yourprivacyguard / rotes Kreuz in Taskleiste / angeblich infizierter PC Servus, habe seit einigen Tagen (Samstag dürfte es gewesen sein) das Problem, dass sich bei mir in der "aktive Programme"-Leiste ein rotes X meldet, verbunden mit einem "Pop-Up", dass mein PC infiziert wäre, und ich dochdie Seite besuchen sollte um einen Scan durchzuführen. Bei einem Klick auf OK öffnet sich die Seite yourprivacyguard.com und will einen Scan durchführen. Leider kommt es immer und immer wieder, ich kann dagegebn scheinbar nichts unternehmen, ihr aber sicher, hehe. Das Problem haben auch andere Leute, diese posteten ihren Hijack-Log, also will ich dies auch einmal tun. Name, sowie Internetanbieter wurden durch Musternamen ersetzt. ;) Anbei noch ein Screen der Meldung und der Seite. [quote]Logfile of HijackThis v1.99.1 Scan saved at 12:53:38, on 26.11.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16544) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Acer\eManager\anbmServ.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Java\jre1.5.0_10\bin\jusched.exe C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\ltmoh\ltmoh.exe C:\Dokumente und Einstellungen\MUSTERNAME\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.INTERNETANBIETER.de/internet-cd/ O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O2 - BHO: MSVPS System - {A4D00A75-F69A-49FD-9058-AB925712CCFF} - C:\WINDOWS\popnetkqw.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: The jokwmp - {AB9235F6-DB9F-4FDC-AAFB-A3BAF1849E34} - C:\WINDOWS\jokwmp.dll O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe" O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [ugdccw] "C:\PROGRA~1\YOURPR~1\UGDCcw.exe" -start O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: RaConfig2500.lnk = C:\Programme\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110a-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O21 - SSODL: rmvgor - {62AC7B96-EC0F-44E9-A639-28437334388A} - C:\WINDOWS\rmvgor.dll O21 - SSODL: sapnet - {4E89FC71-DDE4-44E0-AEE0-F91EF2A31D17} - C:\WINDOWS\sapnet.dll O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe [quote] http://img249.imageshack.us/img249/402/gsdfdyx1.jpg DANKE im Voraus! |
Hi und :) Herzlich Willkommen im Trojaner-Board :) das sieht mir doch ganz nach dem Zlob aus. Befolge als erstes folgende Anleitung: * Anleitung zur Entfernung von Zlob alias Puper, Fakealert, Smitfraud * HijackThis - Fix Cecked - Wechsel in den abgesicherten Modus (beim Booten F8 drücken) - Führe deine Hijackthis.exe - Datei aus (bestätige die eventuelle Warnung mit "ok") - Wähle die Option "Do only a System Scan" - Setze bei folgenden Einträgen links im Kästchen einen Haken Zitat:
- Neustart in den Normalmodus Erstelle anschließend ein weiteres Hijackthis und einen Escan: * MWAV (eScan) - Free Antivirus 1. Lies dir folgende Anleitung genau durch und arbeite sie ab -> Anleitung eScan (Bei Updateproblemen -> Updateprobleme beheben (Sollte der Hinweis erscheinen, dass du nur mit der Vollversion die Funde löschen kannst, breche den Scan NICHT ab) 2. Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'. - rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop) - führe die find.bat aus - das erstellte Log kopierst du ab und postest in deinen nächsten Beitrag 3. Entferne bitte nicht selber von escan alarmierte Funde. Es sind erfahrungsgemäß viele Fehlalarme dabei mfg Cleriker |
Danke schon einmal, echt klasse was ihr hier so macht und wie ihr helft! Soll ich vorher alle wichtigen Dateien sichern, oder löscht hijack/escan wohl nichts (bei escan soll ich ja eh ncihts löschen), was mein Betriebssystem eventuell kaputt macht? Mag ja sein, dass so wichtige Dateeien beschädigt sind, dass naachher nichts mehr läuft o.ä. ;) Sind nämlich einige WICHTIGE Daten drauf... |
also mit den Anleitungen, die ich eben gegeben habe, wirst du erst mal nichts zerschießen. Ob dein System nach der Berinigung sicher ist, kann ich allerdings nicht gewährleisten. durch hijackthis werden nur Starteinträge gelöscht, in dem Fall, Internetpopups |
R1 und R0 Einträge findet hijackthis nicht, nachdem ich ja schon das andere hab durchlaufen lassen. Lediglich einen R1-Eintrag, aber der lautet: HKCU/Software/Microsoft/Internet Connection Wizard,ShellNext = htt://www.unserinternetanbieter(soll man auch net posten, meien ich^^).de/internet-cd/ |
Same as Smitfraudfix.. RemoveVideoActiveXObject - Download: RVAXO.exe auf Deinen Desktop. - Doppelklicke die Datei und wähle "Unzip". - Jetzt öffne den RVAXO Ordner auf Deinem Desktop. Eventuelle Warunungen durch Dein AV Programm bitte Ignorieren, das Programm enthält keinen Virus, Dein AV Programm merkt aber, das es sich ähnlich verhält. - In dem Order(RVAXO) sind fünf Dateien, doppelklicke die RVAXO.cmd - Ein kleines schwarzes Fenster mit schnell laufenden Zeilen wird aufgehen, das ist normal. - Dann kann es sein, das ein oder mehrere Unistaller von Zweifelhaften Scannern aufgehen. Schließe diese nicht, folge den Anweisungen und lass die Reinigung durchlaufen. - Nach der Fertigstellung wird der Computer neustarten. - Nach dem Neustart startet RVAXO mit. - Wenn es fertig ist, erstelt es eine LogDatei RVAXO-results.log in C:\RVAXO-results.log - Diese Logdatei dann im Forum posten. - Um RVAXO wieder zu deinstallieren, kannst Du die Uninstall.cmd verwenden. Diese liegt im RVAXO Ordner auf Deinem Desktop. |
Läuft schon wieder, musste nichts weiter machen als den ersten Schritt mit Smitfraudfix. ;) Ich danke Sie :P und werden Das Trojaner-Board weiterempfehlen, schließlich werden Sie hier geholfen :D |
Poste abschließend bitte das Smitfrauffix Logfile und ein neues HJT. |
Alle Zeitangaben in WEZ +1. Es ist jetzt 07:01 Uhr. |
Copyright ©2000-2024, Trojaner-Board