Forum
Tipps
News
Menu-Icon

Habe mir irgendetwas eingefangen auf meinem PC!

Hallo!

Ich bin total verzweifelt!
Habe mir irgendetwas eingefangen auf meinem PC!
Bekomme ständig Warnungen:

"WINDOWS SECURITY ALERT
Your computer is not protected against spyware!... Scan your computer for spyware immediatly!"

oder

"System Alert: TrojanSpy.Win32@de ..." , die mich auffordern, irgendein Schutzprogramm herunterzuladen,...!
Wenn ich da dann reinklicke, komme ich eben auf so eine Internetseite!
Wenn ich mein Internet öffne, ist meine Startseite durch eine andere ersetzt!
Jetzt habe ich mir "Spybot - Search&Destroy" heruntergeladen, und meine eigentliche Startseite wieder eingegeben und der fremden Site einen Riegel vorgeschoben, jetzt kommen jedoch alle paar Minuten Meldungen , wie : "Änderung an der Registrierungsdatenbank verboten" von Spybot!

Ich kenne mich eigentlich absolut nicht so in eurer Sprache aus, deswegen wäre ich froh, wenn mir jemand auf gut deutsch weiterhelfen könnte  :-[  ???

Bitte um Hilfe
Mfg Charly

PS: Hier mein Log (Bin echt stolz auf mich, dass ich das geschafft habe  ;D )


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:57:22, on 29.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\Acer\Empowering Technology\admtray.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Program Files\Acer\Acer Arcade\PCMService.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\acer\Empowering Technology\ePower\epm-dm.exe
C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\svzip.exe
C:\WINDOWS\sv.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\WINDOWS\system32\igfxext.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLacsd.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Acer\Empowering Technology\admServ.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\Microsofty.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Java\jre1.5.0_11\bin\jucheck.exe
c:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\svhoster.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Charly\LOKALE~1\Temp\Temporäres Verzeichnis 3 für HiJackThis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Acer\Acer Arcade\PCMService.exe"
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\Empowering Technology\ePower\epm-dm.exe
O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [oyna1.exe] C:\WINDOWS\TEMP\oyna1.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [net64] C:\WINDOWS\svhoster.exe
O4 - HKLM\..\Run: [netzip] C:\WINDOWS\svzip.exe
O4 - HKLM\..\Run: [runsql] C:\WINDOWS\runsql.exe
O4 - HKLM\..\Run: [netsv32] C:\WINDOWS\sv.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\npjpi150_11.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\npjpi150_11.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {54823A9D-6BAE-11D5-B519-0050BA2413EB} (ChkDVDCtl Class) - http://www.cyberlink.com/winxp/CheckDVD.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Programme\RXToolBar\sfcont.dll
O20 - AppInit_DLLs: \\?\C:\WINDOWS\lpt8.ruo
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: AdminWorks Agent X6 AWServiceVSS (AWServiceVSS) - Unknown owner - C:\WINDOWS\system32\~.exe (file missing)
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Routing und RAS RemoteAccessSCardSvr (RemoteAccessSCardSvr) - Unknown owner - C:\WINDOWS\system32\Microsofty.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

--
End of file - 10640 bytes
 

« Letzte Änderung: 29.09.07, 22:07:04 von Dr.Nope »


Antworten zu Habe mir irgendetwas eingefangen auf meinem PC!:

Hallo,
du hast allerhand merkwürdiges und schädliches auf deiner Kiste... ::)
Wie schädlich wäre noch rauszufinden,vorsichtshalber solltest du aber schon mal nach deiner Installations-CD suchen... 8)

Dein Security Alert kommt daher :

Zitat
O4 - HKLM\..\Run: [oyna1.exe] C:\WINDOWS\TEMP\oyna1.exe
Es handelt sich dabei um eine Fakemeldung,durch die du andere Software kaufen sollst.
Tu das aber nicht !!
Die nichtgehemigte Änderung hast du durch den Tea Timer von Spybot S&D selbst so eingestellt.
Folgende Exen und Programme läßt du bei "Jotti" oder "Virustotal" prüfen und postest das komplette Ergebniss,auch falls nichts gefunden wird !!
 
Zitat
C:\WINDOWS\svzip.exe

 
Zitat
C:\WINDOWS\sv.exe
 

 
Zitat
:\WINDOWS\system32\Microsofty.exe
 

 
Zitat
C:\WINDOWS\svhoster.exe
 

Schau nach ob du diese Datei in "Windows Ordner finden kannst :
Zitat
O20 - AppInit_DLLs: \\?\C:\WINDOWS\lpt8.ruo

Die Dateiprüfdienste findest du mit Google....
Sir Reklov

Nein, diese Datei habe ich nicht gefunden!
Bin gerade beim überprüfen!

Vielen Dank für die schnelle Hilfe
lg

Datei:    svzip.exe
Auslastung:    0%              100%

Status:    INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:    -
Bit9 rapportiert:    File not found
 
A-Squared    Keine Viren gefunden
AntiVir    Keine Viren gefunden
ArcaVir    Heur.W32 gefunden
Avast    Keine Viren gefunden
AVG Antivirus    Obfustat.QAN gefunden
BitDefender    Keine Viren gefunden
ClamAV    Keine Viren gefunden
CPsecure    Keine Viren gefunden
Dr.Web    Keine Viren gefunden
F-Prot Antivirus    Keine Viren gefunden
F-Secure Anti-Virus    Keine Viren gefunden
Fortinet    Keine Viren gefunden
Kaspersky Anti-Virus    Keine Viren gefunden
NOD32    Keine Viren gefunden
Norman Virus Control    Keine Viren gefunden
Panda Antivirus    Trj/Clicker.AFZ gefunden
Rising Antivirus    Keine Viren gefunden
Sophos Antivirus    Keine Viren gefunden
VirusBuster    Keine Viren gefunden
VBA32    Keine Viren gefunden



Datei:    sv.exe
Auslastung:    0%              100%

Status:    INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:    -
Bit9 rapportiert:    File not found
 
A-Squared    Keine Viren gefunden
AntiVir    Keine Viren gefunden
ArcaVir    Heur.W32 gefunden
Avast    Keine Viren gefunden
AVG Antivirus    Obfustat.QKQ gefunden
BitDefender    Keine Viren gefunden
ClamAV    Keine Viren gefunden
CPsecure    Keine Viren gefunden
Dr.Web    Keine Viren gefunden
F-Prot Antivirus    Keine Viren gefunden
F-Secure Anti-Virus    Keine Viren gefunden
Fortinet    Keine Viren gefunden
Kaspersky Anti-Virus    Keine Viren gefunden
NOD32    Keine Viren gefunden
Norman Virus Control    Keine Viren gefunden
Panda Antivirus    Trj/Clicker.AFZ gefunden
Rising Antivirus    Keine Viren gefunden
Sophos Antivirus    Keine Viren gefunden
VirusBuster    Keine Viren gefunden
VBA32    Keine Viren gefunden



Datei:    Microsofty.exe
Auslastung:    0%              100%

Status:    VIELLEICHT INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) (Anmerkung: Diese Datei wurde lediglich durch die heuristische Detektion als Malware angezeigt. Die Ergebnisse des Scans werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:    -
Bit9 rapportiert:    File not found
 
A-Squared    Keine Viren gefunden
AntiVir    Keine Viren gefunden
ArcaVir    Keine Viren gefunden
Avast    Keine Viren gefunden
AVG Antivirus    Keine Viren gefunden
BitDefender    Keine Viren gefunden
ClamAV    Keine Viren gefunden
CPsecure    Keine Viren gefunden
Dr.Web    BACKDOOR.Trojan gefunden (mögliche Variante)
F-Prot Antivirus    Keine Viren gefunden
F-Secure Anti-Virus    Keine Viren gefunden
Fortinet    Keine Viren gefunden
Kaspersky Anti-Virus    Keine Viren gefunden
NOD32    Keine Viren gefunden
Norman Virus Control    Keine Viren gefunden
Panda Antivirus    Keine Viren gefunden
Rising Antivirus    Keine Viren gefunden
Sophos Antivirus    Keine Viren gefunden
VirusBuster    Keine Viren gefunden
VBA32    Keine Viren gefunden



Datei:    svhoster.exe
Auslastung:    0%              100%

Status:    INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:    -
Bit9 rapportiert:    File not found
 
A-Squared    Keine Viren gefunden
AntiVir    Keine Viren gefunden
ArcaVir    Heur.W32 gefunden
Avast    Keine Viren gefunden
AVG Antivirus    Obfustat.QKN gefunden
BitDefender    Keine Viren gefunden
ClamAV    Keine Viren gefunden
CPsecure    Keine Viren gefunden
Dr.Web    Keine Viren gefunden
F-Prot Antivirus    Keine Viren gefunden
F-Secure Anti-Virus    Keine Viren gefunden
Fortinet    Keine Viren gefunden
Kaspersky Anti-Virus    Keine Viren gefunden
NOD32    Keine Viren gefunden
Norman Virus Control    Keine Viren gefunden
Panda Antivirus    Trj/Clicker.AFZ gefunden
Rising Antivirus    Keine Viren gefunden
Sophos Antivirus    Keine Viren gefunden
VirusBuster    Keine Viren gefunden
VBA32    Keine Viren gefunden



 

1. Den Teatimer vom Spybot deaktivieren, sonst lassen sich die Schädlinge nicht löschen

2. Vergewissere dich, dass du auf deinem Rechner alles siehst:
In den Ordneroptionen sollte zuerst das Häkchen entfernt werden bei "geschützte Systemdateien ausblenden"
und etwas weiter unten wählt man bei "Versteckte Ordner und Verzeichnisse" den Punkt "Alle Dateien und Ordner anzeigen".

3. Ausführen von SmitfraudFix, Anleitung und Download
http://siri.urz.free.fr/Fix/SmitfraudFix_De.php

4. ccleaner laden und alle inhalte der Temp verzeichnisse löschen.

5. a-squared laden, updaten, beenden, Spybot ebenfalls updaten und beenden, dann wechseln in den abgesicherten Modus (neustart+F8) und komplett mit beiden scannen. 

Aha, irgendetwas stimmt da nicht...
es hat sich überhaupt nix getan   :'(
Was is jetz eigentlich mit den logfileauswertungen und den rapporten??
HILFE!?!?! bitte

Ergebnisse/logs/rapports kannst du hier per kopieren&einfügen posten..

Hallo,
du konntest den Tea Timer in Spybot abschalten ?
Sicher ?
In Spybot >Reiter Modus >erweiterter Modus
Links unten >Werkzeuge >Resident > beide Haken rausnehmen !!

Dann muß erst dein Hijackthis vernünftig gestellt werden.Deins ist derzeit in dem Temporär Ordner,dort werden keine Backups gemacht.Dies wollen wir aber haben... ;)
Also verschiebst du von da :
 

Zitat
C:\DOKUME~1\Charly\LOKALE~1\Temp\Temporäres Verzeichnis 3 für HiJackThis.zip\HijackThis.exe

 
Nach : C: Programme/ "irgend ein Name"/hijackthis.exe

Das erledigst du als erstes bitte !!
Stelle auf alle Dateien sichtbar machen um ,geht so :
Rechtsklick auf "Start" >Explorer >Extras >Ordneroptionen > Ansicht > suche nach "geschützte Systemdateien ausblenden".Dort kommt der Haken raus.
Suche nach "Versteckte Dateien und Ordner" > Haken rein bei "alle Dateien und Ordner anzeigen"
Alles klar ?
Dann machst du folgendes :
 
Zitat
C:\WINDOWS\svzip.exe


 
Zitat
C:\WINDOWS\sv.exe
 

 
Zitat
:\WINDOWS\system32\Microsofty.exe
 

 
Zitat
C:\WINDOWS\svhoster.exe
 
Diese vier Dateien suchst du ,achte dabei auf die angegebenen Pfade !!
Also von Start > >Arbeitsplatz > lokaler Datenträger C > Windows ....suchst du darin die angegebenen Dateien ,einmal mußt du auch in den System 32 Ordner...
Haqst du diese Dateien gefunden, lösche sie.

Nun berichte hier über die Löschaktion !
Fertig sind wir aber noch nicht !!
Sir Reklov

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Programme\RXToolBar\sfcont.dll

das was du auf deinem pc hast sind adware !!!
dieses programm rx  toolbar ist ebenfalls eine!!!!
lösche das programm und fixe es !!!
gehe in den abgesicherten modus und benütze das bereits erwähnte tool smitfraudfix davor solltest du allerdings mit dem auch erwähnten tool ccleaner bereinigen !!! starte deine pc neu und führe einen vollständigen scan mit dr web cureit durch !!!
poste alle scanberichte hier!!!
luis

du solltest danach zur sicherheit auch noch einen online scan machen .benutze dazu www.kaspersky.com/de/virusscanner und wähle den online scan !!!

« Letzte Änderung: 30.09.07, 15:01:27 von mastaluis »

Hi! Habe jetzt die betroffenen Dateien gelöscht, wieder gescannt, wieder gelöscht, neugestartet, gelöscht, .....
manche verschwinden dann auch, aber manche lassen sich nicht wegbringen!

Z.B. die file Microsofty.exe
Das ist so ein gelbes Wappen mit einem ! drinnen!
wenn ich das löschen will gibts immer einen ERROR... der sagt dann, "Der Zugriff wurde verweigert! Stellen Sie sicher, dass der Datenträger weder voll noch schreibgeschützt ist und die Datei gerade nicht verwendet wird!"

Muss ich da jetzt irgendwas abschalten oder irgendwo aussteigen, um das löschen zu können?
Naja...
Was meinst du mit
"Deins ist derzeit in dem Temporär Ordner,dort werden keine Backups gemacht.Dies wollen wir aber haben... "
Das will ich eigentlich nicht... is mir viel zu kompliziert  ;)

DANKE für eure Antworten
MfG
 

Hallo,
doch du willst unbedingt das Backups gemacht werden,glaube mir... ;)
Was ist daran so schwierig ? einen Ordner erstellen,Namen geben und die Hijackexe dahin verschieben ?

Einzelne Dateien löschen geht nicht ? Von danch scannen hat aber niemand was gesagt... ::)
Mach folgendes : start > ausführen > eingeben > msconfig
Das Fesnter das aufgeht hat einen Reiter der Autostart heißt,klicke ihn und suche nach diesen vier Dateien.Findest du sie ,nimm den Haken raus ,bestätige und mach einen Neustart.
Diese meine ich :

Zitat
C:\WINDOWS\svzip.exe
C:\WINDOWS\sv.exe
 O4 - HKLM\..\Run: [oyna1.exe] C:\WINDOWS\TEMP\oyna1.exe
O4 - HKLM\..\Run: [runsql] C:\WINDOWS\runsql.exe
O4 - HKLM\..\Run: [netsv32] C:\WINDOWS\sv.exe

Du hast sie dann aus dem Autostart genommen,danach solltest du sie problemlos löschen können.Sollte es doch zu Problemen kommen,gehst du in den abgesicherten Modus und löscht sie dort.
Es ist wichtig diese Dateien zu löschen,du wirst sonst beim nächsten Start wieder vom gleichen Mist geplagt... 8)
Dir steht an deiner Kiste auch eine Suchfunktion zur Verfügung.Diese eignet sich hervorragend,gib dort jeweils die Datei ein die du gesucht haben willst.Also unsere vier Spezies von oben.Lösche was gefunden wird !!
Berichte wie es gelaufen ist !!
Dann erstelle ein neues Hijackthis Log und poste es komplett hier.
Sir Reklov

Hi Sir!

Ich weiß ja nicht, ob dich das freuen wird, aber diese 4 sind schon lange gelöscht!!! (Also mich freut das   ;) )
Ich plage mich mit den restlichen:

O23 - Service: AdminWorks Agent X6 AWServiceVSS (AWServiceVSS) - Unknown owner - C:\WINDOWS\system32\~.exe (file missing)

O23 - Service: Routing und RAS RemoteAccessSCardSvr (RemoteAccessSCardSvr) - Unknown owner - C:\WINDOWS\system32\Microsofty.exe

O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)

C:\WINDOWS\system32\Microsofty.exe

Soll ich mit denen das gleicht tun?
MfG

Hallo,
joa,im Prinzip kannst du alles auf diese Weise löschen,was dir nicht bekannt ist...
Deshalb auch das Backup,falls dir mal was verrutscht....
Ein neues Log wäre langsam mal nötig......
Spätestens wenn du mit deiner Löschaktion fertig zu sein glaubst....
Sir Reklov

Diese files sind dort nicht zu finden!

Hier mein neuestes log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:45:27, on 30.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Acer\Empowering Technology\admServ.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\Microsofty.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\Acer\Empowering Technology\admtray.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Program Files\Acer\Acer Arcade\PCMService.exe
C:\WINDOWS\system32\igfxtray.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\acer\Empowering Technology\ePower\epm-dm.exe
C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\igfxext.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Java\jre1.5.0_11\bin\jucheck.exe
c:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Charly\LOKALE~1\Temp\Temporäres Verzeichnis 19 für HiJackThis.zip\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Acer\Acer Arcade\PCMService.exe"
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\Empowering Technology\ePower\epm-dm.exe
O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\npjpi150_11.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\npjpi150_11.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {54823A9D-6BAE-11D5-B519-0050BA2413EB} (ChkDVDCtl Class) - http://www.cyberlink.com/winxp/CheckDVD.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: AdminWorks Agent X6 AWServiceVSS (AWServiceVSS) - Unknown owner - C:\WINDOWS\system32\~.exe (file missing)
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Routing und RAS RemoteAccessSCardSvr (RemoteAccessSCardSvr) - Unknown owner - C:\WINDOWS\system32\Microsofty.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

--
End of file - 10078 bytes
 

Hallo,
lass das Hijackthis nochmal laufen ,wenn es fertig ist suchst du folgende Einträge und setzt ein haken davor und klickst fix checked :

O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)

O23 - Service: Routing und RAS RemoteAccessSCardSvr (RemoteAccessSCardSvr) - Unknown owner - C:\WINDOWS\system32\Microsofty.exe

Die "uchen" Funktion,dort dieses eingeben und suchen lassen :Microsofty.exe
Versuche es mit groß-Kleinschreibung und zusammengesetzt !!
Lösche wenn etwas gefunden wird.
 


« Gefahrenmeldung von Spyware DoctorBei mir sind so komische Zeichen auf dem Bildschirm »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Scanner
Der Scanner, abgeleitet vom englischen Wort "to scan" für "abtasten", ist ein Gerät zur Digitalisierung von Bildern, Fotos und Dokumenten. M...

Betriebssystem
Das Betriebssystem ist das Steuerungsprogramm des Computers, das als eines der ersten Programme beim Hochfahren des Rechners geladen wird. Arbeitsspeicher, Festplatten, E...

Binärsystem
Unter dem Begriff Binärsystem (oder Dualsystem) versteht man ein Zahlensystem, das lediglich zwei Zustände oder Werte kennt: Null (0) und Eins (1). Es bildet di...