Hilfe! Kein Virus auffindbar, aber es geht nicht mehr weg!

Dieses Thema im Forum "Sicherheit" wurde erstellt von maddin2000, 6. Dezember 2005.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. maddin2000

    maddin2000 Byte

    Registriert seit:
    6. Dezember 2005
    Beiträge:
    41
    Hallo, ich brauche dringend eure Hilfe.

    Auf meinem Rechner wird mir seit kurzer Zeit folgendes als Desktophintergrund angezeigt:

    Danger: Spyware

    Full System Scan results:
    -3 Spyware infections
    -27 Spywaretracks
    -(...)usw

    Windows recommends you the following software products to keep your PC safe:

    RaceSpyware(Link)
    for as low as 49,99$
    demo direct download

    ---ende----

    Zudem kann ich auf dem Desktop keinen Rechtsklick ausführen und das sonderbare Programm ist nicht im Taskmanager einzusehen!!!

    Nach meinen Nachforschungen zu urteilen gibt es dieses Programm tatsächlich, allerdings führt der angegebene Link logischerweise nicht zu dem Vertreiber dieses Programms sondern zu einer anderen weniger seriösen Seite.

    Das Programm an sich ist ~175kb groß was auf nichts gutes schließen lässt.
    Habt ihr eine Idee wie ich wieder Herr meines Rechners werde?
    Ein Virenbefall ist laut Antivirenprogramm nicht gegeben.
    Bei Adaware schlägt ebenfalls nichts an.
    Stinger ExE(Vers 2.5.9) bleibt auch ohne Ergebnis!!!

    Vielen Dank im Vorraus, aber da ich mit dem PC arbeiten muss,
    bitte ich um schnelle Reaktion !
    MfG Maddin :bitte:
     
  2. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    erstelle mal ein HijackThis Log wie hier beschrieben und poste den Link.


    Grüße Jasager
     
  3. deoroller

    deoroller Wandelndes Forum

    Registriert seit:
    18. Juli 2000
    Beiträge:
    116.657
    Ist der Windows-Nachrichtendienst an?
    Eventuell ist der Spuk vorbei, wenn er deaktiviert wird.
     
  4. Blackmatze

    Blackmatze ROM

    Registriert seit:
    6. Dezember 2005
    Beiträge:
    5
    Das Problem hatte ich auch mal, da half bei mir nur eins, setz deinen PC einen Tag zurück, über die Systemwiederherstellung, oder instaliere alles neu^^
    Bei mir half das erste schon!
     
  5. maddin2000

    maddin2000 Byte

    Registriert seit:
    6. Dezember 2005
    Beiträge:
    41
  6. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    das hat nichts mit dem Nachrichtendienst zu tun. Besorge dir mal F-Secure Blacklight, scanne damit dein system und poste das log (Textdatei die nach dem Scan im selben Ordner erscheint).
    Kennst du das Programm TivoliMobileService?


    Grüße Jasager
     
  7. maddin2000

    maddin2000 Byte

    Registriert seit:
    6. Dezember 2005
    Beiträge:
    41
    Werde ich tun,
    Tivoli Mobile Service ist mir bekannt, ja.

    (nochmals danke)
     
  8. maddin2000

    maddin2000 Byte

    Registriert seit:
    6. Dezember 2005
    Beiträge:
    41
    Also das hier ist das Log:

    12/06/05 17:00:00 [Info]: BlackLight Engine 1.0.25 initialized
    12/06/05 17:00:00 [Info]: OS: 5.0 build 2195 (Service Pack 4)
    12/06/05 17:00:00 [Note]: 4019 4
    12/06/05 17:00:00 [Note]: 4005 0
    12/06/05 17:00:06 [Note]: 4006 0
    12/06/05 17:00:06 [Note]: 4011 1128
    12/06/05 17:00:08 [Note]: FSRAW library version 1.7.1013
    12/06/05 17:01:52 [Note]: 4007 0

    Im Programm stand, dass nichts gefunden worden sei...
     
  9. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Ist dir das auch bekannt "Reg_Sapi.exe" ?

    O4 - Global Startup: Reg_Sapi.lnk = C:\Programme\Reg_Sapi\Reg_Sapi.exe
     
  10. maddin2000

    maddin2000 Byte

    Registriert seit:
    6. Dezember 2005
    Beiträge:
    41
    Die Reg_Sapi.exe ist mir auch bekannt, ja.
    Ist ein Kommunikationsprogramm über ISDN und Netzwerk.
     
  11. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    das ist ja schon mal positiv, hat Mcafee in letzter Zeit etwas entfernt, wenn ja was? Untersuche dein System mal mit diesem Tool im abgesicherten Modus(F8 beim booten) und poste danach den Inhalt der C:\smitfiles.txt und wenn du schon im abgesicherten Modus bist fixe (Haken davor und auf "fix checked" klicken) noch diesen Eintrag mit hijackThis:
    O17 - HKLM\System\CCS\Services\Tcpip\..\{779C0043-0A3F-420D-A179-62843F2A98A4}: NameServer = 85.255.114.55,85.255.112.128
    und poste danach einen Link zu deinem neuen HijackThis log.


    Grüße Jasager
     
  12. maddin2000

    maddin2000 Byte

    Registriert seit:
    6. Dezember 2005
    Beiträge:
    41
    Könnte die Geschichte irgendetwas hiermit zu tun haben?

    O17 - HKLM\System\CCS\Services\Tcpip\..\{779C0043-0A3F-420D-A179-62843F2A98A4}: NameServer = 85.255.114.55,85.255.112.128

    Böse
    Eventuell Böse
    (Stammt aus dem Hijacklog)
    Die anderen eventuellen Gefahrenquellen sind ja entweder Systemprogramme des Notebooks von--> Fujitsu oder andere von mir benötigte Programme.

    Gruß Maddin
     
  13. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    ja kann es, da dein Provider wohl nicht in der Ukraine sitzt, beunruhigend daran ist das dein Internetverkehr darüber geleitet wird und du bei gewissen Anfragen auf gefälschte Seiten umgeleitet werden kannst(Stichwort Onlinebanking).


    Grüße Jasager
     
  14. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Wohnst du da in der Ukraine ??

    Zu dem Verein gehören die IP-Adressen:

    person: Fast Web Hosting Support
    address: 01110, Ukraine, Kiev, 20Á, Solomenskaya street. room 201.
    address: UA
    phone: +357 99 117759
     
  15. maddin2000

    maddin2000 Byte

    Registriert seit:
    6. Dezember 2005
    Beiträge:
    41
    Nein ich wohne nicht in der Ukraine!
    Das hier ist das Log von SmitsRem(-->Habe die Leerzeilen entfernt)

    smitRem © log file
    version 2.8

    by noahdfear

    Microsoft Windows 2000 [Version 5.00.2195]

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    checking for ShudderLTD key

    ShudderLTD key not present!

    checking for PSGuard.com key

    PSGuard.com key not present!

    spyaxe uninstaller NOT present
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    Existing Pre-run Files

    ~~~ Program Files ~~~

    ~~~ Shortcuts ~~~

    ~~~ Favorites ~~~

    ~~~ system32 folder ~~~

    ~~~ Icons in System32 ~~~

    ~~~ Windows directory ~~~

    desktop.html

    ~~~ Drive root ~~~

    ~~~ Miscellaneous Files/folders ~~~

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
    Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
    Killing PID 316 'explorer.exe'

    Starting registry repairs

    Deleting files

    Remaining Post-run Files

    ~~~ Program Files ~~~

    ~~~ Shortcuts ~~~

    ~~~ Favorites ~~~

    ~~~ system32 folder ~~~

    ~~~ Icons in System32 ~~~

    ~~~ Windows directory ~~~

    ~~~ Drive root ~~~

    ~~~ Miscellaneous Files/folders ~~~

    ~~~ Wininet.dll ~~~

    CLEAN! :)

    Das Hijackthis log folgt:...
     
  16. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
  17. maddin2000

    maddin2000 Byte

    Registriert seit:
    6. Dezember 2005
    Beiträge:
    41
  18. deoroller

    deoroller Wandelndes Forum

    Registriert seit:
    18. Juli 2000
    Beiträge:
    116.657
    http://www.trojaner-info.de/nachrichtendienst/

    Geht aber auch über Start/Ausführen services.msc und da den Dienst deaktivieren.
    ------------------------------
    -gelöscht-
     
  19. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    So wie ich das sehe verwendet maddin2000 einen Router, dürfte in Sachen Nachrichtendienst nichts durchkommen. Gehe einmal davon aus dass der "deoroller" keinen Router verwendet wenn er da Probleme hat.

    Wolfgang77
     
  20. maddin2000

    maddin2000 Byte

    Registriert seit:
    6. Dezember 2005
    Beiträge:
    41
    Danke @ deoroller.
    Aber mittlerweile zeigt sich mir ein verändertes Bild der Dinge.
    Habe ja jetzt der Durchführung Jasagers Folge geleistet. Aber danke für deine Mühe.

    Also jetzt wie folgt:
    Der Bildschirmhintergrund ist nun nicht mehr rot und es ist auch kein Link mehr auf diese RazeSpyware-Seite vorhanden.
    Dafür geht der Rechtsklick wieder und die Desktopfarbe hat sich in grau geändert.
    Wenn ich Rechte-Maustaste betätige dann wird der Hintergrund ab und zu weiß.

    Das Fenster, das sich beim Rechtsklick öffnet bietet folgende Möglichkeiten:
    -Alles markieren
    -Quelltext anzeigen
    -Codierung(Westeuropäisch)
    -Drucken
    -Aktualisieren
    -Eigenschaften

    Die normalen Auswahlmöglichkeiten sind nicht gegeben.
    (Zugriff auf Arbeitsplatz möglich..)

    Ich hoffe langsam nähert sich das Eichhörnchen...
    Ich lade euch mal auf ein Bier ein. =)
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen