# Virus getarnt als "Security Tool"



## Argenius Onyxia (12. Oktober 2009)

Hallo,
ich brauche dringend Hilfe ich hab mir irgendwie ein Virus eingefangen der ist getarnt als "Security Tool" und ich werde diesen sch*** Virus nicht mehr los. Hab lange Zeit gegooglt für eine Problemlösung, leider hat sich nichts ergeben.
Hab mir auch die Infos von WCM angesehen jedoch erfolglos, keiner dieser Programme hilft bei mir.(Oder ich benutze die falsch, bin halt nicht der Computerexperte)
Was soll ich machen ??? Ich brauche DRINGEND Hilfe!!!!  


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## sympathisant (12. Oktober 2009)

der solls runterkriegen:

http://www.pctools.com/de/spyware-doctor/?...cmzw0bzxxhcwbky

http://www.chip.de/downloads/Spyware-Doctor_16990636.html


----------



## Rethelion (12. Oktober 2009)

Es wäre interessant zu wissen welches Programm du dir genau eingefangen, bzw. installiert hast, da sich jedes Programm anders festsetzt.


----------



## Argenius Onyxia (12. Oktober 2009)

Rethelion schrieb:


> Es wäre interessant zu wissen welches Programm du dir genau eingefangen, bzw. installiert hast, da sich jedes Programm anders festsetzt.



Also wie der auf meinen Rechner kommt kann ich dir leider nicht sagen, da mein kleiner Bruder gestern am Pc saß und ihn irgendwie bekommen hat aber aus ihm bekomme ich irgendwie nichts informatives raus ...


----------



## Argenius Onyxia (12. Oktober 2009)

sympathisant schrieb:


> der solls runterkriegen:
> 
> http://www.pctools.com/de/spyware-doctor/?...cmzw0bzxxhcwbky
> 
> http://www.chip.de/downloads/Spyware-Doctor_16990636.html



Und mit diesem Spyware Doctor hatte ich das schon probiert nur fordert der den kauf von der Version um die Viren zu entfernen. Ich bin auch heute mal im abgesicherten Modus rein, bin dem Dateipfad gefolgt und hab die einzelnen Teile von dem Security Tool gelöscht, dann hab ich nochmal den Spyware Doctor gestartet und er hat den Virus nicht mehr gefunden. Nur hab ich das Problem das nicht nur der Security Tool Virus drauf is sonder noch dieser
 "Adware.Zango_Search_Assistant(70 Infiezierungen) (also so stehts von Spyware Doctor da)
http://www.pctools.com/de/mrc/infections/i...earch_Assistant

Hilfe!  


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## Rethelion (12. Oktober 2009)

Lad dir mal die kostenlose Version von Malwarebytes(LINK) und lass das im abgesicherten Modus durchlaufen.
Schau dir aber genau an was es findet, bevor du was falsches löscht.


----------



## Animalm4st3r (12. Oktober 2009)

Rechner formatieren, bei allem anderen kann man sich nie sicher sein das alles weg ist.


----------



## Rethelion (12. Oktober 2009)

Animalm4st3r schrieb:


> Rechner formatieren, bei allem anderen kann man sich nie sicher sein das alles weg ist.



Naja Rogue-Software ist da nicht ganz so schlimm wie ein Trojaner und i.d.R. gehen die schon zu entfernen. 
Ob es weg ist oder nicht siehst du ja wenn die Meldungen verschwinden, die Software will ja nur, dass du sie kaufst oder dem Hersteller Geld gibst.


----------



## aseari (12. Oktober 2009)

Spybot Search & Destroy ist auch gut. Einfach mal bei Chip den Download suchen.


----------



## Argenius Onyxia (12. Oktober 2009)

aseari schrieb:


> Spybot Search & Destroy ist auch gut. Einfach mal bei Chip den Download suchen.



Naja Spybot S&D hab ich auf meinem Rechner hat aber nichts gebracht.


----------



## Argenius Onyxia (12. Oktober 2009)

Rethelion schrieb:


> Lad dir mal die kostenlose Version von Malwarebytes(LINK) und lass das im abgesicherten Modus durchlaufen.
> Schau dir aber genau an was es findet, bevor du was falsches löscht.



Also ich habs jetzt gemacht, habe aber noch nichts entfernt :
Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2775
Windows 6.0.6002 Service Pack 2 (Safe Mode)

12.10.2009 18:30:00
mbam-log-2009-10-12 (18-29-49).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 206793
Laufzeit: 34 minute(s), 57 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 11
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 2
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\oberontb.band (Adware.Gamesbar) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{ad76633e-e50d-4844-9e7f-4dfbc7c18467} (Adware.Gamesbar) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{daa37aad-f156-4c2c-ac48-3c22ef92ae2f} (Adware.Gamesbar) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{6f282b65-56bf-4bd1-a8b2-a4449a05863d} (Adware.Gamesbar) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6f282b65-56bf-4bd1-a8b2-a4449a05863d} (Adware.Gamesbar) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{cb0d163c-e9f4-4236-9496-0597e24b23a5} (Adware.Gamesbar) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{cb0d163c-e9f4-4236-9496-0597e24b23a5} (Adware.Gamesbar) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{cb0d163c-e9f4-4236-9496-0597e24b23a5} (Adware.Gamesbar) -> No action taken.
HKEY_CLASSES_ROOT\oberontb.band.1 (Adware.Gamesbar) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1a93c934-025b-4c3a-b38e-9654a7003239} (Adware.Gamesbar) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{1a93c934-025b-4c3a-b38e-9654a7003239} (Adware.Gamesbar) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{6f282b65-56bf-4bd1-a8b2-a4449a05863d} (Adware.Gamesbar) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:


----------



## Rethelion (12. Oktober 2009)

Welche infizierten Dateien und Verzeichnisse hat es denn gefunden? Die sind nämlich in deinem Beitrag abgeschnitten.
Ich denk aber mal, dass da keine wichtigen Dateien betroffen sind, also kannst du mal probieren mit Malwarebytes alle Probleme zu beseitigen und nach einem Neustart überprüfen ob die Software immer noch startet.

Interessant wäre es aber trotzdem welche Software da genau installiert wurde und warum dein Antivirus da nicht auschlägt.
Was hast du eiglt für ein Antivirus installierst?


----------



## Argenius Onyxia (13. Oktober 2009)

Infizierte Verzeichnisse:
C:\ProgramData\81706325 (Rogue.Multiple) -> No action taken.
C:\Program Files\BitDownload (Trojan.Swizzor) -> No action taken.

Infizierte Dateien:
C:\Program Files\GamesBar\oberontb.dll (Adware.Gamesbar) -> No action taken.
C:\Windows\Temp\_ex-68.exe (Trojan.Dropper) -> No action taken.


----------



## Argenius Onyxia (13. Oktober 2009)

Und ich wollte noch fragen ob ich das jetzt im abgesicherten oder im normalen machen soll? (Malwarebytes)


----------



## Argenius Onyxia (13. Oktober 2009)

Also zu meinem Antivirus ich hab Avira AntiVir Personal, bei mir gibts da eh immer Probleme mit dem Programm irgendwie stellt der auch nie eine Verbindung zum Internet um neue Updates zu laden. Ich habs auch ca 100 mal neu installiert bringt alles nichts ... ich glaub das ich irgendwie eine schlechte Verbindung hab. Aber ich kenne mich da leider nicht so gut aus 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## Tikume (13. Oktober 2009)

Mach den Rechner platt .... ausser Du willst einen Guiness Rekord aufstellen.


----------



## Argenius Onyxia (13. Oktober 2009)

Also mein kleiner Bruder sagt das er nur im Internet gesurft is und er plötzlich eine Virus Warnung bekommen hat. Mehr weiß ich selbst nicht sry.


----------



## Argenius Onyxia (13. Oktober 2009)

Tikume schrieb:


> Mach den Rechner platt .... ausser Du willst einen Guiness Rekord aufstellen.



Wie soll ich das bitte verstehen?


----------



## Rethelion (13. Oktober 2009)

Argenius schrieb:


> Und ich wollte noch fragen ob ich das jetzt im abgesicherten oder im normalen machen soll? (Malwarebytes)



Solche Sachen würde ich immer nur im abgesicherten Modus machen weil da die unerwünschten Programme nicht mitgeladen werden.



Argenius schrieb:


> Also mein kleiner Bruder sagt das er nur im Internet gesurft is und er plötzlich eine Virus Warnung bekommen hat. Mehr weiß ich selbst nicht sry.


Hört sich danach an, dass er auf die Website von der Rogue-Software gekommen ist und die meldet grundsätzlich, dass der PC infiziert ist und da wird er halt das Teil runtergeladen haben.


----------



## Argenius Onyxia (13. Oktober 2009)

Alles klar ich machs dann mal im abgesicherten Modus.


----------



## Yaggoth (13. Oktober 2009)

Argenius schrieb:


> Wie soll ich das bitte verstehen?




des war so zu verstehen, dass die Formatierung deiner System-Festplatte der einfachste udn sicherste Weg ist einen Virus/Trojaner/Wurm etc. los zu werden...

Zumindest deutlich sicherer und erfolgsversprechender als etwas das du schon bestimmt 100mal gemacht hast wieder zu tun ^^


----------



## Argenius Onyxia (13. Oktober 2009)

Yaggoth schrieb:


> des war so zu verstehen, dass die Formatierung deiner System-Festplatte der einfachste udn sicherste Weg ist einen Virus/Trojaner/Wurm etc. los zu werden...
> 
> Zumindest deutlich sicherer und erfolgsversprechender als etwas das du schon bestimmt 100mal gemacht hast wieder zu tun ^^



Naja das mit ca 100 mal gemacht war auf mein Virusprogramm bezogen, dass irgendwie keine Verbindung zum Internet herstellen will.


----------



## Argenius Onyxia (13. Oktober 2009)

Und hier ist der Report vom Virusprogramm:
Avira AntiVir Personal - Free Antivirus Updater 

Erstellungszeitpunkt: Tue Oct 13 15:07:39 2009


Betriebssystem:
Windows Vista (Service Pack 2)  [6.0.6002]

Produktinformationen:
Produktversion: 9.0.0.407
Updater: C:\Program Files\Avira\AntiVir Desktop\update.exe 9.0.0.52
Plugin: C:\Program Files\Avira\AntiVir Desktop\updext.dll 9.0.0.6

Temporäres Verzeichnis: C:\ProgramData\Avira\AntiVir Desktop\TEMP\UPDATE\
Backupverzeichnis: C:\ProgramData\Avira\AntiVir Desktop\BACKUP\
Installationsverzeichnis: C:\Program Files\Avira\AntiVir Desktop\
Updaterverzeichnis: C:\Program Files\Avira\AntiVir Desktop\
AppData Verzeichnis: C:\ProgramData\Avira\AntiVir Desktop\


[UPD] [INFO] Prüfe ob neuere Dateien zur Verfügung stehen.
[UPD] [INFO] Wähle Updateserver 'http://[2a01:138:a001:201::24]/update'.
[UPD] [INFO] Herunterladen von 'http://[2a01:138:a001:201::24]/update/idx/master.idx' nach 

'C:\ProgramData\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
[UPDLIB] [ERROR] Downloadmanager: Innerhalb der WinINet- Bibliothek ist ein Fehler 

aufgetreten.
[UPD] [INFO] Herunterladen von 'http://[2a01:138:a001:201::24]/update/idx/master.idx' nach 

'C:\ProgramData\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
[UPDLIB] [ERROR] Downloadmanager: Innerhalb der WinINet- Bibliothek ist ein Fehler 

aufgetreten.
[UPD] [INFO] Herunterladen von 'http://[2a01:138:a001:201::24]/update/idx/master.idx' nach 

'C:\ProgramData\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
[UPDLIB] [ERROR] Downloadmanager: Innerhalb der WinINet- Bibliothek ist ein Fehler 

aufgetreten.
[UPD] [INFO] Wähle Updateserver 'http://[2a01:138:a001:201::21]/update'.
[UPD] [INFO] Herunterladen von 'http://[2a01:138:a001:201::21]/update/idx/master.idx' nach 

'C:\ProgramData\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
[UPDLIB] [ERROR] Downloadmanager: Innerhalb der WinINet- Bibliothek ist ein Fehler 

aufgetreten.
[UPD] [INFO] Herunterladen von 'http://[2a01:138:a001:201::21]/update/idx/master.idx' nach 

'C:\ProgramData\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
[UPDLIB] [ERROR] Downloadmanager: Innerhalb der WinINet- Bibliothek ist ein Fehler 

aufgetreten.
[UPD] [INFO] Herunterladen von 'http://[2a01:138:a001:201::21]/update/idx/master.idx' nach 

'C:\ProgramData\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
[UPDLIB] [ERROR] Downloadmanager: Innerhalb der WinINet- Bibliothek ist ein Fehler 

aufgetreten.

..... (das wiederholt sich sehr oft)

[UPDLIB] [ERROR] Keine weiteren Server...
[UPD] [ERROR] Erzeugen der Updatestruktur ist fehlgeschlagen. Die UpdateLib liefert den 

Fehler 537.

Zusammenfassung:
****************
	0 Dateien heruntergeladen
	0 Dateien installiert

	15:07:41 Das Update ist fehlgeschlagen!


----------



## Yaggoth (13. Oktober 2009)

es gibt nunmal viele Schädlinge auf dem PC die nicht erkannt werden wollen und somit AntiVirensoftware lahmlegen...

evtl ist dies bei dir auich geschehen.


----------



## Argenius Onyxia (13. Oktober 2009)

Also zum eigentlichen, ich hab Malwarebytes jetzt im abgesicherten Modus durchlaufen lassen und dann auf Entfernen geklickt. Jetzt sind die Infizierten Daten in Quarantäne, soll ich nun alle löschen?


----------



## Rethelion (13. Oktober 2009)

Argenius schrieb:


> Also zum eigentlichen, ich hab Malwarebytes jetzt im abgesicherten Modus durchlaufen lassen und dann auf Entfernen geklickt. Jetzt sind die Infizierten Daten in Quarantäne, soll ich nun alle löschen?



Ja die kannst du löschen, aber vorher solltest du noch die Systemwiederherstellung deaktivieren.
Wie das geht steht hier: http://www.msvistafaq.de/2007/07/19/vista-...ung-abschalten/
Dann solltest du noch unter Alle Programme-->Zubehör-->Systemprogramme-->Datenträgerbereinigung-->Weitere Optionen die Systemwiederherstellungs-Punkte löschen. Dadurch kann nach einem Neustart das Programm sich nicht selbst wiederherstellen.
Hast du das gemacht löscht du mit MB alle infizierten Dateien, startest das System neu und überprüfst ob das ungeschwünschte Programm immer noch startet. Falls es weg ist lässt du trotzdem vorsichtshalber nochmal Malwarebytes durchlaufen und auch noch den Onlinescan von Kaspersky(LINK).

Und wenn da nichts mehr gefunden wird dürfte alles wieder in Ordnung sein.


----------



## Argenius Onyxia (13. Oktober 2009)

Rethelion schrieb:


> Ja die kannst du löschen, aber vorher solltest du noch die Systemwiederherstellung deaktivieren.
> Wie das geht steht hier: http://www.msvistafaq.de/2007/07/19/vista-...ung-abschalten/
> Dann solltest du noch unter Alle Programme-->Zubehör-->Systemprogramme-->Datenträgerbereinigung-->Weitere Optionen die Systemwiederherstellungs-Punkte löschen. Dadurch kann nach einem Neustart das Programm sich nicht selbst wiederherstellen.
> Hast du das gemacht löscht du mit MB alle infizierten Dateien, startest das System neu und überprüfst ob das ungeschwünschte Programm immer noch startet. Falls es weg ist lässt du trotzdem vorsichtshalber nochmal Malwarebytes durchlaufen und auch noch den Onlinescan von Kaspersky(LINK).
> ...



Öhm ich bin auf die Seite und merke das die Systemwiederherstellung garnicht aktiv is


----------



## Argenius Onyxia (13. Oktober 2009)

Bin jetzt deinen Schritten gefolgt, jetzt erscheint ein Fenster 

Datenträgerbereinigungsoptionen

>> Wählen Sie die Dateien aus, die Sie bereinigen möchten.

> Nur eigene Dateien

> Dateien von allen Benutzern des Computers

und weiter?


----------



## Rethelion (13. Oktober 2009)

Argenius schrieb:


> Bin jetzt deinen Schritten gefolgt, jetzt erscheint ein Fenster
> 
> Datenträgerbereinigungsoptionen
> 
> ...



Hm die Wiederherstellung ist aber schon ganz schön lange deaktiviert...
aber egal, dann brauchst du die Punkte auch nicht löschen, da die Wiederherstellung eh seit einem Jahr nicht mehr läuft.


----------



## Argenius Onyxia (13. Oktober 2009)

Oh lol^^ also jetzt einfach nur im normalen Modus MB die Dateien löschen lassen?


----------



## Rethelion (13. Oktober 2009)

Argenius schrieb:


> Oh lol^^ also jetzt einfach nur im normalen Modus MB die Dateien löschen lassen?


Zum löschen musst du trotzdem in den abgesicherten Modus wechseln.


----------



## Argenius Onyxia (13. Oktober 2009)

Ok mach ich dann mal


----------



## Argenius Onyxia (13. Oktober 2009)

Also ich hab jetzt im abgesicherten Modus per MB die Dateien gelöscht, dann bin ich im normalen Modus rein hab mein Spybot S&D gestartet zur Immunisierung plötzlich kommt eine Meldung von Spyware Doctor das ein Trojaner entdeckt wurde und die Nachricht kam öfters hab immer auf blocken geklickt bis diese Meldung verschwand. Dann hab ich mein Spyware Doctor gestartet um nach zu sehen jedoch erfolglos da steht dann nur "Es wurde keine Bedrohung entdeckt"

Was soll ich jetzt machen ? 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## Rethelion (13. Oktober 2009)

Argenius schrieb:


> Also ich hab jetzt im abgesicherten Modus per MB die Dateien gelöscht, dann bin ich im normalen Modus rein hab mein Spybot S&D gestartet zur Immunisierung plötzlich kommt eine Meldung von Spyware Doctor das ein Trojaner entdeckt wurde und die Nachricht kam öfters hab immer auf blocken geklickt bis diese Meldung verschwand. Dann hab ich mein Spyware Doctor gestartet um nach zu sehen jedoch erfolglos da steht dann nur "Es wurde keine Bedrohung entdeckt"
> 
> Was soll ich jetzt machen ?
> 
> ...



Welche/n Trojaner wurde/n denn gefunden und in welcher Datei?
Traten die Funde gleichzeitig mit Spybot auf? Nicht das es sich um Fehlalarme handelt.
Ansonsten nochmal Malwarebytes anwerfen und wie gesagt auch mal den Kapsersky Onlinescan drüberjagen.

Achja ist das eigentliche Problem, also die Software verschwunden?


----------



## sympathisant (13. Oktober 2009)

nicht nur abgesicherter modus. lad dir ne knoppix-cd runter und boote damit. dann virenscanner rüberjagen.


----------



## Rethelion (13. Oktober 2009)

sympathisant schrieb:


> nicht nur abgesicherter modus. lad dir ne knoppix-cd runter und boote damit. dann virenscanner rüberjagen.


Ist in Knoppix denn der NTFS-Treiber integriert? Ohne den kann es ja nicht auf die Partitionen schreiben.
Und welches gute Antiviren Programm gibt es denn für Linux? AVG, Antivir umd Clam kann man ja vergessen.


----------



## Argenius Onyxia (13. Oktober 2009)

Rethelion schrieb:


> Welche/n Trojaner wurde/n denn gefunden und in welcher Datei?
> Traten die Funde gleichzeitig mit Spybot auf? Nicht das es sich um Fehlalarme handelt.
> Ansonsten nochmal Malwarebytes anwerfen und wie gesagt auch mal den Kapsersky Onlinescan drüberjagen.
> 
> Achja ist das eigentliche Problem, also die Software verschwunden?




Also ich hab nichts gemacht außer den Spybot S&D gestartet, dann kam die Meldung find aber irgendwie nichts...
Und das mit der Kaspersky is irgendwie dauerhaft bei mir "überarbeitet"

So stehts da :

Tut uns leid! Der Kaspersky Online Scanner wird gerade überarbeitet und ist deshalb nicht verfügbar. In Kürze wird er mit vielen Detail-Verbesserungen wieder online gehen.


----------



## Argenius Onyxia (13. Oktober 2009)

sympathisant schrieb:


> nicht nur abgesicherter modus. lad dir ne knoppix-cd runter und boote damit. dann virenscanner rüberjagen.



Würde gern wissen was knoppix is, sagt mir nicht viel 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## Arosk (13. Oktober 2009)

Ich hatte auch Probleme mit Viren in letzter Zeit.

Dank Hijackthis und Malwarebytes ist wieder alles unten. 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        



Ansonsten halt Rechner formatieren und dann ist 100% alles weg.


----------



## Rethelion (13. Oktober 2009)

Argenius schrieb:


> Würde gern wissen was knoppix is, sagt mir nicht viel
> 
> 
> Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


Knoppix ist eine Linux-LiveCD die man nicht installieren muss.

Ist das Programm jetzt eigentlich verschwunden oder startet es immer noch?
Wenns is kannst du ja mal wie Arosk schreibt mal Hijackthis runterladen und hier das Logfile posten, dann kann man es sich mal anschauen ob da noch was verdächtiges drinsteht.


----------



## Argenius Onyxia (14. Oktober 2009)

Also soll ich jetzt dieses Hijackthis downloaden und ma durchlaufen lassen ? Wieder im abgesicherten Modus?


----------



## Rethelion (14. Oktober 2009)

Das kannst im normalen Modus laufen lassen, damit es alle aktiven Prozesse annzeigt: http://www.hijackthis.de/de

Ich zitier mich auch nochmal selber:


Rethelion schrieb:


> Ist das Programm jetzt eigentlich verschwunden oder startet es immer noch?


----------



## Argenius Onyxia (14. Oktober 2009)

Rethelion schrieb:


> Das kannst im normalen Modus laufen lassen, damit es alle aktiven Prozesse annzeigt: http://www.hijackthis.de/de
> 
> Ich zitier mich auch nochmal selber:



Also das Programm Security Tool is so wie ich das sehe nicht mehr auf meinem Rechner.
Sagt euch Free Registry Fix was?


----------



## Argenius Onyxia (14. Oktober 2009)

Ähm ich hab ne Frage, wie soll ich das eigentlich machen mit diesem Hijackthis ?


----------



## Rethelion (14. Oktober 2009)

Argenius schrieb:


> Ähm ich hab ne Frage, wie soll ich das eigentlich machen mit diesem Hijackthis ?



Nach dem installieren einmal den PC durchsuchen lassen und das Logfile hier posten.


----------



## Argenius Onyxia (14. Oktober 2009)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:38:58, on 14.10.2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18828)
Boot mode: Normal

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
C:\Windows\system32\NPSService.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\conime.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\System32\rundll32.exe
C:\Windows\SOUNDMAN.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\MySpace\Toolbar\1.0.53.0\MSTBCoreContainer.exe
c:\program files\windows defender\MpCmdRun.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\wbem\wmiprvse.exe


----------



## Argenius Onyxia (14. Oktober 2009)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com?o=13170&l=dis
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: PHPNukeDE Toolbar - {c9508125-4747-4733-b048-e4b82dc9716d} - C:\Program Files\PHPNukeDE\tbPHPN.dll
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: MySpace Toolbar - {28AED1AF-B164-44CD-B435-CF04AA955015} - C:\Program Files\MySpace\Toolbar\1.0.53.0\MySpaceToolbar.dll
O2 - BHO: UrlHelper Class - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_16\bin\ssv.dll
O2 - BHO: PHPNukeDE Toolbar - {c9508125-4747-4733-b048-e4b82dc9716d} - C:\Program Files\PHPNukeDE\tbPHPN.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll
O3 - Toolbar: PHPNukeDE Toolbar - {c9508125-4747-4733-b048-e4b82dc9716d} - C:\Program Files\PHPNukeDE\tbPHPN.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: MySpace Toolbar - {28AED1AF-B164-44CD-B435-CF04AA955015} - C:\Program Files\MySpace\Toolbar\1.0.53.0\MySpaceToolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /F "C:\Windows\TEMP\E_S4259.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [Steam] "d:\steam\steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: WeGame.lnk = D:\WeGame\wegame.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE15~1.0_1\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE15~1.0_1\bin\ssv.dll
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Program Files\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Program Files\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O13 - Gopher Prefix: 
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira Upgrade Service (AntiVirUpgradeService) - Unknown owner - C:\Users\evren\AppData\Local\Temp\AVSETUP_4a3e4e5c\basic\avupgsvc.exe (file missing)
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NPSService - Jitbit Software - C:\Windows\system32\NPSService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe

--
End of file - 8244 bytes


----------



## Rethelion (15. Oktober 2009)

Also ich kann da jetzt nichts ungewöhnliches entdecken, nur ein paar Einträge die mir nichts sagen:
PHPNukeDE Toolbar und NPSService.exe; Bearshare würd ich deinstallieren.
Aber vll sieht jemand anders was in dem Log, was ich übersehen habe.


Btw. hast, bzw. hattest du einmal AVG-Antivirus installiert?


----------



## Raefael (15. Oktober 2009)

NPSService.exe scheint ein Teil von einem Macrorecorder zu sein. Quelle
Bin allerdings nur durch einen Eintrag in Google darauf gestossen, ob der Hinweis verlässlich ist kann ich nicht sagen.

PHPNuke Toolbar scheint nichts bösartiges zu sein.

Ein paar Einträge von *hüst* Bear*hare sind zu finden ...

Ansonsten kann ich auch nichts entdecken.

//Rafa


----------



## Argenius Onyxia (15. Oktober 2009)

Also ich hatte bisher immer nur Avira, und ka was avg antivirus is.


----------



## avatarwow (27. Februar 2010)

Lsass.exe ist die 1 form des Dasser viruses es setzt sich in deinem Windows Ordner fest und ergreift sich alle Administrationsrechte.	das Virus zu löschen ist schwer ich sitze bereits seid 1 woche dran und die Festpöatte lässt sich nicht formatieren... WENN JEMAND DAS VIRUS BESIEGT BZW DIE FESTPLATTE FORMATIEREN KONNTE MELDET EUCH UND REGISTRIERT EUCH!!! vielen dank


----------



## tschilpi (27. Februar 2010)

Tikume schrieb:


> Mach den Rechner platt .... ausser Du willst einen Guiness Rekord aufstellen.


Meine Rede.. Bitte, wenn euer Rechner schon infiziert ist, formatiert ihn, anstatt alles noch schlimmer zu machen.


----------



## Rethelion (27. Februar 2010)

avatarwow schrieb:


> Lsass.exe ist die 1 form des Dasser viruses es setzt sich in deinem Windows Ordner fest und ergreift sich alle Administrationsrechte.	das Virus zu löschen ist schwer ich sitze bereits seid 1 woche dran und die Festpöatte lässt sich nicht formatieren... WENN JEMAND DAS VIRUS BESIEGT BZW DIE FESTPLATTE FORMATIEREN KONNTE MELDET EUCH UND REGISTRIERT EUCH!!! vielen dank



Die lsass.exe(l = L) aus dem obigen HJT-Log ist der echte Dienst von Windows; vorausgesetzt er wird so geschrieben und findet sich auch unter C:\Windows\System32.
Leg die Windows-CD ein und formatiere da deine Festplatte, das sollte immer gehen egal was du dir eingefangen hast. Sonst lad dir Knoppix oder ähnliches runter.

Übrigens wenn man in einem Forum eine gescheite Antwort haben will sollte man selbst wenigstens ein bisschen auf die äußere Form, Rechtschreibung, usw. achten.


----------

