Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Roter Kreis mit weißem X - Your computer is Infected! (https://www.trojaner-board.de/25310-roter-kreis-weissem-x-your-computer-is-infected.html)

DanielR 03.01.2006 21:53

Roter Kreis mit weißem X - Your computer is Infected!
 
hallo. gestern hat sich mein pc im internet irgendwie was eingefangen und seit dem ist unten rechts neben der uhr ständig ein roter kreis mit einem weißen x. von denen kommt dann immer so eine popup information in der steht:
" !Your Computer is infected!
Windows has detected spyware infection
Click here to protect your computer from spyware"

Ich hab das Programm auch zunächst benutzt, dann aber gemerkt, dass das nichts bringt.
Ich habe schon mit ad aware probiert, aber auch das hat nichts gebracht. Ich habe wirklich sehr wenig Ahnung von solchen Sachen und weiß nicht weiter.

Mein Internet Explorer lässt sich nicht öffnen, denn dann gibt es immer wieder die Meldung "iexplore.exe hat ein Problem festgestellt und muss beendet werden"
Ich kann den IE nur dann benutzen, wenn sich ein fenster öffnet mit irgendwelchen komischen URLs,

z.b h**p://www.buyer-shabit.com/normal/yyy102.html

h**p://www.blow-outsales.com/normal/yyy102.html

h**p://www.browserbuy-out.com/normal/yyy102.html

h**p://www.realcoupon-s.com/normal/yyy102.html

h**p://www.inter-netsuggestions.com/normal/yyy102.html

h**p://www.uniqueoffer-s.com/normal/yyy102.html

die ich dann abändere. Dann kann ich zwar ins Internet, doch der PC reagiert sehr langsam, wenn überhaupt.
Es öffnen sich immer wieder Fenster und der Kreis mit dem X gibt immer weiter ein PopUp mit dem bereits oben beschrieben text.




Mein Logfile


Logfile of HijackThis v1.99.1
Scan saved at 20:29:45, on 03.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVirenKit 2005\AVKService.exe
C:\Programme\AntiVirenKit 2005\AVKWCtl.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Softwin\BitDefender Free Edition\bdmcon.exe
C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System\csrss.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe
C:\winstall.exe
C:\WINDOWS\system32\sywsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AIM\aim.exe
C:\Dokumente und Einstellungen\Daniel\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://de.rd.yahoo.com/customize/ie/defaults/su/ymsgr6/us/*http://www.yahoo.de
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing)
O1 - Hosts: 127.0.2.5 w*w.symantec.com
O1 - Hosts: 127.0.2.5 symantec.com
O1 - Hosts: 127.0.2.5 securityresponse.symantec.com
O1 - Hosts: 127.0.2.5 sarc.com
O1 - Hosts: 127.0.2.5 w*w.sarc.com
O1 - Hosts: 127.0.2.5 w*w.sophos.com
O1 - Hosts: 127.0.2.5 sophos.com
O1 - Hosts: 127.0.2.5 w*w.mcafee.com
O1 - Hosts: 127.0.2.5 mcafee.com
O1 - Hosts: 127.0.2.5 liveupdate.symantecliveupdate.com
O1 - Hosts: 127.0.2.5 w*w.viruslist.com
O1 - Hosts: 127.0.2.5 viruslist.com
O1 - Hosts: 127.0.2.5 f-secure.com
O1 - Hosts: 127.0.2.5 w*w.f-secure.com
O1 - Hosts: 127.0.2.5 f-prot.com
O1 - Hosts: 127.0.2.5 w*w.f-prot.com
O1 - Hosts: 127.0.2.5 kaspersky.com
O1 - Hosts: 127.0.2.5 kaspersky-labs.com
O1 - Hosts: 127.0.2.5 w*w.avp.com
O1 - Hosts: 127.0.2.5 avp.com
O1 - Hosts: 127.0.2.5 w*w.kaspersky.com
O1 - Hosts: 127.0.2.5 w*w.networkassociates.com
O1 - Hosts: 127.0.2.5 networkassociates.com
O1 - Hosts: 127.0.2.5 w*w.ca.com
O1 - Hosts: 127.0.2.5 ca.com
O1 - Hosts: 127.0.2.5 mast.mcafee.com
O1 - Hosts: 127.0.2.5 my-etrust.com
O1 - Hosts: 127.0.2.5 w*w.my-etrust.com
O1 - Hosts: 127.0.2.5 download.mcafee.com
O1 - Hosts: 127.0.2.5 dispatch.mcafee.com
O1 - Hosts: 127.0.2.5 secure.nai.com
O1 - Hosts: 127.0.2.5 nai.com
O1 - Hosts: 127.0.2.5 w*w.nai.com
O1 - Hosts: 127.0.2.5 vil.nai.com
O1 - Hosts: 127.0.2.5 update.symantec.com
O1 - Hosts: 127.0.2.5 updates.symantec.com
O1 - Hosts: 127.0.2.5 us.mcafee.com
O1 - Hosts: 127.0.2.5 liveupdate.symantec.com
O1 - Hosts: 127.0.2.5 customer.symantec.com
O1 - Hosts: 127.0.2.5 rads.mcafee.com
O1 - Hosts: 127.0.2.5 trendmicro.com
O1 - Hosts: 127.0.2.5 w*w.trendmicro.com
O1 - Hosts: 127.0.2.5 housecall.trendmicro.com
O1 - Hosts: 127.0.2.5 pandasoftware.com
O1 - Hosts: 127.0.2.5 w*w.pandasoftware.com
O1 - Hosts: 127.0.2.5 w*w.trendmicro.com
O1 - Hosts: 127.0.2.5 free.grisoft.com
O1 - Hosts: 127.0.2.5 w*w.grisoft.com
O1 - Hosts: 127.0.2.5 grisoft.com
O1 - Hosts: 127.0.2.5 clamav.net
O1 - Hosts: 127.0.2.5 w*w.clamav.net
O1 - Hosts: 127.0.2.5 free-av.com
O1 - Hosts: 127.0.2.5 w*w.free-av.com
O1 - Hosts: 127.0.2.5 w*w.avast.com
O1 - Hosts: 127.0.2.5 avast.com
O1 - Hosts: 127.0.2.5 cert.org
O1 - Hosts: 127.0.2.5 w*w.cert.org
O1 - Hosts: 127.0.2.5 w*w.microsoft.com
O1 - Hosts: 127.0.2.5 microsoft.com
O1 - Hosts: 127.0.2.5 w*w.virustotal.com
O1 - Hosts: 127.0.2.5 virustotal.com
O1 - Hosts: 127.0.2.5 update.microsoft.com
O1 - Hosts: 127.0.2.5 windowsupdate.microsoft.com
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll
O3 - Toolbar: Feiern sie Legendär... Silvester in Cloppenburg - {C49DD894-C6DE-4910-8C41-BA20F852D8BC} - C:\Programme\Feiern sie Legendär... Silvester in Cloppenburg\legende.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe
O4 - HKLM\..\Run: [ViewMgr] C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [CsRss] C:\WINDOWS\System\csrss.exe
O4 - HKLM\..\Run: [drsmartloadb] c:\\drsmartloadb.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [AVKBar] "C:\Programme\AntiVirenKit 2005\AVKBar.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [aupd] C:\WINDOWS\system32\sywsvcs.exe
O4 - HKCU\..\Run: [WinFixer2005] "C:\Programme\WinFixer 2005\uwfx5.exe" /min
O4 - HKCU\..\Run: [WinFixer2006] "C:\Programme\WinFixer_2006\uwfx6.exe" /min
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Sitecom USB Wireless LAN Utility.lnk = C:\Programme\Sitecom Europe BV\Sitecom WL-113 Utility\SiteComUSB.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM\aim.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Feiern sie Legendär... Silvester in Cloppenburg - {C49DD894-C6DE-4910-8C41-BA20F852D8BC} - C:\Programme\Feiern sie Legendär... Silvester in Cloppenburg\legende.dll (file missing)
O9 - Extra 'Tools' menuitem: Feiern sie Legendär... Silvester in Cloppenburg - {C49DD894-C6DE-4910-8C41-BA20F852D8BC} - C:\Programme\Feiern sie Legendär... Silvester in Cloppenburg\legende.dll (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: avpe32 - C:\WINDOWS\SYSTEM32\avpe32.dll
O20 - Winlogon Notify: H323TSP - C:\WINDOWS\system32\k8260ifse8260.dll
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit 2005\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit 2005\AVKWCtl.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)


Ich bin über eine verständliche Hilfe sehr dankbar!


Gruß Daniel

hoerni26 03.01.2006 21:55

hallo,

bitte editiere deine links in deinem logfile...
genaue anleitung findest du in meiner signatur..

Haui45 03.01.2006 21:56

Hallo,

überprüfe diese Datei bitte zunächst auf http://virusscan.jotti.org/de und poste das Ergebnis.
Zitat:

C:\WINDOWS\SYSTEM32\avpe32.dll

DanielR 03.01.2006 22:16

Also entweder bin ich zu blöd oder die datei ist nicht (mehr) auf meiner Festplatte.



Was hat das zu sagen?

C:\winstall.exe
Böse Laufender Prozess. (winstall.exe)
Spy Sheriff
Dies ist ein Böser Prozess! Den Prozess sollten Sie fixen und manuell löschen!

Haui45 03.01.2006 22:24

Auf dem System ist noch viel mehr darauf.
Bei der avpe32.dll hab ich aber einen schlimmen Verdacht.

Kopiere den o.g. Pfad bitte in das weiße Kästchen & klicke dann auf Abschicken.
Falls die Datei nicht mehr vorhanden sein sollte müssen wir vom Schlimmsten ausgehen...

DanielR 03.01.2006 22:54

Wenn ich die Datei in das Feld kopiere und dann auf Abschicken klicke passiert nur --> Die Seite kann nicht angezeigt werden. :confused:

Haui45 03.01.2006 22:56

Versuche es bei www.virustotal.com

DanielR 03.01.2006 23:01

Die Seite kann nicht angezeigt werden.

Haui45 03.01.2006 23:11

Erstelle bitte einen Ordner C:\Boese

Gib dann folgendes in die Eingabeaufforderung (Start-> Ausführen -> cmd -> Enter) ein
Zitat:

copy C:\WINDOWS\SYSTEM32\avpe32.dll C:\Boese\avpe32.old
Überprüfe die Datei C:\Boese\avpe32.old

DanielR 03.01.2006 23:16

Datei konnte nicht gefunden werden.

DanielR 03.01.2006 23:25

Ist hier sonst niemend der mir helfen kann?

Haui45 03.01.2006 23:39

Immer mit der Ruhe, ein paar Minuten Wartezeit sind doch noch zu verkraften :cool:

Schade, dass du die Datei nicht überprüfen konntest. Es dürfte sich aber wohl um diesen Schädling handeln. Zu Schadroutine schreibt Sophos folgendes:
Zitat:

* Ermöglicht Dritten den Zugriff auf den Computer
* Installiert sich in der Registrierung
Zudem befindet sich noch massenweise andere Malware, u.a.
Zitat:

O4 - HKLM\..\Run: [CsRss] C:\WINDOWS\System\csrss.exe
O4 - HKLM\..\Run: [drsmartloadb] c:\\drsmartloadb.exe
O4 - HKCU\..\Run: [Shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [aupd] C:\WINDOWS\system32\sywsvcs.exe
O4 - HKCU\..\Run: [WinFixer2005] "C:\Programme\WinFixer 2005\uwfx5.exe" /min
O4 - HKCU\..\Run: [WinFixer2006] "C:\Programme\WinFixer_2006\uwfx6.exe" /min
O20 - Winlogon Notify: avpe32 - C:\WINDOWS\SYSTEM32\avpe32.dll
O20 - Winlogon Notify: H323TSP - C:\WINDOWS\system32\k8260ifse8260.dll
=> Das System ist als kompromittiert anzusehen und sollte neu aufgesetzt werden.
Warum das die einzig sichere Lösung ist kannst du u.a hier nachlesen.

DanielR 04.01.2006 00:31

Erstmal Dankeschön @ Haui45

Ich werde mich morgen nochmal ausführlich damit beschäftigen.

Jetzt geh ich schlafen.

Nada01 04.01.2006 15:21

Hallo,

genau das Gleich hatte ich einmal auf meinem PC mit dem roten Punkt und X;
dass war bei mir ein sog. Spysheriff. Danach hat a2 bei mir 30 Trojaner gefunden und ich bekam bald einen Anfall. Und auf dem Destop mitten daruf war ein Fenster was ich nicht weg bekam. Die Trojaner bekam ich gelöscht und dieses Fenster habe ich mit Spaybot& S+D. weg bekommen.

Gruß


Nada

The_Gender_Bender 04.01.2006 19:56

tachchen,
du scheinst dir den gleichen käse eingefangen zu haben wie ich.
nach viel aufwand(manuellem löschen und scannen) läuft das eigentliche system noch immer schwerfällig, um nicht zu sagen gar nicht mehr, da bleibt wohl nur noch der neuaufbau.
was für tr zeigt ewido?

:huepp:
ingo


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:36 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19