Home » Spyware & Browser Hijacker Support Forum » Windows Security alert (Pop-ups), kann sich das mal jemand ansehen? » Themenansicht
Windows Security alert (Pop-ups), kann sich das mal jemand ansehen?Thema ist geschlossen! |
||
|---|---|---|
Thema ist geschlossen! |
||
| #0
| ||
|
10.09.2007, 21:07
Member
Beiträge: 13 |
||
 
|
|
|
|
11.09.2007, 07:47
Member
 Beiträge: 694 |
#2
Hi,
Bitte folgende Files prüfen: Zitat C:\WINDOWS\msmhost.dllhttp://www.virustotal.com/flash/index_en.html Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen. Poste die jeweiligen Ergebnisse mit Filename! Falls die Files erkannt werden, wie folgt weitermachen: Also: Avenger http://virus-protect.org/artikel/tools/avenger.html Input script manually (anhaken) kopiere in: View/edit script Zitat Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Zitat
Poste die Logs, zusaetzlich bitte noch Cureit nutzen Anleitung: http://virus-protect.org/cureit.html Aber bitte den Download von hier nutzen http://freedrweb.com/?lng=de Poste auch dieses Log, aber ohne die Cookie-Meldungen... Chris |
|
|
|
|
|
|
11.09.2007, 17:56
Member
Themenstarter Beiträge: 13 |
#3
Hi Chris,
zunächst mal vielen Dank für deine Hilfe, ich habe, wie beschrieben, die Files C:\WINDOWS\msmhost.dll C:\WINDOWS\msmdev.dll C:\WINDOWS\nsduo.dll C:\WINDOWS\system32\cscript.exe über den Link http://www.virustotal.com/flash/index_en.html überprüfen lassen. Ich stelle das Ganze jetzt mal rein, ich hoffe es ist nicht zu unübersichtlich und du kannst mal nen Blick drauf werfen... Werde jetzt zu Schritt 2 übergehen und das mit dem Avenger ausprobieren, melde mich dann wieder. Nochmal vielen Dank für deine Zeit u. Geduld. Datei nsduo.dll empfangen 2007.09.11 17:29:11 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 3/32 (9.38%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 4. Geschätzte Startzeit is zwischen 52 und 75 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.9.11.1 2007.09.11 - AntiVir 7.6.0.5 2007.09.11 ADSPY/BHO.Age.NAR.2 Authentium 4.93.8 2007.09.11 - Avast 4.7.1043.0 2007.09.11 - AVG 7.5.0.485 2007.09.11 - BitDefender 7.2 2007.09.11 - CAT-QuickHeal 9.00 2007.09.11 - ClamAV 0.91.2 2007.09.11 - DrWeb 4.33 2007.09.11 - eSafe 7.0.15.0 2007.09.11 - eTrust-Vet 31.1.5126 2007.09.11 - Ewido 4.0 2007.09.11 - FileAdvisor 1 2007.09.11 - Fortinet 3.11.0.0 2007.09.11 - F-Prot 4.3.2.48 2007.09.11 - F-Secure 6.70.13030.0 2007.09.11 - Ikarus T3.1.1.12 2007.09.11 - Kaspersky 4.0.2.24 2007.09.11 - McAfee 5116 2007.09.10 - Microsoft 1.2803 2007.09.11 TrojanDownloader:Win32/Zlob.gen!M NOD32v2 2521 2007.09.11 - Norman 5.80.02 2007.09.10 - Panda 9.0.0.4 2007.09.11 - Prevx1 V2 2007.09.11 - Rising 19.40.12.00 2007.09.11 - Sophos 4.21.0 2007.09.11 - Sunbelt 2.2.907.0 2007.09.11 - Symantec 10 2007.09.11 - TheHacker 6.1.10.184 2007.09.11 - VBA32 3.12.2.4 2007.09.09 - VirusBuster 4.3.26:9 2007.09.11 - Webwasher-Gateway 6.0.1 2007.09.11 Ad-Spyware.BHO.Age.NAR.2 weitere Informationen File size: 233472 bytes MD5: aaa60140e8d494d1483185fa8c733cff SHA1: 76b3aa809713927aa0ce265e85fd295df4b1ee57 Datei msmdev.dll empfangen 2007.09.11 17:27:53 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 2/32 (6.25%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 4. Geschätzte Startzeit is zwischen 52 und 75 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.9.11.1 2007.09.11 - AntiVir 7.6.0.5 2007.09.11 - Authentium 4.93.8 2007.09.11 - Avast 4.7.1043.0 2007.09.11 - AVG 7.5.0.485 2007.09.11 - BitDefender 7.2 2007.09.11 - CAT-QuickHeal 9.00 2007.09.11 - ClamAV 0.91.2 2007.09.11 - DrWeb 4.33 2007.09.11 - eSafe 7.0.15.0 2007.09.11 - eTrust-Vet 31.1.5126 2007.09.11 - Ewido 4.0 2007.09.11 - FileAdvisor 1 2007.09.11 - Fortinet 3.11.0.0 2007.09.11 - F-Prot 4.3.2.48 2007.09.11 - F-Secure 6.70.13030.0 2007.09.11 - Ikarus T3.1.1.12 2007.09.11 - Kaspersky 4.0.2.24 2007.09.11 - McAfee 5116 2007.09.10 - Microsoft 1.2803 2007.09.11 Program:Win32/UltimateDefender NOD32v2 2521 2007.09.11 Win32/Adware.Agent.NFM Norman 5.80.02 2007.09.10 - Panda 9.0.0.4 2007.09.11 - Prevx1 V2 2007.09.11 - Rising 19.40.12.00 2007.09.11 - Sophos 4.21.0 2007.09.11 - Sunbelt 2.2.907.0 2007.09.11 - Symantec 10 2007.09.11 - TheHacker 6.1.10.184 2007.09.11 - VBA32 3.12.2.4 2007.09.09 - VirusBuster 4.3.26:9 2007.09.11 - Webwasher-Gateway 6.0.1 2007.09.11 - weitere Informationen File size: 327680 bytes MD5: 399b0491d390bfaaa0719aa9d31c9e5e SHA1: ba4f4a4233ac9d0d3b9250d25166cd7685c958eb Datei msmhost.dll empfangen 2007.09.11 17:27:19 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 4/32 (12.5%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 5. Geschätzte Startzeit is zwischen 56 und 81 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.9.11.1 2007.09.11 - AntiVir 7.6.0.5 2007.09.11 - Authentium 4.93.8 2007.09.11 - Avast 4.7.1043.0 2007.09.11 - AVG 7.5.0.485 2007.09.11 - BitDefender 7.2 2007.09.11 - CAT-QuickHeal 9.00 2007.09.11 - ClamAV 0.91.2 2007.09.11 - DrWeb 4.33 2007.09.11 - eSafe 7.0.15.0 2007.09.11 - eTrust-Vet 31.1.5126 2007.09.11 - Ewido 4.0 2007.09.11 - FileAdvisor 1 2007.09.11 - Fortinet 3.11.0.0 2007.09.11 - F-Prot 4.3.2.48 2007.09.11 - F-Secure 6.70.13030.0 2007.09.11 - Ikarus T3.1.1.12 2007.09.11 Trojan-Downloader.Win32.Agent.bjc Kaspersky 4.0.2.24 2007.09.11 - McAfee 5116 2007.09.10 - Microsoft 1.2803 2007.09.11 Program:Win32/UltimateDefender NOD32v2 2521 2007.09.11 Win32/Adware.Agent.NFN Norman 5.80.02 2007.09.10 - Panda 9.0.0.4 2007.09.11 Suspicious file Prevx1 V2 2007.09.11 - Rising 19.40.12.00 2007.09.11 - Sophos 4.21.0 2007.09.11 - Sunbelt 2.2.907.0 2007.09.11 - Symantec 10 2007.09.11 - TheHacker 6.1.10.184 2007.09.11 - VBA32 3.12.2.4 2007.09.09 - VirusBuster 4.3.26:9 2007.09.11 - Webwasher-Gateway 6.0.1 2007.09.11 - weitere Informationen File size: 249856 bytes MD5: 30099edc7af719166115bf5cbc379266 SHA1: 7c369d6b971df3957821ab5b970db2d48763f035 Datei cscript.exe empfangen 2007.09.11 17:26:25 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/32 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: ___. Geschätzte Startzeit is zwischen ___ und ___ . Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.9.11.1 2007.09.11 - AntiVir 7.6.0.5 2007.09.11 - Authentium 4.93.8 2007.09.11 - Avast 4.7.1043.0 2007.09.11 - AVG 7.5.0.485 2007.09.11 - BitDefender 7.2 2007.09.11 - CAT-QuickHeal 9.00 2007.09.11 - ClamAV 0.91.2 2007.09.11 - DrWeb 4.33 2007.09.11 - eSafe 7.0.15.0 2007.09.11 - eTrust-Vet 31.1.5126 2007.09.11 - Ewido 4.0 2007.09.11 - FileAdvisor 1 2007.09.11 - Fortinet 3.11.0.0 2007.09.11 - F-Prot 4.3.2.48 2007.09.11 - F-Secure 6.70.13030.0 2007.09.11 - Ikarus T3.1.1.12 2007.09.11 - Kaspersky 4.0.2.24 2007.09.11 - McAfee 5116 2007.09.10 - Microsoft 1.2803 2007.09.11 - NOD32v2 2521 2007.09.11 - Norman 5.80.02 2007.09.10 - Panda 9.0.0.4 2007.09.11 - Prevx1 V2 2007.09.11 - Rising 19.40.12.00 2007.09.11 - Sophos 4.21.0 2007.09.11 - Sunbelt 2.2.907.0 2007.09.11 - Symantec 10 2007.09.11 - TheHacker 6.1.10.184 2007.09.11 - VBA32 3.12.2.4 2007.09.09 - VirusBuster 4.3.26:9 2007.09.11 - Webwasher-Gateway 6.0.1 2007.09.11 - weitere Informationen File size: 98304 bytes MD5: ee1f8828849acdef60e7df9c25a715ab SHA1: 4c80600074898af5551e24095edd6a2223fa17bb Hi Chirs, also ich habe alle deine Anweisunge befolgt, der Reihe nach abgearbeitet, und, ich bin wirklich begeistert. Die 3 Desktop Progr. sind entfernt und kommen auch nicht wieder, es öffnen sich keine Internetseiten mit irgendwelchen Virensoftwareangeboten mehr und das mit den ständigen Popups ist ebenfalls vorbei. Deshalb nochmal ein großes Dankeschön an Dich. Ich hätte noch 2 Fragen, zum einen beunruhigt mich die Datei cscript.exe, da in dieser nichts Verdächtiges gefunden wurde (siehe Virustotal-Bericht oben), ist das trotzdem so in Ordnung? Soll ich die Funde von Cureit alle löschen? Hier nochmal der aktuelle HijackThis Log: Logfile of HijackThis v1.99.1 Scan saved at 18:22:06, on 11.09.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\Programme\Analog Devices\SoundMAX\SMTray.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\bgsvcgen.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\system32\WgaTray.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\Gerber\Desktop\cureit.exe C:\DOKUME~1\Gerber\LOKALE~1\Temp\RarSFX0\_start.exe C:\DOKUME~1\Gerber\LOKALE~1\Temp\RarSFX0\setup.exe C:\Dokumente und Einstellungen\Gerber\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Burn4Free Toolbar Helper - {60BF5EE3-0105-4858-AD98-17C19F86B042} - C:\Programme\Burn4Free Toolbar\v3.2.0.0\Burn4Free_Toolbar.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll O3 - Toolbar: Burn4Free Toolbar - {55FAF0F2-44D4-425F-B5F5-6B275B621EAB} - C:\Programme\Burn4Free Toolbar\v3.2.0.0\Burn4Free_Toolbar.dll O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [BitTorrent] "C:\Programme\BitTorrent\bittorrent.exe" --force_start_minimized O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O17 - HKLM\System\CCS\Services\Tcpip\..\{DD426640-3C99-492B-821D-F8AC5736F152}: NameServer = 192.168.0.2 O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe und hier der Curelt Bericht: FIND3M.bat;C:\ComboFix;möglicherweise SCRIPT.Virus;; Setup(4).exe;C:\Dokumente und Einstellungen\Gerber\Lokale Einstellungen\Temp;Tool.ERT;; Setup(5).exe;C:\Dokumente und Einstellungen\Gerber\Lokale Einstellungen\Temp;Trojan.DownLoader.18101;Gelöscht.; 02 - joe der galgenvogel 42.wma;C:\Dokumente und Einstellungen\Gerber\Shared;Trojan.Isbar.389;Gelöscht.; VVSNInst.exe;C:\Programme\WinAce;Adware.SaveNow;; A0009016.exe;C:\System Volume Information\_restore{B0F57B73-F9D6-4432-896C-D29D9D8032D2}\RP305;Adware.SaveNow;; A0009017.dll;C:\System Volume Information\_restore{B0F57B73-F9D6-4432-896C-D29D9D8032D2}\RP305;Adware.Whenu;; A0009018.exe;C:\System Volume Information\_restore{B0F57B73-F9D6-4432-896C-D29D9D8032D2}\RP305;Adware.SaveNow;; Dieser Beitrag wurde am 11.09.2007 um 20:34 Uhr von Mr. Blume editiert.
|
|
|
|
|
|
|
11.09.2007, 21:54
Ehrenmitglied
 Beiträge: 6028 |
#4
Download: RemoveVideoActiveXObject by Smeenk,zum Desktop
Danach doppelklicken Moeglich startet der Uninstaller von ein Roquescanner schliesse es nicht ab aber lass es seine Arbeit tun Rechner neu starten und nochmals RemoveVideoActiveXObject.exe Doppelklicken Poste nachher den logfile C:\RVAXO-results.log in dein folgender Bericht Entferne Burn4Free Toolbar Start -> Einstellungen -> Systemsteuerung -> Software Entferne Hijack This 1.99 Als erstes mach ein neuen Ordner auf C:\ z.b. C:\HijackThis,download HijackThis.exe dahin Download: HijackThis202 Doppelklick HijackThis.exe und installiere das Tool in C:\Programme Am Ende steht auf dein Desktop eine verknüpfung Starte Hijack This und klicke “Do a system scan and safe a logfile” Save log --> hijackthis.log - Save - es öffnet sich der Editor nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" __________ MfG Argus |
|
|
|
|
|
|
11.09.2007, 23:12
Member
Themenstarter Beiträge: 13 |
#5
Hi Arnold,
auch Dir möchte ich gleich mal für Deine Hilfe danken. Bin so vorgegangen wie Du ge- bzw. beschrieben hast. Hier die Berichterstattung: HijackThis202 Log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:04:59, on 11.09.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\bgsvcgen.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Analog Devices\SoundMAX\SMTray.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\AntiVir PersonalEdition Classic\avnotify.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Hijack This\hijackthis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [BitTorrent] "C:\Programme\BitTorrent\bittorrent.exe" --force_start_minimized O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present O17 - HKLM\System\CCS\Services\Tcpip\..\{DD426640-3C99-492B-821D-F8AC5736F152}: NameServer = 192.168.0.2 O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe -- End of file - 5617 bytes RVAXO-results: ----------------RemoveVideoActiveXObject.exe first run------------- Files found: C:\WINDOWS\dat.txt C:\WINDOWS\rs.txt C:\WINDOWS\main_uninstaller.exe C:\Dokumente und Einstellungen\Gerber\FAVORI~1\Error Cleaner.url C:\Dokumente und Einstellungen\Gerber\FAVORI~1\Privacy Protector.url C:\Dokumente und Einstellungen\Gerber\FAVORI~1\Spyware&Malware Protection.url Uninstallers Rogue scanners: Folders Found: C:\Programme\VideoAccessCodec Hosts-file was reset, If you use a custom hosts file please replace it... --------------RemoveVideoActiveXObject.exe last run--------------- Files found: Uninstallers Rogue scanners: Folders Found: |
|
|
|
|
|
|
12.09.2007, 07:18
Member
Beiträge: 694 |
#6
Hi,
die cscript.exe kannst Du lassen, sollte OK sein. HJ-Log sieht gut aus, noch die Systemwiederherstellung löschen: http://www.bsi.bund.de/av/texte/wiederher.htm Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt: Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung -> anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten; Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder). Die gefundenen Sachen von Cureit können danach gelöscht werden... Abschießend noch auf Feedback von Arni warten ;o) Chris Ps.: Backups von Avenger&Co (falls vorhanden) löschen: C:\Qoobox - loeschen und Papierkorb leeren C:\avenger\backup.zip - loeschen und Papierkorb leeren C:\VundoFix Backups - loeschen und Papierkorb leeren C:\RVAXO-results.log -->Papierkorb leeren Dieser Beitrag wurde am 12.09.2007 um 10:18 Uhr von Chris4You editiert.
|
|
|
|
|
|
|
12.09.2007, 19:01
Member
Themenstarter Beiträge: 13 |
#7
Hi Chris, hi Arnold,
nochmals dankeschön, bin so vorgegangen wie Ihr es beschrieben habt, zu meiner großen Verwunderung hab ich auch alles verstanden und konnte es auch so umsetzen, hat also alles funktioniert. Meine Problem wurde behoben, ich habe sogar den Eindruck dass mein PC wieder schneller läuft. Euer Sevice ist wirklich fantastisch, gerade für Computer-Unerfahrene wie mich wurde alls verständlich, genau und übersichtlich erklärt. |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
- » Windows Security alert (Pop-ups), kann sich das mal jemand ansehen? "2"
- » Kann sich jemand bitte meinen Log File ansehen
- » Spyware Alert und Windows Security Alert wie kann ich das weg machen?
- » Windows Security Alert, Spyware Alert: Security Warning! Trojan.W32.Looksky dete
- » windows security alert, spyware alert, 3 symbole auf desktop und in favoriten
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
ich bin neu im Forum, also stell ich mich mal kurz vor. Mein Name ist Mr. Blume und ich wäre sehr dankbar wenn mir jemand helfen könnte, es geht um diese ständigen Pop ups u. a. von Windows Security Alert, Spyware Alert, Websiten die Virensoftware verkaufen wollen, Warnunge vom Microsoft Internet Explorer und andere. Kaum habe ich einen Warnhinweis/Seite geschlossen schon geht die nächste Meldung auf (innerhalb von einigen Stunden können dann schon mal bis zu 70 Fenster offen sein. Ich kann euch leider nicht sagen worin die Ursache für die ständigen Popups liegt, da diesen Pc mehrer Personen benutzen. Hab im Forum einige Beiträge gefunden die von ähnlichen Problemen erzählen und versucht die Lösungen auf mein Problem zu übertragen, hat allerdings nicht gefruchtet, liegt wahrscheinlich auch daran dass ich nicht gerade eine Leuchte im großen weiten PC-Universum bin. Hab Antivir und Ad-Aware über das System laufen lassen (im abgesicherten Modus) - Resultat: nichts gefunden. Gerade eben hat mir Antivir im normalen Windowsbetrieb eine Meldung angezeigt, in der er einen Virus gefunden hat ( Erkennungsmuster des VBS-Scriptvirus VBS/Click.A), die betroffenen Dateien befinden sich auf meinem PC unter C:\Dokumente und Einstellungen\Gerber\Lokale Einstellungen\Temp mit der jeweiligen endung tmp7.tmp, tmp8.tmp und tmp9.tmp, kann man die dateien ohne böse Fogen für das System einfach so mit Antivir löschen? Gestern hab ich probiert das Problem mit Programmen wie "Regsearch", "hijackthis", "avenger" und "Combofix" , auf welche ich in Beiträgen von Sabina aufmerksam wurde, zu lösen. Jedoch ohne Erfolg, mir fehlt da einfach das nötige knowhow...Achja auf dem Desktop sind drei Programme zu sehen die ich zwar löschen kann, jedoch immer wieder auftauchen sobald ich den Pc neustarte (Namen der Programme: Error Cleaner, Privacy Protector und Spyware/Malware Protection.
Ich weiß wirklich nicht mehr weiter. Vielleicht kann mir jemand einen einfachen Weg zeigen, den auch Pc-Unerfahrene Nutzer verstehen. Danke schon mal im voraus.
Vielleicht ist ein Hijackthis Log meines Systems hilfreich:
Logfile of HijackThis v1.99.1
Scan saved at 21:00:45, on 10.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\WINDOWS\system32\cscript.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\WINDOWS\system32\cmd.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\WINDOWS\system32\cscript.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cscript.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Dokumente und Einstellungen\Gerber\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: MSVPS System - {3CB70CC2-303F-4A6C-824D-013AE8CFDB6B} - C:\WINDOWS\nsduo.dll
O2 - BHO: Burn4Free Toolbar Helper - {60BF5EE3-0105-4858-AD98-17C19F86B042} - C:\Programme\Burn4Free Toolbar\v3.2.0.0\Burn4Free_Toolbar.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: Burn4Free Toolbar - {55FAF0F2-44D4-425F-B5F5-6B275B621EAB} - C:\Programme\Burn4Free Toolbar\v3.2.0.0\Burn4Free_Toolbar.dll
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [BitTorrent] "C:\Programme\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{DD426640-3C99-492B-821D-F8AC5736F152}: NameServer = 192.168.0.2
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: msmhost - {FEB2CFAC-E2A7-47ED-AF73-4D27ECC3A3D2} - C:\WINDOWS\msmhost.dll
O21 - SSODL: msmdev - {3FF49855-4F18-41AD-A317-74A3B11E5234} - C:\WINDOWS\msmdev.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe