[Frage] Malware und ähnliches entfernen?

[after-eight]

Hi, jetzt ist mir was dummes passiert. Bin wie immer ganz normal gesurft, und jetzt hab ich mir da irgendwo ein Malware oder Spyware eingefangen. Das heißt immer wenn ich vorm Rechner sitze dann kommt immer von alleine so nee sche... Internetseite mit Werbung und sowas. Und wenn ich offline bin, dann fragt ein manager ob ich zu einer seite verbinden will oder nicht. das nervt total. und mit meinem kaspersky oder Spybot kriege ich das nicht weg. Kennt da einer so ein Programm womit ich dem ein Ende bereiten kann? Wäre echt dankbar

 

[terminator2k2]

IE User?.. selbt schuld..

nod bzw smart security, musst aber die mail angeben: https://www.eset.de/download
Adaware: http://testde.lavasoft.com/single/trialpay/index.php

 

[after-eight]

ok, habs mal ausprobiert mit beiden. ist aber leider immer noch nicht weg :-( scheint sich um was hartneckiges zu handeln. und dadurch wirkt auch der rechner etwas langsamer. echt schade. jetzt hilft nur noch ein wunder^^

 

[terminator2k2]

hast du irgendeinen Namen von der Malware? oder irgendwelche verdächtige Prozesse?

 

[Noob]

also vll solltest du mal das Programm SpyBot - Search & Destroy ausprobieren. Ist ein sehr gutes Programm um Malware zu finden gibt es hier: http://www.safer-networking.org/de/index.html

 

[terminator2k2]

also vll solltest du mal das Programm SpyBot - Search & Destroy ausprobieren. Ist ein sehr gutes Programm um Malware zu finden gibt es hier: http://www.safer-networking.org/de/index.html

hast du überhaupt gelesen was er geschrieben hat?

"und mit meinem kaspersky oder Spybot kriege ich das nicht weg. Kennt da einer so ein Programm womit ich dem ein Ende bereiten kann? Wäre echt dankbar"

 

[after-eight]

ich hab da mal was gelesen. "webhancer" und manchmal finde ich auch dateien die "HKEY" heißen. o bitte das mein rechner nicht stirbt XD

 

[Edward Teach]

Hatte ich auch mal drauf. Alles mögliche ausprobiert, aber das einzige was bei mir wirklich geholfen hat war Format C: und Windoofs neu drauf. Wahr ganz schön genervt. Und das 2 x hintereinander. Naja
wie du siehst aus Schaden wird mann (ich) nicht klug. Wie hast du den überhaupt draufbekomme. Ich hatte irgend so ein Mediacodec den ich angeblich dringend brauchte installiert.

 

[terminator2k2]

HKey sind die Registry Einträge

Spyware.Webhancer is a program that monitors Web sites visited and sends this information to a remote server.

Bundled with other programs, particularly certain versions of Grokster and AudioGalaxy.

hast du grokster oder audio galaxy installiert?

probier mal das..
http://www.softpedia.com/get/Antivirus/Webhancer-Removal-Tool.shtml

 

[arschbarsch]

Lad mal Hijackthis runter und poste in dem Forum deine Logfiles, womöglich können die dir helfen.

 

[after-eight]

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:27:26, on 18.10.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\vsnpstd3.exe
C:\WINDOWS\System32\regsvr32.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Dokumente und Einstellungen\King-Baden\Anwendungsdaten\Facegame\Facegame.exe
C:\Tbridge\Flatbed.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [kis] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [nplpcdphehtvc] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\System32\bgdcpuhzzu.dll"
O4 - HKLM\..\Run: [883bb167] rundll32.exe "C:\WINDOWS\System32\oalhybea.dll",b
O4 - HKLM\..\Run: [SpyHunter Security Suite] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Facegame] "C:\Dokumente und Einstellungen\King-Baden\Anwendungsdaten\Facegame\Facegame.exe" 61A847B5BBF728173599284503996897C881250221C8670836AC4FA7C8833201749139
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Detector.lnk = ?
O8 - Extra context menu item: Add to Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O15 - Trusted Zone: *.antimalwareguard.com
O15 - Trusted Zone: *.antispyexpert.com
O15 - Trusted Zone: *.avsystemcare.com
O15 - Trusted Zone: *.gomyhit.com
O15 - Trusted Zone: *.imageservr.com
O15 - Trusted Zone: *.imagesrvr.com
O15 - Trusted Zone: *.onerateld.com
O15 - Trusted Zone: *.safetydownload.com
O15 - Trusted Zone: *.spyguardpro.com
O15 - Trusted Zone: *.storageguardsoft.com
O15 - Trusted Zone: *.trustedantivirus.com
O15 - Trusted Zone: *.virusremover2008.com
O15 - Trusted Zone: *.virusschlacht.com
O15 - Trusted Zone: *.amaena.com (HKLM)
O15 - Trusted Zone: *.antimalwareguard.com (HKLM)
O15 - Trusted Zone: *.antispyexpert.com (HKLM)
O15 - Trusted Zone: *.avsystemcare.com (HKLM)
O15 - Trusted Zone: *.gomyhit.com (HKLM)
O15 - Trusted Zone: *.imageservr.com (HKLM)
O15 - Trusted Zone: *.imagesrvr.com (HKLM)
O15 - Trusted Zone: *.onerateld.com (HKLM)
O15 - Trusted Zone: *.safetydownload.com (HKLM)
O15 - Trusted Zone: *.spyguardpro.com (HKLM)
O15 - Trusted Zone: *.storageguardsoft.com (HKLM)
O15 - Trusted Zone: *.trustedantivirus.com (HKLM)
O15 - Trusted Zone: *.virusremover2008.com (HKLM)
O15 - Trusted Zone: *.virusschlacht.com (HKLM)
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll dbiwbs.dll rgszvi.dll dudkgv.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe

--
End of file - 6240 bytes



Hoffe ihr könnt daraus was erkennen^^ Habe keine Ahnung

 

[Kalo]

also ich finde das verdächtig:

Facegame.exe
SpyHunter3.exe

glech wie diese trusted zones aber die hat vermutlich die spy-adware erstellt

ich will jetzt nichts gutes über Microsoft sagen aber das removal tool von microsoft hat mir mal geholfen.
http://www.microsoft.com/downloads/details.aspx?FamilyID=ad724ae0-e72d-4f54-9ab3-75b8eb148356&displaylang=de

 

[arschbarsch]

@ after-eight

Sorry hatte mich missverständlich ausgedrückt, meinte dieses Forum: http://www.hijackthis.de/de Also ich weiss nur, dass die Admins da einem sehr oft helfen und ich einfach mal behaupte, dass es wahrscheinlicher ist, dass die dort dein Problem lösen können als die auf diesem Board (nur ne Bauhauptung).

 

[Qwasi]

wenn ich mir mal was eingefangen hab was spybot und nod32 nicht gelöscht haben

einfach den rechner neustarten, in den abgesicherten modus gehen

W!!!: IE nicht starten

dann unter c:\dokumente und einstellungen die ordneransicht einstellen "versteckte dateien und ordner anzeigen"
dann mal unter C:\Dokumente und Einstellungen\King-Baden\Anwendungsdaten Facegame-Ordner löschen (im normalen Modus nicht möglich, da meldung kommt "dieses Programm kann nicht gelöscht werden da es gerade benutzt wird"
dann noch unter C:\Dokumente und Einstellungen\all users\Anwendungsdaten nachprüfen
und unter c:\programme oder c:\Programm Files durchsuchen nach auffälligen ordner, ggf löschen
den autostart kontrollieren und ggf. einträge zu den zu löschenden programmen deaktivieren und löschen

Frage: hast du 2 anti-spyware-programme drauf? wenn ja, lösch eins, weil sich verschieden spyware-programme sich gegenseitig als spyware erkennen. beide erstellen eine datei die das andere als schad-programm identifiziert. ich würde spybot drauflassen und Spyhunter3 deinstallieren

dann nochmal Hijackthis und Spybot kontrollieren lassen

und zum schluss abmelden und normal hochfahren

 

[after-eight]

erstmal danke für eure bemühungen. aber es hilft alles nix =( die werbungseiten öffnen sich immer noch. scheint wohl in der regystry was kaputt zu sein. hilft es was wenn ich windows einfach neu drüber installier? und bleiben dann meine daten auch alle drauf? eigentlich schon oder. wird ja nur das windows neu gemacht. bitte um antwort^^