Ergebnis 1 bis 20 von 36
Thema: Virus oder Fake?
-
31.07.2008, 03:07 #1wii-for-me
Virus oder Fake?
als ich eben eine Datei ausführen wollte,
wurd emein Bildschirm aufeinmal kurz schwarz, dann war mein Desktop in einem hellem blau gefärbt und dort stand: "Achtung! Auf deinem PC wurde Spyware entdeckt, bitte entferne sie!" (oder so ähnlich).
Gleich hab ich probiert einen anderes Desktopbild rein zu machen, aber das blaue blieb im Hintergrund.
nach Avira Antivir befindet sich die Datei in C:/Windows/System32/pphc54sj0eab7.exe, und heißt Tr/Fakealert.AG.
Öfters erscheint eine Virenmeldung von Avira, wenn ich versuche den Prozess zu schließen und wenn ich versuche die Datei in System32 zu löschen, auch in unregelmässigen Abständen kommt die Virenmeldung.
Zugang zum internet habe ich keinen mehr (Beim klicken auf Browser kommt einfach nur eine Fehlermeldung).
Gleich nachdem ausführen kamen aufeinmal Programme namens Antivirus XP 2008 und Antivirus-2008pro (beide haben Desktopverknüpfungen).
Hier ist außerdem noch mein Logfile von HiJack:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:06:06, on 31.07.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal
Running processes:
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\C&E\OSD\osd.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\ItSecMng.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\WinRoute Pro\WrCtrl.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Program Files\Huawei technologies\Mobile Connect\Mobile Connect.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Windows\system32\cmd.exe
C:\Users\Dominik\AppData\Local\Temp\dssc32.exe
C:\Windows\system32\taskmgr.exe
C:\Windows\explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\Dwm.exe
C:\program files\avira\antivir personaledition classic\avcenter.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Windows\system32\NOTEPAD.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Windows\System32\mobsync.exe
C:\Windows\system32\DllHost.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O1 - Hosts: ::1 localhost
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Program Files\Common Files\WebSpeech.4.0\LgxIEBar.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Update Helper - {A4CC8907-3EA6-49EE-8B74-D09660120910} - C:\Program Files\Google\Update\1.2.121.9\GoopdateBho.dll
O2 - BHO: QXK Olive - {D28E9811-92A7-4875-8B8E-C8B8494DE830} - C:\Windows\nfavxwdbgwx.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: (no name) - {474859FC-0DAD-4739-A61A-14F5F690BC83} - (no file)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [OSD] C:\Program Files\C&E\OSD\osd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ITSecMng] %ProgramFiles%\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe /START
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\byXOiJDv.dll,#1
O4 - HKLM\..\Run: [lphc54sj0eab7] C:\Windows\system32\lphc54sj0eab7.exe
O4 - HKLM\..\Run: [SMrhc14sj0eab7] C:\Program Files\rhc14sj0eab7\rhc14sj0eab7.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ISUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WrCtrl] "C:\Program Files\WinRoute Pro\wrctrl.exe"
O4 - HKCU\..\Run: [msnmsgr] REM "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [antivirus-2008pro.exe] C:\Program Files\Antivirus 2008 PRO\antivirus-2008pro.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: Monitor Apache Servers.lnk = C:\inetpub\wwwroot\bin\ApacheMonitor.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Program Files\Common Files\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Program Files\Common Files\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{C0C89860-55B9-409A-B5AF-C983C217249F}: NameServer = 81.3.216.100 194.24.128.100
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2.2 - Unknown owner - C:\inetpub\wwwroot\bin\httpd.exe (file missing)
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: BlueSoleilCS - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleilCS.exe (file missing)
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate1c8e9e2b1e817f8) (gupdate1c8e9e2b1e817f8) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: MySecurityCenter License Service - Unknown owner - C:\Program Files\MySecurityCenter\Programs\service.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
O23 - Service: WinRoute - Unknown owner - C:\Program Files\WinRoute Pro\Winroute.exe (file missing)
--
End of file - 9918 bytes
Bitte um schnell Hilfe, oder die Bestätigung das ich meinen Rechner bis morgen beruhigt ausschalten kann .
Liebe Grüße!
EDIT: Soweit hab ich das Problem, glaube ich jetzt gelöst...
Das einzige was noch da ist, ist das de rblaue Bildschirm bleibt.
Also wo der Virus aktiviert wurde, kam ja so ein blauer Desktop Hintergrund,
und dann habe ich einen anderen Desktop ausgewählt (ein Bild von meinem Ninchen ) allerdings bleibt, der blaue, Bluescreen ähnelnde, Rand auf meinem Desktop.
Und schön sieht es nicht gerade aus..
Aber ganz ist der Virus auch noch nicht weg..., also was kann ich noch machen?
Dnake jetzt schon, und entschuldigung wenn ich verwirrend schreibe, um fast 5 Uhr versagt mein Gehirn langsam .
-
-
31.07.2008, 04:27 #2Unregistriert
AW: Virus oder Fake?
fake kannsten ausschalten ahtte des au ma^^
-
31.07.2008, 07:47 #3Worry
AW: Virus oder Fake?
Hi,
Du hast Malware auf Deinem Rechner, bitte fixe folgende Einträge:
O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\byXOiJDv.dll,#1
O4 - HKLM\..\Run: [lphc54sj0eab7] C:\Windows\system32\lphc54sj0eab7.exe
O4 - HKLM\..\Run: [SMrhc14sj0eab7] C:\Program Files\rhc14sj0eab7\rhc14sj0eab7.exe
O4 - HKCU\..\Run: [antivirus-2008pro.exe] C:\Program Files\Antivirus 2008 PRO\antivirus-2008pro.exe (Das hier ist der Trojaner!)
Diese Einträge unbedingt fixen!
Diese kannst Du löschen, wenn Du magst:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: (no name) - {474859FC-0DAD-4739-A61A-14F5F690BC83} - (no file)
Nach dem Fixen dann neu starten, und dann post bitte ein neues Logfile, mal schauen, ob dann alles weg ist.
Mit ein einem großen "Vielleicht" bekommst Du es so hin, sonst darfst Du Deine Festplatte formatieren...
-
31.07.2008, 12:12 #4wii-for-me
AW: Virus oder Fake?
Hallo,
der Eintrag O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\byXOiJDv.dll,#1
lässt sich durch drücken auf fixen nicht entfernen!
Soll ich probieren es manuell zu löschen, oder es von meinem Virenscanner in Quarantäne stellen lassen?
also zurzeit habe ich nur diese Probleme: Der blaue Hintergrund am Desktop, manchmal komme ich nicht ins Internet, öfters kommen Meldungen vom internet Explorer: "Your computer is running slower than normal, maybe it is infected with Viruses, Adware or Spyware.
Antivirus Master will perform a quick and completely FREE scan of your system for malicious software.
Download Antivirus Master for FREE now!".
Klingt für mich nach einem schlechten Witz,
der Virus sieht auch etwas billig aus wenn ich ehrlich bin .
Soll ich vllt mal den Internet Explorer deinstallieren?
Dann kommen vllt. mal keine solche Meldungen mehr.
Meine SpyBot Search & Destroy Ergebnisse kommen gleich...
Aber nochmal mein Logfile danach:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:12:03, on 31.07.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal
Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\C&E\OSD\osd.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\ItSecMng.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\WinRoute Pro\WrCtrl.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Windows\system32\taskmgr.exe
C:\Windows\system32\mmc.exe
C:\Program Files\Huawei technologies\Mobile Connect\Mobile Connect.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O1 - Hosts: ::1 localhost
O2 - BHO: {8115220a-3b99-1a69-7b44-88b6e5b48f26} - {62f84b5e-6b88-44b7-96a1-99b3a0225118} - C:\Windows\system32\uikjtw.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {76DA6E51-274A-4E53-8C42-349B07CF12A2} - C:\Windows\system32\fCRHbayy.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {B7FC3B0E-0238-4574-BD1D-2323194676CF} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [OSD] C:\Program Files\C&E\OSD\osd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ITSecMng] %ProgramFiles%\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe /START
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\geBqQHbx.dll,#1
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ISUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WrCtrl] "C:\Program Files\WinRoute Pro\wrctrl.exe"
O4 - HKCU\..\Run: [msnmsgr] REM "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: Monitor Apache Servers.lnk = C:\inetpub\wwwroot\bin\ApacheMonitor.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Program Files\Common Files\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Program Files\Common Files\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{C0C89860-55B9-409A-B5AF-C983C217249F}: NameServer = 81.3.216.100 194.24.128.100
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2.2 - Unknown owner - C:\inetpub\wwwroot\bin\httpd.exe (file missing)
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: BlueSoleilCS - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleilCS.exe (file missing)
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate1c8e9e2b1e817f8) (gupdate1c8e9e2b1e817f8) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: MySecurityCenter License Service - Unknown owner - C:\Program Files\MySecurityCenter\Programs\service.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
O23 - Service: WinRoute - Unknown owner - C:\Program Files\WinRoute Pro\Winroute.exe (file missing)
--
End of file - 8741 bytes
EIDT:
Folgende EInträge wurden von Search & Destroy gefunden:
Microsoft.Windows.Security.InternetExplorer - 1 Eintrag - Security
Microsoft.Windows.System - 2 Einträge - Security
My811.Toolbar - 10 Einträge - HijackersC
Die ersten 2 klingen schon sehr verdächtigt, nur beim 3. kann ich mir keinem Reim darauf machen?
-
31.07.2008, 12:50 #5Worry
AW: Virus oder Fake?
Hi,
versuche es mal mit Killbox diesen Eintrag
O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system\geBqQHbx.dll,#1
zu löschen.
Weiter weiß ich auch nicht...
-
31.07.2008, 12:53 #6wii-for-me
AW: Virus oder Fake?
Kann ich das von S & D löschen lassen?:
-----
Firma:
Produkt: Microsoft.Windows.Security.InternetExplorer
Bedrohung: Security
Funktionalität
security settings for the Internet Explorer
Beschreibung
Security settings for the Internet Explorer can be changed by malware.
Some of the settings can also be changed by security software. In case you have additional security softwre installed, make sure that it is working properly.
-----
Firma: Microsoft
Produkt: Windows.System
Bedrohung: Changed Settings
Funktionalität
Registry changes about the Windows System.
If this Item is beeing found, it does not necessarily mean an infection.
Some Malware like CWS and Smitfraud variants change these settings.
It is also possible that these settings have been changed by an administrator (if you have one) or by a legitimate software.
Windows System Registry changes include Displaysettingmenus and Controlpanel
Beschreibung
These Settings can normally not be reversed via the normal Windows User Interface.
Some settings pose security risks and some are just annoyances.
Also, some settings are redundant, meaning that they can be changed at various positions in the registry thus changing one value may not be enough.
-----
Firma:
Produkt: My811.Toolbar
Bedrohung: Hijacker
Beschreibung
My811.Toolbar installs a malicious toolbar to the Internet Explorer without asking the user for permission. Additionally My811.Toolbar connects to the Internet without user consent and redirects startpages to their own website.
edit: Soll ich bei Killbox, beim löschen, Unregister .dll Before Deleting aktivieren?
-
31.07.2008, 13:16 #7Worry
AW: Virus oder Fake?
Meiner Meinung nach kannst Du es löschen lassen. S&D ist zuverlässig.
Wenn es mein Rechner wäre, würde ich es löschen lassen, aber eine Garantie übernehme ich nicht.
Genauso weiß ich nicht, ob Du den Eintrag:
O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system\geBqQHbx.dll,#1
mit Killbox wegbekommst.
Wenn es nämlich nicht geht, solltest Du Deine Festplatte formatieren, es wäre imho der einzige Weg ... Aber: Ich rate grundsätzlich niemandem zur Formatierung, weil es eine Heidenarbeit ist, ohne noch eine zweite Meinung! dazu zu lesen.
Vielleicht schaut hier noch jemand herein, der sich noch besser auskennt als ich, bitte warte noch ein wenig bis Du meine Tips befolgst, ob noch ein anderes Member hier was dazu schreibt.
Ich bin sehr selten unsicher, aber wenn es so ist, gebe ich es auch zu.
Als Notlösung fällt mir noch eine Systemwiederherstellung ein, mit der kannst Du nichts falsch machen, wenn Du noch weißt, wann Du Dir diesen Trojaner gezogen hast. Bis kurz davor dann wiederherstellen.
-
31.07.2008, 13:20 #8wii-for-me
AW: Virus oder Fake?
Also Spy Bot Search & Destroy lass ich einfach ma machen, hatte schon gute Erfahrungen damit .
Killbox lass ich dann auch einfach ma machen,
dann ma kuggen...
edit: Wo kann man den IE den vollkommen löschen, also mit allen Registry Einträgen
-
31.07.2008, 13:28 #9Worry
AW: Virus oder Fake?
Oki, danke für Dein Vertrauen, ich hoffe, es klappt jetzt auch.
Den IE lösche bitte nicht, er gehört zum System und Du bekommst Deine Updates über ihn!
Ist auch sehr aufwendig, ihn zu löschen...
Warten wir jetzt mal ab, was herauskommt, wenn Du fertig bist, dann mal weitersehen...
-
31.07.2008, 13:36 #10wii-for-me
AW: Virus oder Fake?
Der Eintrag in Windows32 lies sich weder normal, noch mit Hijackthis oder der Killbox löschen.
Allerdings hat mir S & D jetzt gemeldet, das sich dieser MSServer in den Autostart eintragen will, wo er jetzt ohne hin schon drinnen ist.
Also hab ich ihn einfach mal raußgelöscht...
Im Taskmanager sind auch 15 svchost.exe geöfnet, weiß ja nicht ob das normal is...
Das größte Problem nun ist eben der blaue Desktop,
nach dem was ich in Windows32 gefunden habe, wurde er durch einen "Blue-Screen-Faker" ausgelöst (Datei wurde schon gelöscht, jedoch blieb der blaue Bildschirm).
Falls jemand fragt: Der blaue Bildschirm befindet sich momentan hinter meinem Desktop Bild, jedoch schaut am Rand so blaue Balken hinaus...
Erst jetzt gesehen:
Wie denn?
edit: Von S & D aus habe ich es MSServer nicht erlaubt einen Eintrag zu machen, jetzt hat er es wie es aussieht immer wieder verusucht (ich habe auf merken geklickt, und dann kamen die Bestätigungsfenster von S & D das er das Programm geblockt hat)
edit: Jetzt kam die Fehlermeldung vom IE aus wieder nur diesesmal heißt das Programm, das angeboten wird Spy-Shredder
-
31.07.2008, 13:54 #11Worry
AW: Virus oder Fake?
Die Fehlermeldung ist nicht "aus dem" Internet Explorer, es ist dieser Trojaner, der Dir diese Werbung immer aufmacht.
Lies das mal bitte: WICHTIG!!
Melde Dich dann bitte wieder, ich bleibe jetzt hier.
-
31.07.2008, 14:02 #12wii-for-me
AW: Virus oder Fake?
Kann man dem Programm vertrauen und alles löschen was gefunden wird?
So sieht das jetzt aus,
und dann auch noch links und rechts
Das kommt manchmal ne halbe Ewigkeit, und verschwindet dann wieder
Hier sieht man die 15 svchost.exe Prozesse.
-
31.07.2008, 14:10 #13Worry
AW: Virus oder Fake?
Dein markierter Eintrag ist meines Wissens nach für die Systemwiederherstellung. Die Hostprozesse sind normal, bei mir laufen so um die vierzig..
Lade Dir mal das Entfernungstool für den Spy Shredder herunter und versuche damit Dein Glück. Du kannst diesem Tool vertrauen.
Schön wäre dann ein neues Logfile.
-
31.07.2008, 14:25 #14wii-for-me
AW: Virus oder Fake?
Muss ich mich da registrieren um das Programm zu benutzen?
-
31.07.2008, 14:29 #15Worry
AW: Virus oder Fake?
Ich habe es eben probiert und könnte es so herunterladen. Ziemlich in der Mitte ist ein graues Feld mit einem gelbem Dreieck, das ist der Download.
-
31.07.2008, 14:31 #16wii-for-me
AW: Virus oder Fake?
Nein, dann habe ich gesucht, und wnen ich auf Remove drücke kommt so ne Registy Site, und die verlangen 19 Dollar oder so...
-
31.07.2008, 14:37 #17Worry
AW: Virus oder Fake?
Bei mir beginnt sofort der Download, wenn ich ihn nicht abbreche...
Wenn es nicht geht, solltest Du an eine Systemwiederherstellung denken, in diesem Fall das Sicherste, daß Du diesen Spy Shredder wirklich loswirst. Das schrieb ich ja oben schon.
Außerdem bist Du dann sicher, daß Dein Bildschirm nicht mehr blau sein wird.
Aber- ich wünschte mir jetzt jemanden zur Seite, der sich besser auskennt...
-
31.07.2008, 14:38 #18wii-for-me
AW: Virus oder Fake?
Die Meldung kommt im SpyHunter selbst, und nicht beim Download
-
31.07.2008, 14:43 #19Worry
AW: Virus oder Fake?
Wie geschrieben, mir fällt nur noch die Systemwiederherstellung ein... Magst Du es versuchen? Der sicherste Weg, meiner Meinung nach.
-
31.07.2008, 14:45 #20wii-for-me
AW: Virus oder Fake?
Hmm...meine Schwester hat auf dem PC noch Dateien die sie "so superdringend braucht, weil sie so total wichtig sind".
Kann man die Suchergebnisse nicht manuell löschen?
Oder gibt es noch ein Programm, was aber Freeware is?
Ähnliche Themen
-
codmappacksfree - fake oder nicht?: Jo moinsen Community! Bin grad beim Surfen durchs Web auf folgende Seite gestoßen : http://codmappacksfree.blogspot.de/ Was hat es mit der Seite... -
fake virus: hi leute ich wolte meinen freund mit einen fake virus veraschen weis wer einen???:confused: -
Echt oder Fake?: Hallo! Ich habe gedacht, man könnte mal einen Thread zu eröffnen, indem man diskutieren kann ob ein Video (oder auch Bild) fake ist. Hab in der... -
Fake oder nicht Fake? Das ist hier die Frage! :D: Hey Leute! Es geht jetzt mittlerweile schon in vielen Threads die Disskusion um ob dieses Bild http://static.pici.se/pictures/ROtdkzrlI.jpg ein Fake... -
Fake oder Echt?!: Ist dieser NES-Controller für die wii echt? http://www.forumla.de/clear.gif
Putin musstetaich einfach mal daran halten, dass er nicht einfach völkerrechtswidrig Nachbarstaaten angreifen kann. Das wäre zumindest Mal der erste...
Der Ukraine-Konflikt 2022