Yur Privacy is inanger - Was tun?
 

Hi,
Versuche es jetzt noch einmal.

bin neu hier. Ein Kumpel hat mir diese Forum empfohlen.

Folgendes:

habe eben ein dummes kleines Tool installiert und anschließend die Meldung "Your Privacy is in Danger" auf meinem Desktop in einem Roten Hintergrundbild gehabt.
Der Avast Viren scanner schlug sofort alarm und ich habe mit ihm alle Auftretenden Viren gelöscht.
Nach dem Neustart war dieses komische Rote Hintergrundbild immer noch da?
Ich habe das problem schon gegooglet und irgendein Remover Tool drüber laufen lassen.
Na ja der Rote Hintergrund ist wech, jedoch machen sich jetzt regelmäßig popups auf.
Kann ich irgendwas tun damit ich wieder zur nomalität zurückkehren kann.
Mein Betriebsystem ist Win XP.
Leider kann ich keinen Pfad angeben. Da ich nicht weis wo sich der Schädling befindet bzw um welchen es sich handelt.
Ich hoffe ich habe die Regel beachtet und mir kann jemand helfen.

Vielen Dank vorab

Ps. Wenn möglich bitte alles Haarklein erklären.

Hallo Wolverine123 und

http://www.mysmilie.de/generator/ablage/156/257.png


Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix

• Starte das Programm im abgesicherten Modus dann und lass das System dort durchsuchen. (Option 2)

• Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans

Malwarebytes' Anti-Malware

• Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

• Download von Malwarebytes' Anti-Malware

So während Anti Malware läufthier schon einmal der rapport

SmitFraudFix v2.329

Scan done at 19:56:42,59, 10.07.2008
Run from C:\Dokumente und Einstellungen\Thorsten\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost
212.162.52.233 irc.westwood.com
212.162.52.233 servserv.westwood.com

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{8F00E921-C409-4994-BBD1-5CCF45D1A083}: DhcpNameServer=213.168.112.60 194.8.194.60
HKLM\SYSTEM\CS1\Services\Tcpip\..\{8F00E921-C409-4994-BBD1-5CCF45D1A083}: DhcpNameServer=213.168.112.60 194.8.194.60
HKLM\SYSTEM\CS2\Services\Tcpip\..\{8F00E921-C409-4994-BBD1-5CCF45D1A083}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=213.168.112.60 194.8.194.60
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=213.168.112.60 194.8.194.60
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

So der Scan ist nun ageschlossen.

Hier der Log

Malwarebytes' Anti-Malware 1.20
Datenbank Version: 937
Windows 5.1.2600 Service Pack 2

21:32:01 10.07.2008
mbam-log-7-10-2008 (21-32-01).txt

Scan Art: Komplett Scan (C:\|E:\|F:\|G:\|H:\|I:\|J:\|)
Objekte gescannt: 188539
Scan Dauer: 1 hour(s), 4 minute(s), 4 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 3
Infizierte Registrierungsschlüssel: 11
Infizierte Registrierungswerte: 5
Infizierte Datei Objekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 13

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
C:\WINDOWS\system32\fwyvlpbu.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\ljJAPHyA.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\rqRIaXOE.dll (Trojan.Vundo) -> Unloaded module successfully.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b6575326-0f96-4eae-b8c2-8909fe60e9f7} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{b6575326-0f96-4eae-b8c2-8909fe60e9f7} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{73984fe0-9702-4c55-9c7b-9ba3c5861f25} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{73984fe0-9702-4c55-9c7b-9ba3c5861f25} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rqriaxoe (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\a86701bd (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\DelayLoad (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\vista sidebar (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{73984fe0-9702-4c55-9c7b-9ba3c5861f25} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\fdxbameg (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Datei Objekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo) -> Data: c:\windows\system32\ljjaphya -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\ljjaphya -> Delete on reboot.

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\ljJAPHyA.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\AyHPAJjl.ini (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\AyHPAJjl.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\fwyvlpbu.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ubplvywf.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\egxk.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
E:\WinRAR\default.sfx (Rogue.Installer) -> Quarantined and deleted successfully.
J:\Downloads - Links - Ablage\LS_HSI.EXE (Rogue.Installer) -> Quarantined and deleted successfully.
C:\WINDOWS\cookies.ini (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drjdfjvg.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\opnmLcbC.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\rqRIaXOE.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\gpefaowr.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Hoffe ich habe alles entfernt.
Fällt euch noch etwas auf?

kannd das sein das der Trojaner noch nicht restlos gelöscht ist? Denn die Popups tauchen immer noch auf. Das nervt. Was kann ich da tun?

Das war bislang der erste Schritt, hier kommt der nächste:


Deckards System Scanner (DSS)

Hier gibt es das Tool -> dss.exe

* Schließe alle Anwendungen
* Doppelklicke dss.exe um das Programm zu starten
* Wenn der Scan abgeschlossen ist wird sich ein Notepad mit dem Inhalt
der main.txt öffnen.
Ein weiteres Logfile, die extra.txt liegt im Verzeichnis
c:\Deckard\SystemScanner\extra.txt
* Kopiere den Inhalt der beiden Logfiles in diesen Thread, bitte als ['CODE]['/CODE]


Was Deckards System Scanner macht:

* Es Erstellt einen System Wiederherstellungspunkt
* es säubert die temporären Dateien, Downloaded Program Files, Internet
Cache Dateien und es leert den Mülleimer auf allen Lauferken.

Also
der ganze tzext ist sehr lang.
ich muss den stückeln.
Aber mit dem ['CODE]hier mein text ['/CODE] klaptt unter der Vorschau nicht.
Mache ich etwas falsch. Will hier keine entlos seite aufmachen.
Oder soll ich die die txt dateien als pn schicken?

du musst dieses Zeichen in den Klammern dann weglassen -> `

Dieses haben wir nur eingefügt damit die CODE-Box nicht aktiviert wird. ;)

Fertig. Musste das ganze leider ein bissel stückeln. Sonst wäre es zu lang

Main 1:

Main 2

extra:

Extra 2

Extra 3
Das war alles

@ [GC_Sunny]
Sorry vielmals für meine mehrfach threads. Leider habe ich die erfahrung gemacht das man bei manchen Foren keine Hilfe bekommt und daher habe ich mein Problem in mehrere Foren gepostet. Ich war nur an einer schnellen Lösung interessiert. SORRY
Hoffe das du dafür Verständnis hast und mir trotzdem helfen wirst

Dateien Online überprüfen lassen:

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

• lass auch die versteckten Dateien anzeigen!

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

Die erste Datei kann ich nicht finden. Lasse mir bereits die versteckten dateien anzeigen

Soll ich jetzt mit Combofix starten?

Lade bitte, sofern sie zu finden sind, nach dieser Anleitung auf unsere Server:


http://www.trojaner-board.de/54791-a...tml#post349565

alles klar. Dateien sind hochgeladen.
Was kommt als nächstes?

Führe das Combofix aus, Anleitung dazu war in meinem letzten Beitrag. ;)

So...
mit Combofix bin ich durch.
Nur nebenbei. Ich weiß nicht ob wir fertig sind jedoch hat sich gerade als ich hier tippe ein Popup geöffnet.

So hier die Log

Scripten mit Combofix

• Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann



Lade Dir Navilog1 von IL-MAFIOSO herunter.

• Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
• Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
  Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
• Wähle E für Englisch im Sprachenmenü
• Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
• Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
• Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
• Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

Log

fixnavi

Combofix Deinstallieren

Klick auf Start -> Ausführen -> eintippen combofix /U

http://img247.imageshack.us/img247/7...ombofixvs6.jpg

Damit ist Combofix und alle weiteren Programme entfernt wurden.


Gibt es denn noch Probleme mit dem System?

Zurzeit kann ich keine Probleme feststellen.
Falls noch etwas auftritt melde ich mich nochmal.


Erstmal vielen vielen Dank. Finde das echt beachtlich was Du machst.

Falls du noch einen Software Tipp für mich hast damit ich mein System ein bischen sauberer und ordentlicher bekomme, wäre ich dir sehr dankbar.
Auch für eine gute Firewall falls erforderlich oder sonstige Sachen die man so braucht bin ich jederzeit offen.

Nochmals vielen Dank

Es gibt sicherlich einiges was mach zu beachten hat, auch wenn mich Firewall und Antivirensoftware nicht gerade beeindrucken (daher habe ich auch keine installiert. ;) ), solltest du folgendes beachten:


Um Dein System vor zukünfigen Infektionen zu schützen, lies bitte das folgende aufmerksam.

Das folgende ist eine Sammlung von Tools und Hilfsmitteln. Diese helfen Dir zu verstehen, wie Du infiziert wurdest und wie Du Dich in Zunkunft davor schützen kannst.

Windows Update - Es ist sehr wichtig sicher zu sein das Internet Explorer und Windows mit allen aktuellen Patches von Microsoft versorgt sind. Um dies zu prüfen öffne den Internet Explorer, wähle Extras und dort Windows Update, und folge den Anweisungen.

Spybot Search & Destroy - Ein gutes Tool, welches bösartige Software sucht und unschädlich macht. Bei der Installation darauf achten den Tea Timer & SD Helper nicht zu aktivieren!


Miranda-IM - Die ist ein Malware freier, Open Source Instant Messenger welcher mit den Protokollen von AOL, Yahoo, ICQ, IRC, MSN zusammenarbeitet.

CCleaner Download - ist eine Freeware-Software zur Optimierung und zum Aufräumen von Windows.


Generell gilt:
Halte immer alle Anwenung auf einem akutellem Stand und achte darauf was du im Netz herunterlädst oder anklickst.