe



malwar:

Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1587
Windows 5.1.2600 Service Pack 3

1.1.2009 04:24:21
mbam-log-2009-01-01 (04-24-17).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 171928
Laufzeit: 1 hour(s), 53 minute(s), 36 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 7

Infizierte Speicherprozesse:
C:\WINDOWS\system32\Vk5YH4f8.exe (Trojan.Fakealert) -> No action taken.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\xml.xml (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\xml.xml.1 (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{9233c3c0-1472-4091-a505-5580a23bb4ac} (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\MSFox (Trojan.Agent) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\MSFox (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\Cognac (Trojan.FakeAlert) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\FBrowserAdvisor (Trojan.FBrowsingAdvisor) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\system32\Vk5YH4f8.exe (Trojan.Fakealert) -> No action taken.
C:\regxpcom.exe (Trojan.FBrowsingAdvisor) -> No action taken.
C:\System Volume Information\_restore{44CAF481-7FFA-45B6-97BD-F485E1FB980F}\RP104\A0025437.dll (Trojan.FBrowsingAdvisor) -> No action taken.
C:\System Volume Information\_restore{44CAF481-7FFA-45B6-97BD-F485E1FB980F}\RP104\A0025476.dll (Adware.RK) -> No action taken.
C:\System Volume Information\_restore{44CAF481-7FFA-45B6-97BD-F485E1FB980F}\RP52\A0015046.exe (Adware.RK) -> No action taken.
C:\WINDOWS\system32\Vk5YH4f8.exe.a_a (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Hotzenplotz\Desktop\System Security.lnk (Rogue.SystemSecurity) -> No action taken.


Ich hoffe kemand kann uns helfen!!

Hallo deadly night,

Alle Punkte nach der Reihe ausführen:

1.) Lade dir bitte die aktuelle Version von Java herunter! Die alte Version, dann bitte deinstallieren!

2.) Bitte folgenden Eintrag / folgende Einträge mit HijackThis fixen:

Zitat:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
h**p://home.sweetim.com
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll (file missing)
O4 - HKCU\..\Run: [MSFox] C:\DOKUME~1\Karl Heinz Rumgezicke\LOKALE~1\Temp\yyy3189.exe

3.) Lasse bitte folgende Dateie(n) bei Virustotal ODER Jotti überprüfen und poste das Ergebnis hier:

Zitat:

C:\Dokumente und Einstellungen\All Users\Application Data\1028132154\372791599.exe
C:\WINDOWS\system32\Vk5YH4f8.exe

LG Crusader

Hy Crusader!

Habe Deine Anweisungen befolgt und folgendes zu berichten :

1.) Auf dem pc ist bereits die neueste Java version drauf....wurde mir zumindest angezeigt als ich es installieren wollte!


2.) Habe nochmals mit Hjt gescannt:

R0 ist gefixed doch die beiden anderen (O2 und O4 scheinen im log nicht mehr auf) *grübel*


3.) Das mit Virustotal hab ich gemacht....nur müsste ich jetzt wissen was genau ich von all dem hier posten soll?!



Bei der sys32-Datei bekomme ich nur angezeigt: "0 bytes size received / Se ha recibido un archivo vacio"


Achja....hab den anderen ordner geöffnet und da hab ich auch dieses schwarz-gelb gestreifte Schildsymbol drin!!


LG d.n.

Problem behoben!!!

Hier kann man Sperrstunde ausrufen!!!

Danke an Aggro Berlin und Crusader!!!

Hallo deadly night,

Also wenn du meinst, das wir fertig sind, dann passt das. Ansonsten kannst du dich ja melden!

LG Crusader

*PROBLEM GELÖST*