Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: yourprivacyguard / rotes Kreuz in Taskleiste / angeblich infizierter PC

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 26.11.2007, 12:10   #1
martinhahn90
 
yourprivacyguard / rotes Kreuz in Taskleiste / angeblich infizierter PC - Standard

yourprivacyguard / rotes Kreuz in Taskleiste / angeblich infizierter PC



Servus,

habe seit einigen Tagen (Samstag dürfte es gewesen sein) das Problem, dass sich bei mir in der "aktive Programme"-Leiste ein rotes X meldet, verbunden mit einem "Pop-Up", dass mein PC infiziert wäre, und ich dochdie Seite besuchen sollte um einen Scan durchzuführen.
Bei einem Klick auf OK öffnet sich die Seite yourprivacyguard.com und will einen Scan durchführen. Leider kommt es immer und immer wieder, ich kann dagegebn scheinbar nichts unternehmen, ihr aber sicher, hehe.
Das Problem haben auch andere Leute, diese posteten ihren Hijack-Log, also will ich dies auch einmal tun. Name, sowie Internetanbieter wurden durch Musternamen ersetzt.
Anbei noch ein Screen der Meldung und der Seite.

[quote]Logfile of HijackThis v1.99.1
Scan saved at 12:53:38, on 26.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Acer\eManager\anbmServ.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ltmoh\ltmoh.exe
C:\Dokumente und Einstellungen\MUSTERNAME\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.INTERNETANBIETER.de/internet-cd/
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: MSVPS System - {A4D00A75-F69A-49FD-9058-AB925712CCFF} - C:\WINDOWS\popnetkqw.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: The jokwmp - {AB9235F6-DB9F-4FDC-AAFB-A3BAF1849E34} - C:\WINDOWS\jokwmp.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [ugdccw] "C:\PROGRA~1\YOURPR~1\UGDCcw.exe" -start
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: RaConfig2500.lnk = C:\Programme\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110a-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: rmvgor - {62AC7B96-EC0F-44E9-A639-28437334388A} - C:\WINDOWS\rmvgor.dll
O21 - SSODL: sapnet - {4E89FC71-DDE4-44E0-AEE0-F91EF2A31D17} - C:\WINDOWS\sapnet.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
[quote]

http://img249.imageshack.us/img249/402/gsdfdyx1.jpg


DANKE im Voraus!

Alt 26.11.2007, 14:13   #2
Cleriker
 
yourprivacyguard / rotes Kreuz in Taskleiste / angeblich infizierter PC - Standard

yourprivacyguard / rotes Kreuz in Taskleiste / angeblich infizierter PC



Hi und Herzlich Willkommen im Trojaner-Board

das sieht mir doch ganz nach dem Zlob aus. Befolge als
erstes folgende Anleitung:
* Anleitung zur Entfernung von Zlob alias Puper, Fakealert, Smitfraud

* HijackThis - Fix Cecked
- Wechsel in den abgesicherten Modus (beim Booten F8 drücken)
- Führe deine Hijackthis.exe - Datei aus
(bestätige die eventuelle Warnung mit "ok")
- Wähle die Option "Do only a System Scan"
- Setze bei folgenden Einträgen links im Kästchen einen Haken
Zitat:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
- Scrolle nach unten und klicke auf "Fix checked"
- Neustart in den Normalmodus

Erstelle anschließend ein weiteres HijackThis und einen Escan:
* MWAV (eScan) - Free Antivirus
1. Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
(Bei Updateproblemen -> Updateprobleme beheben
(Sollte der Hinweis erscheinen, dass du nur mit der Vollversion
die Funde löschen kannst, breche den Scan NICHT ab)
2. Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
- rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)
- führe die find.bat aus
- das erstellte Log kopierst du ab und postest in deinen nächsten Beitrag
3. Entferne bitte nicht selber von escan alarmierte Funde.
Es sind erfahrungsgemäß viele Fehlalarme dabei

mfg Cleriker
__________________


Alt 26.11.2007, 14:21   #3
martinhahn90
 
yourprivacyguard / rotes Kreuz in Taskleiste / angeblich infizierter PC - Standard

yourprivacyguard / rotes Kreuz in Taskleiste / angeblich infizierter PC



Danke schon einmal, echt klasse was ihr hier so macht und wie ihr helft!

Soll ich vorher alle wichtigen Dateien sichern, oder löscht hijack/escan wohl nichts (bei escan soll ich ja eh ncihts löschen), was mein Betriebssystem eventuell kaputt macht? Mag ja sein, dass so wichtige Dateeien beschädigt sind, dass naachher nichts mehr läuft o.ä.

Sind nämlich einige WICHTIGE Daten drauf...
__________________

Alt 26.11.2007, 14:27   #4
Cleriker
 
yourprivacyguard / rotes Kreuz in Taskleiste / angeblich infizierter PC - Standard

yourprivacyguard / rotes Kreuz in Taskleiste / angeblich infizierter PC



also mit den Anleitungen, die ich eben gegeben habe,
wirst du erst mal nichts zerschießen. Ob dein System
nach der Berinigung sicher ist, kann ich allerdings nicht
gewährleisten. durch HijackThis werden nur Starteinträge
gelöscht, in dem Fall, Internetpopups

Alt 26.11.2007, 14:36   #5
martinhahn90
 
yourprivacyguard / rotes Kreuz in Taskleiste / angeblich infizierter PC - Standard

yourprivacyguard / rotes Kreuz in Taskleiste / angeblich infizierter PC



R1 und R0 Einträge findet HijackThis nicht, nachdem ich ja schon das andere hab durchlaufen lassen.
Lediglich einen R1-Eintrag, aber der lautet:
HKCU/Software/Microsoft/Internet Connection Wizard,ShellNext = htt://www.unserinternetanbieter(soll man auch net posten, meien ich^^).de/internet-cd/


Alt 26.11.2007, 15:24   #6
BataAlexander
> MalwareDB
 
yourprivacyguard / rotes Kreuz in Taskleiste / angeblich infizierter PC - Standard

yourprivacyguard / rotes Kreuz in Taskleiste / angeblich infizierter PC



Same as Smitfraudfix..

RemoveVideoActiveXObject
- Download: RVAXO.exe auf Deinen Desktop.
- Doppelklicke die Datei und wähle "Unzip".
- Jetzt öffne den RVAXO Ordner auf Deinem Desktop. Eventuelle Warunungen durch Dein AV Programm bitte Ignorieren, das Programm enthält keinen Virus, Dein AV Programm merkt aber, das es sich ähnlich verhält.
- In dem Order(RVAXO) sind fünf Dateien, doppelklicke die RVAXO.cmd
- Ein kleines schwarzes Fenster mit schnell laufenden Zeilen wird aufgehen, das ist normal.
- Dann kann es sein, das ein oder mehrere Unistaller von Zweifelhaften Scannern aufgehen. Schließe diese nicht, folge den Anweisungen und lass die Reinigung durchlaufen.
- Nach der Fertigstellung wird der Computer neustarten.
- Nach dem Neustart startet RVAXO mit.
- Wenn es fertig ist, erstelt es eine LogDatei RVAXO-results.log in C:\RVAXO-results.log
- Diese Logdatei dann im Forum posten.

- Um RVAXO wieder zu deinstallieren, kannst Du die Uninstall.cmd verwenden. Diese liegt im RVAXO Ordner auf Deinem Desktop.

Alt 26.11.2007, 15:27   #7
martinhahn90
 
yourprivacyguard / rotes Kreuz in Taskleiste / angeblich infizierter PC - Standard

yourprivacyguard / rotes Kreuz in Taskleiste / angeblich infizierter PC



Läuft schon wieder, musste nichts weiter machen als den ersten Schritt mit Smitfraudfix.

Ich danke Sie :P und werden Das Trojaner-Board weiterempfehlen, schließlich werden Sie hier geholfen

Alt 26.11.2007, 15:29   #8
BataAlexander
> MalwareDB
 
yourprivacyguard / rotes Kreuz in Taskleiste / angeblich infizierter PC - Standard

yourprivacyguard / rotes Kreuz in Taskleiste / angeblich infizierter PC



Poste abschließend bitte das Smitfrauffix Logfile und ein neues HJT.

Antwort

Themen zu yourprivacyguard / rotes Kreuz in Taskleiste / angeblich infizierter PC
adobe, antivirus, avast, avast!, bho, desktop, downloader, einstellungen, explorer, firefox, firewall, helper, hijackthis, immer wieder, infizierter pc, internet explorer, logfile, mozilla, mozilla firefox, pc infiziert, photoshop, pop-up, problem, scan, software, system, taskleiste, windows, windows xp, wireless lan, wmid, öffnet



Ähnliche Themen: yourprivacyguard / rotes Kreuz in Taskleiste / angeblich infizierter PC


  1. Unübliche Werbung bei explorer und komisches rotes Smiley sogar in der Taskleiste!
    Log-Analyse und Auswertung - 08.10.2013 (15)
  2. 5-Sekunden-Countdown + weißes Kreuz im roten Kreis - Virus o. ä.?
    Plagegeister aller Art und deren Bekämpfung - 15.09.2013 (13)
  3. Rotes Fenster im Explorer mit folgendem Text
    Antiviren-, Firewall- und andere Schutzprogramme - 13.01.2010 (1)
  4. Roter Kreis mit weißem Kreuz
    Plagegeister aller Art und deren Bekämpfung - 10.02.2009 (22)
  5. rotes kreuz in der ecke/panda läuft nicht mehr
    Plagegeister aller Art und deren Bekämpfung - 29.10.2008 (2)
  6. Rotes Kreuz - PC Infected...
    Plagegeister aller Art und deren Bekämpfung - 27.10.2008 (19)
  7. Roter Kreis - weißes Kreuz ... computer is infected
    Log-Analyse und Auswertung - 22.10.2008 (1)
  8. YOur computer is infected - roter Kreis mit weißem Kreuz
    Plagegeister aller Art und deren Bekämpfung - 20.10.2008 (9)
  9. Roter Kreis mit weißem Kreuz < your system is infected!
    Log-Analyse und Auswertung - 18.10.2008 (4)
  10. Rotes X im Logfile, wer kennt den Eintrag?
    Log-Analyse und Auswertung - 25.05.2008 (1)
  11. rotes blinkendes x in der taskleiste
    Log-Analyse und Auswertung - 19.05.2008 (4)
  12. Tojanisches Pferd/Hijacker- "YourPrivacyGuard.com / pcsecuresystem.com"
    Log-Analyse und Auswertung - 12.11.2007 (13)
  13. "Your computer is infected" - Rotes Kreuz in der Taskleiste
    Log-Analyse und Auswertung - 16.09.2007 (4)
  14. Roter Kreis mit weißem Kreuz in der Taskleiste
    Log-Analyse und Auswertung - 14.10.2006 (2)
  15. pipas.a, Trojaner? und ein rotes Desktop
    Plagegeister aller Art und deren Bekämpfung - 16.09.2006 (1)
  16. Hilfe dringend Roter Kreis mit weißem Kreuz
    Log-Analyse und Auswertung - 22.04.2006 (1)
  17. Desktop Eingenschaften unvollständig & Rotes Ausrufezeichen in Taskleiste HELP pls!
    Log-Analyse und Auswertung - 10.08.2005 (1)

Zum Thema yourprivacyguard / rotes Kreuz in Taskleiste / angeblich infizierter PC - Servus, habe seit einigen Tagen (Samstag dürfte es gewesen sein) das Problem, dass sich bei mir in der "aktive Programme"-Leiste ein rotes X meldet, verbunden mit einem "Pop-Up", dass mein - yourprivacyguard / rotes Kreuz in Taskleiste / angeblich infizierter PC...
Archiv
Du betrachtest: yourprivacyguard / rotes Kreuz in Taskleiste / angeblich infizierter PC auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.