11
"Your computer is infected"
Hi @ all
Hab hier ein kleines Problem mit nem Laptop von nem Bekannten. Muss die Geschichte, glaub ich, von Anfang an erzählen. Also, es war einmal..........................keine Angst
. Hab den Laptop bekommen, der war voller Viren, Trojaner. Hatte gehörige Probleme mit einem namens TR/StartPage.arf.2 oder so. Hab ihn und seine Kumpels aber alle Löschen können. Während der ganzen Zeit hat mich aber Windows, rechts unten aus der Taskleiste, immer mit der Meldung: "Your computer is infected" genervt. Nun is der Rechner ja eigentlich "porentief rein". Aber ich bekomme immernoch die selbe Meldung. Der Laptop läuft mit Windows XP Home, SP2 und allen aktuellen Updates zu Windows. Hab ne menge Tools rüberlaufen lassen Adaware und ne Menge andere und so. Alle sagen der Rechner is sauber. Was kann ich tun?
Gruß, Alex
Hab hier ein kleines Problem mit nem Laptop von nem Bekannten. Muss die Geschichte, glaub ich, von Anfang an erzählen. Also, es war einmal..........................keine Angst
. Hab den Laptop bekommen, der war voller Viren, Trojaner. Hatte gehörige Probleme mit einem namens TR/StartPage.arf.2 oder so. Hab ihn und seine Kumpels aber alle Löschen können. Während der ganzen Zeit hat mich aber Windows, rechts unten aus der Taskleiste, immer mit der Meldung: "Your computer is infected" genervt. Nun is der Rechner ja eigentlich "porentief rein". Aber ich bekomme immernoch die selbe Meldung. Der Laptop läuft mit Windows XP Home, SP2 und allen aktuellen Updates zu Windows. Hab ne menge Tools rüberlaufen lassen Adaware und ne Menge andere und so. Alle sagen der Rechner is sauber. Was kann ich tun?Gruß, Alex
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 19478
Url: https://administrator.de/contentid/19478
Ausgedruckt am: 23.11.2024 um 08:11 Uhr
11 Kommentare
Neuester Kommentar
Hi,
Was kann ich tun?
...ich glaube, Neuinstallation ist der schnellste und sicherste Weg!
Psycho
Was kann ich tun?
...ich glaube, Neuinstallation ist der schnellste und sicherste Weg!
Psycho
@ Psycho
Wollte ein neuaufsezten eigentlich vermeiden.
Wollte ein neuaufsezten eigentlich vermeiden.
... dann lies dir mal deinen eigenen Beitrag durch und rechne die investierte Zeit nach!
Psycho
Psycho
Google ist dein Freund !
Ich hatte das auch und es hat mich 2 Besuche bei meiner Bekannten gekostet, das Biest zu löschen.
Ist ein "Kollege" der sich versteckt....
Ich glaube, Google hat mir ein paar Anleitungen geliefert.
Alle Arbeit beginnt mit HiJackThis, MSCONFIG und Google....
Ich hatte das auch und es hat mich 2 Besuche bei meiner Bekannten gekostet, das Biest zu löschen.
Ist ein "Kollege" der sich versteckt....
Ich glaube, Google hat mir ein paar Anleitungen geliefert.
Alle Arbeit beginnt mit HiJackThis, MSCONFIG und Google....
Moinz,
hatte schon oft, dass sich die Biester in den Dateien der automatischen Systemwiederherstellung verstecken.
Dieses Feature ausschalten, reboot und dann nochmal scannen!
Gruss Fugu
hatte schon oft, dass sich die Biester in den Dateien der automatischen Systemwiederherstellung verstecken.
Dieses Feature ausschalten, reboot und dann nochmal scannen!
Gruss Fugu
So Leute.
Hab die Systemwiederherstellung deaktiviert. Habe ne menge Tools rüberlaufen lassen. escan, Hijackthis usw. Aber die Meldung "Your computer is infected" erscheint nach wie vor.
Hier mal die Hijackthis Logdatei:
Logfile of HijackThis v1.99.1
Scan saved at 16:19:56, on 11.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVWIN.EXE
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kavss.exe
C:\tmp\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [epm-dm] c:\acer\epm\epm-dm.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: Webfilter - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Webfilter - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/w ...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client ...
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AdobeVersionCue - Adobe Sytems - C:\Programme\Adobe\Adobe Version Cue\service\VersionCue.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: F-Secure 2006 (BackWeb Plug-in - 4476822) - F-Secure Internet Security 2005 - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure HTTP Server (fshttps) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FSPC\fshttps\fshttps.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
Hoffe ihr könnt mir dazu was sagen.
Gruß Alex
Hab die Systemwiederherstellung deaktiviert. Habe ne menge Tools rüberlaufen lassen. escan, Hijackthis usw. Aber die Meldung "Your computer is infected" erscheint nach wie vor.
Hier mal die Hijackthis Logdatei:
Logfile of HijackThis v1.99.1
Scan saved at 16:19:56, on 11.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVWIN.EXE
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kavss.exe
C:\tmp\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [epm-dm] c:\acer\epm\epm-dm.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: Webfilter - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Webfilter - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/w ...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client ...
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AdobeVersionCue - Adobe Sytems - C:\Programme\Adobe\Adobe Version Cue\service\VersionCue.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: F-Secure 2006 (BackWeb Plug-in - 4476822) - F-Secure Internet Security 2005 - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure HTTP Server (fshttps) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FSPC\fshttps\fshttps.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
Hoffe ihr könnt mir dazu was sagen.
Gruß Alex
HijackThis bietet auf der Webseite ein Tool zum Analysieren der Log-Files an.
Schau Dir das mal an - vielleicht hilft dir das weiter.
Aber aus Erfahrung mit Kunden-PCs kann ich nur sagen:
PLATTMACHEN !
Ich war auch schon X-mal der Meinung, ich hätte das Übel an der Wurzel gepackt,
aber nach dem nächsten Neustart / Internetverbindung war es wieder da...
Gruß
Schau Dir das mal an - vielleicht hilft dir das weiter.
Aber aus Erfahrung mit Kunden-PCs kann ich nur sagen:
PLATTMACHEN !
Ich war auch schon X-mal der Meinung, ich hätte das Übel an der Wurzel gepackt,
aber nach dem nächsten Neustart / Internetverbindung war es wieder da...
Gruß
Hallo,
weisst Du denn, ob diese Meldung vom Virenscanner kommt oder von einem "Dreckspatz" selbst? Ich meine was passiert weiter? Zieh mal das Kabel zum Internet ab, dann kann das Teil nichts mehr nachladen wenn es ein Bösewicht sein sollte.
Ich würde Dir als erstes Mal raten, all den Kram der da noch so läuft mal zu killen bzw. erst gar nicht mehr starten zu lassen. Lade Dir dazu mal "Autoruns" von www.sysinternals.com
Danach solltest Du Dir mal die Liste der Dienste ansehen. Verdächtig sind immer die, die keine Beschreibung haben oder eine Englische.
Hier findest Du eine Liste mit den Standard-Diensten von WindowsXP: http://www.winhelpline.info/daten/index.php?shownews=434
Bei allen andern kannst Du bei Verdacht den Dienst mal beenden. Sollte er sich ein paar Sekunden später wieder selber aktiviert haben, ist das der Übeltäter. Dann hilft vielleicht der folgende Trick: Stelle den Starttyp des bereffenden Dienstes auf Deaktiviert, klicke unten auf Übernehmen und drücke sofort danach den Hardware-Reset. So hat der Bösewicht keine Zeit sich wieder auf aktiv zu setzen.
Ausserdem ist mir aufgefallen dass da mehrere Antiviren-Programme zu laufen scheinen ... das kann auch Probleme machen. Wie schon gesagt, Internetverbindung kappen und dann auch mal vorübergehend auf einen Virenscanner verzichten.
Vielleicht hilft Dir auch das hier weiter:
http://board.protecus.de/t18722.htm
Gruss,
Thomas
weisst Du denn, ob diese Meldung vom Virenscanner kommt oder von einem "Dreckspatz" selbst? Ich meine was passiert weiter? Zieh mal das Kabel zum Internet ab, dann kann das Teil nichts mehr nachladen wenn es ein Bösewicht sein sollte.
Ich würde Dir als erstes Mal raten, all den Kram der da noch so läuft mal zu killen bzw. erst gar nicht mehr starten zu lassen. Lade Dir dazu mal "Autoruns" von www.sysinternals.com
Danach solltest Du Dir mal die Liste der Dienste ansehen. Verdächtig sind immer die, die keine Beschreibung haben oder eine Englische.
Hier findest Du eine Liste mit den Standard-Diensten von WindowsXP: http://www.winhelpline.info/daten/index.php?shownews=434
Bei allen andern kannst Du bei Verdacht den Dienst mal beenden. Sollte er sich ein paar Sekunden später wieder selber aktiviert haben, ist das der Übeltäter. Dann hilft vielleicht der folgende Trick: Stelle den Starttyp des bereffenden Dienstes auf Deaktiviert, klicke unten auf Übernehmen und drücke sofort danach den Hardware-Reset. So hat der Bösewicht keine Zeit sich wieder auf aktiv zu setzen.
Ausserdem ist mir aufgefallen dass da mehrere Antiviren-Programme zu laufen scheinen ... das kann auch Probleme machen. Wie schon gesagt, Internetverbindung kappen und dann auch mal vorübergehend auf einen Virenscanner verzichten.
Vielleicht hilft Dir auch das hier weiter:
http://board.protecus.de/t18722.htm
Gruss,
Thomas
Was meinst Du mit "nur auf meiner Maske"? Meinst Du Dein Profil, Dein Anmelde-Account?
Wenn ja, hast Du Admin-Recht und die andern nicht? Wenn es Profilbezogen ist, kannst Du mal einen andern Admin-Account anlegen, Dich mit dem anmelden und den Rechner gründlich mit Virenscanner und Anti-Trojaner und -Spywaretools scannen.
Gruss,
Thomas
Wenn ja, hast Du Admin-Recht und die andern nicht? Wenn es Profilbezogen ist, kannst Du mal einen andern Admin-Account anlegen, Dich mit dem anmelden und den Rechner gründlich mit Virenscanner und Anti-Trojaner und -Spywaretools scannen.
Gruss,
Thomas
Alleine schon die Auswertung des Logfiles zeigt mir, daß da was nicht stimmt.
Wer zum Geier hat AntiVir und F-Secure denn gleichzeitig laufen, häh?
(die Regeln der AV-Hersteller besagen, nur 1 Produkt pro Rechner, gelle...?)
Jeder weitere Post ist sinnlos...
(da nicht geholfen werden kann)
PLATTMACHEN!
Wer zum Geier hat AntiVir und F-Secure denn gleichzeitig laufen, häh?
(die Regeln der AV-Hersteller besagen, nur 1 Produkt pro Rechner, gelle...?)
Jeder weitere Post ist sinnlos...
(da nicht geholfen werden kann)
PLATTMACHEN!
Hallo @ all
Virus Programme werden die Virus nicht finden
!
Habe gelesen das es durch eine dll Datei ausgefürt wird.
Neuinstal. sind bei einigen Usern fehlgeschlagen.
schaut mal hier:
http://virus-protect.net/artikel/spyware/spyaxe.html
ist eine Anleitung.
Habe nun wieder ein fast sauberes System.
Hatte gestern das Vergnügen. Viel Erfolg
LG Olly
Virus Programme werden die Virus nicht finden
!Habe gelesen das es durch eine dll Datei ausgefürt wird.
Neuinstal. sind bei einigen Usern fehlgeschlagen.
schaut mal hier:
http://virus-protect.net/artikel/spyware/spyaxe.html
ist eine Anleitung.
Habe nun wieder ein fast sauberes System.
Hatte gestern das Vergnügen. Viel Erfolg
LG Olly
