PC-Spezis mal wieder gefragt

  • Wenn ich mich aufm PC als "ich" einloggen will (definierter user) meint er nur er koenne das Profil nicht laden udn laed ein Standartprofil.


    Daten sidn noch da aber kein Zugriff da ich halt "nonameuser" ann bin


    AVG-Scanner kann ich noch oeffnen, der blockiert aber wenn ich den starten will.


    Unten rechts neben der Uhr in der Taskleiste habe ich "virus alert" stehen.


    Als ich google.de oeffnen wollte prang er sofort auf folgende Seite:


    http://pc-antispypro.com/?wmid=6010&mid=MjI6Mjo4OQ==&lndid=2


    bei


    google.com gings dann abe rnach einiger Zeit kam folgende Meldung


    Insecure Internet activity. Threat of virus attack
    Due to insecure Internet browsing your PC can easily get infected with viruses, worms and trojans without your knowledge, and that can lead to system slowdown, freezes and crashes.
    Also insecure Internet activity can result in revealing your personal information.
    To get full advanced real-time protection for PC and Internet activity, register KvmSecure.
    We recommend you to protect your PC now and continue safe Internet browsing.
    Click here to get full advanced real-time protection and continue browsing.
    Continue to this website unprotected (not recommended).



    Ich hab mir wohl so ne Art Spyware eingefagen oder?
    was kann ich tun?

  • Ja sieht so aus als hättest du dir was eingefangen bzw. ein Hijack.
    Kann dir ein paar Tools empfehlen:
    HijackThis:
    http://www.zdnet.de/windows_sy…load-39002345-20756-1.htm
    Die Auswertung:
    http://www.hijackthis.de/de
    Adaware:
    http://www.chip.de/downloads/A…-2008-Final_13000824.html
    Antivir:
    http://www.free-av.de/de/downl…onal__free_antivirus.html


    Versuch die zu installieren und durchchecken lassen. Ich hab leider die Erfahrung gemacht das man nie alles 100%ig entfernt bekommt und mache in so einen Fall lieber die Maschine platt!

  • So hie rmal meien Logfile.


    Das Tool meldet zwar Fehler nur hab ich keien Ahnugn wie ich diese fixen soll.
    Antivir hab ich schon probiert.
    Ist nicht moeglich es zu installieren, da der Install auf Files zugreift fuer die ich als normaler User keinen Zugriff habe.
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
    C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
    C:\Programme\Bonjour\mDNSResponder.exe
    C:\WINDOWS\system32\Hummbird\inetd32.exe
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Programme\CyberLink\Shared Files\RichVideo.exe
    C:\WINDOWS\System32\snmp.exe
    C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programme\ThreatFire\TFService.exe
    C:\Programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe
    C:\Programme\IBM ThinkVantage\Common\Scheduler\tvtsched.exe
    C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
    C:\PROGRA~1\SPEEDB~1\VideoAcceleratorService.exe
    C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
    C:\WINDOWS\System32\alg.exe
    C:\Programme\IBM ThinkVantage\Common\Logger\logmon.exe
    C:\WINDOWS\Explorer.EXE
    C:\PROGRA~1\SPEEDB~1\VideoAcceleratorEngine.exe
    C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
    C:\Programme\iTunes\iTunesHelper.exe
    C:\Programme\ThreatFire\TFTray.exe
    C:\PROGRA~1\Ahead\NEROPH~2\data\Xtras\mssysmgr.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe
    C:\Programme\Intuwave\Shared\mRouterRuntime\mRouterConfig.exe
    C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\Programme\TomTom HOME 2\HOMERunner.exe
    C:\Programme\Windows Live\Messenger\msnmsgr.exe
    C:\PROGRA~1\Intuwave\Shared\MROUTE~1\mRouterRuntime.exe
    C:\Programme\iPod\bin\iPodService.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Programme\DAP\DAP.EXE
    C:\Programme\Trend Micro\HijackThis\HijackThis.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe


    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/ju…d=6010&mid=MjI6Ojg5&lid=2
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.100.191.4:8080
    R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [94e41087] rundll32.exe "C:\WINDOWS\system32\wcymflyw.dll",b
    O4 - HKLM\..\Run: [ThreatFire] C:\Programme\ThreatFire\TFTray.exe
    O4 - HKCU\..\Run: [PhotoShow Deluxe Media Manager] C:\PROGRA~1\Ahead\NEROPH~2\data\Xtras\mssysmgr.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe -hidden
    O4 - HKCU\..\Run: [mRouterConfig] "C:\Programme\Intuwave\Shared\mRouterRuntime\mRouterConfig.exe"
    O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [NBJ] "C:\PROGRA~1\Ahead\NEROBA~1\NBJ.exe"
    O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programme\TomTom HOME 2\HOMERunner.exe"
    O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [utilcmdchk] C:\WINDOWS\system32\xepahmty.exe
    O4 - HKLM\..\Policies\Explorer\Run: [BA10GZA0v4] C:\DOKUME~1\Cargolux\LOKALE~1\Temp\pwrmgr.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    O8 - Extra context menu item: &Clean Traces - C:\Programme\DAP\Privacy Package\dapcleanerie.htm
    O8 - Extra context menu item: &Download with &DAP - C:\Programme\DAP\dapextie.htm
    O8 - Extra context menu item: Download &all with DAP - C:\Programme\DAP\dapextie2.htm
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O15 - Trusted Zone: *.cr74pcr
    O15 - Trusted Zone: www.intec.de
    O15 - Trusted Zone: http://wbt1.onlinetrainingport.com
    O15 - Trusted Zone: http://www.onlinetrainingport.com
    O15 - Trusted IP range: http://10.100.191.9
    O17 - HKLM\System\CCS\Services\Tcpip\..\{DA677489-B416-4194-BD9D-6A2B8B06DB71}: NameServer = 10.100.191.9
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
    O21 - SSODL: ngwstxfd - {90F88220-1CDC-4B95-8CA9-AFBF9066E698} - C:\WINDOWS\ngwstxfd.dll
    O21 - SSODL: qrbgltos - {AEA753EA-E9B4-4FF2-A814-DE8EBE268B9C} - C:\WINDOWS\qrbgltos.dll
    O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
    O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
    O23 - Service: AVG Firewall (AVGFwSrv) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
    O23 - Service: Bonjour Service - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
    O23 - Service: Droppix Service - Droppix - C:\Programme\Gemeinsame Dateien\Droppix\DxService.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Hummingbird Inetd (HCLInetd) - Hummingbird Communications Ltd. - C:\WINDOWS\system32\Hummbird\inetd32.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: iPod Service - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
    O23 - Service: ThreatFire - PC Tools - C:\Programme\ThreatFire\TFService.exe
    O23 - Service: TVT Backup Service - Unknown owner - C:\Programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe
    O23 - Service: TVT Scheduler - Unknown owner - C:\Programme\IBM ThinkVantage\Common\Scheduler\tvtsched.exe
    O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
    O23 - Service: VideoAcceleratorService - Speedbit Ltd. - C:\PROGRA~1\SPEEDB~1\VideoAcceleratorService.exe

  • Ad-Aware hat Malware Virtumonde gefunden, konnte dieses abe rnicht beseitigen.


    Ein naderes Problem wurde aber anscheinend "behandelt"


    Cleaned Infections
    ===========================
    MRU Registry Key: S-1-5-21-2707638254-4115632804-1805569827-1005\Software\Microsoft\Internet Explorer\TypedURLs Count: 10, Belonging to MRU Object


    End of Cleaned Infections
    ===========================

  • schaut aus, als sei Deine Kiste verseucht. Da hilft nur, eine Boot CD aus dem Netz herunterladen, brennen, das System davon booten und das Betriebssystem mit einem Virenscanner überprüfen.

    ------------------------------------------


    viele Grüße


    Sebastian


    ------------------------------------------

  • Zitat

    Original von chouca
    schaut aus, als sei Deine Kiste verseucht. Da hilft nur, eine Boot CD aus dem Netz herunterladen, brennen, das System davon booten und das Betriebssystem mit einem Virenscanner überprüfen.


    Oder einfacher gesagt:
    Die Platte von einem anderen Recher aus prüfen lassen.
    Das ist schnell gemacht, wenn man noch einen zweiten Rechner im Hause hat.

  • Hi Stocky,
    probier´s mal damit:


    http://www.simplysup.com/tremover/download.html


    damit hab ich hier im Geschäft ziemlich gute Erfahrungen gemacht.


    und wegen dem Anmeldeprofil. Probier mal ob du im
    abgesicherten Modus reinkommst. vielleicht klappt´s ja da.


    hab das log mal überfolgen das muß auf jedenfall weg:


    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmi...=MjI6Ojg5&lid=2


    O4 - HKLM\..\Run: [94e41087] rundll32.exe "C:\WINDOWS\system32\wcymflyw.dll",b


    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1


    O15 - Trusted Zone: *.cr74pcr
    O15 - Trusted Zone: www.intec.de
    O15 - Trusted Zone: http://wbt1.onlinetrainingport.com
    O15 - Trusted Zone: http://www.onlinetrainingport.com
    O15 - Trusted IP range: http://10.100.191.9
    O17 - HKLM\System\CCS\Services\Tcpip\..\{DA677489-B416-4194-BD9D-6A2B8B06DB71}: NameServer = 10.100.191.9


    O21 - SSODL: ngwstxfd - {90F88220-1CDC-4B95-8CA9-AFBF9066E698} - C:\WINDOWS\ngwstxfd.dll
    O21 - SSODL: qrbgltos - {AEA753EA-E9B4-4FF2-A814-DE8EBE268B9C} - C:\WINDOWS\qrbgltos.dll


    und von antivir gibt´s ein image einer linux-rettungscd mit aktuellem virenscanner runterzuladen:
    http://www.free-av.de/de/tools…ntivir_rescue_system.html


    viel erfolg


    vielleicht hilft das ja weiter.