Windows Security Center Popup

#46 Hallo@daishi

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=-
"System"=""

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken).

Die Datei "fix.reg" auf dem Desktop doppelklicken. und sofort den PC neustarten


Download pfind
http://www.bleepingcomputer.com/files/pfind.php
extract the files to a folder of there own, a good place would be
C:\Pfind, open the folder and run pfind.bat

C:\pfind.txt <---posten bitte
__________
MfG Sabina

rund um die PC-Sicherheit

#47

Zitat

exon01 postete
@Arnold
Danke für die Infos.
@daishi
Habe heute noch was gefunden unter:
http://castlecops.com/t123948-explorer_exe_PROBLEM_Help_me_PLEASE.html
Da werden die Files
C:\WINDOWS\SYSTEM32\cisvvc.exe
C:\WINDOWS\SYSTEM32\rdsndin.exe
gelöscht. Habe ich sicherheitshalber auch gemacht, da darin die Textpassagen von der Sprechblase "virus aktivity..." enthalten waren.

Danke fuer den Link
__________
MfG Sabina

rund um die PC-Sicherheit

#48 nochmal danke für eure hilfe.

ich hab mir überlegt das ich mich vielleicht immer wieder anstecke da ich den IE benutze, drum hab ich mir heut firefox runter geladen. installation klappt wunderbar nur ich kann ihn nicht ausführen, die firefox.exe verschwindet. wenn ich bei der installation ein häckchen bei "starte firefox" mache geht, aber sobald ich ihn einmal zu mache gehts nicht mehr.

ich hab die datein gelöscht die exon01 gepostet hat.

und hier der pfind log:

Files found with this application may be legitimate.
Only remove files that you know are malware related.
Checking the C:\WINDOWS folder
C:\WINDOWS\unSpySweeper.exe: UPX!


Checking the C:\WINDOWS\SYSTEM32 folder
C:\WINDOWS\SYSTEM32\ntfsnlpa.exe: UPX!


Checking all directories under the C:\WINDOWS\SYSTEM32\drivers folder


Checking the C:\Dokumente und Einstellungen\All Users\Start Menu\programs\Startup\ folder



Checking the C:\Dokumente und Einstellungen\All Users\Application Data folder



Checking the C:\Dokumente und Einstellungen\Alex\Start Menu\programs\Startup\ folder



Checking the C:\Dokumente und Einstellungen\Alex\Application Data folder

#49 wau, wir haben ihn gefunden !!!!!!!!!

loesche mit der KIllbox:
C:\WINDOWS\SYSTEM32\ntfsnlpa.exe


C:\WINDOWS\UNSPYS~1.EXE <---suchen (ich habe den kompletten Namen nicht, aber wenn du eine findest mit: UNSPYS...... poste mir den kompletten Namen und loesche sie auch .
__________
MfG Sabina

rund um die PC-Sicherheit

#50 die exe ist die deinstallations datei von spysweeper, ich habs aber sicherheit halber auch gelöscht. ich hab auch alle anderen datein gelöscht die du in diesen thread mir gesagt hast, fast alle waren da.
diese rad.dll ist jetzt noch immer da, kaum war der rechner im windows kam ein install fenster, dass das ding wieder installiet hat und ich habs nicht abrechen können.
achja, firefox geht jetzt!

#51 C:\WINDOWS\SYSTEM32\ntfsnlpa.exe
hast du das geloescht ?'??

das war wichtig, dass du es tust.
um die Rad...mach dir keine Sorgen, du hast das Programm seit 2004 auf dem Rechner ...es hatte nichts mit der Verseuchung zu tun.


sind die PopUps weg ????????????????
__________
MfG Sabina

rund um die PC-Sicherheit

#52 ja im augenblick sieht alles gut aus, herzlichen dank nochmal!

#53 Just for Info:
Bei mir lief das System schon stabil seit meinem letzten Eintrag. Trotzdem hab'
Ich nun auch die C:\WINDOWS\SYSTEM32\ntfsnlpa.exe gelöscht, nachdem dies Sabina empfohlen hatte. Eine "unspy.." Datei gibt's bei mir nicht.
Das daishi die Firefox.exe nicht sehen konnte, scheint genauso kontrolliert zu sein, wie die Sache bei mir mit der Killbox.exe.
Falls bei diashi das system nun auch wieder läuft, könnte sabina vielleicht eine Zusammenfassung der Problembehebung hier posten? Ich hab' beim stöbern im www festgestellt, dass dieses Problem nun vermehrt auftritt, aber kaum jemand eine Lösung hat!!! Auch ich kann im Nachhinein kaum mehr nachvollziehen, was nun wirklich die "Erlösung" herbeigeführt hat.
Auf jeden Fall "Hut ab" vor Sabina, die (der?) sich dermassen bemüht hat.

#54 also es scheit das ding ist wirklich weg, ich hab bis jetzt kein einziges mal mehr ein popup gehabt, möcht micht nomal danke @sabina

#55 ZUSAMMENFASSUNG:

O1 - Hosts: 69.64.35.177 auto.search.msn.com
+
werbung für ein online casino
-------------------------------------------------------
Files Found in all users startup Folder............
------------------------
Files Found in all users windows Folder............
------------------------
C:\WINDOWS\svcproc.exe: UPX!
C:\WINDOWS\unSpySweeper.exe: UPX!


---------------------------------------------------------------------

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVCPROC]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVCPROC\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVCPROC\0000]
"Service"="SvcProc"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SvcProc]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SvcProc\Security]

usw......

-----------------------------------------------------------------------

Dont delete file's in the section without guidance
If any doubt back them up first

* UPX! C:\WINDOWS\System32\CISVVC.EXE
* UPX! C:\WINDOWS\UNSPYS~1.EXE

»»»»» lagitamate file's can/will show in this section.


C:\System Volume Information\_restore{926C12F4-2D33-4219-8ECB-7BD61D7EEF60}\RP278\A0043065.exe -> Trojan.Nail -> Gesäubert mit Backup
C:\System Volume Information\_restore{926C12F4-2D33-4219-8ECB-7BD61D7EEF60}\RP278\A0043066.exe -> Spyware.BetterInternet

------------------------------------------------------------

Adware:Adware/CWS C:\Dokumente und Einstellungen\All Users\Favoriten\Spyware Uninstall.url
Adware:Adware/CWS C:\Dokumente und Einstellungen\All Users\Favoriten\XXX personal photos.url
C:\WINDOWS\LastGood\Downloaded Program Files\BridgeX.inf
C:\WINDOWS\inf\fastvideoplayer.inf
C:\WINDOWS\LastGood\INF\fastvideoplayer.inf
D:\Eigene Dateien\Download\anti spy tools\backups\backup-20041023-101554-328.inf

C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G5W5M70L\Nailfix[1].zip

D:\Eigene Dateien\Download\anti spy tools\Nailfix.zip

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
INFECTION WARNING! "System" = "csizz.exe" [null data]

Windows Registry Editor Version 5.00

Zitat

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"3305"=-

Zitat

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=-
"System"=""

C:\WINDOWS\SYSTEM32\cisvvc.exe
C:\WINDOWS\SYSTEM32\rdsndin.exe --> wurde nie angezeigt

Checking the C:\WINDOWS\SYSTEM32 folder
C:\WINDOWS\SYSTEM32\ntfsnlpa.exe: UPX!

C:\WINDOWS\System32\CISVVC.EXE
C:\WINDOWS\svcproc.exe
C:\WINDOWS\SYSTEM32\ntfsnlpa.exe
C:\WINDOWS\SYSTEM32\rdsndin.exe
D:\Eigene Dateien\Download\anti spy tools\Nailfix.zip
C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G5W5M70L\Nailfix[1].zip
__________
MfG Sabina

rund um die PC-Sicherheit

#56 Hallo,

ich hab mir jetzt den Thread komplett durchgelesen, habe dasselbe Problem (also einmal dieses Windows Security Center PopUp und den gelben Ballon - "you may be at risk" - unten in der Taskleiste) und habe andere Programme installiert, weswegen die Lösungsvorschläge hier kaum weiterhelfen.

Ich wäre ENORM dankbar, wenn mir auch jemand helfen könnte.

Folgendes hat Hijack geliefert:

[edit]

Hab mit Hijackthis.de mal eben die schlimmsten Einträge gefixt, die da angegeben wurden.

[/edit]


Logfile of HijackThis v1.99.1
Scan saved at 19:01:49, on 05.07.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\SOUNDMAN.EXE
D:\Tools\aTuner\aTuner.exe
D:\treiber\creative audio\PROGRAM\CTMIX32.EXE
C:\Programme\Lexmark X5100 Series\lxbabmgr.exe
C:\Programme\Lexmark X5100 Series\lxbabmon.exe
D:\Tools\Cyberlink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programme\Ahead\InCD\InCD.exe
D:\Tools\Musicmatch\mmtask.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\PROGRA~1\mcafee.com\mps\mscifapp.exe
C:\PROGRA~1\McAfee\SPAMKI~1\MSKAgent.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Tools\Spybot\TeaTimer.exe
D:\Tools\Rainlander\Rainlendar.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
D:\Tools\eMule\emule.exe
C:\Programme\Outlook Express\msimn.exe
C:\PROGRA~1\McAfee\SPAMKI~1\MskClnt.exe
K:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Tools\Adobe Acrobat Reader 6.0.1\ActiveX\AcroIEHelper.dll
O2 - BHO: McBrwHelper Class - {227B8AA8-DAF2-4892-BD1D-73F568BCB24E} - c:\programme\mcafee.com\mps\mcbrhlpr.dll
O2 - BHO: McAfee PopupKiller - {3EC8255F-E043-4cae-8B3B-B191550C2A22} - c:\programme\mcafee.com\mps\popupkiller.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\Tools\Spybot\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "d:\tools\Clone CD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [aTuner] D:\Tools\aTuner\aTuner.exe -autostart
O4 - HKLM\..\Run: [CreativeMixer] d:\treiber\creative audio\PROGRAM\CTMIX32.EXE /t
O4 - HKLM\..\Run: [Lexmark X5100 Series] "C:\Programme\Lexmark X5100 Series\lxbabmgr.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] "d:\Tools\Cyberlink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [mmtask] d:\Tools\Musicmatch\mmtask.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [MPSExe] c:\PROGRA~1\mcafee.com\mps\mscifapp.exe /embedding
O4 - HKLM\..\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MSKAgent.exe
O4 - HKLM\..\Run: [MSKDetectorExe] C:\PROGRA~1\McAfee\SPAMKI~1\MSKDetct.exe /startup
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [Admanager Controller] C:\Program Files\Admanager Controller\AdManCtl.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] d:\Tools\Spybot\TeaTimer.exe
O4 - Startup: Rainlendar.lnk = D:\Tools\Rainlander\Rainlendar.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Tools\Adobe Acrobat Reader 6.0.1\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Tools\Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\tools\Office\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Tools\ICQ\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Tools\ICQ\ICQLite\ICQLite.exe
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4519/mcfscan.cab
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - McAfee, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: McAfee SpamKiller Server (MskService) - McAfee Inc. - C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe