Virus ???????????

@zoger
Die unerwünschte Software ist ein Fake und gehört zur einer Malwareinfektion (Virus) !

Hier ein Lösungsvorschlag der sich in der Vergangenheit besten bewährt hat.
Arbeite die Anweisung unbedingt in der Reihenfolge und vollständig ab!

Lösche bitte deinen Browser-Cache und alle sonstigen Temporären Dateien,
ebenso den Papierkorb. Benutze dazu einfach die Freeware CCleaner,
http://www.ccleaner.com/ccdownload.asp
und führe den Befehl Cleaner aus.

Benütze das Removaltool gegen Smitfraud und Co., in englischer Sprache.
Eine kurze Anleitung in Deutsch ist auf der Homepage vorhanden und sollte unbedingt genau befolgt werden.
http://siri.urz.free.fr/Fix/SmitfraudFix_De.php

Scanne dann bitte zur Kontrolle deinen PC noch mit dem Antivirustool "Dr.WEB Cureit".
Das kostenlose Programm muss nur herunter geladen, eine Installation ist nicht erforderlich und ist vollständig in Deutsch.
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
Wähle nach der kurzen Expressprüfung deine Systempartition aus, in der Regel ist das Laufwerk C und beginne den  vollständigen Scan. Poste bitte bei einen Malware Fund auf jeden Fall den ausführlichen Scanreport von Cureit hier !

Die Aktion  muss im abgesicherten Modus von Windows erfolgen und achte darauf dass der Browser geschlossen ist und keine Internetverbindung besteht, Idealerweise sollten alle Anwendung geschlossen sein !
Unter http://www.bsi.de/av/texte/wiederher.htm
findet man eine Anleitung zum Start im abgesicherten Modus von Windows.

Boote den PC neu und erstelle dann ein HijackThis-Log und poste den Logfile hier.
Er liefert steht’s wertvolle Informationen über den Zustand deines Systems und
kann das eine oder andere Problem auch lösen.
Direkter Downloadlink zum Tool
http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip
(Version 2.02)
Die Schnellanleitung für das erstellen eines Logfiles:
Öffne das HijackThis-->> Drücke den Button "Do a system scan and save a logfile“ ->> kopiere den kompletten Text und poste ihn.

Zuspääääääääääääääät

Ich bin wie folgt vorgegangen.
Ich war online um zuwissen was das ist (hatte keine Ahnung)
So als ich online war konnten mir die Seiten nicht angezeigt werden .Habe einen Virenscan gemacht nix gefunden .Virenscan im Abgesicherten modus auch nix gefunden.
Also habe ich einfach Systemwiederherstellung ein paar Tage zuvor gemacht. Und jetzt ist es verschwunden.


Ist das Gut oder Schlecht ?

Also habe ich einfach Systemwiederherstellung ein paar Tage zuvor gemacht. Und jetzt ist es verschwunden.
Ist das Gut oder Schlecht ?

Nun ich habe gerade mal meinen Recher runter gefahren und wieder hoch .Und alles ok .Nix böse Spyware oder ähnliche Sachen.Aber mal ne Frage:Was hat diese Spyware gemacht oder was macht diese .Ist irgend etwas in Gefahr?



Hier aber mal die Auswertung Vom Hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 22:25:22, on 13.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\NORTON~1\navw32.exe
C:\Programme\Symantec\LiveUpdate\AUpdate.exe
D:\Hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Abbord Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {07F28647-BAA4-486C-B9CE-60A5BAE1B0D6} - C:\WINDOWS\system32\rsaenh32.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\OFFICE~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O15 - Trusted Zone: http://www.rsa-sachsen.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1182797878203
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1182797864796
O17 - HKLM\System\CCS\Services\Tcpip\..\{60A11CB7-BCBA-4C59-863D-B9E7993A374A}: NameServer = 217.237.149.205 217.237.151.51
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPxySvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Internet Security\NISUM.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe

 

Das kann bei der Rogue AntiMalware von Fall zu Fall anders sein. Mal versucht das Rogue Programm sich verkaufen oder bei einer anderen Version wird ein Trojaner installiert.
Und der ...,
das würde hier den Rahmen sprengen um dies zu erklären.
Möglich wäre da alles. 

Nun ja da es je verschwunden ist (Gott sei danke )und nix schlimmes passiert ist (Gott sei dank) hat sich ja alles erledigt.Ich bin zwar nicht gläubig aber das sagt man ja so.Ich dachte schon das Ding zieht mir irgend welche Daten vom Rechner.Aber das ist ja nicht der Fall gewesen , ich danke dir.

@zoger
Hier ist aber noch was und dies sollte unbedingt überprüft werden !

O2 - BHO: (no name) - {07F28647-BAA4-486C-B9CE-60A5BAE1B0D6} - C:\WINDOWS\system32\rsaenh32.dll

Dieser Eintrag ist sehr Verdächtig !
Teste die Datei
C:\WINDOWS\system32\rsaenh32.dll
einfach hiermit mit auf Malware.
http://www.virustotal.com/
oder
http://virusscan.jotti.org/de/
Beide kostenlose Dienste verbinden einen Scan mit verschiedene Programme der Antivirushersteller. Wird dabei Malware gefunden, dann poste das Ergebnis hier.

Nun das wurde fest gestellt:

 Datei rsaenh.dll empfangen 2007.08.13 22:59:18 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit is zwischen 46 und 66 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:    
   
Antivirus    Version    letzte aktualisierung    Ergebnis
AhnLab-V3   2007.8.9.2   2007.08.13   -
AntiVir   7.4.0.60   2007.08.13   -
Authentium   4.93.8   2007.08.13   -
Avast   4.7.1029.0   2007.08.13   -
AVG   7.5.0.476   2007.08.13   -
BitDefender   7.2   2007.08.13   -
CAT-QuickHeal   9.00   2007.08.13   -
ClamAV   0.91   2007.08.13   -
DrWeb   4.33   2007.08.13   -
eSafe   7.0.15.0   2007.08.10   -
eTrust-Vet   31.1.5055   2007.08.13   -
Ewido   4.0   2007.08.13   -
FileAdvisor   1   2007.08.13   -
Fortinet   2.91.0.0   2007.08.13   -
F-Prot   4.3.2.48   2007.08.13   -
F-Secure   6.70.13030.0   2007.08.13   -
Ikarus   T3.1.1.12   2007.08.13   -
Kaspersky   4.0.2.24   2007.08.13   -
McAfee   5096   2007.08.13   -
Microsoft   1.2704   2007.08.13   -
NOD32v2   2457   2007.08.13   -
Norman   5.80.02   2007.08.13   -
Panda   9.0.0.4   2007.08.12   -
Prevx1   V2   2007.08.13   -
Rising   19.36.02.00   2007.08.13   -
Sophos   4.20.0   2007.08.12   -
Sunbelt   2.2.907.0   2007.08.11   -
Symantec   10   2007.08.13   -
TheHacker   6.1.8.168   2007.08.13   -
VBA32   3.12.2.2   2007.08.13   -
VirusBuster   4.3.26:9   2007.08.13   -
Webwasher-Gateway   6.0.1   2007.08.13   -
weitere Informationen
File size: 152576 bytes
MD5: 26acbd865f8cff730f1791c4d0854352
SHA1: 6793775b0c8fcceee9d6ceec09336571526a327f

Bei Virustotal

 

Hmmmm,
dann geben wir erstmal Entwarnung, aber nur vorerst.
Normalerweise bin ich ein Optimist,
nur die Datei rsaenh32.dll ist mir unbekannt und was ich überhaupt nicht Gut finde, das Internet kennt sie auch.
Damit bleibt sehr Verdächtig !

Schicke die Datei zwecks Überprüfung bitte an Antivir:
http://analysis.avira.com/samples/index.php

In der Zwischenzeit führe bei Norton ein Update aus,
boote den PC im Abgesicherten Modus und starte einen Scan über allen Datei deines PCs.
Unter http://www.bsi.de/av/texte/wiederher.htm
findet man eine Anleitung zum Start im abgesicherten Modus von Windows.

und dies sollte unbedingt überprüft werden !
 ... rsaenh32.dll

Datei rsaenh.dll empfangen

 
Zitat
und dies sollte unbedingt überprüft werden !
 ... rsaenh32.dll
Zitat
Datei rsaenh.dll empfangen

wurde auch die richtige Datei überprüft

Gut das da noch einer richtig geguckt hat

Ups da ist mir je ein Fehler geschehen DANKE .
Nun bei dieser Datei kam das raus.

Virustotal:

Antivirus     Version     letzte aktualisierung     Ergebnis
AhnLab-V3   2007.8.9.2   2007.08.13   -
AntiVir   7.4.0.60   2007.08.14   ADSPY/Stud.A.43
Authentium   4.93.8   2007.08.13   -
Avast   4.7.1029.0   2007.08.13   Win32:Trojano-3384
AVG   7.5.0.476   2007.08.13   Adware Generic2.AMI
BitDefender   7.2   2007.08.14   Adware.Stud.Y
CAT-QuickHeal   9.00   2007.08.13   -
ClamAV   0.91   2007.08.14   Trojan.BHO-83
DrWeb   4.33   2007.08.14   -
eSafe   7.0.15.0   2007.08.10   -
eTrust-Vet   31.1.5058   2007.08.14   -
Ewido   4.0   2007.08.14   Adware.Stud
FileAdvisor   1   2007.08.14   -
Fortinet   2.91.0.0   2007.08.14   -
F-Prot   4.3.2.48   2007.08.13   W32/Adware.KBB
F-Secure   6.70.13030.0   2007.08.14   -
Ikarus   T3.1.1.12   2007.08.14   not-a-virus:AdWare.Win32.Stud.d
Kaspersky   4.0.2.24   2007.08.14   not-a-virus:AdWare.Win32.Stud.a
McAfee   5096   2007.08.13   -
Microsoft   1.2704   2007.08.14   -
NOD32v2   2459   2007.08.14   a variant of Win32/Adware.BHO.AA
Norman   5.80.02   2007.08.14   W32/Stud.AE
Panda   9.0.0.4   2007.08.14   -
Prevx1   V2   2007.08.14   Generic.Malware
Rising   19.36.12.00   2007.08.14   -
Sophos   4.20.0   2007.08.12   MapKon
Sunbelt   2.2.907.0   2007.08.14   -
Symantec   10   2007.08.14   Adware.Webprefix
TheHacker   6.1.8.168   2007.08.14   Adware/Stud.a
VBA32   3.12.2.2   2007.08.13   suspected of Trojan-Downloader.Agent.47
VirusBuster   4.3.26:9   2007.08.13   -
Webwasher-Gateway   6.0.1   2007.08.14   Ad-Spyware.Stud.A.43
weitere Informationen
File size: 11499 bytes
MD5: b21fffab17645f534af7eeb15ff27f11
SHA1: 403ce3f763342adafb291804abf9b5838686c1ee
packers: UPX
packers: UPX
packers: UPX
packers: UPX
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=61E27C0AEB1653D42C4E00F8BB2FB700CCD0F2AA

OHHHHHHHHHHH und bei Malware scan:

 Datei:      rsaenh32.dll
Auslastung:    
0%              100%
Status:    
INFIZIERT/MALWARE
Entdeckte Packprogramme:    
UPX
Bit9 rapportiert:    File not found
 
A-Squared    
Adware.Win32.Stud.a gefunden
AntiVir    
ADSPY/Stud.A.43 gefunden
ArcaVir    
Adware.Stud.A gefunden
Avast    
Win32:Trojano-3384 gefunden
AVG Antivirus    
Generic2.AMI gefunden
BitDefender    
Adware.Stud.Y gefunden
ClamAV    
Trojan.BHO-83 gefunden
CPsecure    
AdWare.W32.Stud.A gefunden
Dr.Web    
Keine Viren gefunden
F-Prot Antivirus    
Keine Viren gefunden
F-Secure Anti-Virus    
not-a-virus:AdWare.Win32.Stud.a (4, 1, 400) gefunden
Fortinet    
Keine Viren gefunden
Kaspersky Anti-Virus    
not-a-virus:AdWare.Win32.Stud.a gefunden
NOD32    
a variant of Win32/Adware.BHO.AA application gefunden
Norman Virus Control    
W32/Stud.AE gefunden
Panda Antivirus    
Keine Viren gefunden
Rising Antivirus    
Keine Viren gefunden
Sophos Antivirus    
Keine Viren gefunden
VirusBuster    
Keine Viren gefunden
VBA32    
Trojan-Downloader.Agent.47 gefunden (mögliche Variante)

OHHHHHHHHHHHHHH und was muß/soll ich jetzt machen ?

Das komische idt ,ich habe mir das Dr.Web Scanner gezogen und mal durchsucht .Und er hat nix gefunden ???????
 

Hallo,
geh mit deinem Norton in den abgesicherten Modus und lass ihn durchlaufen und löschen was angemeckert wird.
Sir Reklov