[styleforce]

hallo!

hab seit gestern

2 komische Symbole aufn Desktop und nach jedem Boot kommt eine
dieser Fehlermeldung auf Englisch von wegen "Your System is infected" bla...

Habe jetzt Kaspersky antivir und spybot s&d drüber rennen lassen
die kriegen das Zeug nicht platt ...

wie bekomm ich das jetzt also weg?

Verknüpfung 1: Name: Help and Support Center
Verknüpfung 2: Windows Update

...

need help will den kagg da jetzt endlich weghabn..
sp2 plus alle sicherheits updates is drauf :/

Angehängte Datei(en)

•  Symbole.bmp (65,44K)
  Anzahl der Downloads: 70

[SunsEt]

formatieren wenn du dir sicher bist das es ein virus ist.
denn Kompromittierung

win neu installieren nach der anleitung
Windows - Sicher Konfiguriert!

was du vorher noch machen könntest: uns deinen Hijackthis log posten.

Dieser Beitrag wurde von SunsEt bearbeitet: 21. Dezember 2007 - 18:54

[styleforce]

oh das übel...

wollte eigentlich nich allet nochma neu machen :/


was ein scheiss ey....

drecks kagge da...
ja isn virus/malware/spyware oder wie man das auch nennen möchte!!!

keine alternativ lösung ohne alles neumachen zu müssen...
system ist gerade 3 wochen alt :/

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:56:53, on 21.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\System32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Sygate\SPF\smc.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\RTHDCPL.EXE
D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
D:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
D:\Programme\CPUCooL\CooLSrv.exe
D:\WINDOWS\system32\PnkBstrA.exe
D:\WINDOWS\system32\wscntfy.exe
D:\WINDOWS\system32\sjfwmsgm.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.co...earch_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVP] "D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{10F3AF4A-1DCF-4582-AABF-884396F3806B}: NameServer = 217.237.150.51 217.237.148.22
O17 - HKLM\System\CS1\Services\Tcpip\..\{10F3AF4A-1DCF-4582-AABF-884396F3806B}: NameServer = 217.237.150.51 217.237.148.22
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - D:\Programme\CPUCooL\CooLSrv.exe
O23 - Service: DomainService - - D:\WINDOWS\system32\sjfwmsgm.exe
O23 - Service: Microsoft cache control (MSControlService) - Unknown owner - D:\WINDOWS\system32\windows (file missing)
O23 - Service: PnkBstrA - Unknown owner - D:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - D:\Programme\Sygate\SPF\smc.exe

--
End of file - 3929 bytes

Dieser Beitrag wurde von styleforce bearbeitet: 21. Dezember 2007 - 18:57

[SunsEt]

lies dir rikas post vom ersten oben genannten link durch, dann verstehst du auch wieso. für die zukunft einfach besser aufpassen und wenn möglich ein image einer sauberen frischen installation machen. damit ersparst du dir dann die zeit.

[Jay-Jay]

ja schützt du dich ä sorry - deinen pc nicht mit einer antivirensoftware?
ah doch - seh grade ... also ich würde "sjfwmsgm.exe" mitunter für den übeltäter halten.

O23 - Service: DomainService - - D:\WINDOWS\system32\sjfwmsgm.exe


toodles
jay-jay

Dieser Beitrag wurde von Jay-Jay bearbeitet: 21. Dezember 2007 - 19:03

[styleforce]

zum zeitpunkt des "befalls" lief die Sygate Firewall und der AntiVir Guard...


jetzt Kaspersky und Sygate Firewall.....


also komplett platt oder normale "reparatur Installation" ?

edit:

ja das seh ich auch die dat einfach löschen oder wie?

Dieser Beitrag wurde von styleforce bearbeitet: 21. Dezember 2007 - 19:04

[Jay-Jay]

dann lass am besten nach dem adware drüber ist mal den spybot noch drüberlaufen: http://www.spybot.info
... alle updates noch beschaffen (intere updatefunktion des spybots dazu nutzen)
bevor du das programm ´s erste mal laufen läßt.


toodles
jay-jay

Dieser Beitrag wurde von Jay-Jay bearbeitet: 21. Dezember 2007 - 19:07

[ph030]

Alles, was nicht formatieren ist, ist und bleibt grob fahrlässig!

[styleforce]

spybot s&d hab ich ja schon drüber laufen lassen...
der erzählte dann was von das einer der prozesse "läuft"
und erst nach einem neustart eventl beseitigen werden kann..
also reboot dann direkt wieder das fenster mit dem englischen-kram da
und spybot rennt nochmal durch findest wieder was...
markierte probs beheben... spybot sagt nochmal restart..
und siehe da... das ding immernoch da...
:/

[Jay-Jay]

reparaturinstallation auf keinen fall, da der registryeintrag btw. serviceeintrag für diesen "vermutlichen" dienst nicht gelöscht wird.

toodles
jay-jay

Zitat (styleforce: 21.12.2007, 20:09)

spybot s&d hab ich ja schon drüber laufen lassen...
der erzählte dann was von das einer der prozesse "läuft"
und erst nach einem neustart eventl beseitigen werden kann..
also reboot dann direkt wieder das fenster mit dem englischen-kram da
und spybot rennt nochmal durch findest wieder was...
markierte probs beheben... spybot sagt nochmal restart..
und siehe da... das ding immernoch da...
:/

und dabei hattest du weiterhin eine internetverbindung (schnipp-schnapp - bitte trennen sie
dazu ihre internetverbindung) und womöglich noch die systemwiederherstellung aller deiner
laufwerke aktiv oder?


toodles
jay-jay

[styleforce]

okay...
also neu inst inkl sp2 und allem was dazu gehört und dann?!

keine background software like kaspersky?

[SunsEt]

nen antivieren programm kann zusätzlich nicht wirklich schaden. lass allerdings die finger von firewall programmen. die machen idr mehr schaden als nutzen. konfigurier dein system wie oben im zweiten link beschrieben und erst wenn du alles fertig konfiguriert hast lässt du dein rechner ins netz. überleg also jetzt gut was du dafür evtl noch runterladen musst und mach das bevor du dein system nieder machst.

edith sagt das auch ein image mit zB acronis zukünftig nicht schaden würde. acronis true image ist allerdings nicht kostenlos aber wenn man hin und wieder experimentiert oder sich der sicherheit seines systems nicht sicher ist, sein geld allemal wert.

image einspielen ~15min, kannst ja mal die zeit stoppen die du brauchst um dein win neu zu installieren und einzurichten, glaub kaum das du da mit 15min hinkommst

Dieser Beitrag wurde von SunsEt bearbeitet: 21. Dezember 2007 - 19:24

[Jay-Jay]

plus z.b. firefox inkl. adblock plus und surfe nur auf seiten denen du vertrauen schenkst (- gibts die?):]
wichtig auch bei einer antivirensoftware immer auf die updates schauen ob sie auch ausgeführt wurden
und blos nicht anfangen danach die sicherheit zu verschludern.


toodles
jay-jay