hallo!
ich hatte das gleiche problem mit dem "virus alert!"-symbol rechts unten.
nachdem ich das, was auf dem Link siri.urz.free.fr/Fix/SmitfraudFix.php
"befohlen" wird, gemacht habe, war es weg!
es hat sehr gut funktioniert. das freut mich.
herrlich.
grüße,
mo

Hallo zusammen,

ich habe diesen Thread mit Interesse gelesen und hoffe, ich kann damit das Problem beim Rechner eines Freundes beheben.

Mal zwei Fragen:
1) Wie kann sich dieser Trojaner einnisten? Weil irgendwelche Sicherheitsupdates von Win XP nicht installiert worden sind, oder weil der Virenscanner nicht aktualisiert war? Oder kann der einfach nicht erwischt werden?

2) Des öfteren wurde in Antworten geschrieben, man solle die Wiederherstellungsoption deaktivieren. Warum? Wir hatten in der Uni auch das Problem an einem Rechner und konnte durch die Wiederherstellungsoption den Trojaner entfernen.

Harald

Hallo zusammen,

hatte heute auch dieses Problem ??? und ihr alle auf dieser Seite
hab mir total geholfen. Sieht so aus alles wäre jetzt alles wieder
i. o. !! (Lösung bei mir: Smitfraudfix)

Vielen Dank, Ihr seit super!

LG Jule

Einfachste weg ist, geht zum system32, sucht die Datei mit dem Namen viruxz.dll.
Dach müsst ihr es mit rechte Maustaste Ausschneiden und es auf Desktop verschieben, da es sich vom System32 aus nicht löschgen lässt.
Macht Neustart und ihr werdet merken, es kommt dieses blöde Virus Alert Fenster nicht mehr.
Was ihr noch müsst ist, die Datei nach dem Neustart vom Desktop löschen.
Besser ist noch, geht auf Start-Ausführen-Regedit, dort solltet Ihr ebenfalls den Dateinamen oben bei Bearbeiten eingeben und vom Registerbank löschen.

Einfachste weg ist, geht zum system32, sucht die Datei mit dem Namen viruxz.dll.
Danach müsst ihr es mit rechte Maustaste Ausschneiden und es auf Desktop verschieben, da es sich vom System32 aus nicht löschen lässt.
Macht Neustart und ihr werdet merken, es kommt dieses blöde Virus Alert Fenster nicht mehr.
Was ihr noch müsst ist, die Datei nach dem Neustart vom Desktop löschen.
Besser ist noch, geht auf Start-Ausführen-Regedit, dort solltet Ihr ebenfalls den Dateinamen oben beim Bearbeiten eingeben und vom Registerbank löschen.

Einfachste weg ist, geht zum system32, sucht die Datei mit dem Namen viruxz.dll.
Danach müsst ihr es mit rechte Maustaste Ausschneiden und es auf Desktop verschieben, da es sich vom System32 aus nicht löschen lässt.
Macht Neustart und ihr werdet merken, es kommt dieses blöde Virus Alert Fenster nicht mehr.
Was ihr noch müsst ist, die Datei nach dem Neustart vom Desktop löschen.
Besser ist noch, geht auf Start-Ausführen-Regedit, dort solltet Ihr ebenfalls den Dateinamen oben beim Bearbeiten eingeben und vom Registerbank löschen.

 
danke an alle die hier lösungen zur problembehebung geschrieben haben.... dachte erst ich müsste win xp neu drauf machen habe aber dann die page hier gefunden und mit eurer hilfe das schiss dingen erldedigt ^^

mfg
Shorty

 ??? hallo jungs meine freude war nur von kurzer dauer... jetzt ist zwar das virus alert!! zeichen weg aber es treten weiter hin diese pop ups auf von wegen softwar kaufen und so ein dreck. habe schon alles versucht komme aber irgendwie nicht weiter.

vielleicht hilft da nur noch eine neu aufspielung von windows XP   :'(

Hallo,

führe mal zu Informationszwecken einen HijackThis-Log aus.
Er liefert steht’s wertvolle Informationen über den Zustand deines Systems und
kann das eine oder andere Problem auch lösen.
Hier der Link zu dem Tool
http://www.hijackthis.de/     
und folge den Anweisungen und poste den Log.
Downloadlink zum Tool
http://www.mmdirect.de/downloads/hijackthis_199.zip

Wenn du noch nicht weist, wie das Tool funktioniert, auf der folgenden Webseiten gibt es eine kleine Hilfestellung:
http://www.wintotal.de/Tipps/Eintrag.php?TID=873
oder
http://www.trojaner-board.de/showthread.php?t=17493
http://www.trojaner-info.de/anleitungen/hijackthis/htlogtutorial.html

falls ich alles richtig gemacht habe

ist dies dabei rausgekommen

Logfile of HijackThis v1.99.1
Scan saved at 23:08:14, on 15.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\Ati2evxx.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\spoolsv.exe
G:\WINDOWS\system32\Ati2evxx.exe
G:\WINDOWS\Explorer.EXE
G:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Symantec AntiVirus\DefWatch.exe
G:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
G:\Programme\ewido anti-spyware 4.0\guard.exe
G:\WINDOWS\system32\RunDll32.exe
C:\PROGRA~2\PRINTV~1\pvmodule.exe
G:\Programme\ewido anti-spyware 4.0\ewido.exe
G:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\OnlineControl\ocontrol.exe
C:\Programme\Symantec AntiVirus\Rtvscan.exe
G:\WINDOWS\system32\UAService7.exe
G:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
G:\WINDOWS\system32\wscntfy.exe
G:\Programme\ICQLite\ICQLite.exe
C:\Programme\Xfire\Xfire.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
G:\Dokumente und Einstellungen\GeniusAtPlay\Desktop\hijackthis_199\HijackThis.exe

R3 - URLSearchHook: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - G:\Programme\ICQToolbar\toolbaru.dll
O1 - Hosts: AmsServer
O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - G:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - G:\Programme\ToolBar888\MyToolBar.dll (file missing)
O4 - HKLM\..\Run: [ccApp] "G:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroFilterCheck] G:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PVModule] C:\PROGRA~2\PRINTV~1\pvmodule.exe
O4 - HKLM\..\Run: [!ewido] "G:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] G:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: OnlineControl.lnk = C:\Programme\OnlineControl\ocontrol.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://G:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - G:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - G:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - G:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - G:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - G:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - G:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - G:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - G:\Programme\iPod\bin\iPodService.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe
O23 - Service: ServiceLayer - Nokia. - G:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - G:\WINDOWS\system32\sfrem01.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - G:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - G:\WINDOWS\system32\UAService7.exe

Ist das richtig, dass die Scanner Panda und Ewido aktuell nichts mehr finden?

Fixe diesen Eintrag aus dem Logfile of HijackThis:
O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - G:\Programme\ToolBar888\MyToolBar.dll (file missing)

Lösche im Anschluss dem kompletten Ordner
G:\Programme\ToolBar888

Weiter deaktiviere die Systemwiederherstellung und boote den PC neu!
(Für diesen Punkt findet man unter http://www.bsi.de/av/texte/wiederher.htm
eine Anleitung)

Lösche bitte deinen Browser Cache und alle sonstigen Temporären Dateien,
ebenso den Papierkorb. Benutze dazu einfach die Freeware CCleaner,
http://www.ccleaner.com/ccdownload.asp
setze bei den Einstellungen unter dem Reiter von Windows und Anwendungen alle möglichen Häckchen und führe CCleaner aus.

Benütze das Removaltool (aktuelle Version ist 2.88) gegen Smitfraud und Co., in englischer Sprachem, auch wenn es bereits mal eingesetzt wurde.
Eine kurze Anleitung in Deutsch ist auf der Homepage vorhanden und sollte unbedingt genau befolgt werden.
http://siri.urz.free.fr/Fix/SmitfraudFix_De.php

Danach checke deinen PC mit dem OnlineScanner von F-Secure !
Für eine schnelle und kostenlose Überprüfung des kompletten Systems bieten dieser
Online-Scanner in Englischer Sprache gute Dienste. Übrigens, er läuft nur unter dem Microsoft Internet Explorer mit ActiveX und besitzen eine Reinigungsfunktion.

F-Secure Online Scanner
http://support.f-secure.com/enu/home/ols3.shtml

Poste bitte unbedingt das Scan-Protokolle von F-Secure!
Zum Schluss erstelle ein neues HijackThis-Log und poste es ebenfalls hier.
Im Anschluss den PC neu booten und die Systemwiederherstellung wieder aktivieren

 + Erstellt um:   11:50:31 19.09.2006

 + Scan-Ergebnis:   



G:\Dokumente und Einstellungen\GeniusAtPlay\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\4wmn5f7b.default\Cache\955FA9C6d01 -> Not-A-Virus.Downloader.Win32.WinFixer.o : Keine Aktion durchgeführt.
G:\Dokumente und Einstellungen\GeniusAtPlay\Cookies\geniusatplay@doubleclick[1].txt -> TrackingCookie.Doubleclick : Keine Aktion durchgeführt.
G:\Dokumente und Einstellungen\GeniusAtPlay\Cookies\geniusatplay@zedo[2].txt -> TrackingCookie.Zedo : Keine Aktion durchgeführt.
G:\Dokumente und Einstellungen\GeniusAtPlay\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GT6VGP2N\srveak[1].exe -> Trojan.Dialer.qs : Keine Aktion durchgeführt.


::Berichtende

diese sachen bekomme ich immer wieder beim scannen

Hallo Powershorty,

ersten musst du deinen Browser-Cache und alle sonstigen Temporären Dateien löschen,
ebenso den Papierkorb. Benutze dazu einfach die Freeware CCleaner,
http://www.ccleaner.com/ccdownload.asp
setze bei den Einstellungen unter dem Reiter von Windows und Anwendungen alle möglichen Häckchen und führe CCleaner aus.

Scanne danach deinen Rechner mit den Online Scanner (!) von Ewido:
http://www.ewido.net/de/onlinescan/
Wenn Ewido Malware entdeckt, muss nach dem Scan der Button “Remove Infections“ gedrückt werden, damit Ewido die Schadprogrammen automatisch beseitigen.
(Eventuellen Meldungen beim Scan von Ewido unter “TrackingCookie“ sind harmlos und stellen keine akute Gefahr dar.)

Wenn du dies befolgst, sollte das der Vergangenheit angehören:

G:\Dokumente und Einstellungen\GeniusAtPlay\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\4wmn5f7b.default\Cache\955FA9C6d01 -> Not-A-Virus.Downloader.Win32.WinFixer.o : Keine Aktion durchgeführt.

G:\Dokumente und Einstellungen\GeniusAtPlay\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GT6VGP2N\srveak[1].exe -> Trojan.Dialer.qs : Keine Aktion durchgeführt.

hab ich alles gemacht und das nicht zum erste mal. Sobald ich mozilla Firefox benutze kommt nach einiger zeit die seite mit WinAntiVire2006 usw. Dann lass ich scannen und lösch alles was er findet und später ist es dann wieder drauf.

Abgesicherter Modus:
Beim Start des PC  mehrfach die F8 drücken , spätestens beim  PIEP des schwarzen Schirms mit dem Blinkstrich ....

Im abgesicherten Modus !
unter SYSTEM die Systemwiederherstellumg AUS ,
Virenscan machen
& ggf Adwarscan mit Spybot S&D oder Adware-SE
Systemwiederherst. wenn OK = wieder AN
Normalstart
----------------------------------------------
NOCHMAL : stand weiter vorne !!!
virus alert!
http://www.zdnet.de/downloads/prg/1/2/de10293212-wc.html
spyware doctor
Es scannt den Rechner nach allen möglichen Adwares und Malwares, listet die gefundenen Einträge auf und dann hat man die Möglichkeit, alles mit einem mal zu löschen oder zu reparieren oder in Quarantäne zu setzen. allerdings nur in der Vollversion,.