Thema geschlossen (topic locked)

WINDOWS SECURITY ALERT

Hallo,
Ich habe mir ein hartnäckiges Irgendwas eingefangen.
Dauernd kommen verschiedene Fenster wie "Windows Security Alert" (Windows has detected an Internet attack attempt...
Somebody's trying to infect your PC with spyware or harmful viruses. Run full system scan now to protect your PC from Internet attacks, hijacking attempts and spyware... usw.)
 
Direkt danach erscheint ein Fenster mit "Webseite nicht verfügbar" (vom internet Explorer den ich nie benutze)
Dann steht dA "Die gewünschte Webseite ist im Offlinemodus nicht verfügbar... usw."

Dann fängt an unten rechts ein rotes Kreuz zu blinken und dann erscheind dauernd so ne gelbe Sprechblase "SYSTEM ALERT" dass der i-welche virusactivities endeckt hat und ich soll mir dies und das runterladen...

Wenn man die wegcklickt kommt ein größeres Fenster mit "Spyware Alert" dass "Trojan.W32.Looksky detected on your machine... usw" und ich soll "ja" klicken damit der removed wird.

So und das alles, alle 15 sekunden in Wiederholung.

So ähnliche Beiträge hab ich schon viele durchgelesen aber ich kenne mich nciht wirklich der ganzen pctechnik aus und verstehe aus den postings dort nur nur Bahnhof... bzw kriege dann die vorgeschlagenen spyware sachen nicht runtergeladen.


Mit HijackThis hab ich schon alles gefixt was rotes Kreuz war und mein Antivirus entdeckt auch dauernd ein und dasselbe Programm welchem ich den Zugriff verweigere, aber es hilft nix..

kann mir vllt. jemand auf primitivere Weise erklären was ich machen soll?

Danke im Vorraus und LG, Evvi


Antworten zu dieser Frage:

Kannst du denn mal ein aktuellen hijackthis log hier rein schreiben damit wir auch mal gucken können?

na aba sicha =)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:26:55, on 01.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe
C:\WINDOWS\CNYHKey.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MWLaMaS.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\eMule\emule.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: MSVPS System - {F4CF814F-970F-405D-A42C-0CE06EB97373} - C:\WINDOWS\mxduo.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: IMVU.lnk = C:\Programme\IMVU\IMVUClient.exe
O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Dokumente und Einstellungen\Evvi Lotz\Startmenü\Programme\IMVU\Run IMVU.lnk (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.schuelervz.net/photouploader/ImageUploader4.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/shared/mcgdmgr/1,0,0,26/mcgdmgr.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/online2/bejeweled2/popcaploader_v6.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6E389B76-1702-43B0-8FFF-07046F351EFA}: NameServer = 217.237.148.70 217.237.150.115
O21 - SSODL: ferrateen - {27321538-5739-4aa1-b84c-7d18e4383f1f} - C:\WINDOWS\system32\rrtcany.dll (file missing)
O21 - SSODL: wmphost - {A912DBCE-9BF8-4BCA-B39F-D610931EEBE4} - C:\WINDOWS\wmphost.dll
O21 - SSODL: wmpdev - {BE791455-CFA1-4188-97B1-C7593AEE59DE} - C:\WINDOWS\wmpdev.dll
O22 - SharedTaskScheduler: ferrateen - {27321538-5739-4aa1-b84c-7d18e4383f1f} - C:\WINDOWS\system32\rrtcany.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - T-Online International AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 8023 bytes




weiß nicht ob die Version aktuell is aba, alles was als schädlich eingestuft wurde, hab ich gefixt.

Da warst du aber nicht sehr Gründlich:

   R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2

   O21 - SSODL: ferra-teen- - {27321538-5739-4aa1-b84c-7d18e4383f1f} - C:\WINDOWS\system32\rrtcany.dll (file missing)

   O21 - SSODL: wmphost - {A912DBCE-9BF8-4BCA-B39F-D610931EEBE4} - C:\WINDOWS\wmphost.dll

   O21 - SSODL: wmpdev - {BE791455-CFA1-4188-97B1-C7593AEE59DE} - C:\WINDOWS\wmpdev.dll

O22 - SharedTaskScheduler: ferra-teen- - {27321538-5739-4aa1-b84c-7d18e4383f1f} - C:\WINDOWS\system32\rrtcany.dll (file missing)

Lass dich von dem ''file missing'' nicht ablenken.

@Evvi
Dein Problem liegt laut dem Logfile of HijackThis aktuell hier:

O21 - SSODL: wmphost - {A912DBCE-9BF8-4BCA-B39F-D610931EEBE4} - C:\WINDOWS\wmphost.dll

O21 - SSODL: wmpdev - {BE791455-CFA1-4188-97B1-C7593AEE59DE} - C:\WINDOWS\wmpdev.dll

Hier ein Lösungsvorschlag der sich in der Vergangenheit besten bewährt hat.
Arbeite die Anweisung unbedingt in der Reihenfolge und vollständig ab!

Lösche bitte deinen Browser-Cache und alle sonstigen Temporären Dateien,
ebenso den Papierkorb. Benutze dazu einfach die Freeware CCleaner,
http://www.ccleaner.com/ccdownload.asp
und führe den Befehl Cleaner aus.

Benütze das Removaltool gegen Smitfraud und Co., in englischer Sprache.
Eine kurze Anleitung in Deutsch ist auf der Homepage vorhanden und sollte unbedingt genau befolgt werden.
http://siri.urz.free.fr/Fix/SmitfraudFix_De.php

Scanne dann bitte zur Kontrolle deinen PC noch mit dem Antivirustool "Dr.WEB Cureit".
Das kostenlose Programm muss nur herunter geladen, eine Installation ist nicht erforderlich und ist vollständig in Deutsch.
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
Wähle nach der kurzen Expressprüfung deine Systempartition aus, in der Regel ist das Laufwerk C und
beginne den vollständigen Scan. Poste bitte bei einen Malware Fund auf jeden Fall den ausführlichen Scanreport von Cureit hier !

Die Aktion muss im abgesicherten Modus von Windows erfolgen und
achte darauf dass der Browser geschlossen ist und keine Internetverbindung besteht, Idealerweise sollten alle Anwendung geschlossen sein !
Unter http://www.bsi.de/av/texte/wiederher.htm
findet man eine Anleitung zum Start im abgesicherten Modus von Windows.

Boote den PC neu und erstelle dann ein neues HijackThis-Log und poste ihn hier.

Ich habe auch dieses Problem... aber irgendwie komm ich nich klar... knan mir jemand helfen?

@Pyro991
Mit was kommst du nicht klar ?
Kannst du meinen Lösungsvorschlag vom 01.09. nicht umsetzen ?

Beschreibe es genau, wo es hackt, dann versuchen wir dir zu helfen !
 

Es hakt bei der ersten hilfestellung... da wird dann geschrieben

Zitat
Da warst du aber nicht sehr Gründlich:

   R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2

   O21 - SSODL: ferra--teen-- - {27321538-5739-4aa1-b84c-7d18e4383f1f} - C:\WINDOWS\system32\rrtcany.dll (file missing)

   O21 - SSODL: wmphost - {A912DBCE-9BF8-4BCA-B39F-D610931EEBE4} - C:\WINDOWS\wmphost.dll

   O21 - SSODL: wmpdev - {BE791455-CFA1-4188-97B1-C7593AEE59DE} - C:\WINDOWS\wmpdev.dll

O22 - SharedTaskScheduler: ferra--teen-- - {27321538-5739-4aa1-b84c-7d18e4383f1f} - C:\WINDOWS\system32\rrtcany.dll (file missing)

Lass dich von dem ''file missing'' nicht ablenken.

und ich hab keine ahnung was das alles zu bedeuten hat

Hat dir diese Antwort geholfen?

Das sind die Sachen die auf deinem Pc nix verloren haben!!!
Setze den Lösungsvorschlag von HELP um! 

oh...^^ ok

Es hakt bei der ersten hilfestellung... da wird dann geschrieben
und ich hab keine ahnung was das alles zu bedeuten hat

Das hat erst mal nichts mit deinen PC zu tun.
Dies ist nur ein Auszug von der HijackThis Logdatei und ist  nicht der Lösungsvorschlag den du umsetzen sollst.

Führe wie beschreiben die folgenden Tools dieser Reihenfolge aus !
1. CCleaner
2. SmitfraudFix
3. Dr.WEB Cureit

4.
Zum Schluss erstelle ein HijackThis-Log und poste den Logfile hier.
Er liefert steht’s wertvolle Informationen über den Zustand deines Systems und
kann das eine oder andere Problem auch lösen.
Direkter Downloadlink zum Tool
http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip
(Version 2.02)
Die Quickanleitung für das Erstellen eines Logfiles:
Öffne das HijackThis-->> Drücke den Button "Do a system scan and save a logfile“ ->> kopiere den kompletten Text und poste ihn.

OK?
Wenn du noch Fragen hast dann melde dich wieder.
 

ok das is das was das prog mir jetz anzeigt



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 2323:43, on 2/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\PROGRA~1\MICROS~4\rapimgr.exe
C:\Programme\Launchy\Launchy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Kwyshell MidpX BHO - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - C:\Programme\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Kwyshell MidpX - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - C:\Programme\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll
O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - (no file)
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [MS Registry Service 32] MSRMSW32.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinPatrol] C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [Microsoft Services Unitd] MSU32.exe
O4 - HKLM\..\Run: [NDIS Adapter] ndis.exe
O4 - HKLM\..\Run: [MSIdll] winmp.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [restrictanonymous]
O4 - HKLM\..\Run: [saap] c:\programme\180solutions\180sa\saap.exe
O4 - HKLM\..\Run: [Microsoft Update] wuamagr32.exe
O4 - HKLM\..\Run: [wzservice] hess.exe
O4 - HKLM\..\Run: [Windows Desktop Daemon] winpadg.exe
O4 - HKLM\..\RunServices: [MSN Messenger] wkjrelg.exe
O4 - HKLM\..\RunServices: [MS Registry Service 32] MSRMSW32.exe
O4 - HKLM\..\RunServices: [MSIdll] winmp.exe
O4 - HKLM\..\RunServices: [Windows Desktop Daemon] winpadg.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamagr32.exe
O4 - HKLM\..\RunServices: [Microsoft Services Unitd] MSU32.exe
O4 - HKLM\..\RunServices: [NDIS Adapter] ndis.exe
O4 - HKLM\..\RunServices: [EnableDCOM] N
O4 - HKCU\..\Run: [MSN Messenger] wkjrelg.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [Microsoft Updete] wuamgrd.exe
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [Microsoft Services Unitd] MSU32.exe
O4 - HKCU\..\Run: [NDIS Adapter] ndis.exe
O4 - HKCU\..\RunServices: [MSN Messenger] wkjrelg.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [MSN Messenger] wkjrelg.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [MS Registry Service 32] MSRMSW32.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Windows Security Service] windows.pif (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Microsoft Update Machine] wuamgard.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [NDIS Adapter] ndis.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Microsoft Updete] wuamgrd.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunServices: [MSN Messenger] wkjrelg.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunServices: [MSN Messenger] wkjrelg.exe (User 'Default user')
O4 - Global Startup: Launchy.lnk = C:\Programme\Launchy\Launchy.exe
O8 - Extra context menu item: Link to &MidpX - C:\Programme\Kwyshell\MidpX\JadInvoker\Extent\jad_wrap.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: DirectX Graphics (dxdmain) - Unknown owner - C:\WINDOWS\System32\dxdmain.exe (file missing)
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Unknown owner - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe (file missing)
O23 - Service: Registry Manager Service Win 32 (MS Registry Service Win 32) - Unknown owner - MSRMSW32.exe (file missing)
O23 - Service: Windows Update Service (muamgrd) - Unknown owner - C:\WINDOWS\System32\muamgrd.exe (file missing)
O23 - Service: PixelModule (pxlmdl) - Unknown owner - C:\WINDOWS\nvidcgui.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: AntiVir Update Temp (TmpUpSrv) - Unknown owner - C:\DOKUME~1\PETER\LOKALE~1\TEMP\_VWUPSRV.EXE (file missing)
O23 - Service: tsecure - Unknown owner - C:\WINDOWS\tsecure.exe (file missing)

--
End of file - 8944 bytes

und was jetz?

@pyro991
Was hast du mit deinen PC angestellt ?
Das die Kiste überhaupt noch läuft !
Überall findet man Einträge von Malware !
Hast du auch die drei anderen Tools auf dem PC laufen lassen ?

Gehe wie folgt weiter vor.
OHNE Garantie dass der PC danach noch läuft!!!

Fixe die folgenden Einträge aus dem Logfile of Trend Micro HijackThis:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - (no file)
O4 - HKLM\..\Run: [MS Registry Service 32] MSRMSW32.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [Microsoft Services Unitd] MSU32.exe
O4 - HKLM\..\Run: [NDIS Adapter] ndis.exe
O4 - HKLM\..\Run: [MSIdll] winmp.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [restrictanonymous]
O4 - HKLM\..\Run: [saap] c:\programme\180solutions\180sa\saap.exe
O4 - HKLM\..\Run: [Microsoft Update] wuamagr32.exe
O4 - HKLM\..\Run: [wzservice] hess.exe
O4 - HKLM\..\Run: [Windows Desktop Daemon] winpadg.exe
O4 - HKLM\..\RunServices: [MSN Messenger] wkjrelg.exe
O4 - HKLM\..\RunServices: [MS Registry Service 32] MSRMSW32.exe
O4 - HKLM\..\RunServices: [MSIdll] winmp.exe
O4 - HKLM\..\RunServices: [Windows Desktop Daemon] winpadg.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamagr32.exe
O4 - HKLM\..\RunServices: [Microsoft Services Unitd] MSU32.exe
O4 - HKLM\..\RunServices: [NDIS Adapter] ndis.exe
O4 - HKLM\..\RunServices: [EnableDCOM] N
O4 - HKCU\..\Run: [MSN Messenger] wkjrelg.exe
O4 - HKCU\..\Run: [Microsoft Updete] wuamgrd.exe
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [Microsoft Services Unitd] MSU32.exe
O4 - HKCU\..\Run: [NDIS Adapter] ndis.exe
O4 - HKCU\..\RunServices: [MSN Messenger] wkjrelg.exe
O4 - HKUS\S-1-5-18\..\Run: [MSN Messenger] wkjrelg.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [MS Registry Service 32] MSRMSW32.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Windows Security Service] windows.pif (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Microsoft Update Machine] wuamgard.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [NDIS Adapter] ndis.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Microsoft Updete] wuamgrd.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunServices: [MSN Messenger] wkjrelg.exe (User 'SYSTEM')
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O23 - Service: DirectX Graphics (dxdmain) - Unknown owner - C:\WINDOWS\System32\dxdmain.exe (file missing)
O23 - Service: Registry Manager Service Win 32 (MS Registry Service Win 32) - Unknown owner - MSRMSW32.exe (file missing)
O23 - Service: Windows Update Service (muamgrd) - Unknown owner - C:\WINDOWS\System32\muamgrd.exe (file missing)
O23 - Service: PixelModule (pxlmdl) - Unknown owner - C:\WINDOWS\nvidcgui.exe (file missing)
O23 - Service: tsecure - Unknown owner - C:\WINDOWS\tsecure.exe (file missing)

Die Schnellanleitung für Eintrag fixen:
Öffne das HijackThis-->> Drücke die Button "Do a system scan only" -->>"scan" -->> Häkchen setzen -->> "Fix checked" -->> PC neu starten

Danach lade dir das Tool ComboFix über die u.g. Links herunter und speichere es auf den Desktop.
Starte das Programm, bestätige die Abfrage mit 1 und drücke “Enter“ und beachte die Hinweise.
Achtung:
Der Check mit Combofix kann einige Zeit in Anspruch nehmen.
Während dieser Zeit bitte NICHT ins Fenster klicken, ansonsten kann der Rechner hängen bleiben.

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
oder
http://www.techsupportforum.com/sectools/sUBs/ComboFix.exe
Den am Ende erstellten Report bitte hier posten !

Zum Schluss erstelle dann ein neues HijackThis-Log und poste ihn hier.


 

Diese Kiste ist durch keine Maßnahme mehr zu retten !!
Es sind mindestens 4 aktive Backdoors am Laufen.
Wer dazu verharmlosend "Maleware" sagt ist ein Spin.ner !!

Hier kann nur ein Neuaufsetzen helfen !!
Sir Reklov

Oh, ist Sir Rüpel heute wieder freundlich!
Deine Beleidigungen und überflüssigen Kommentare kannst du dir sonst wo hinschieben.
Du kannst immer nur Stänkern, das ist das einzige was du drauf hast.

Ob und welche Malware auf dem Rechner aktiv ist noch nicht geklärt!
 


« IE8 öffnet wahllos amazon.de oder neckermann.deAVIRA-Fund »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!