Your System is Infected!

#0
06.01.2010, 15:35
...neu hier

Beiträge: 4
#1 Hii,
ich bräuchte dringend Hilfe. Mein Problem ist das immer wenn ich meinen PC hochfahren lassen mein Bildschirmhintergrand auf einmal schwarz wird und in der Mitte ein Kästchen ist wo fett und in rot steht: YOUR SYSTEM IS INFECTED! System has been stopped due to a serious malfunction. Spyware activity has been detected.
It is recommeded to use spyware removal tool to prevent data loss. Do not use the computer befor all spyware removed.

Des Weiteren kommt immer eine meldung von windows das der "Virus" oder was auch immer eine eigene Worm.Win23.NetSky datai besitz und es deshalb sinnlos ist ein antivir programm durchlaufen zu lassen. Hab ich trotzdem gemacht und dabei keine Viren gefunden.
Ich hab mich mal im internet schlau gemacht und immer wieder HijackThis gefunden zu diesem Thema.
Ich hab es mal durchlaufen lassen und dabei ist das rausgekommen.
Ich hoffe ihr könnt mir bei diesem Problem helfen.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:14:20, on 06.01.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\winupdate86.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\mmc.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\winlogon86.exe
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [kdxgthkaab] C:\Programme\recer\kdxgthkaab.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [winupdate86.exe] C:\WINDOWS\system32\winupdate86.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Internet Security 2010] C:\Program Files\InternetSecurity2010\IS2010.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{489B5120-4306-4709-89DD-6840850DE2C4}: NameServer = 85.255.115.155,85.255.112.128
O17 - HKLM\System\CCS\Services\Tcpip\..\{8C1591CC-6644-4B6B-8D77-C1E8090DFDAB}: NameServer = 85.255.115.155,85.255.112.128
O17 - HKLM\System\CCS\Services\Tcpip\..\{BAFE032F-8C18-4D09-A582-F7B4E8D80E43}: NameServer = 85.255.115.155 85.255.112.128
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.155 85.255.112.128
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.155 85.255.112.128
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe

--
End of file - 4748 bytes


Schon mal im Vorraus Danke.
Lg.
Seitenanfang Seitenende
06.01.2010, 16:17
Member

Beiträge: 3716
#2 http://board.protecus.de/t23188.htm
abarbeiten, logs posten
Seitenanfang Seitenende
06.01.2010, 20:06
...neu hier

Themenstarter

Beiträge: 4
#3 Danke aber iwie funktioniert des alles nicht.
Ich hab mein Antivir ganz durchlaufen lassen-ich hab dieses HijackThis gemacht-ich hab versucht iwas mit diesem komischen spydoctor versucht.
Es klappt iwie alles nicht. Des regt mich so auf :@
Seitenanfang Seitenende
06.01.2010, 20:31
Member

Beiträge: 3716
#4 wer sagt was von spyware dr? wo ist gmer? läuft malwarebytes?
bitte lad wie in der anleitung beschreiben combofix bitte einen rechtsklick auf den download machen und ziehl speichern unter. benenne die combofix.exe in 123.exe um starte sie, folge den anweisungen, poste das log.
Seitenanfang Seitenende
06.01.2010, 20:51
Member
Avatar Gool

Beiträge: 4730
#5 Wenn ich mich einmischen darf? (ich mach das hier ja nur selten ;))

Hier ist wieder ein gutes Beispiel, was passiert, wenn man sich nicht um Updates kümmert. Da hier der IE6 noch installiert ist und auch nur das SP2 von Windows XP sowie eine veraltete Version von Adobe Reader (und vermutlich auch von Java und Quicktime), haben wir schon mehrere Sicherheitslöcher gefunden, durch die die Malware auf den PC gelangt sein könnte. Angesichts der Tatsache, dass der Wurm Netsky seit mindestens Anfang 2004 existiert, ist er sicherlich der harmloseste Schädling auf dem PC - vermutlich huckepack mit etlichen anderen Schädlingen auf das System gekommen. Wahrscheinlich ist eine Neuinstallation des Systems unumgänglich. Aber dazu wäre ein Malwarebytes-Log und ein Combofix-Log hilfreich, um das Ausmaß zu erkennen.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
06.01.2010, 20:59
Member

Beiträge: 3716
#6 ja sicher darfst du :-)
im prinzip gebe ich dir recht, aber viele von diesen rogues laufen auch auf nem komplett geupdatetem system. naja mal sehen was cf sagt.
Seitenanfang Seitenende
06.01.2010, 21:09
Member
Avatar Gool

Beiträge: 4730
#7

Zitat

virenfinder postete
aber viele von diesen rogues laufen auch auf nem komplett geupdatetem system.
Ich habe mir nur die Frage gestellt, ob Internet Security 2010 über eine Malware auf den PC gelangt ist, ob es die Malware mitgebracht hat oder ob die übrigen Malwareinfektionen unabhängig davon sind. Das lässt sich aber bestimmt nicht mehr nachvollziehen...
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
06.01.2010, 21:11
Member

Beiträge: 3716
#8 nicht wenn man nicht das verantwortliche fie bekommt.
ich wollte auch deine aussage keineswegs anzweifeln und stimme, wie gesagt im prinzip mit dir überein.
Seitenanfang Seitenende
06.01.2010, 22:11
...neu hier

Themenstarter

Beiträge: 4
#9 Danke
Ich werd es mal mit combofix versuchen.
Das Internet Security 2010 ist durch diesen "Virus" oder was auch immer auf meinem pc gelandet und jetzt versucht es die ganze zeit mich dazu zu bringen des program vollständig zu kaufen und löschen kann ich es iwie auch nicht.
Ja das mit Update ist so eine Sache.Das kann ich bei mir nicht machen.Aber bin ich denn mit Antivir und ZoneAlarm nicht genug geschützt ?
Seitenanfang Seitenende
06.01.2010, 22:21
Moderator

Beiträge: 5694
#10

Zitat

Das kann ich bei mir nicht machen
??? Und der Grund?
Seitenanfang Seitenende
06.01.2010, 22:23
Member
Avatar Gool

Beiträge: 4730
#11

Zitat

Brauche-hilfe postete
Aber bin ich denn mit Antivir und ZoneAlarm nicht genug geschützt ?
Nein. Es gehört mehr dazu, als sich auf solche Programme zu verlassen. Jetzt mach aber erstmal die Scans und poste die Log-Dateien, bevor wir uns um die grundlegenden Probleme der Systemsicherheit kümmern.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
07.01.2010, 12:57
...neu hier

Beiträge: 6
#12 Hallo @ all

Mich interessiert hier im Grunde erst mal am meisten, warum jemand mit einem total verhunsten System noch irgendwelche Logs ins Forum stellen soll.

"Brauche-hilfe" schreibt doch, das er/sie ein angebliches Virenprogramm installiert hat und seitdem der Virenfund angezeigt wird, sich nicht entfernen lässt, aber zum Kauf der Vollversion anregt.
Dabei handelt es sich doch um Scareware, Fakesoftware, Roguesoftware, wie auch immer sich dieser Mist schimpft.

Einziger Weg zum sauberen System ist:
Neuinstallation des Betriebssystems mit formatieren der alten Installation!!!
Wenn das geschehen ist sollten alle wichtigen Patche und Updates installiert werden.
Virenscanner, Firewall und last but not least Brain.exe Version 2.0, damit nicht wieder auf alles geklickt wird was auch nur annähernd wie ein Link ausschaut.
Weiter ist das Adminkonto mit einem Passwort zu versehen (länger als 14 Zeichen, auslesens der Hashwerte möglich) und nur noch mit einem Konto unter eingeschränkten Rechten am PC arbeiten, ebenfalls mit Passwort.
Nicht zu vergessen, das ALLE installierte Software auch zügig und vor allem ständig ihre Updates bekommen sollte.
Für sowas gibt es kleine Helferlein, wie zB SUMo, oder PSI.
Damit wäre dann wenigstens mal das gröbste erledigt.

Kleines Edit by myself:
Es fehlt noch eine Kleinigkeit, die aber wichtig genug ist hier erwähnt zu werden.
Ein vernünftiges Backup-Programm sollte auch vorhanden sein UND benutzt werden.

Gruß
BK
Dieser Beitrag wurde am 07.01.2010 um 13:25 Uhr von Black Knight editiert.
Seitenanfang Seitenende
07.01.2010, 20:58
...neu hier

Themenstarter

Beiträge: 4
#13 OKeey Danke leute ich hab jetzt alles mal neuinstalliert.
Jetzt läuft wieder alles sauber ;)
Danke xD
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: