[HaBo]

JayNuss · 22.11.07, 16:33

soooo ich hab schon gesucht ob vlt. was zu meinem problem auf dem board geschrieben wurde...hab aber nichts konkretes gefunden...
also hier mein problem:
bin eine lange zeit ohne virenschutz gesurft....war wie ich merke nen großer fehler!!
lange hat mich nichts gestört aber vor kurzem sind diese komischen fenster aufgetaucht und meine pc ist viel langsamer geworden (win. XP).
ich hab auch sofort reagiert und mir avast spyware doctor (nur trial) und AVG anti spywarte zugelegt....mit viel geduld hab ich alle drei programme meinen pc scannen lassen hab neu hochgefahren....die hamm auch einige viren gefunden! aber die nervigen fenstern sind immernoch da und mein pc ist furchtbar langsam!

wär super wenn jemand wüsste wie ich die teile wenn möglich umsonst loswerde!

hab nen screenshot davon im anhang!

Thalon · 22.11.07, 17:33

Spybot Search & Destroy könntest noch probieren...

Ansonsten Rechner platt machen. Geht noch vergleichsweise schnell und ist ziemlich sicher...

Thalon

Anzeige

- Anzeige -

22.11.07, 17:37

Mit Hijackthis scannen und Logfile im Hijackthis Sammelthread posten.

Und ja, es ist ein Virus. Ein schon sehr altes Exemplar, wo hast du denn das Teil aufgelesen?

Ein Virus, der eine Virus Warnung bringt...

Welchen Virenscanner nutzt du? Avira Antivir (Free Ware, ok mutiert zu adware...) z.b sollte den ohne weiteres erkennen.(bevor er sich einnisten könnte...)

**lightsaver** · 22.11.07, 20:01

der knackpunkt ist das BEVOR

einen virenscanner auf ein bereits infiziertes system zu bringen und zu hoffen dass dieser hilft ist meist nutzlos.

valenterry · 22.11.07, 20:28

Zitat:

Original von lightsaver
der knackpunkt ist das BEVOR

einen virenscanner auf ein bereits infiziertes system zu bringen und zu hoffen dass dieser hilft ist meist nutzlos.

Naja, im abgesicherten Modus hat man schon Chancen. Scheinbar sind sehr viele Malware-Coder zu blöde, um ihr Programm dort auch starten zu lassen. Auch wenn Formatieren wohl die einzige wirklich sichere Lösung ist, ist vor allem für Unerfahrenere erstere Möglichkeit deutlich bequemer.

Und wer nichts zu verbergen hat...

22.11.07, 20:45

Hallo

ich gebe lightsaver recht, wenn ein System erstmal infiziert ist, nützt es wenig, *Reinigungstools* laufen zu lassen. Grund, der mögliche Schädling kann ohne weiteres den Scanner manipulieren, daß er etwas falsches anzeigt, oder gar nichts, oft unterbindet er sogar das Abscannen und hochladen bei VirusTotal.

Der abgesicherte Modus ist eine Möglichkeit, ja, aber keine sichere. Ich würde diesen nutzen, um eine Prüfung mit e-Scan vorzunehmen, hier ist der Link:

http://www.mwti.net/products/mwav/mwav.asp

@JayNuss

Wenn Du e-Scan lädtst, und den Scan durchführst (bitte im AM), poste bitte nur die *Funde* im Fenster *Virus-Log-Information*, sonst wird das zu lang.

Weitere Alternativen, den genauen Pfad mal zu posten, wo der Schädling gefunden wurde, und wie er heißt! Kannst Du hierzu mal den Scan-Report von Spyware Doctor und AVG zu Hilfe nehmen?

Ferner in der Tat das HJT-Log posten, wenn erfahrene User das begutachten, kann man Dir vielleicht noch eher weiterhelfen. Hier ist der Link:

http://sicher-ins-netz.info/analyse/hjt.html

Sollte es sich definitiv um einen Schädling handeln (hierzu zähle ich auch Spyware, da diese sich mitunter auch tief ins OS gräbt), rate ich zu format : C, alles anderes ist ein Herumdoktern an Symptomen. Hier steht, warum das nötig ist:

http://www.microsoft.com/germany/tec...es/600574.mspx

http://www.mathematik.uni-marburg.de...c-removal.html

Gruß

SUID:root · 22.11.07, 23:51

Formatieren, neu installieren, Virenscanner drauf, Spybot installieren, imunisieren, ne PFW drauf (nein, kein echter Schutz, aber besser als ohne) und surfen ohne alles anzuklicken.

Du wirst dein System nicht mehr zu 100 % clean bekommen. Sicher kannst du nur sein, wenn du alles platt machst.

root

JayNuss · 23.11.07, 18:24

soo ersteinmal vielen vielen dank für die schnellen und prezisen antworgten

allerdings haben sich mit den antworten bei mir auch gleich ne menge neuer fragen aufgetan (kenn mich echt net aus *schäm*)
1. isnull empfielt avira antivir..."free ware, ok mutiert zu adware" ...heißt das das antivirusprogramm wird zum virus????
2. falls ich wirklich ganz formatieren muss da es keinen anderen ausweg gibt..

....reicht dann es wenn ich nru die partieion auf der windows selber ist formatiere oder muss ich wirklich alle pratetionen und platten ganz formatieren?!
3. was is PFW??

hier das Hijackthis log teil :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:04:39, on 23.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Opera\Opera.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Windows NT\Zubehör\WORDPAD.EXE
C:\Programme\Internet Explorer\iexplore.exe
D:\films^^\Serien\Gilmore\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {803AD2A0-934A-4D77-88C8-31314C9BF66F} - C:\WINDOWS\system32\jkhhh.dll (file missing)
O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\system32\jmnxvtxh.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301. 7164\swg.dll
O2 - BHO: IEFW Object - {FAAD2038-C371-473D-86F1-5B11D39C3775} - C:\Programme\MalwareSchutz\Tools\IEFWBHO.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\jmnxvtxh.dll
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c0014169.dat
O20 - Winlogon Notify: jmnxvtxh - C:\WINDOWS\SYSTEM32\jmnxvtxh.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\xrtwagqr.exe (file missing)
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe

--
End of file - 6080 bytes

und hier das von eScan:

File C:\WINDOWS\system32\jmnxvtxh.dll markiert als "not-a-virus:AdWare.Win32.SecToolBar.p". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\jmnxvtxh.dll markiert als "not-a-virus:AdWare.Win32.SecToolBar.p". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\jmnxvtxh.dll markiert als "not-a-virus:AdWare.Win32.SecToolBar.p". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\jmnxvtxh.dll markiert als "not-a-virus:AdWare.Win32.SecToolBar.p". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Janusz\Desktop\styleXP\111828.exe//WiseSFX Dropper//WISE0017.BIN markiert als "not-a-virus:AdWare.Win32.Relevant.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Janusz\Desktop\styleXP\171350.exe//WiseSFX Dropper//WISE0017.BIN markiert als "not-a-virus:AdWare.Win32.Relevant.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Janusz\Desktop\styleXP\178978.exe//WiseSFX Dropper//WISE0016.BIN markiert als "not-a-virus:AdWare.Win32.Relevant.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Janusz\Desktop\styleXP\eis.exe//WiseSFX Dropper//WISE0016.BIN markiert als "not-a-virus:AdWare.Win32.Relevant.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Janusz\Desktop\styleXP\feuer.exe//WiseSFX Dropper//WISE0016.BIN markiert als "not-a-virus:AdWare.Win32.Relevant.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Janusz\Desktop\styleXP\iconsgreen.ex e//WiseSFX Dropper//WISE0017.BIN markiert als "not-a-virus:AdWare.Win32.Relevant.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\Drivers\FMTR.sys markiert als "not-a-virus:FraudTool.Win32.BestSeller.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "spyware.imfmonitor Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "spyware.imfmonitor Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "spyware.imfmonitor Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "spyware.imfmonitor Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "spyware.imfmonitor Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "spyware.imfmonitor Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "spyware.imfmonitor Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "spyware.imfmonitor Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "spyware.imfmonitor Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "spyware.imfmonitor Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "spyware.imfmonitor Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "spyware.imfmonitor Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "spyware.imfmonitor Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "spyware.imfmonitor Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "spyware.imfmonitor Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "spyware.imfmonitor Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "spyware.imfmonitor Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "spyware.imfmonitor Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "spyware.imfmonitor Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "spyware.imfmonitor Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "elite toolbar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "elite toolbar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "elite toolbar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "saminside Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "winfixer/errorsafe Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "saminside Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "winfixer/errorsafe Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "spyware.screenspymonitor Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\BDATuner.Microsoft.1" verweist auf das ungültige Objekt "{2403B305-0866-1108-7FFB-80BAFA69BF1F}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\ICQPhone.SipxPhoneManager" verweist auf das ungültige Objekt "{82308D15-1A2C-416A-A5BE-21DAF85DDB75}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\NMUIEngine.NMUIResourceLoaderHarddisk" verweist auf das ungültige Objekt "{03DC5606-EA66-4f02-AB52-2065524B03821}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Sh aredDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\Syst em.Windows.Forms.tlb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Sh aredDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Syst em.Windows.Forms.tlb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Sh aredDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\msco rlib.tlb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Sh aredDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\msco ree.tlb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Sh aredDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Syst em.Drawing.tlb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Sh aredDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\Syst em.EnterpriseServices.tlb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Sh aredDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\Micr osoft.JScript.tlb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Sh aredDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\Micr osoft.Vsa.tlb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Sh aredDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\Syst em.Drawing.tlb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Sh aredDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\msco ree.tlb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Sh aredDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Syst em.tlb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Sh aredDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Syst em.EnterpriseServices.tlb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Sh aredDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Micr osoft.JScript.tlb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Sh aredDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Micr osoft.Vsa.tlb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Sh aredDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Micr osoft.Vsa.Vb.CodeDOMProcessor.tlb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Sh aredDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\msco rlib.tlb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Sh aredDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\Syst em.tlb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Sh aredDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\Micr osoft.Vsa.Vb.CodeDOMProcessor.tlb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\In staller\Folders" verweist auf das ungültige Objekt "C:\WINDOWS\winsxs\x86_Microsoft.VC80.ATL_1fc8b3b9 a1e18e3b_8.0.50727.762_x-ww_cbb27474\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Ex plorer\FileExts" verweist auf das ungültige Objekt ".". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Ex plorer\FileExts" verweist auf das ungültige Objekt ".odt". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Ex plorer\FileExts" verweist auf das ungültige Objekt ".PBP". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Ex plorer\FileExts" verweist auf das ungültige Objekt ".ram". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Ex plorer\FileExts" verweist auf das ungültige Objekt ".sfv". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Ex plorer\FileExts" verweist auf das ungültige Objekt ".virus". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Ex plorer\FileExts" verweist auf das ungültige Objekt ".w3x". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Ex plorer\FileExts" verweist auf das ungültige Objekt ".xpi". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Ap p Management\ARPCache" verweist auf das ungültige Objekt "ICQLite". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Ap p Management\ARPCache" verweist auf das ungültige Objekt "{5E863175-E85D-44A6-8968-82507D34AE7F}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Ap p Management\ARPCache" verweist auf das ungültige Objekt "{74EC78BC-B379-4E29-9006-8F161DCAABA6}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Ap p Management\ARPCache" verweist auf das ungültige Objekt "{9357AE3A-B2ED-4138-BB9B-0564352C3F0A}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Ap p Management\ARPCache" verweist auf das ungültige Objekt "{A260B422-70E1-41E2-957D-F76FA21266D5}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Ap p Management\ARPCache" verweist auf das ungültige Objekt "{A43B2A2F-1DB5-47F9-A608-F11A4835D7CB}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Ap p Management\ARPCache" verweist auf das ungültige Objekt "{AB90749C-7422-4580-8A7A-66CC5E9E5F98}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\egsklfsq.exe infiziert von "Trojan.Win32.Obfuscated.kp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\fccaywt.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.ahr". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\fyqtekbv.exe infiziert von "Trojan.Win32.Obfuscated.kp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\gebbcbx.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.ahr". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\hxsimyxd.exe infiziert von "Trojan.Win32.Obfuscated.kp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\hxslxjxe.exe infiziert von "Trojan.Win32.Obfuscated.kp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\jmnxvtxh.dll markiert als "not-a-virus:AdWare.Win32.SecToolBar.p". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\kuoxvbon.exe infiziert von "Trojan.Win32.Obfuscated.kp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\lijbwtud.exe infiziert von "Trojan.Win32.Obfuscated.kp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\ljjjggh.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.ahr". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\mjgychwj.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.aps". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\mxrvwilx.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.aps". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\pcdsthqo.dll markiert als "not-a-virus:AdWare.Win32.SecToolBar.p". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\qevstdbb.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.aps". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\qsltxodd.exe infiziert von "Trojan.Win32.Obfuscated.kp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\qvrxjrvx.exe infiziert von "Trojan.Win32.Obfuscated.kp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\umwtifmv.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.aps". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\uxemncle.exe infiziert von "Trojan.Win32.Obfuscated.kp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\wmhcbnwm.exe infiziert von "Trojan.Win32.Obfuscated.kp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\wsebswvj.exe infiziert von "Trojan.Win32.Obfuscated.kp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\yayvssr.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.ahr". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\yaywxwv.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.ahr". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\DOKUME~1\Janusz\LOKALE~1\Temp\NER40.tmp\Toolbar .exe markiert als "not-a-virus:AdTool.Win32.MyWebSearch.bm". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\DOKUME~1\Janusz\LOKALE~1\Temp\NERO13346\Toolbar .exe markiert als "not-a-virus:AdTool.Win32.MyWebSearch.bm". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\DOKUME~1\Janusz\LOKALE~1\Temp\NeroDemo12071\Too lbar.exe markiert als "not-a-virus:AdTool.Win32.MyWebSearch.bm". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

PS: hab die scans net im abgesicherten modus machen können da das bild wenn ich im AB gestartet hab bis auf den schriftzug oben "abgesicherter modus ...bla bla" ganz schwarz war!!!!

proxy · 23.11.07, 19:06

Es reicht, wenn du die Windows Partition formatierst. Du solltest aber auf den anderen Partitionen keine ausführbaren Dateien sichern.
Also versteckte Dateien anzeigen lassen und sicher machen, dass dort nur noch Bilder, Musik, Videos und Textdateien sind.
Nach der Windows-Installation als erstes Sicherheitsupdates installieren.

Ich bin kein Profi und eScan verursacht auch viele Falschmeldungen, aber bei dem ganzen Zeug würde ich auf jeden Fall formatieren.

Code:

Object "spyware.imfmonitor Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "elite toolbar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "saminside Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "winfixer/errorsafe Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\egsklfsq.exe infiziert von "Trojan.Win32.Obfuscated.kp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

23.11.07, 19:34

Hallo JayNuss

Zu Deinen Fragen......hm, möcht IsNull nicht vorgreifen, und ich weiß ehrlich gesagt nicht, was er mit seiner Bemerkung gemeint hat, aber vllt. äußert er sich nochmal.

Und ja, es genügt, die Systempartition zu formatieren, also die, wo Du Windows drauf hast. PFW = PersonalFireWall, wie zum Beispiel ZoneAlarm, Kerio, Norton/Symantec, und wie sie alle heißen. Unter diesem Begriff versteht man im allgemeinen Fremd-Software, die auf dem zu schützenden System läuft, im Gegensatz zur Hardware-Firewall im Router.

Logischerweise ist die Windows-XP-Firewall auch eine PFW, da sie ja ebenfalls auf dem Rechner läuft. Aber im Gegensatz zu ZoneAlarm und *Konsorten* ist sie kein Fremdkörper, sondern Bestandteil des Betriebssystems und verbiegt es nicht. Natürlich ist die Win-XP-Firewall den Manipulationsversuchen von Malware genauso ausgesetzt wie die anderen Tools. Außerdem kontrolliert sie nur den eingehenden Traffic, wohingegen die Fremd-Tools *versprechen*, auch den Datenverkehr von *innen nach außen* zu *kontrollieren*. (Das sog. Phone-Home von Programmen).

Daß dies ziemlich ineffizient ist, merkt man spätestens dann, wenn der Rechner verseucht wurde. Ein Programm, das *böse* ist, läßt sich von einer PFW nicht aufhalten, was raus will, kommt auch raus.

Zu Deinem Log, ich bin nicht die Expertin auf diesem Gebiet, aber ein paar Sachen sind mir aufgefallen......

Du hast ziemlich viele *Sicherheitstools* auf Deinem Rechner, wie schon meine Vorposter schrieben, ist es sinnlos, diese im Nachhinein zu installieren, wenn *das Kind in den Brunnen* gefallen ist......

Weniger ist mehr, und im Vorfeld darauf achten, daß sich Malware erst gar icht installieren kann, das ist die Kunst, die aber zu erlernen ist.

Lade bitte folgende Dateien bei VirusTotal und poste das Ergebnis (obwohl der Bericht von e-Scan schon alles aussagt, Du hast Spyware auf Deinem Rechner):

Code:

C:\WINDOWS\system32\jmnxvtxh.dll
C:\Programme\MalwareSchutz\Tools\IEFWBHO.dll

Hier ist der Link: http://www.virustotal.com/en/indexf.html

Bereite Dich aber schonmal darauf vor, daß Du formatieren darfst.

Noch etwas zur Erklärung:

Du hast Dich nicht infiziert, bzw. Deinen Rechner, weil Du ohne Virenschutz gesurft bist, sondern weil Du unvorsichtig warst! Du hast wichtige Verhaltensmaßregeln nicht beachtet, und deshalb hast Du jetzt die *Quittung* bekommen.

Zu diesen Maßnahmen zählt unter anderem:

--> surfen mit eingeschränktem Benutzer-Account http://www.cidres-security.de/benutzerkonto.html (hier wird auch erklärt, warum das wichtig ist)

--> Betriebssystem stets aktuell halten (Stichwort: automatisches Windows- oder MS-Update im Sicherheitscenter aktivieren) hier ist der Link: http://www.update.microsoft.com/micr...ult.aspx?ln=de (hierfür ausnahmsweise den InternetExplorer verwenden, sonst nicht!)

--> das Aktuell-Halten gilt auch für den Browser und für alle Anwendungen, die Verbindung mit dem Internet aufnehmen können, z. B. Plugins, Java, Quicktime, etc.) Dein Java ist nicht aktuell, es gibt inzw. ein höheres Update als das, was Du hast. Wenn Du das nicht alles peinlich aktualisierst, öffnest Du durch die Lücken in veralteter Software Schädlingen ebenfalls Tor und Tür......

--> surfen mit FF oder Opera, aber das machst Du ja, wie ich sehe

--> Vorsicht beim Surfen, keine unbedachten Klicks, Skepsis walten lassen, es gibt nichts umsonst, hernach muß es meist teuer bezahlt werden

--> keine Dateien oder Programme ungeprüft öffnen, immer vorher lokal auf der Platte speichern und bei VirusTotal prüfen lassen http://www.virustotal.com/en/indexf.html

--> als E-Mail-Client Operamail oder Thunderbird verwenden und nicht OutlookExpress, da es ebenfalls wie der IE zu systemnah ist, im Mail-Client HTML deaktivieren, Mails nur als Text senden und empfangen

--> Computerkompetenz erlernen, nur das schützt, keine Programme, auch wenn sie noch so viel versprechen, hier sind ein paar Links, die lesenswert sind:

http://www.mathematik.uni-marburg.de...ompromise.html

http://sicher-ins-netz.info/schutz/schutz.html (Link ist auch hilfreich, wenn Du neuaufgesetzt hast)

Gruß

P. S.

proxy hat vollkommen recht, wenn Du Dateien sichern möchtest, konfiguriere vorher die Ordneroptionen, so:

Quelle: http://sicher-ins-netz.info/schutz/schutz.html

Sei vorsichtig, und brenne die zu sichernden Dateien am besten auf DVD. Auf keinen Fall alte Programmdateien oder Installationsdateien mitsichern, die mußt Du vom Original-Medium nachinstallieren, sonst bist Du u. U. direkt wieder verseucht, und die ganze Mühe war für die Katz.

Nach format : C und neuinstall alle Paßwörter vom sauberen System ändern!

Wenn Du fertig bist, dann nimm als Scanner nur AntiVir, und als *Firewall* die von Win-XP, beherzige meine Tips, und Du tust mehr für Deine Sicherheit, als wenn Du Spybot, SpywareDoctor, und was weiß ich noch alles installierst.

23.11.07, 19:50

ui ui ui....

Mit Hijackthis folgendes fixen:

O2 - BHO: (no name) - {803AD2A0-934A-4D77-88C8-31314C9BF66F} - C:\WINDOWS\system32\jkhhh.dll (file missing)
O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\system32\jmnxvtxh.dll
O2 - BHO: IEFW Object - {FAAD2038-C371-473D-86F1-5B11D39C3775} - C:\Programme\MalwareSchutz\Tools\IEFWBHO.dll
O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\jmnxvtxh.dll

O20 - Winlogon Notify: jmnxvtxh - C:\WINDOWS\SYSTEM32\jmnxvtxh.dll

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\xrtwagqr.exe (file missing)

Fixe das Zeug am besten im abgesicherten Modus.

btw:
Was Avira angeht, das war mehr Sarkastisch gemeint. Bei jedem Update wird ein Werbefenster von der Avira Pro Edition angezeigt. -Recht aufdringlich. (Sofern man nicht etwas nachhilft

)

Wenn du das getan hast, kannst du ja nochmal Spybot Search & Destroy rüberlaufen lassen...

Gruss
IsNull

sys64738 · 24.11.07, 00:11

Zitat:

Bei jedem Update wird ein Werbefenster von der Avira Pro Edition angezeigt. -Recht aufdringlich. (Sofern man nicht etwas nachhilft

)

@IsNull
Das würde mich mal interessieren wie das funktioniert.
Gruß

24.11.07, 08:46

Habe mal einen Patcher geschreiben... du findest ihn im Dl Bereich unter Security:
http://dlsecurityvision.6x.to/

JayNuss · 25.11.07, 14:07

vielen vielen dank für die ausfürhlichen antworten vor allem von roadrunner!!
zu den vielen sicherheitstools....das hab ich ja schon am anfang gesacht ... hab ne menge davon installiert...aber wie ich selbst feststellen musst hift das im nachhinein auch nicht mehr

ich denke das beste ist wirklich wenn ich den pc neu installiere!!
die tipps sind wirklich hilfreich ihn dann sauber zu hlabten und ich werd mich echt mal näher mit dem thema beschäftigen! thx für die links!

eins hab ihc noch nich ganz verstanden ...und zwar wie ich etwas mit "hijjack fixe"

....aber da ich eh neu installiere ist das ja nicht so schlimm xD

25.11.07, 16:20

Hi JayNuss

Bezüglich fixen mit HJT:

Geht folgendermaßen:

Wenn Du das Logfile erstellst, öffnet sich ein Fenster, und es erscheinen sehr viele Zeilen untereinander, an jedem Zeilenanfang steht ein Kästchen. Nun, das, was Du fixen möchtest, muß in dem betreffenden Kästchen angehakt werden, und dann klickst Du den Button *Fix checked*.

Aber auch hier gilt: Vorsicht, denn HJT ist ein mächtiges Tool. Wenn Du den falschen Eintrag erwischst, kann das übel ausgehen. Hier macht es auf jeden Fall Sinn, das Logfile immer von erfahrenen Usern begutachten zu lassen, und deren Ratschlägen zu folgen.

Eine erste Voreinschätzung kannst Du sogar selber machen, indem Du die Einträge im Editor (wenn Du den Button anklickst: *Do a system scan and save a logfile*) mit C&P bei HijackThis prüfen läßt:

http://www.hijackthis.de/de

Aber auch diese Auswertung ist nur ein erster Anhaltspunkt, auf keinen Fall als die *Ultima ratio* zu sehen, denn ich habe schon erlebt, daß rote Kreuze, die auf kritische Einträge hindeuten, harmlos sind, und daß ein grüner Haken ein Malware-Eintrag war, der sich nur gut *getarnt* hat. Aber für einen ersten Eindruck ist das nicht schlecht, nur, wie gesagt, nicht selber an seinem System herumfuhrwerken, sonst macht man mehr kaputt als alles andere, und erschwert u. U. die Analyse, v. a. wenn voreilig vermeintliche Schaddateien gelöscht werden.

Hier sollte man so verfahren, daß diese in Quarantäne verschoben werden, damit die Helfer Stellung nehmen können.

Aber das passiert Dir ja jetzt nicht mehr, weil Du meine Empfehlungen jetzt umsetzt, Deine Platte formatierst, und künftig ganz vorsichtig bist.

LG, roadrunner1

Anzeige

- Anzeige -

23.11.07, 19:34	#10 (permalink)
roadrunner1 Guest Likes:	Hallo JayNuss Zu Deinen Fragen......hm, möcht IsNull nicht vorgreifen, und ich weiß ehrlich gesagt nicht, was er mit seiner Bemerkung gemeint hat, aber vllt. äußert er sich nochmal. Und ja, es genügt, die Systempartition zu formatieren, also die, wo Du Windows drauf hast. PFW = PersonalFireWall, wie zum Beispiel ZoneAlarm, Kerio, Norton/Symantec, und wie sie alle heißen. Unter diesem Begriff versteht man im allgemeinen Fremd-Software, die auf dem zu schützenden System läuft, im Gegensatz zur Hardware-Firewall im Router. Logischerweise ist die Windows-XP-Firewall auch eine PFW, da sie ja ebenfalls auf dem Rechner läuft. Aber im Gegensatz zu ZoneAlarm und Konsorten ist sie kein Fremdkörper, sondern Bestandteil des Betriebssystems und verbiegt es nicht. Natürlich ist die Win-XP-Firewall den Manipulationsversuchen von Malware genauso ausgesetzt wie die anderen Tools. Außerdem kontrolliert sie nur den eingehenden Traffic, wohingegen die Fremd-Tools versprechen, auch den Datenverkehr von innen nach außen zu kontrollieren. (Das sog. Phone-Home von Programmen). Daß dies ziemlich ineffizient ist, merkt man spätestens dann, wenn der Rechner verseucht wurde. Ein Programm, das böse ist, läßt sich von einer PFW nicht aufhalten, was raus will, kommt auch raus. Zu Deinem Log, ich bin nicht die Expertin auf diesem Gebiet, aber ein paar Sachen sind mir aufgefallen...... Du hast ziemlich viele Sicherheitstools auf Deinem Rechner, wie schon meine Vorposter schrieben, ist es sinnlos, diese im Nachhinein zu installieren, wenn das Kind in den Brunnen gefallen ist...... Weniger ist mehr, und im Vorfeld darauf achten, daß sich Malware erst gar icht installieren kann, das ist die Kunst, die aber zu erlernen ist. Lade bitte folgende Dateien bei VirusTotal und poste das Ergebnis (obwohl der Bericht von e-Scan schon alles aussagt, Du hast Spyware auf Deinem Rechner): Code: C:\WINDOWS\system32\jmnxvtxh.dll C:\Programme\MalwareSchutz\Tools\IEFWBHO.dll Hier ist der Link: http://www.virustotal.com/en/indexf.html Bereite Dich aber schonmal darauf vor, daß Du formatieren darfst. Noch etwas zur Erklärung: Du hast Dich nicht infiziert, bzw. Deinen Rechner, weil Du ohne Virenschutz gesurft bist, sondern weil Du unvorsichtig warst! Du hast wichtige Verhaltensmaßregeln nicht beachtet, und deshalb hast Du jetzt die Quittung bekommen. Zu diesen Maßnahmen zählt unter anderem: --> surfen mit eingeschränktem Benutzer-Account http://www.cidres-security.de/benutzerkonto.html (hier wird auch erklärt, warum das wichtig ist) --> Betriebssystem stets aktuell halten (Stichwort: automatisches Windows- oder MS-Update im Sicherheitscenter aktivieren) hier ist der Link: http://www.update.microsoft.com/micr...ult.aspx?ln=de (hierfür ausnahmsweise den InternetExplorer verwenden, sonst nicht!) --> das Aktuell-Halten gilt auch für den Browser und für alle Anwendungen, die Verbindung mit dem Internet aufnehmen können, z. B. Plugins, Java, Quicktime, etc.) Dein Java ist nicht aktuell, es gibt inzw. ein höheres Update als das, was Du hast. Wenn Du das nicht alles peinlich aktualisierst, öffnest Du durch die Lücken in veralteter Software Schädlingen ebenfalls Tor und Tür...... --> surfen mit FF oder Opera, aber das machst Du ja, wie ich sehe --> Vorsicht beim Surfen, keine unbedachten Klicks, Skepsis walten lassen, es gibt nichts umsonst, hernach muß es meist teuer bezahlt werden --> keine Dateien oder Programme ungeprüft öffnen, immer vorher lokal auf der Platte speichern und bei VirusTotal prüfen lassen http://www.virustotal.com/en/indexf.html --> als E-Mail-Client Operamail oder Thunderbird verwenden und nicht OutlookExpress, da es ebenfalls wie der IE zu systemnah ist, im Mail-Client HTML deaktivieren, Mails nur als Text senden und empfangen --> Computerkompetenz erlernen, nur das schützt, keine Programme, auch wenn sie noch so viel versprechen, hier sind ein paar Links, die lesenswert sind: http://www.mathematik.uni-marburg.de...ompromise.html http://sicher-ins-netz.info/schutz/schutz.html (Link ist auch hilfreich, wenn Du neuaufgesetzt hast) Gruß P. S. proxy hat vollkommen recht, wenn Du Dateien sichern möchtest, konfiguriere vorher die Ordneroptionen, so: Quelle: http://sicher-ins-netz.info/schutz/schutz.html Sei vorsichtig, und brenne die zu sichernden Dateien am besten auf DVD. Auf keinen Fall alte Programmdateien oder Installationsdateien mitsichern, die mußt Du vom Original-Medium nachinstallieren, sonst bist Du u. U. direkt wieder verseucht, und die ganze Mühe war für die Katz. Nach format : C und neuinstall alle Paßwörter vom sauberen System ändern! Wenn Du fertig bist, dann nimm als Scanner nur AntiVir, und als Firewall die von Win-XP, beherzige meine Tips, und Du tust mehr für Deine Sicherheit, als wenn Du Spybot, SpywareDoctor, und was weiß ich noch alles installierst.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
werde tahoma nicht mehr los	migges	Windows	3	22.07.09 22:54
werde spyware einfach nicht los	titania	Windows	8	26.05.06 12:11
ICh werde nun mein Linuxsystem nicht mehr benutzen...	Gnome	Fun Section	3	22.03.06 07:54
Viren lassen sich nicht entfernen	Annainfinty	(In)security allgemein	8	26.08.04 13:16
startseite ist nicht mehr richtig seit viren befall	muckel2004	Virenschutz · Tools & Aggressive Software	4	24.05.04 17:42

22.11.07, 17:33	#2 (permalink)
Thalon Registriert seit: 17.02.07 Likes: 0	Spybot Search & Destroy könntest noch probieren... Ansonsten Rechner platt machen. Geht noch vergleichsweise schnell und ist ziemlich sicher... Thalon

22.11.07, 17:37	#3 (permalink)
IsNull Guest Likes:	Mit Hijackthis scannen und Logfile im Hijackthis Sammelthread posten. Und ja, es ist ein Virus. Ein schon sehr altes Exemplar, wo hast du denn das Teil aufgelesen? Ein Virus, der eine Virus Warnung bringt... Welchen Virenscanner nutzt du? Avira Antivir (Free Ware, ok mutiert zu adware...) z.b sollte den ohne weiteres erkennen.(bevor er sich einnisten könnte...)

22.11.07, 20:01	#4 (permalink)
lightsaver Moderator Registriert seit: 19.06.06 Likes: 52	der knackpunkt ist das BEVOR einen virenscanner auf ein bereits infiziertes system zu bringen und zu hoffen dass dieser hilft ist meist nutzlos.

22.11.07, 20:45	#6 (permalink)
roadrunner1 Guest Likes:	Hallo ich gebe lightsaver recht, wenn ein System erstmal infiziert ist, nützt es wenig, Reinigungstools laufen zu lassen. Grund, der mögliche Schädling kann ohne weiteres den Scanner manipulieren, daß er etwas falsches anzeigt, oder gar nichts, oft unterbindet er sogar das Abscannen und hochladen bei VirusTotal. Der abgesicherte Modus ist eine Möglichkeit, ja, aber keine sichere. Ich würde diesen nutzen, um eine Prüfung mit e-Scan vorzunehmen, hier ist der Link: http://www.mwti.net/products/mwav/mwav.asp @JayNuss Wenn Du e-Scan lädtst, und den Scan durchführst (bitte im AM), poste bitte nur die Funde im Fenster Virus-Log-Information, sonst wird das zu lang. Weitere Alternativen, den genauen Pfad mal zu posten, wo der Schädling gefunden wurde, und wie er heißt! Kannst Du hierzu mal den Scan-Report von Spyware Doctor und AVG zu Hilfe nehmen? Ferner in der Tat das HJT-Log posten, wenn erfahrene User das begutachten, kann man Dir vielleicht noch eher weiterhelfen. Hier ist der Link: http://sicher-ins-netz.info/analyse/hjt.html Sollte es sich definitiv um einen Schädling handeln (hierzu zähle ich auch Spyware, da diese sich mitunter auch tief ins OS gräbt), rate ich zu format : C, alles anderes ist ein Herumdoktern an Symptomen. Hier steht, warum das nötig ist: http://www.microsoft.com/germany/tec...es/600574.mspx http://www.mathematik.uni-marburg.de...c-removal.html Gruß

22.11.07, 23:51	#7 (permalink)
SUID:root Member of Honour Registriert seit: 04.09.04 Likes: 0	Formatieren, neu installieren, Virenscanner drauf, Spybot installieren, imunisieren, ne PFW drauf (nein, kein echter Schutz, aber besser als ohne) und surfen ohne alles anzuklicken. Du wirst dein System nicht mehr zu 100 % clean bekommen. Sicher kannst du nur sein, wenn du alles platt machst. root

23.11.07, 19:50	#11 (permalink)
IsNull Guest Likes:	ui ui ui.... Mit Hijackthis folgendes fixen: O2 - BHO: (no name) - {803AD2A0-934A-4D77-88C8-31314C9BF66F} - C:\WINDOWS\system32\jkhhh.dll (file missing) O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\system32\jmnxvtxh.dll O2 - BHO: IEFW Object - {FAAD2038-C371-473D-86F1-5B11D39C3775} - C:\Programme\MalwareSchutz\Tools\IEFWBHO.dll O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\jmnxvtxh.dll O20 - Winlogon Notify: jmnxvtxh - C:\WINDOWS\SYSTEM32\jmnxvtxh.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\xrtwagqr.exe (file missing) Fixe das Zeug am besten im abgesicherten Modus. btw: Was Avira angeht, das war mehr Sarkastisch gemeint. Bei jedem Update wird ein Werbefenster von der Avira Pro Edition angezeigt. -Recht aufdringlich. (Sofern man nicht etwas nachhilft ) Wenn du das getan hast, kannst du ja nochmal Spybot Search & Destroy rüberlaufen lassen... Gruss IsNull

24.11.07, 08:46	#13 (permalink)
IsNull Guest Likes:	Habe mal einen Patcher geschreiben... du findest ihn im Dl Bereich unter Security: http://dlsecurityvision.6x.to/

25.11.07, 14:07	#14 (permalink)
JayNuss Themenstarter Registriert seit: 15.02.07 Likes: 0	vielen vielen dank für die ausfürhlichen antworten vor allem von roadrunner!! zu den vielen sicherheitstools....das hab ich ja schon am anfang gesacht ... hab ne menge davon installiert...aber wie ich selbst feststellen musst hift das im nachhinein auch nicht mehr ich denke das beste ist wirklich wenn ich den pc neu installiere!! die tipps sind wirklich hilfreich ihn dann sauber zu hlabten und ich werd mich echt mal näher mit dem thema beschäftigen! thx für die links! eins hab ihc noch nich ganz verstanden ...und zwar wie ich etwas mit "hijjack fixe" ....aber da ich eh neu installiere ist das ja nicht so schlimm xD

25.11.07, 16:20	#15 (permalink)
roadrunner1 Guest Likes:	Hi JayNuss Bezüglich fixen mit HJT: Geht folgendermaßen: Wenn Du das Logfile erstellst, öffnet sich ein Fenster, und es erscheinen sehr viele Zeilen untereinander, an jedem Zeilenanfang steht ein Kästchen. Nun, das, was Du fixen möchtest, muß in dem betreffenden Kästchen angehakt werden, und dann klickst Du den Button Fix checked. Aber auch hier gilt: Vorsicht, denn HJT ist ein mächtiges Tool. Wenn Du den falschen Eintrag erwischst, kann das übel ausgehen. Hier macht es auf jeden Fall Sinn, das Logfile immer von erfahrenen Usern begutachten zu lassen, und deren Ratschlägen zu folgen. Eine erste Voreinschätzung kannst Du sogar selber machen, indem Du die Einträge im Editor (wenn Du den Button anklickst: Do a system scan and save a logfile) mit C&P bei HijackThis prüfen läßt: http://www.hijackthis.de/de Aber auch diese Auswertung ist nur ein erster Anhaltspunkt, auf keinen Fall als die Ultima ratio zu sehen, denn ich habe schon erlebt, daß rote Kreuze, die auf kritische Einträge hindeuten, harmlos sind, und daß ein grüner Haken ein Malware-Eintrag war, der sich nur gut getarnt hat. Aber für einen ersten Eindruck ist das nicht schlecht, nur, wie gesagt, nicht selber an seinem System herumfuhrwerken, sonst macht man mehr kaputt als alles andere, und erschwert u. U. die Analyse, v. a. wenn voreilig vermeintliche Schaddateien gelöscht werden. Hier sollte man so verfahren, daß diese in Quarantäne verschoben werden, damit die Helfer Stellung nehmen können. Aber das passiert Dir ja jetzt nicht mehr, weil Du meine Empfehlungen jetzt umsetzt, Deine Platte formatierst, und künftig ganz vorsichtig bist. LG, roadrunner1

[HaBo]

werde fenster (vlt. viren) nicht los!!!