Problem mit Trojaner/Virus " Your PC has been infected"

[iceman_610]

Hallo
ich habe leider eine PRoblem mit einem Trojaner.
Wenn ich mein Notebook starte kommt auf einmal ein Fenster unten rechts "Your PC has been infected".
Dann soll man einen Key für irgendein antispyware programm kaufen. Nebenbei startet andauernd der Internet Explorer mit komischen Seiten.

Habe dann mal ein paar Freeware Programme installiert, A-square Free und Ashampoo.
Beide Programme haben beim Scan über 30 infizierte Objekte gefunden und dann auch entfernt - aber es ändert sich nichts. Ich kann den PC 5 mal hintereinander Scannen und finde immer wieder infizierte Daten.

Hat jemand einen Tip wie ich mein Problem wieder loswerde ??

 

[Boogeyman]

Wenn ich mein Notebook starte kommt auf einmal ein Fenster unten rechts "Your PC has been infected

Steht da nur das, oder steht noch mehr da ?

Was hast du bist jetzt unternommen um das Zeug zu entfernen ?
Hast mal deinen Virenscanner im abgesicherten Modus scannen lassen ?
Welches Betriebssystem verwendest du ?

Lade dir mal Hijackthis heruter und poste das Logfile hier:

http://www.hijackthis.de/

 

[iceman_610]

Ich wollte Bitdefender 10 installieren, aber das ging nicht mehr.

Dann habe ich es mit A-Square versucht.
Hab jetzt auch noch ein Verzeichnis "Brave Sentry" gefunden - ich glaube das ist der sicher der Name des Trojaners oder?

 

[Boogeyman]

Du musst schon etwas mehr Infos rüber lassen, außerdem solltest du die Fragen beantworten. Sonst kann dir hier keiner helfen.....
Planloses rum löschen in Verzeichnissen bringt meisten nichts...
Hatest du bevor du dir das Zeug eingefangen hast, überhaupt einen Virenscanner ?

 

[hummerfisch]

Hallo,

lade Dir mal Ad-Aware runter. Das Programm macht ein kompletten Systemscan und entfernt unter Umständen nach einem oder mehreren Neustart(s) bösartige Software, die man so nicht gelöscht bekommt. Installieren und gleich ein Update machen. Vielleicht hilft's.

 

[Sir_Sascha]

und am besten machst du das dann im Abgesicherten Modus. Weil wenn der schon da ist, kann es sein, daß er auch die Installation von Ad-aware behindert.

 

[Dr. Wuah]

Du könntest des weiteren auch noch Spybot Search and Distroy installieren..damit solltest du auch etwas erreichen können.
Als erstes aber trotzdem HiJackThits, so wies Boogeyman schon gepostet hat...
Und sobalds was neues Gibt, am besten hier rein damit...

 

[Spielkind]

Ich wollte Bitdefender 10 installieren, aber das ging nicht mehr...

Was imo dafür spricht, das der PC vom Virus übernommen wurde und nicht ohne größeren Aufwand wiederhergestellt werden kann. Um einen vertrauenswürdigen Zustand zu erreichen würde ich zum Neuaufsetzen raten.

 

[Gelbsucht]

Falls das Ding so etwa aussieht=

Mit einer blinkenden Bombe von Minesweeper....

Dann ist das eine sogenannte "Rogue Spyware" und in diesem Fall Spyaxe bzw Spyfalcon. Dagegen hilft kein Adaware, aber mit AVG Antispyware UND Spybot S&D inkl. der jeweils neuesten Updates kann man es entfernen.

Ich habe dazu nichtmal den abgesicherten Modus gebraucht damals. Das Ding ist schon seit Ende 2005 im Umlauf. Es gibt auf Trojanerinfo auch ein SmitfraufFix, das hilft aber nicht.


Und bitte nicht auf den Ballon klicken bzw aufs Symbol, denn sonst kommt irgendwas mit Virusburster oder so.

Spybot auf CB
AVG Antispyware

 

[LeLe93]

Ich hab das auch allerdings blinkt bei mir kein minesweeper zeichen sondern ein rotes schild -.- soll ich mal sone Hijack logfile hochladen^^ ich hab nämlich schon alles versucht ... spybot spyhunter ad aware hat alles nichts genützt ( trotz neuster updates)

naja vllt könnt ihr mir ja helfen osns muss ich WinDoof neu aufsetzen

MfG

LeLe

EDIT: Das Programm heisst wohl Virus Heat o.ä.

 

[-Headhunter-]

Leute Leute....

wie fangt ihr euch das alles immer alles ein?

Möglichkeit 1: Siehe Post von Boogeyman. Dort im entsprechenden Forum den highjackthis Log posten und auf fachkundige Antwort warten, alles andere ist fischen im trüben.

Möglichkeit 2: System neu aufsetzen und in Zukunft mit etwas mehr Verstand im I-Net surfen.

Bis dahin bitte Rechner vom Netz nehmen und auf einen sauberen Rechner ausweichen!!!

Viel Glück!

-Headhunter-

 

[HisN]

Format C:
Zur Zeit verbreitest Du Viren wie ein besessener, vielen Dank dafür.
Je länger Du an dem Problem rumackerst um so mehr Viren verbreitest Du, vielen Dank dafür.

Solltest Du Deinen Rechner "clean" bekommen. Niemand kann wissen was der Virus an Deinem System verändert hat. Wer weiß ob Du inzwischen Teil eines Bot-Netzes bist^^ und ob die Anti-Viren-Software das hingedreht bekommt.

Auch meine Empfehlung: Update von Brain 0.99 auf 1.0a und mit etwas mehr Umsicht im Netz unterwegs und Buttons gedrückt oder Software aus unbekannten Quellen genutzt.

 

[Blaugrün]

Ich habe das Problem auch, und habe viel ausprobiert um das Programm zu lösen, grad bin ich über Umwege auf der Seite hier gelandet. Ich hab mir Hijackthis runtergeladen und hier ist das Ergebnis:

Logfile of HijackThis v1.99.1
Scan saved at 17:15:57, on 21.02.2008
Platform: Windows XP SP3, v.3244 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.3244)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Dokumente und Einstellungen\Kai\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programme\Crawler\Toolbar\ctbr.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {C2A1C5CB-C0EF-4689-9436-F62CCA1C5383} - C:\Programme\NetProject\sbmdl.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Web Application - {81705D67-3F73-4983-859B-97D0922E5ABE} - C:\Programme\NetProject\wamdl.dll (file missing)
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\Toolbar\ctbr.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [SpyHunter Security Suite] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [gi1363234492] "C:\DOKUME~1\Kai\LOKALE~1\Temp\giS5ISHT.exe" /resume:"C:\DOKUME~1\Kai\LOKALE~1\Temp\2SS5IM0R" /exename:"C:\Dokumente und Einstellungen\Kai\Desktop\Free-SpyHunter-Scanner-Install(2).exe"
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Startup: Verknüpfung mit eggdrop.lnk = C:\Windrop\eggdrop.exe
O4 - Startup: Verknüpfung mit eggstart.lnk = C:\Dokumente und Einstellungen\Kai\Desktop\desk\eggstart.bat
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.explorertool.net/redirect.php (file missing)
O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.explorertool.net/redirect.php (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\Toolbar\ctbr.dll
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe

Ich hpffe ihr könnt mir (und den anderen) helfen

 

[Blaugrün]

Diese Warnung hier kommt andauernd:

 

[olympiakos]

was ist das fürn ne Seite http://www.explorertool.net? Bei mir kommt Fehler 404, wenn ich die Seite in der Adressleiste eingebe.

 

[HisN]

Wenn Du den gleichen Fehler hast, dann gilt für Dich auch die gleiche Lösung:

Format c:\

Zu Deiner, und im Moment vor allem zu unserer Sicherheit, zur Zeit bist Du nämlich nix anderes als eine Virenschleuder. Vielen Dank dafür.

 

[Blaugrün]

was ist das fürn ne Seite http://www.explorertool.net? Bei mir kommt Fehler 404, wenn ich die Seite in der Adressleiste eingebe.

Ich hab in der file nichts verändert...keine Ahnung was das ist...(bei mir kommt auch Fehler 404

 

[Blaugrün]

Wenn Du den gleichen Fehler hast, dann gilt für Dich auch die gleiche Lösung:

Format c:\

Zu Deiner, und im Moment vor allem zu unserer Sicherheit, zur Zeit bist Du nämlich nix anderes als eine Virenschleuder. Vielen Dank dafür.

Und du bist dir sicher das es nur durch eine Formatierung geht?

 

[HisN]

Nein, aber bist Du Dir sicher das Du den Virus/Trojaner so beseitigen kannst so das nix mehr von ihm übrig bleibt und nix an Deinem System vom Virus/Trojaner so geändert wurde das Du jetzt offen wie ein Scheunentor für den nächsten Schädling bist oder selbst Schädlinge verbreitest?

 

[Blaugrün]

Nein, ich weiß nicht was es für möglichkeiten gibt den Pc auf Backdoors zu überprüfen, ich kenne mich nicht so gut mit Pc´s aus...