Security Alert: Spyware found...geht nicht mehr weg...!

#1 Hallo an alle.
Bin absoluter PC-Neuling und werde fast verrückt mit diesen Fenstern, die ständig wieder aufgehen.
Ich wollte mir eine Video-Software runterladen, hab auf Download geklickt und seitdem werd ich mit dieser Werbung und diesen Virusmeldungen belästigt.
Ich hätte Trojaner dem PC und als Lösung sollte ich eine Software kaufen etc...
Hab schon Tipps dazu gelesen, wie man Pesttrap und Co. entfernen kann, aber ich kapier NULL !
Keine Ahnung, was die ganzen Fremdworte da bedeuten...regedit, geh dorthin und geh dorthin und mach dies und jenes....
Ich verstehe diese PC-Fremdwörter nicht.
Kann mir bitte jemand helfen oder beim Deinstallieren helfen ohne diese Fremdworte zu benützen....Schritt für Schritt ?

Das wäre großartig, DANKE !!!!

Martin

#2 Kauf dir bloß nichts. Mach nichts was dieses Programm will, was du da nun aufm pc hast. Wie heißt das programm was da sich jetzt immer meldet?


erstell schonmal ein Hijackthis log:

Erstellen eines Hijackthis-Logfiles
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

#3 Martin77

poste das log vom HijackThis, dann sehen wir weiter
ich erklaere dir dann alles weitere ganz ganz genau
__________
MfG Sabina

rund um die PC-Sicherheit

#4 Posten heißt wohl senden, oder ?
Hoffe, ich hab´s richtig gemacht...Danke für Eure Hilfe, falls es klappt !
Martin

Logfile of HijackThis v1.99.1
Scan saved at 20:16:56, on 09.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\iCodecPack\isamonitor.exe
C:\Programme\iCodecPack\pmsngr.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\iCodecPack\pmmon.exe
C:\PROGRA~1\MUSICM~1\MUSICM~1\mm_tray.exe
C:\Programme\PDFDrucker\PDF24Updater.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\Programme\iCodecPack\isamini.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Martin\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - C:\Programme\iCodecPack\isaddon.dll
O3 - Toolbar: Protection Bar - {479fd0cf-5be9-4c63-8cda-b6d371c67bd5} - C:\Programme\iCodecPack\iesplugin.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [ALDI_SUED_FotoSuite_Download] "C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" /autorun
O4 - HKLM\..\Run: [MMTray] C:\PROGRA~1\MUSICM~1\MUSICM~1\mm_tray.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [PDFPrint] "C:\Programme\PDFDrucker\PDF24Updater.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {ABC1D8DE-CAB5-4FB7-BCD0-137BAB9F09DC} (aldisued-fotos-druck_de_bilduebertragung) - http://www.aldisued-fotos-druck.de/upload/aldi_sued_bilduebertragung.cab
O16 - DPF: {F7DC2A2E-FC34-11D3-B1D9-00A0C99B41BB} (Zoom Class) - http://www.zoomify.com/download/zoomify305.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

#5 1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme\iCodecPack" >>files.txt
notepad files.txt

2.
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinkopieren)

iCodecPack

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

---------------------------------------------------------------

3.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Folders to delete:
C:\Programme\iCodecPack

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

4.
öffne das HijackThis -- Button "scan" -- vor die Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - C:\Programme\iCodecPack\isaddon.dll
O3 - Toolbar: Protection Bar - {479fd0cf-5be9-4c63-8cda-b6d371c67bd5} - C:\Programme\iCodecPack\iesplugin.dll

5.
scanne mit smitfraudfix
http://virus-protect.org/artikel/tools/smitfrautfix.html

----------------


Anleitung , remove iCodecPack erstellt mit Hilfe von: Martin77
http://virus-protect.org/artikel/spyware/icodecpack_remove.html
__________
MfG Sabina

rund um die PC-Sicherheit

#6 Hallo Sabina,

bin noch bei Punkt 1, ein schwarzes Fenster geht auf und ein Text im Editor erschein....welchen soll ich nun kopieren ?

#7 es muesste der texteditor aufgehen - kopiere von dort alles ab
__________
MfG Sabina

rund um die PC-Sicherheit

#8 und was kopier ich jetzt in diese Zeile bei enter search strings rein ?
Das alles, was im Editor steht ? Den langen Text ? Alles ?

Und wo kommt dieses iCodecPack rein ?

#9 poste erst mal, was du im texteditor gefunden hast hier , dann erst kommen wir zu punkt 2.

Punkt2:

reinkopieren: iCodecPack
und alles , was erscheint hier posten
__________
MfG Sabina

rund um die PC-Sicherheit

#10 Also, jetzt steht bei mir im Editor:

Datentr„ger in Laufwerk C: ist 65-01-11
Volumeseriennummer: ECAE-D346

Verzeichnis von C:\Programme\iCodecPack

09.09.2006 16:31 <DIR> .
09.09.2006 16:31 <DIR> ..
09.09.2006 16:30 25.088 iesplugin.dll
09.09.2006 16:30 9.216 iesuninst.exe
09.09.2006 22:35 12.800 isaddon.dll
09.09.2006 22:35 4.608 isamini.exe
09.09.2006 16:30 27.648 isamonitor.exe
09.09.2006 16:30 9.728 isauninst.exe
09.09.2006 16:30 4.286 ot.ico
09.09.2006 22:35 2.424 pmmon.exe
09.09.2006 16:30 10.876 pmsngr.exe
09.09.2006 16:30 9.728 pmuninst.exe
09.09.2006 16:30 4.286 ts.ico
09.09.2006 16:31 26.564 uninst.exe
12 Datei(en) 147.252 Bytes
2 Verzeichnis(se), 49.355.603.968 Bytes frei

#11 Punkt2:

reinkopieren: iCodecPack
und alles , was erscheint hier posten
__________
MfG Sabina

rund um die PC-Sicherheit

#12 wo genau kopier ich iCodecPack rein ?

Für nen Anfänger ist das hier wie hebräisch...puhhhh...und ständig diese Werbefenster, die aufgehen...

#13 schau mal mein Beispiel auf der seite...dort kopierst du es rein - dort steht WINHOUND....
http://virus-protect.org/artikel/tools/regsearch.html

du kopierst rein: iCodecPack- dann klicke das gruen Kaestchen (Click button to start... ) - - OK


__________
MfG Sabina

rund um die PC-Sicherheit

#14 also dann geht der Editor auf mit dem Text:

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 09.09.2006 23:19:25 for strings:
; 'icodecpack
icodecpack'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...

#15 du musst es genauso reinkopieren oder schreiben:

iCodecPack

nicht anders.............
versuche es noch mal.
__________
MfG Sabina

rund um die PC-Sicherheit