Yur Privacy is inanger - Was tun?
 

Hi,
Versuche es jetzt noch einmal.

bin neu hier. Ein Kumpel hat mir diese Forum empfohlen.

Folgendes:

habe eben ein dummes kleines Tool installiert und anschließend die Meldung "Your Privacy is in Danger" auf meinem Desktop in einem Roten Hintergrundbild gehabt.
Der Avast Viren scanner schlug sofort alarm und ich habe mit ihm alle Auftretenden Viren gelöscht.
Nach dem Neustart war dieses komische Rote Hintergrundbild immer noch da?
Ich habe das problem schon gegooglet und irgendein Remover Tool drüber laufen lassen.
Na ja der Rote Hintergrund ist wech, jedoch machen sich jetzt regelmäßig popups auf.
Kann ich irgendwas tun damit ich wieder zur nomalität zurückkehren kann.
Mein Betriebsystem ist Win XP.
Leider kann ich keinen Pfad angeben. Da ich nicht weis wo sich der Schädling befindet bzw um welchen es sich handelt.
Ich hoffe ich habe die Regel beachtet und mir kann jemand helfen.

Vielen Dank vorab

Ps. Wenn möglich bitte alles Haarklein erklären.

Hallo Wolverine123 und

http://www.mysmilie.de/generator/ablage/156/257.png


Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix

• Starte das Programm im abgesicherten Modus dann und lass das System dort durchsuchen. (Option 2)

• Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans

Malwarebytes' Anti-Malware

• Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

• Download von Malwarebytes' Anti-Malware

So während Anti Malware läufthier schon einmal der rapport

SmitFraudFix v2.329

Scan done at 19:56:42,59, 10.07.2008
Run from C:\Dokumente und Einstellungen\Thorsten\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost
212.162.52.233 irc.westwood.com
212.162.52.233 servserv.westwood.com

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{8F00E921-C409-4994-BBD1-5CCF45D1A083}: DhcpNameServer=213.168.112.60 194.8.194.60
HKLM\SYSTEM\CS1\Services\Tcpip\..\{8F00E921-C409-4994-BBD1-5CCF45D1A083}: DhcpNameServer=213.168.112.60 194.8.194.60
HKLM\SYSTEM\CS2\Services\Tcpip\..\{8F00E921-C409-4994-BBD1-5CCF45D1A083}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=213.168.112.60 194.8.194.60
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=213.168.112.60 194.8.194.60
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

So der Scan ist nun ageschlossen.

Hier der Log

Malwarebytes' Anti-Malware 1.20
Datenbank Version: 937
Windows 5.1.2600 Service Pack 2

21:32:01 10.07.2008
mbam-log-7-10-2008 (21-32-01).txt

Scan Art: Komplett Scan (C:\|E:\|F:\|G:\|H:\|I:\|J:\|)
Objekte gescannt: 188539
Scan Dauer: 1 hour(s), 4 minute(s), 4 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 3
Infizierte Registrierungsschlüssel: 11
Infizierte Registrierungswerte: 5
Infizierte Datei Objekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 13

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
C:\WINDOWS\system32\fwyvlpbu.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\ljJAPHyA.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\rqRIaXOE.dll (Trojan.Vundo) -> Unloaded module successfully.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b6575326-0f96-4eae-b8c2-8909fe60e9f7} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{b6575326-0f96-4eae-b8c2-8909fe60e9f7} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{73984fe0-9702-4c55-9c7b-9ba3c5861f25} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{73984fe0-9702-4c55-9c7b-9ba3c5861f25} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rqriaxoe (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\a86701bd (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\DelayLoad (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\vista sidebar (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{73984fe0-9702-4c55-9c7b-9ba3c5861f25} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\fdxbameg (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Datei Objekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo) -> Data: c:\windows\system32\ljjaphya -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\ljjaphya -> Delete on reboot.

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\ljJAPHyA.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\AyHPAJjl.ini (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\AyHPAJjl.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\fwyvlpbu.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ubplvywf.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\egxk.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
E:\WinRAR\default.sfx (Rogue.Installer) -> Quarantined and deleted successfully.
J:\Downloads - Links - Ablage\LS_HSI.EXE (Rogue.Installer) -> Quarantined and deleted successfully.
C:\WINDOWS\cookies.ini (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drjdfjvg.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\opnmLcbC.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\rqRIaXOE.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\gpefaowr.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Hoffe ich habe alles entfernt.
Fällt euch noch etwas auf?

kannd das sein das der Trojaner noch nicht restlos gelöscht ist? Denn die Popups tauchen immer noch auf. Das nervt. Was kann ich da tun?

Das war bislang der erste Schritt, hier kommt der nächste:


Deckards System Scanner (DSS)

Hier gibt es das Tool -> dss.exe

* Schließe alle Anwendungen
* Doppelklicke dss.exe um das Programm zu starten
* Wenn der Scan abgeschlossen ist wird sich ein Notepad mit dem Inhalt
der main.txt öffnen.
Ein weiteres Logfile, die extra.txt liegt im Verzeichnis
c:\Deckard\SystemScanner\extra.txt
* Kopiere den Inhalt der beiden Logfiles in diesen Thread, bitte als ['CODE]['/CODE]


Was Deckards System Scanner macht:

* Es Erstellt einen System Wiederherstellungspunkt
* es säubert die temporären Dateien, Downloaded Program Files, Internet
Cache Dateien und es leert den Mülleimer auf allen Lauferken.

Also
der ganze tzext ist sehr lang.
ich muss den stückeln.
Aber mit dem ['CODE]hier mein text ['/CODE] klaptt unter der Vorschau nicht.
Mache ich etwas falsch. Will hier keine entlos seite aufmachen.
Oder soll ich die die txt dateien als pn schicken?

du musst dieses Zeichen in den Klammern dann weglassen -> `

Dieses haben wir nur eingefügt damit die CODE-Box nicht aktiviert wird. ;)

Fertig. Musste das ganze leider ein bissel stückeln. Sonst wäre es zu lang

Main 1:

Main 2

extra:

Extra 2

Extra 3
Das war alles

@ [GC_Sunny]
Sorry vielmals für meine mehrfach threads. Leider habe ich die erfahrung gemacht das man bei manchen Foren keine Hilfe bekommt und daher habe ich mein Problem in mehrere Foren gepostet. Ich war nur an einer schnellen Lösung interessiert. SORRY
Hoffe das du dafür Verständnis hast und mir trotzdem helfen wirst

Dateien Online überprüfen lassen:

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

• lass auch die versteckten Dateien anzeigen!

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)