Forum
Tipps
News
Menu-Icon

Spyware und AnitvirXP08

Guten Morgen und Hallo,

ich hoffe Euch geht es gut? Mir gerade nicht!!

Ich habe ein Riesen-Problem mit meinem PC:

Ich habe das Programm AntivirXP08 auf meinem PC installiert bekommen ohne das ich es gemerkt habe! Jetzt bekomme ich das Teil nicht mehr weg, weder durch löschen noch durch Uninstall oder Entfernen in der Software!!
Dieses Programm laäuft immer unten rechts mit und scannt irgendwas. Dann meldet es, das meinem PC ca. 2.500 viren hätte!! und wenn man draufklickt, soll mann Virensoftware kaufen aus dem Internet!

Was kann ich dagegen tun umd den Sch.. wegzubekommen? Zumal ich schon einen Virenscanner habe mit Norton Antivirus und Maleware/Spyware Scanner Malwarebytes!
Dank Diesem AntivitXP08 steht auch mitten auf meinem Desktop:
WARNING!
SPYWARE DETECTED ON YOUR COMPUTER!
INSTALL AN ANTIVIRUS ODER SPYWARE REMOVER TO CLEAN YOUR COMPUTER!

Wie bekomme ich das nur weg, ich kann das Desktop-Bild nicht ändern!

BITTE BITTE HELFT MIR!

Logfile of HijackThis v1.99.1
Scan saved at 10:19:44, on 24.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\Programme\Scanner\FileUtility\SFUSVC.exe
C:\Programme\Scanner\FileUtility\nsCatCom.exe
C:\Programme\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\lphcea7j0e5bp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\access97\Office\OSA.EXE
C:\WINDOWS\system32\pphcea7j0e5bp.exe
C:\Programme\Scanner\FileUtility\NsCatCom.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\WINDOWS\system32\wuauclt.exe
S:\sw-viren&adware\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: QXK Olive - {F353D443-1CA5-45A9-AC79-66C5564A7FA8} - C:\WINDOWS\ksendlbtrkd.dll
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Adobe Photo Downloader] "H:\SonyEricsson\Adobe Photo\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [lphcea7j0e5bp] C:\WINDOWS\system32\lphcea7j0e5bp.exe
O4 - HKLM\..\Run: [SMrhcaa7j0e5bp] C:\Programme\rhcaa7j0e5bp\rhcaa7j0e5bp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\access97\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\access97\Office\OSA.EXE
O4 - Global Startup: Scanner File Utility.lnk = C:\Programme\Scanner\FileUtility\NsCatCom.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = alexander-stift.local
O17 - HKLM\Software\..\Telephony: DomainName = alexander-stift.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = alexander-stift.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = alexander-stift.local
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = alexander-stift.local
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: xvorfwbd - {03C9A6B7-2AFB-49DC-97E0-0ADE3BD5C239} - C:\WINDOWS\xvorfwbd.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir Service (AntiVirService) - Unknown owner - H:\AVGUARD.EXE (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - Unknown owner - H:\AVWUPSRV.EXE (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe
O23 - Service: SFUSVC - KYOCERA MITA CORPORATION - C:\Programme\Scanner\FileUtility\SFUSVC.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe

Vielen Danke für Eure Hilfe!

Grüße

b-ball



Antworten zu Spyware und AnitvirXP08:

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

C:\WINDOWS\system32\lphcea7j0e5bp.exe

hier abkopieren und bei virustotal einkopieren (mit Strg+V)
http://www.virustotal.com/de/
evtl. drücke: Datei neu analysieren, abwarten, Report vollständig posten

+

windowscan posten
http://virus-protect.org/artikel/tools/windowsscan.html

Danke erstmal, Humedinger!

Hier das Ergebnis von virustotal:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.6.24.0 2008.06.24 -
AntiVir 7.8.0.59 2008.06.24 TR/Vundo.Gen
Authentium 5.1.0.4 2008.06.24 -
Avast 4.8.1195.0 2008.06.23 -
AVG 7.5.0.516 2008.06.24 -
BitDefender 7.2 2008.06.24 -
CAT-QuickHeal 9.50 2008.06.23 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.06.24 -
DrWeb 4.44.0.09170 2008.06.24 Trojan.Packed.512
eSafe 7.0.17.0 2008.06.24 Suspicious File
eTrust-Vet 31.6.5900 2008.06.24 -
Ewido 4.0 2008.06.24 -
F-Prot 4.4.4.56 2008.06.23 -
F-Secure 7.60.13501.0 2008.06.20 -
Fortinet 3.14.0.0 2008.06.24 -
GData 2.0.7306.1023 2008.06.24 -
Ikarus T3.1.1.26.0 2008.06.24 Trojan.Vundo
Kaspersky 7.0.0.125 2008.06.24 -
McAfee 5323 2008.06.23 -
Microsoft None 2008.06.24 -
NOD32v2 3212 2008.06.24 -
Norman 5.80.02 2008.06.23 -
Panda 9.0.0.4 2008.06.23 -
Prevx1 V2 2008.06.24 Cloaked Malware
Rising 20.50.10.00 2008.06.24 -
Sophos 4.30.0 2008.06.24 -
Sunbelt 3.0.1153.1 2008.06.15 -
Symantec 10 2008.06.24 -
TheHacker 6.2.92.359 2008.06.24 -
TrendMicro 8.700.0.1004 2008.06.24 -
VBA32 3.12.6.8 2008.06.23 -
VirusBuster 4.5.11.0 2008.06.23 -
Webwasher-Gateway 6.6.2 2008.06.24 Trojan.Vundo.Gen
weitere Informationen
File size: 109056 bytes
MD5...: 8b1e4f36a92f573b4698dfd731044081
SHA1..: a282deda7d36e7c75f77c89ffcc2b02e990141ed
SHA256: 0519c50046938650717a50034eb4219ea4ff2308563bcf134d392d67d2fe2aa8
SHA512: a45142330e9ad21838c51b62ed78388c7059cd3bfe470bf3a71db7dd8ed17e5d
bc218bb2c7effb433db523422ef6528fa9c79e2b19b35cf50ceedbff139cb3f4
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x404f66
timedatestamp.....: 0x485d33e9 (Sat Jun 21 17:01:29 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x8f7d 0x6000 7.99 19b988c43247e6df83e15d0ab1b2b4a1
.rdata 0xa000 0x2fa4 0x1400 7.96 2ac410944651e26e4d0d0cf438a92570
.data 0xd000 0x25f26 0x11200 8.00 b881ee4101cbf1e2af2ae873eb714819
.rsrc 0x33000 0x2000 0x2000 5.32 51270c2ca27a58e471fa4c4f8f7fac30

( 3 imports )
> user32.dll: DdePostAdvise, CascadeWindows, ClientToScreen
> msvcrt.dll: _mbccpy, _mbctombb, _mbsdec, _pctype, _snprintf, _snwprintf
> kernel32.dll: CompareFileTime, CopyFileW, CreateThread, DefineDosDeviceW, EnumResourceTypesW, GetCommConfig, GetConsoleWindow, GetDateFormatW

( 0 exports )
 
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=F80736D300BAD82CAA6201BFE1A135008D1B1D9C

Bitte sag mir was los ist! Es sieht eng aus oder...??

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Ladt dir Malwarebytes runter und mache einen komplett scan, poste den Report anschließend hier.

 

genau
PS.:humdigger ich hole dich ein :p  ;)

Hier das das Tool das du brauchst :
http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird
Lese vorher genau !!
Lass es laufen und poste den Bericht hier.
Sir Reklov

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Meinste nicht dass Combofix für Vundo zu hochangesetzt ist!!

Malwarebytes hat bei vielen Tests mit Vundo sehr gute Ergebnisse geliefert !!!
 

Malwarebytes' Anti-Malware 1.18
Datenbank Version: 884

16:18:03 24.06.2008
mbam-log-6-24-2008 (16-18-03).txt

Scan Art: Komplett Scan (A:\|C:\|D:\|H:\|M:\|N:\|S:\|)
Objekte gescannt: 100430
Scan Dauer: 2 hour(s), 7 minute(s), 59 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{1D70D111-50FC-4D22-B6FA-E28579841279}\RP99\A0016434.dll (Trojan.FalkeAlert) -> Quarantined and deleted successfully.

Hier mein Ergebnis von Malewarebytes.

Was ist da los?

Das Sch.. AntivirXP08 ist immer noch in mienem Tray rechts unten und laäuft immer bzw. blinkt immer auf und meldet
System Information
Antivir find bla bla ca 3000 Viren!
Des werden immer mehr!

Bitte sagt mir wie es raus geht!

Ist nix zu machen mit Hijack oder smitfraud
oder so?

Bitte helft mir, des ist echt nervenaufreibend!!

Vielen Dank

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

3000 Viren ??????

Poste bitte den Scan Report von Antivire!!!

Okay Malwarebytes hat nicht das gefunden was es sollte.

Bei 3000 Viren denke ich sollte man auch nix mehr mit Combofix machen!!

 

Man beachte folgende Einträge :
 

Zitat
[lphcea7j0e5bp] C:\WINDOWS\system32\lphcea7j0e5bp.exe
 HKLM\..\Run: [SMrhcaa7j0e5bp] C:\Programme\rhcaa7j0e5bp\rhcaa7j0e5bp.exe
 SSODL: xvorfwbd - {03C9A6B7-2AFB-49DC-97E0-0ADE3BD5C239} - C:\WINDOWS\xvorfwbd.dll

Auch ist diese Domäne immer wieder hier vertreten...
Entweder immer der gleiche oder die sind dort alle extrado.of...
 
Zitat
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = alexander-stift.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = alexander-stift.local
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = alexander-stift.local
Wahrscheinlich wurde diesem Dödel schon hundertmal geraten seine versiffte Kiste neu aufzusetzen...
Auch wenn er das verrotzte Log noch hundertmal vorzeigt....Das ist ein Mitglied in einem Botnetz...
da ist jede Hilfe zu spät..
Neuaufsetzen und fertig !!!
Sir Reklov

...übrigens
ersguterjunge:
Das war die Fake-Version ,denke ich mal 
EDIT:
Der herr sir reklov hat mal wieder eine Sprache drauf...  ::)

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button
...übrigens
ersguterjunge:
Das war die Fake-Version ,denke ich mal 
EDIT:
Der herr sir reklov hat mal wieder eine Sprache drauf...  ::)

Was meinst du mit "das war die Fake-Version".

Die Sprache vom Sir war diesmal aber wohl angebracht.

Er hat doch AntiVirXP08 drauf.. diese meine ich  :)
na hoffentlich hat er was gelernt... Aber der Umgang  ::)

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Achsoo, ja das war eh kla, dass das en fake war.

JA,nur du dachtest da an das Proggi von AVIRA,richtig?


« windows warning message bekomm ich net weg Windows XP: ständig werbung »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Internet-Zugriffsprogramm
Ein Internet-Zugriffsprogramm, auch Browser genannt, stellt Internetseiten für den Benutzer dar. Am bekanntesten ist der Microsoft Internet Explorer, gefolgt vom kos...

Programm
Siehe Software...

Software
Der Begriff Software (zu Deutsch: weiche Ware) ist ein Sammelbegriff für sämtliche Computerprogramme, die auf einem Computer ausgeführt werden können....