Trojaner-Board - Antivirus XP 2008 again

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Antivirus XP 2008 again (https://www.trojaner-board.de/59235-antivirus-xp-2008-again.html)

Antivirus XP 2008 again

Hallo,
meine Freundin hat sich heute morgen auf ihrem PC den Antivirus Xp 2008 eingefangen.
Sie kann hier nicht posten, da sie keine Internetseiten aufrufen kann, sondern auf irgendwelche Werbeseiten geleitet wird (wohl durch das programm).
Desweiteren ist der Desktophintergrund nicht mehr einstellbar und mit dem üblichen Käse zugekleistert.
Diverse Antivirenprogramme (Antivir, Spybot) haben nichts gebracht.
Den Ordner des Programms haben wir bereits gelöscht (Name war wirre Buchstabenfolge und es war unter Programme).
Im moment läuft malwarebytes' anti-malware, bereits 20 Infizierte dateien wurden gefunden (wie zuvor auch die anderen, obwohl sie dort gelöscht wurden).
Help!

Btw. scheint ja momentan ziemlich viele Infizierte damit zu geben, kann man da was machen, damit nicht noch mehr infiziert werden?
Ach ja meine Freundin verwendet Mozilla Firefox 3, ich den K-Meleon (der mich bis jetzt verschont hat).

Hallöle

Antivirus XP 2008 ist ein Rogue, das heißt ein Programm, das vorgibt ein
Antivirenprogramm zu sein, aber in Wirklichkeit ein Trojaner ist.
Dein Rechner ist nicht wirklich von den von Antivirus XP 2008 gefundenen Viren befallen, es will dich lediglich dazu bewegen Ihnen Geld zu überweisen.

verbessert mich wenn ich falsch liege

Das ist mir klar, nur das Programm selbst verursacht allen möglichen Krampf (wie oben beschrieben) und öffnet das Türchen für allerhand anderes Zeuch. Die Symptome kann ich auch bekämpfen, aber ich will ja die Wurzel loswerden.

Edit:
Wie es scheint wurde grade Antivir aktualisiert, mal schaun ob es was gegen den Übeltäter hilft.

Edit2:
Wenn ich Antivir schreibe, meine ich natürlich Avira Antivir PE Classic.

Edit3:
dann eben noch ein paar Infos zum infizierten PC:
Windows XP Professional SP2
3700+
1,5GB RAM

Kann uns denn niemand helfen?
Wir sind echt verzweifelt...
Um es nochmal zu wiederholen:
Windows XP SP2

Probleme:
siehe Anhang
-kann viele Internetseiten nicht mehr aufrufen oder wird auf eine Werbeseite geschickt
-kann den Bildschirmhintergrund und -schoner nicht mehr einstellen
-kann smitfraudfix nicht ausführen
-hin und wieder Bluescreens

Also helfen kann ich dir nicht so wie die Profis aber irgendwann solltest du SP3 installieren

Ok werden wir machen, denke aber nicht, dass es das Problem behebt...

nein nicht aber in nächster zeit wird bestimmt jemand danach gucken
aber mit Mozilla FF kann man wenigstens ein wenig sicherer surfen als mit IE

So,
wir haben jetzt SP3 installiert, nen weiteren Avira Antivir lauf gemacht, den CCleaner durchlaufen lassen, diverse Sachen aus der Software gelöscht und Firefox neu installiert.
Ergebnis:
- Der Desktophintergrund ist jetzt durchgehend blau, kann aber immer noch nicht geändert werden (zumindest nicht auf dem eigentlichen Weg).
- Der XYZ wurde nicht gefunden Fehler ist verschwunden.
- 2 GB weniger temporäre Daten :balla:
- Mit dem IE kann man nun alles korrekt ausführen, mit dem Firefox immer noch viele Sachen nicht über Suchmaschinen finden (man wird auf eine Seite mit clearask... oder direkt auf ieine Ad-page geleitet)

Was jetzt?

Edit: Es scheint, dass nur Google diesen "Fehler " hat... naja damit kann man Leben, bin mir aber trotzdem nicht so ganz sicher...

Haben jetzt einmal HJT drüber laufen lassen,
das ist das LOG:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:32:25, on 05.09.2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Boot mode: Normal
 

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\spoolsv.exe

D:\Programme\AntiVir PersonalEdition Classic\sched.exe

D:\Programme\AntiVir PersonalEdition Classic\avguard.exe

D:\WINDOWS\system32\nvsvc32.exe

D:\WINDOWS\System32\snmp.exe

D:\WINDOWS\Explorer.EXE

D:\WINDOWS\system32\wscntfy.exe

D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe

D:\WINDOWS\Mixer.exe

D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

D:\WINDOWS\system32\RunDll32.exe

D:\Programme\Java\jre1.6.0_07\bin\jusched.exe

D:\WINDOWS\system32\RUNDLL32.EXE

D:\WINDOWS\system32\ctfmon.exe

D:\Programme\Sonique\sqstart.exe

D:\Programme\Skype\Phone\Skype.exe

D:\Programme\buffed.de\Blasc\BLASC.exe

D:\Programme\Octoshape Streaming Services\****\OctoshapeClient.exe

D:\Programme\Tiscali\Tiscali Communicator\Tiscali Communicator.exe

D:\Programme\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe

D:\Programme\Stickies\stickies.exe

D:\Programme\Skype\Plugin Manager\SkypePM.exe

D:\WINDOWS\system32\wuauclt.exe

D:\Programme\Mozilla Firefox\firefox.exe

D:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.neopets.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157

O3 - Toolbar: Neopets - {CD292324-974F-4224-D074-CACA427AA030} - D:\Programme\Neopets\Toolbar\Toolbar.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SoniqueQuickStart] D:\Programme\Sonique\sqstart.exe -nostick

O4 - HKCU\..\Run: [Skype] "D:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [Steam] "D:\Programme\Steam\Steam.exe" -silent

O4 - HKCU\..\Run: [BLASC] "D:\Programme\buffed.de\Blasc\BLASC.exe" silent

O4 - HKCU\..\Run: [Octoshape Streaming Services] "D:\Programme\Octoshape Streaming Services\*****\OctoshapeClient.exe" -inv:bootrun

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot (User 'Default user')

O4 - Startup: IMVU.lnk = D:\Programme\IMVU\IMVUClient.exe

O4 - Startup: Stickies.lnk = D:\Programme\Stickies\stickies.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Tiscali Communicator.lnk = D:\Programme\Tiscali\Tiscali Communicator\Tiscali Communicator.exe

O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = ?

O8 - Extra context menu item: &Search - ?p=ZSYYYYYYYYDE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - D:\Dokumente und Einstellungen\****\Startmenü\Programme\IMVU\Run IMVU.lnk

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe

O12 - Plugin for .spop: D:\Programme\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - h**p://w*w.acclaim.com/cabs/acclaim_v4.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe

O24 - Desktop Component 1: Anfy LAKE - D:\Programme\AnfyTeam\Applet\lake\preview.html
 

--

End of file - 7079 bytes

Vllt. könnt ihr damit ja was anfangen...

die gleichen probleme habe ich auch habe es heute eingefangen!
Aber mit spy emerency ging es weg aber leider nicht die probleme!
Internet stürzt ab (nach neustart des pc behoben), und ich kann keinen neuen hindergrund wählen und ich kann nicht defragmentieren!

@ mcsebbi
Hast du denn auch nur Probleme mit Firefox bei Google oder auch bei anderen Seiten?

Also fireball und yahoo gehen bei uns

Google, yahoo und andere suchmaschienen, link auf normale seiten sind kein problem!

@mcsebbi

Bitte eröffne ein eigenes Thema mit regelkonformer Beschreibung deines Problems, und hör bitte auf unnötig in andere Themen zu schreiben!

Danke
Sunny

wenn 2 leute oder mehr das gleiche problem haben warum immer ein neues eröffnen? Nacher sind 100 Threats deswegen da!

Zitat:

Zitat von mcsebbi (Beitrag 369425)

wenn 2 leute oder mehr das gleiche problem haben warum immer ein neues eröffnen? Nacher sind 100 Threats deswegen da!

Diese Diskussion hatte ich heute schon einmal mit einem User, nach kurzer Diskussion habe ich ihn gesperrt! :aufsmaul:

Hier sind nochmal die Regeln unseres Forums, entweder du hälst dich dran, oder du lässt es und bekommst keine Hilfe!

Zitat:

http://www.trojaner-board.de/images/warning.png
Die 7 goldenen Regeln im Trojaner-Board:

1. Bevor Du postest, benutze Google sowie die Boardsuche und informiere Dich über Dein Problem. Du bist erfahrungsgemäß nicht der erste, der diese Frage stellt. Arbeite die empfohlenen Maßnahmen durch.

2. Wenn Du Dein Problem im Board schildern willst, poste es genau einmal. Erstelle dafür ein eigenes Thema um Verwirrung zu vermeiden. Fallen Dir danach wichtige Details ein, editiere und ergänze Dein Posting, anstatt ein neues zu erstellen. Mehrfach- und Crosspostings landen in der Mülltonne.

3. Wähle einen aussagekräftigen Titel, der Dein Problem kurz und klar zusammenfaßt. Titel wie "hüllfääää ... überall viren!!!" führen dazu, daß Dein Posting ignoriert wird.

4. Schreibe in verständlichem Deutsch und in ganzen Sätzen. Vergiß nicht: Dies ist ein Forum, kein Chat. Du hast Zeit! Beseitige Fehler, bevor du Deinen Beitrag erstellst. Hältst Du Dich nicht an diese Regel, kannst Du keine hilfreichen Antworten erwarten.

5. Beschreibe Dein Problem genau und nenne alle erforderlichen Details. Dazu gehören Dein Betriebssystem, wortgetreue Wiedergaben von Fehlermeldungen, und Pfadangaben bei Schädlingsbefall. Fehlen diese Angaben, kann Dir niemand helfen.

6. Lies die Hinweise der Helfer sorgfältig und befolge sie. Verstehst Du etwas nicht, frage höflich nach. Hast Du Dein Problem erfolgreich gelöst, melde Dich. Vergiß nicht, Dich zu bedanken. Deine Helfer werden es nicht vergessen.

7. Zu guter Letzt: Zitiere externe Quellen immer mit Quellenangabe, da Du sonst das Team in rechtliche Schwierigkeiten bringst. Bei Nichtbeachtung dieser Regel werden entsprechende Postings kommentarlos gelöscht.