Mallwarebefall u.a. Spyremover 2009

Hallo Leute,

wie die Überschrift schon sagt, ist mein Pc von Malware befallen, welche genau das sind, kann ich nicht sagen, hoffe aber, dass ihr als Pc-Profis mir helfen könnt und mir eine einfache Problemlösung anbietet, bin nämlich nicht der hellste, wenns um Pcs geht.
Hab schon versucht das Problem mit Malwarebytes' Anti-Malware und mit Spybot zu beheben, die Programme erkennen auch die Bedrohung, löschen sie, doch es ändert sich nichts, und beim nächsten Scan zeigen sie wieder die gleichen Bedrohungen an.
Also was soll ich tun?

Danke im Voraus

 

dann poste bitte mal das Log von Mbam...


Systemwiederherstelung deaktivieren:
http://www.bsi.de/av/texte/wiederher.htm



lade dir CCleaner:http://www.ccleaner.de/
und lasse in den Standardeinstellungen bereinigen


Bitte fixe mit HJT folgendes:
fixen: scannen, anschliessend gewünschte Einträge mit Haken versehen und anschl.fixen

Code:

O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O4 - HKLM\..\Run: [GEST] m’|\ü

Falls etwas nach dem fixen nicht mehr funktioniert, kannst du die gefixten Einträge wiederherstellen- hierzu muss jedoch HJT in einem separaten Ordner laufen.(Bsp C:\HJT\


DAS IST MIST- was willst du damit?

Code:

C:\Programme\BearShare

 

Mit HijackThis fixen:

Code:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R3 - URLSearchHook: DeviceVM Url Search Hook - {0063BF63-BFFF-4B8F-9D26-4267DF7F17DD} - C:\WINXP\system32\dvmurl.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O3 - Toolbar: Foxit Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [GEST] m’|\ü
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.srtest.com/srl_bin/sysreqlab_srl.cab
O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} (Futuremark SystemInfo) - http://service.futuremark.com/virtualmark/tc/FMSI.cab

Was bedeutet Fixen ?
http://members.linzag.net/680262/HJT/HijackThis.html#Was_bedeutet_FIXEN

 

Danke, für die schnelle Antwort. Das mit der Systemwiederherstellung bekomme ich leider nicht abgeschaltet(wenn ich z.b das Häckchen bei " bei Neustart nicht mehr anzeigen" setzte, kommt die meldung trotzdem wieder).
Und das mit dem fixen, kann ich das auch im Normalmodus oder muss ich das im abgesicherten Modus machen. Und was soll ich jetzt genau tun: nur fixen wie "deo roller" sagte, oder wie "-humi-" sagte, zusätlich mit ccleaner die Standardeinstellungen bereinigen( wobei ich den Punkt Systemeinstellungen bei CCleaner nicht finde). Soll ich außerdem mit HijackThis die Datei selbst noch mit Delete a file on reboot eliminieren?
Ich weiß, sind viele Fragen. Wäre trotzdem sehr dankbar, wenn ihr sie mir beantwortet.

PS: hier die Ergenbisse des Scans von Malwarebytes' Anti-Malware

 

Handelt es sich bei der userinit.exe um diese Datei:

********************************************************************
FileAlyzer © 2003-2006 Safer Networking Ltd. All Rights Reserved.
********************************************************************


File: C:\WINDOWS\system32\userinit.exe
Date: 06.03.2009 20:50:08


***** Allgemein ****************************************************
Ort: C:\WINDOWS\system32\
Größe: 26624
Version: 5.1.2600.5512
CRC-32: 3042047B
MD5: 788F95312E26389D596C0FA55834E106
SHA1: 82189A1477487E7F679C4FA5CB19B1B74D9B73AC
Nur Lesen: No
Versteckt: No
Systemdatei: No
Verzeichnis: No
Archiv: Yes
Symbolischer Verweis: No
Zeitstempel: Montag, 14. April 2008 06:53:04
Erstellung: Montag, 14. April 2008 06:53:04
Letzter Zugriff: Freitag, 6. März 2009 20:49:40
Letztes Schreiben: Montag, 14. April 2008 06:53:04

 

und was soll ich mit usernet.exe anstellen?

 

Gucken, ob sie die gleiche Versionsnummer und Datum hat. Sie ist auf dem Stand des SP3.
Wenn das der Fall ist, wird es kaum Malware sein.

 

also die hat die folgende Dateiversion: 5.1.2600.2180. Und erstellt wurde sie am 03.08.2004, ist SP2. Aber ich verstehe immer noch nicht was genau ich machen soll (siehe oben).Also jetzt z.b fixen?

 

Laut HiJackThis, hat dein XP SP3, aber die Datei ist aus dem SP2. Deshalb hat Malwarebytes' sie wohl als schädlich angesehen.
Das ist aber ein "Nebenkriegsschauplatz", der mit deinem eigentlichen Problem nichts zu tun hat.
Du kannst jetzt folgendes machen:
Systemwiederherstellung deaktivieren.
PC im abgesicherten Modus starten.
http://www2.tu-berlin.de/www/software/virus/savemode.shtml
Temporäre Dateien löschen, mit:
CCleaner (Portable- kein Installer) http://www.wintotal.de/Software/index.php?id=2185
Anleitung:http://virus-protect.org/ccleaner.html
Mit HijackThis alles fixen, was ich oben gepostet habe. Da sind eine Menge zusätzlicher Einträge, die den IE betreffen und unnötig sind, weil du Firefox benutzt.
-humi-s Einträge sind dabei.
Bareshare unbedingt beenden, wegen dem Zugriff auf freigegebene Ordner und die ständige Verbindung mit dem Internet.

Was bedeutet Fixen ?
http://members.linzag.net/680262/HJT/HijackThis.html#Was_bedeutet_FIXEN

 

Danke für die Anleitung. Nur noch zwei Fragen: Soll ich alle gelöschten Einträge, wie in der Anleitung, im zweiten Anlauf endgültig von meinem System löschen (Wenn du unter "Fixen" Einträge gelöscht hast, die du aber wieder gerne hättest, oder diese endgültig von deinem System löschen willst, dann starte Hijackthis...)? Und muss ich die Dateien mit "Delete a file on reboot" entfernen?

 

-humis- Sachen kannst du löschen. Der Rest von mir soll nur aus dem Autostart entfernt werden.

 

Alos ich habe die Systemwiederherstellung deaktiviert, den Pc im abgesicherten Modus gestartet, mit CCleaner alle Punkte bei Internet Explorer und Firefox bereinigt, mit HijackThis alles gefixt und dann mit HijackThis -humis- Sachen dauerhaft gelöscht (Oder hätte ich das mit Delete a file on reboot machens sollen, wenn ja welche Files hätte ich denn löschen sollen?). Das einzige was ich nicht gemacht habe. war aus dem Autostart etwas zu entfernen, wusste nicht geanu was.
Trotzdem ist alles beim alten geblieben. Hier die neuen Logs:
Was soll ich tun??????
Oder hätte ich das mit Delete a file on reboot machens oll, wenn ja welche Files hätte ich den löschen sollen?

 

Wo (no file) steht, wurde die Datei bereits entfernt. Der Autostarteintrag kann dann noch mit Hijackthis entfernt werden. Ich kann dir aber nicht mehr weiterhelfen, da die Logs nichts anzeigen, was auf die Scareware deutet.

 

wie kann ich denn den Autostarteintrag mit Hijackthis entfernen, was genau muss ich da tun. Außerdem steht doch im mbam-log, dass ich zwei trojan downloader habe.Oder?

 

Ich habe schon zwei mal einen Link zu einer Anleitung gepostet.

>Außerdem steht doch im mbam-log, dass ich zwei trojan downloader habe.Oder?
Das halte ich für einen Fehlalarm.
Um sicher zu gehen, kannst du aber mal die userinit.exe bei www.virustotal.com/de überprüfen lassen.

 

Bitte nicht böse sein ....Ich bin echt dankbar, dass du mir hilfst, aber bei der Anweisung, wie man fixt,die du verlinkt hast, habe ich nichts darüber gefunden, wie man einen Autostarteintrag mit Hijackthis entfernt, wenns da steht, zeig mir bitte die Stelle (und welche Einträge genau sollte ich denn entfernen). Kann ich das auch unter msconfig bei dem Systemstartmenü machen (und welche genau sollte ich denn entfernen) ?
Außerdem irritiert mich immer noch dieser Eintarg bei der Anweisung zum Fixen: "Achtung: Wenn man mit "Fixen" aktuell eine Malwarebereinigung durchführt, dann ist man mit der Bereinigung noch nicht fertig, man hat ja "nur" den Eintrag in der Registry gelöscht, die Datei selbst ist ja noch am System, diese kann nun mit Delete a file on reboot eliminiert werden."
Das habe ich ja nicht gemacht und die Dateien sind trotzdem weg?
Hab außerdem hier die Ergebnisse der Virustotalanalyse von userinit.exe. Hoffe, ich stell mich nicht zu dumm an, bin einfach verzweifelt, dass nichts hilft.

 

Du startest HijackThis, scannst damit und hakst du Einträge ab, die gefixt werden sollen. Dann Klick auf fix checked.

fixen:

Code:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
O2 - BHO: (no name) - {201f27d4-3704-41d6-89c1-aa35e39143ed} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: (no name) - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)
O2 - BHO: (no name) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - (no file)
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - (no file)
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O2 - BHO: (no name) - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - (no file)
O2 - BHO: (no name) - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - (no file)
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINXP\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINXP\system32\shdocvw.dll

 

so jetzt habe ich das alles gemacht und habe das Problem immer noch. Falls du keine andere Idee zur Behebung des Problems hast, sehe ich mich gezwungen Windoes neu zu installieren. Trotzdem möchte ich mich bei jedem, und bei dir deoroller ganz besonders, für die Mühe bedanken. Mein wahrscheinlich letztet log_file

 

Du kannst den PC mit der Avira Rettungs-CD booten und erkannte Malware entfernen lassen.
http://www.free-av.de/de/tools/12/avira_antivir_rescue_system.html

 

Ich habs mehrmals versucht, aber das mit dem Booten klappt nicht so richtig. Der Pc bootet Zwar von der CD, aber dann wird der Bildschirm fast vollständig schwarz, man sieht nur noch einzelne Wörter z.b Scan abbrechen, aber nie alle Punkte.