antivirusgold*?*bin kurz vor dem verzweifeln...

#1 Hallo zusammen,
dies ist zwar mein erstes Posting aber ich wäre wirklich dankbar wenn Ihr mir bei meinem folgenden Problem helfen könnt.Werde natürlich,soweit mir möglich, auch Fragen anderer nach bestem Wissen und Gewissen beantworten...!

So...
habe mir irgenwie das Programm ANtivirusGold eingefangen.Lässt sich nicht löschen oder so.Des weiteren ist mein Hintergrundbild durch einen Hintergrund ersetzt worden und mir wird ständig angezeigt"your computer is infected".
Des weiteren habe ich im Taskmanager intmonp und dwwin aufgelistet.Weiß zwar nicht genau was das ist, jedoch weiß ich das es etwas schlechtes ist.
Immer wenn ich ins Internet gehe werde ich direkt auf w2ww.updatesearches.com weitergeleitet.Und nach einiger Zeit hat sich dieses sch... AntivirusGold wieder selbst installiert.Ich kriege den ganzen Kram einfach nicht runter.Ich habe auch schon versucht in der Registry die betroffenen Einträge zu löschen, hat aber alles nichts gebracht.
Die FP kann ich auch nicht löschen und XP neu aufziehen, daq ich zuviel ewichtige Sachen darauf habe.
Wäre verdammt cool wenn mir jemand einen Tip oder Hilfestellung geben kann.Bin schon kurz vor dem verzweifeln.


Ich habe hier mal mein Logfile gepostet.
Ach...was heißt fixen??schon mal im voraus Und wie gesagt: besten Dank im voraus..!

Logfile of HijackThis v1.99.1
Scan saved at 00:28:47, on 16.06.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\explorer.exe
D:\Schei...\HijackThis.exe
C:\WINDOWS\System32\imapi.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: concept/design's onlineTV - {E5008E45-CE14-4155-8F64-9F8CBB6A1269} - D:\Programme\onlineTV\onlineTV.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: Microsoft AntiSpyware helper - {C1067750-0D59-446F-8400-34808152A079} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {C1067750-0D59-446F-8400-34808152A079} - (no file) (HKCU)
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://217.173.193.218/activex/AxisCamControl.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O20 - Winlogon Notify: style2 - C:\WINDOWS\q201734_disk.dll
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing)

#2 intmonp.exe ist nicht gut und nicht allein, da gehört noch die eigentliche trojanerdatei dazu - hoff ich mal das sie bei dir popuper.exe heisst... dwwin ist sie denke ich nicht ( aber wer weiß - wenn der security task mamager es so anzeigt kann das schon sein )

Troj/Puper-C ist ein Trojaner für Windows-basierte Systeme.
Der Trojaner legt eine Datei namens intmonp.exe (ebenfalls als Troj/Puper-C erkannt) im Windows-Systemordner ab und startet sie.
intmonp.exe überwacht den Hauptprozess und startet ihn neu, wenn er beendet wird. Der Hauptprozess startet den Überwachungsprozess neu, wenn er beendet wurde und erzeugt ihn neu, sollte er gelöscht werden.
Troj/Puper-C erstellt außerdem den folgenden Registrierungseintrag, damit er gestartet wird, wenn der infizierte Computer neu startet:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run
notepad2.exe
popuper.exe

Der Neustart des Hauptprozesses durch inmonp.exe funktioniert nur, wenn die Trojanerdatei den Namen popuper.exe hat. ( oder eben anders )
Daher kann das System desinfiziert werden, indem der Name der Datei popuper.exe geändert und dann der Prozess popuper.exe beendet wird.
intmonp.exe beendet sich selbst, wenn sie die Hauptdatei nicht mehr findet, um sie neu auszuführen. Beide Dateien können gelöscht und die Registrierung bereinigt werden.

das mit dem hintergrund ist ja eine ganz witzige idee

mfg
__________
creatio ex nihilo vs. publico

#3 @ discordia
erstmal besten dank.mit dem hintergrund meinte ich natürlich, dass mein eigentliches hintergrundbild durch eine schwarze webseute ersetzt wurde.da steht alles mögliche drau: antivirusblablabla...your system is infected...und so weiter.
intmonp.exe wurde in meiner logfile nicht angezeit da ich sie vermutlich schon gelöscht habe.aber popuper.exe habe ich auch drauf.stimmt schon was du alles gesagt hast.wie gesagt,ich habe mal versucht alles mögliche zu löschen was nicht auf den rechner gehört...und siehe da...jetzt schlißt sich ständig mein sch... windows explorer(explorer hat einen fehler verursacht und muss beendet werden---nicht senden---baut sich neu auf---explorer hat einen fehler verursacht und muss geschlossen werden---nicht senden---u.s.w. iss alles zum kotzen

werde jetzt erstaml das machen was du hier geschrieben hast und dan sehen wir mal weiter.
melde mich auf jeden fall später nocheinmal

mfg jussuf

#4 zum problem mit dem ie kann ich nur eins sagen: FIREFOX ist besser und sicherer
__________
creatio ex nihilo vs. publico

#5 ich meinte nicht den internet explorer sonder den windows explorer...halt arbeitsplatz und so weiter...

zum ie kann ich nur sagen, dass ich mir da einen neuen explorer beschaffen muss.werd mal opera ausprobieren...oder so.

mfg

#6 ach so..
aber hat das mit dem umbenennen jetzt geklappt ?

was du noch probieren kannst ist diesen eintrag zu fixen
O20 - Winlogon Notify: style2 - C:\WINDOWS\q201734_disk.dll

sollte sie nach dem booten wieder da sein musst du den prozess im systemstart ( ausführen- "msconfig"- systemstart ) erstmal beenden und dann nochmal fixen

und die hier auch weil du sie nicht brauchst

O9 - Extra button: Microsoft AntiSpyware helper - {C1067750-0D59-446F-8400-34808152A079} - (no file) (HKCU)

O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {C1067750-0D59-446F-8400-34808152A079} - (no file) (HKCU)

O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing)

evtl. die ganze prozedur im abgesicherten modus ( F8 beim systemstart drücken ) wiederholen

mfg
__________
creatio ex nihilo vs. publico

#7 Ohne worte
http://www.freebyte.com/antivirus/
__________
MfG Argus

#8 @arnold
das war eine sehr gute idee

@jussuf
schau da mal vorbei und hol dir das nötigste für dein system
__________
creatio ex nihilo vs. publico

#9 besten dank für den tip.werd mich gleich sofort schlau machen.
mfg

#10 Öhhm ... Ich hab das *** Ding seit gestern auch. Hab den Link ober ausprobiert und festgestellt das da auch trojaner drauf waren >.<
Kann mir jemand mal helfen? Bin auf Mozilla umgestiegen aber es öffnen sich immernoch diese dämlichen popups. Und ich will nicht wissen was dieses programm noch im hintergrund macht. Oo
Also es heisst popuper.exe bei mir und ist seit gestern im ordner Windows.
Ich habs in "Schei... popuper" umbenannt und trotztdem kommen immer wieder ( Jetzt grade im moment auch) nachrichten von wegen "YOur Pc is maybe infected" Wenn man da draufklickt, wird man sofort zu der antivirus gold seite verlinkt...
Ich bin froh dass ich nicht alleine mit diesem prob bin. Dann gibts ja vll ne lösung. also ich hab versucht das mit Norton zu fixen aber der siehts als ganz normales prog an und unternimmt auch nix...
Über ne baldige antwort würde ich mich freuen.

#11 @ Husten,

HijackThis 1.99.1
http://www.downloads.subratam.org/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
Entpacke das Programm in einem eigenen Ordner.
Starte das Programm mit der HijackThis.exe-Datei => Scan drücken => Save Log drücken => der Texteditor mit dem Log öffnet sich. Den gesamten Text abkopieren und hierher posten.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#12 Hallo@jussuf

Start -- Ausführen -- cmd -- kopiere nur die Einträge der letzten 40 Tage aus dem sich öffnenden Editor raus

einzeln reinkopierendann öffnet sich der Editor)


cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit


Pfind
http://www.bleepingcomputer.com/files/pfind.php

*laden -- entpacken -- in C:\Pfind -- klicken pfind.bat nach dem Scan -- C:\pfind.txt -- kopieren/einfügen

Lade: rkfiles.zip
http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip
*entpacken
*gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
*Doppelklick(Ausführen)-- rkfiles.bat -- warten bis sich das DOS-Fenster schliesst --- poste C:\log.txt

Silentrunners
http://virus-protect.org/silentrunner.html
__________
MfG Sabina

rund um die PC-Sicherheit

#13 @jussuf

•Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

reinkopieren

UMWdf

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

L2mfix (abarbeiten)
http://virus-protect.org/L2mfix.html
__________
MfG Sabina

rund um die PC-Sicherheit