Spyware

erst mal ein hallo.
ich hoffe mir kann jemand helfen. ich habe mir irgendwie spyware oder maleware eingefangen. seit etlichen tagen habe ich in der taskleiste ein blaues Fragezeichen und einen roten kreis mit einem roten strich drin (wie ein verbotszeichen). und immer wieder werde ich zu einer seite geleitet, wo ich aufgefordert werde was downzuloaden. habe schon versucht mit smitfraudfix das zu entfernen, aber funktioniert nicht. weis jemand rat?
vielen dank schon mal im vorraus

 

Mit einem guten Virenscanner, Spybot Search&Destroi sowie HiJackThis sollte sich das Problem beheben lassen.

 

Hallo,
oben im Sicherheits-Forum steht "HiJackThis .. wichtig bitte lesen".
Poste bitte ein HiJackThis-log nach Anleitung:
http://www.pcwelt.de/forum/sicherheit-viren-wuermer-trojaner-rootkits/

 

im anhang die datei von hijackthis. ich hoffe mir kann jemand weiterhelfen wie ich den virus wegbekomme. vielen dank im vorraus

 

Es ist kein Anhang sichtbar !! .. erneut versuchen.

 

hallo im Anhang die logdatei von hijackthis. ich hoffe mir kann jemand wieterhelfen, wie ich den virus weg bekomme. vielen dank im vorraus

 

Sieht übel aus, infiziert mit PopUp-Trojanern, Dialer-Infektion und Umleitungen auf Webserver in der Ukraine (Russland). Deine HiJackThis-Version ist veraltet..

Neue Version 2.0
http://www.trendsecure.com/portal/en-US/threat_analytics/hijackthis.php

Die O17'er mit dieser IP fixen, geht in die Ukraine:
O17 - HKLM\System\CCS\Services\Tcpip\..\{781D2DBC-543E-40B8-8D50-41A67D333C0B}: NameServer = 85.255.116.76,85.255.112.197

C:\Programme\Video Access ActiveX Object\isamntr.exe

C:\Programme\Video Access ActiveX Object\pmsnrr.exe

C:\Programme\Video Access ActiveX Object\isamini.exe

C:\Programme\Video Access ActiveX Object\pmmnt.exe

O2 - BHO: (no name) - {A6ACAE64-F798-4930-AD86-BD3FB32038DB} - C:\Programme\Video Access ActiveX Object\isadd.dll

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbar...rch.jhtml?p=ZZ

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 (HKLM)

16 - DPF: {71CBDCD9-0830-4470-A890-35D364DA352C} - http://scripts.downloadv3.com/binari...1047_EN_XP.cab

O16 - DPF: {841A9192-5690-11D4-A258-0040954A01BE} - http://dialxs.nl/install/dialxs.ocx

O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} - http://install.power-url.de/StarInstall.ocx

 

Vor dem fixen beachten..

Bundesamt für Sicherheit in der Informationstechnologie (BSI)

Informationen zur Deaktivierung der Systemwiederherstellung und zum Start in den abgesicherten Modus (Windows XP)

http://www.bsi.de/av/texte/wiederher_xp.htm

 

hallo habe noch mal hijackthis mit der neuen version laufen lassen. hoffe dass mir jetzt jemand weiterhelfen kann. so genau kenne ich mich nicht aus, wäre dankbar wenn man mir schritt für schritt erklärt was ich tun muss (kann) vielen dank.


Log entfernt.

Bitte entsprechend der Anleitung im Board "Sicherheit" neu posten.

Gruß
Nevok

 

hoffe der anhang klappt jetzt

 

Hallo,
wir wollen keine Microsoft Word Dateien (*.doc), die könnten mit Makro-Viren verseucht sein. Bitte nur einfache *.txt (Textdatei) als Anhang posten. Einfach die "hijackthis.log" umbenennen in "hijackthis.txt" .. fertig.. (Word ist nicht notwendig).

Seit deiner letzten Aktivität hast du nichts verändert / gefixt, die "Russland-Server" sind noch immer sichtbar usw. (sieh oben).

 

sorry aber wie muss ich umbenennen. habe versucht in doc und txt umzubenennen. bekomme aber immer beim hochlanden die meldung ungültige datei.

 

sorry aber noch mal ne frage. muss ich diese 017er eintrag einfach nur in der registry löschen?

 

Hier im Anhang dein HiJackThis-Log als Textdatei.
Die von mir bezeichneten Einträge mit HiJackThis fixen, Rechner neu starten und erneut ein HiJackThis-Log erstellen und posten.

 

hallo hier noch mal die logfile nach dem fixen. kann sie leider nicht hochladen. habe sie umbenannt in endung txt oder doc. aber fehlermeldung ungültige datei, deswegen poste ich sie noch mal hier. hoffe der virus ist entfernt. vielen dank.

Logfile entfernt

Wo liegt eigentlich das Problem, das Log entsprechend der folgenden Anleitung zu posten?

http://www.pcwelt.de/forum/sicherhe...bedingt-lesen-posten-von-hijackthis-logs.html

Ist doch alles erklärt, sogar mit Bildern.

Gruß
Nevok

 

Also als Virenjäger bist du nicht sehr erfolgreich, die Schädlinge sind noch immer aktiv. Du hast doch so ein AntiViren-Programm aus der gelben Schachtel, sagt das nichts zu deinen Infektionen ?.
Dann meldest du dich nur alle 24 Stunden einmal, bleibst nicht an der Sache und ich muss mich immer wieder neu in dein Problem denken..
Läuft wohl auf formatieren und eine Neuinstall raus.

Die Umleitungen nach Russland sind jetzt weg. Hast du die anderen Sachen im abgesicherten Modus gefixt ?.

 

ich melde mich deshalb immer nur alle 24 stunden, da es sich um den pc eines guten bekannten handelt, der nun überhaupt keine ahnung hat. er hat sogar probleme im abgesicherten modus zu starten. musste ihm per telefon dabei helfen. ich möchte ihm halt helfen den virus weg zu bekommen. die 5 datein mit dieser genannten ip hat er im abgesicherten modus gefixt. müssen noch andere dateien gefixt werden? er hat norton drauf, der den virus durchgelassen hat. ich danke dir trotzdem für deine mühe.

 

Ja immer weiter fixen.. und bitte abgesichert booten sowie bei deaktivierter Systemwiederherstellung. Das ist ganz wichtig, siehe mein LINK mit Anleitung weiter oben in diesem Thread (BSI).

Diese Einträge fixen .. !!

O2 - BHO: (no name) - {A6ACAE64-F798-4930-AD86-BD3FB32038DB} - (no file)

O4 - HKLM\..\Policies\Explorer\Run: [user32.dll] C:\Programme\Video Access ActiveX Object\isamntr.exe

O4 - HKUS\S-1-5-18\..\RunOnce: [SRUUninstall] "C:\WINDOWS\System32\msiexec.exe" /x {6AF90EF6-F7F9-466C-99F4-1774826FBB40} /qn REBOOT=ReallySuppress (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [SRUUninstall] "C:\WINDOWS\System32\msiexec.exe" /x {6AF90EF6-F7F9-466C-99F4-1774826FBB40} /qn REBOOT=ReallySuppress (User 'Default user')

O8 - Extra context menu item: &Search - ht*tp://edits.mywebsearch.com/toolbar...rch.jhtml?p=ZZ

O8 - Extra context menu item: Vie&w All Pics - file:///C:\Programme\Picture Tools\ViewAllPics.htm

O8 - Extra context menu item: View A&ll Pics in New Win - file:///C:\Programme\Picture Tools\ViewAllPicsOpen.htm

O9 - Extra button: View All Pics - {011D31E2-52A7-4703-8923-585EE67C112B} - C:\Programme\Picture Tools\Ext_ViewAllPics.exe

O9 - Extra 'Tools' menuitem: View All Pics - {011D31E2-52A7-4703-8923-585EE67C112B} - C:\Programme\Picture Tools\Ext_ViewAllPics.exe

O9 - Extra button: Download Pics - {0229FA56-9A3D-4018-9017-1918F8EC2C93} - C:\Programme\Picture Tools\Ext_DownloadPics.exe

O9 - Extra 'Tools' menuitem: Download Pics - {0229FA56-9A3D-4018-9017-1918F8EC2C93} - C:\Programme\Picture Tools\Ext_DownloadPics.exe

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

O16 - DPF: {71CBDCD9-0830-4470-A890-35D364DA352C} - ht*tp://scripts.downloadv3.com/binari...1047_EN_XP.cab

O22 - SharedTaskScheduler: chitosan - {ceca6f2b-247b-4ece-9b7a-d0135c8036fc} - C:\WINDOWS\system32\onwtj.dll

 

noch mal ne frage? sorry. müssen alle dateien gefixt werden die in der logfile stehen oder nur die du jetzt hier aufgeführt hast. ich bin da halt etwas vorsichtig, will ja auch nichts falsches löschen.

 

Natürlich nur die ich ich genannt habe, sonst zerstörst du deine Win-Installation. HijackThis ist kein Antiviren-Programm und kann selbst nicht unterscheiden was böse oder gut ist.