Virus oder Spyware Alert

Hallo lade dir dass Programm Hijackthis runter,erstelle ein Logfile damit und poste es hier.


gruß deniz

Logfile of HijackThis v1.99.1
Scan saved at 14:58:40, on 06.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\Programme\Scanner\FileUtility\SFUSVC.exe
C:\Programme\Scanner\FileUtility\nsCatCom.exe
C:\Programme\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\access97\Office\OSA.EXE
C:\Programme\Scanner\FileUtility\NsCatCom.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
S:\sw-viren&adware\Hijack\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\SYMANT~1\DWHWIZRD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\access97\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\access97\Office\OSA.EXE
O4 - Global Startup: Scanner File Utility.lnk = C:\Programme\Scanner\FileUtility\NsCatCom.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = alexander-stift.local
O17 - HKLM\Software\..\Telephony: DomainName = alexander-stift.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = alexander-stift.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = alexander-stift.local
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = alexander-stift.local
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: btrklfr - {B0B09210-92A7-46A1-B3DF-F04A29BD3700} - C:\WINDOWS\btrklfr.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir Service (AntiVirService) - Unknown owner - H:\AVGUARD.EXE (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - Unknown owner - H:\AVWUPSRV.EXE (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe
O23 - Service: SFUSVC - KYOCERA MITA CORPORATION - C:\Programme\Scanner\FileUtility\SFUSVC.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe


Hier der Logfile, ich hoffe Du kannst damit etwas anfangen!!
Ich habs es durchgesehen und ich wüßte net genau...

Danke nochmal.
 

Lade dir
[size=18] SmitfraudFix.exe [/size][/url]
auf dem Desktop speichern.

    * SmitfraudFix.exe doppelklicken.
    * Danach wird einen Ordner SmitfraudFix auf dem Desktop erstellt.
    * PC neustarten--> Boote nun in den [size=14]abgesicherten Modus[/size][/url] (bei Neustart F8 drücken)


    * Im abgesicherten Modus nun den Ordner SmitfraudFix öffnen.
    * SmitfraudFix.cmd doppelklicken.
    * Taste 2 und dann Enter.
    * Den Anweisungen auf dem Bildschirm folgen.(Wenn eine Frage kommt mit J antworten.)

# #PC neustarten

[size=18]CCLEANER[/size][/url] ausführen

[size=18]ComboFix [/size][/url] – auf dem Desktop speichern.
Beende nun dein Antiviren- & evtl. Antispywareprogramm <-- Wichtig
Doppelklicken auf: combofix.exe
Gib eine 1 ein, um den Scan zu starten, wenn du danach gefragt wirst.
Die Datenträgerbereinigung abwarten  (bis ca. 20 Min/ Neustart kann erfolgen)
mit der rechten Maustaste den Text markieren -> kopieren -> vollständig posten
 

CCleaner und Combofix  kannst du dir sparen, in deinem Logfile kann man erkennen dass du dir Zlob eingefangen hast.

Fixe mit Hijackthis folgende Einträge:(fixen: Einträge makieren und fix checked klicken)

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2

O21 - SSODL: btrklfr - {B0B09210-92A7-46A1-B3DF-F04A29BD3700} - C:\WINDOWS\btrklfr.dll

Mache danach einen Neustart und benütze Smitfraudfix so wie es in dem link von Humdinger steht.

Gruß deniz


 

Die wievielte Kopie deines immergleichen Murgses hast du nun hier gepostet ?
Das hat mit deinem Unsinn überhaupt nix zu tun ...
Immer die blutigen Anfänger und Ahnungslose kopieren einen geklauten Text und machen einen auf dicke Hose...
Sir Reklov
 

das ist der netsky Wurm und kein zlob !!!!
neuaufsetzen  !! nix anderes !!
Sir Reklov

Mist stimmt, der Dateiname sieht dem von Zlob ziemlich ähnlich deswegen hab ich gar nicht erst bei google nachgeguckt.

Vergiss dass mit dem fixen wieder und mach dass was Sir Reklov gesagt hat.

Danke erstmal für die Hilfe.

Was bedeutet neuaufsetzen? Muss ich formatieren bzw ist mein PC kaputt?

Geht des net mit nem Programm? wie Ad-Aware oder CC-Cleaner?

Sorry, dass ich net so viel Ahnung hab!

Grüße

Du musst deine Festplatte formatieren (dabei gehen alle Dateien verloren):

Hier eine Anleitung:

http://www.computerhilfen.de/tipps-windows-xp-neu-installieren.php3

Du benötigst dazu deine Windows Cd+ Code.

gruß deniz

Guten Morgen,

das wäre fatal! geht das nicht anders?
mit nem Reinigungsprogramm? oder so?

Ich kann net alles auf dem PC löschen, er hängt am Netzwerk...

Hi,
nix mit formatieren, juhu:

Ich habe das Ding mit Smitfraudfix und Ad-Aware rausbekommen.
Nach dem Schema, dass Humdinger gepostet hat!

 - An dieser Stelle ein herzliches Dankeschön an Humdinger  -

Was aber irgendwie komisch war ist, dass als ich Combifix verwendet habe, der PC sich aufgehängt hat bei Scann Nr. 34!
Ist das normal?

Hier mein Log-File von Hijack:

Logfile of HijackThis v1.99.1
Scan saved at 13:52, on 2008-03-07
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\Programme\Scanner\FileUtility\SFUSVC.exe
C:\Programme\Scanner\FileUtility\nsCatCom.exe
C:\Programme\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\access97\Office\OSA.EXE
C:\Programme\Scanner\FileUtility\NsCatCom.exe
S:\sw-viren&adware\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alexander-stift.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\access97\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\access97\Office\OSA.EXE
O4 - Global Startup: Scanner File Utility.lnk = C:\Programme\Scanner\FileUtility\NsCatCom.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = alexander-stift.local
O17 - HKLM\Software\..\Telephony: DomainName = alexander-stift.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = alexander-stift.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = alexander-stift.local
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = alexander-stift.local
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir Service (AntiVirService) - Unknown owner - H:\AVGUARD.EXE (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - Unknown owner - H:\AVWUPSRV.EXE (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe
O23 - Service: SFUSVC - KYOCERA MITA CORPORATION - C:\Programme\Scanner\FileUtility\SFUSVC.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe

Bitte sagt mir, ob alles in Ordnung ist!

Vielen Dank nochmals an alle die mir hier geholfen haben!
Danke.

Grüße

 

Warum verstehen so viele nicht dass man es nicht beseitigen kann ???

Dein PC ist verseucht, du kannst nix anderes machen außer formatieren!!

Smitfraudfix wird dir dabei auch nicht helfen!!

Kannst aber auch auf die im grünen Auto warten!!

Wie meinst Du das?

Mein Pc ist jetzt wieder normal schnell und es wird nix mehr angezeigt? CCCleaner findet nix, Ad-Aware findet nix mehr?

In der Regestry ist nix mehr!

Was soll noch kommen und wo soll das hängen?

Es tut mir leid, das ich das net so ganz kapiere

Ist Dein PC ganz sauber? Wenn man im Internet ist kommt docjh immer irgendein Mist mit auf den PC, obwohl man es gar nicht merkt...

Hilft nur formatieren?

@All
Bei der erwähnten Malwareinfektion handelt es sich eindeutig um eine Zlob Variante !
Die Behauptung der PC sei mit Malware Netsky infiziert ist falsch.

Um die Schadsoftware Zlob vom Rechner zu schmeißen ist der Tipp von "Humdinger" dies über das Tool SmitfraudFix zu erledigen meist erfolgreich.

@Skillz
Nach dem aktuellen Logfile of HijackThis ist dein PC wieder gesund. Weitere Maßnahmen sind nicht mehr notwendig !

Sollte jetzt noch jemand etwas anderes behaupten,
ist davon auszugehen das er kein fundiertes Wissen zu dieser Angelegenheit besitzt.