Steffen D Geschrieben 25. September 2009 Geschrieben 25. September 2009 Hallo, ich habe unbemerkt das Fakeprogramm SecurityFighter runtergeladen. Es nervt mich aller 30sekunden mit Warntönben und Warnmeldungen über den Angriff von Viren. Bisher habe ich rausgefunden das dies eine Masche ist damit man das payware programm davon kauft. Ich kann nirgents das Programm löschen noch finde ich irgentwo Einträge, bin drauf und dran meine c: zu formatieren. SecurityFighter wird eine falsche Systemüberprüfung generieren mit falschen Ergebnissen. Wenn Ihr Computer in letzter Zeit langsamer geworden ist oder unstabil besteht die Möglichkeit, dass sich SecurityFighter auf Ihrem Computer befindet. Ignorieren Sie alle Sicherheitsmeldungen von SecurityFighter, aber vergessen Sie nicht, dass Ihr Computer trotzdem infiziert ist, und diese Infektion ist SecurityFighter selbst. Kaufen Sie keine Vollversion von SecurityFighter, die verspricht, alle Probleme zu beseitigen. Denn die einzigen Probleme die Sie tatsächlich haben sind die Probleme, die SecurityFighter verursacht hat. Sie müssen es von Ihrem System entfernen und nicht nachlassen, bis Ihr System komplett bereinigt ist. Hier ist meine Logfile von HijackThis Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Windows\RtHDVCpl.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe C:\Program Files\Java\jre6\bin\jusched.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Windows\System32\dj9gs8vm.exe C:\Users\Shaun Das Schaf\AppData\Local\Google\Update\1.2.183.7\GoogleCrashHandler.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe C:\Windows\system32\wbem\unsecapp.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Preserve R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Lexmark Symbolleiste - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O3 - Toolbar: Lexmark Symbolleiste - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [startCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKCU\..\Run: [Google Update] "C:\Users\Shaun Das Schaf\AppData\Local\Google\Update\GoogleUpdate.exe" /c O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe O4 - HKCU\..\Run: [dj9gs8vm.exe] C:\Windows\system32\dj9gs8vm.exe O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll O13 - Gopher Prefix: O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{C44BEC81-60C4-46A5-A0BA-320C3776DE99}: NameServer = 213.191.74.11 213.191.92.82 O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe O23 - Service: Google Update Service (gupdate1c98afa9df1b8) (gupdate1c98afa9df1b8) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: lxdnCATSCustConnectService - Lexmark International, Inc. - C:\Windows\system32\spool\DRIVERS\W32X86\3\\lxdnserv.exe O23 - Service: lxdn_device - - C:\Windows\system32\lxdncoms.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\Windows\system32\oodag.exe O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Windows\System32\TuneUpDefragService.exe O23 - Service: @%SystemRoot%\System32\TUProgSt.exe,-1 (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\Windows\System32\TUProgSt.exe -- End of file - 6012 bytes Any ideas? Wäre sehr dankbar für hilfe! Zitieren
siebenmann07 Geschrieben 25. September 2009 Geschrieben 25. September 2009 Versuche mal das internet auszustöpseln, die Systemüberwachung auszuschalten dann den Virusscan laufen zu lassen. So bin ich viele hartnäckige Trojaner losgeworden. Zitieren
Steffen D Geschrieben 25. September 2009 Autor Geschrieben 25. September 2009 Wo soll ich die systemüberw. ausschalten? Sorry aber ich möchte nix falsch machen. Zitieren
Oshkosh Geschrieben 25. September 2009 Geschrieben 25. September 2009 Moin, Running processes: C:\Windows\System32\dj9gs8vm.exe O4 - HKCU\..\Run: [dj9gs8vm.exe] C:\Windows\system32\dj9gs8vm.exe das sieht verdächtig aus. Weiteres zu Thema hier: http://blogs.technet.com/markrussinovich/archive/2006/01/03/the-antispyware-conspiracy.aspx Gruß, Markus Zitieren
Steffen D Geschrieben 25. September 2009 Autor Geschrieben 25. September 2009 @ oskosh Danke, das ist es, hab im Taskmanager es beendet und es istr weg, aber wie kann ich es für immer löschen? In C:\Windows\System32\ findet es kein dj9gs8vm.exe Zitieren
siebenmann07 Geschrieben 25. September 2009 Geschrieben 25. September 2009 versuch mal unter diesen links: http://www.uhus.cc/?tag=trojaner-viren-maleware http://www.hijackthis-forum.de/tipps-tricks/2912-anleitung-zur-bereinigung-von-malware.html Zitieren
Jakob Maurer Geschrieben 25. September 2009 Geschrieben 25. September 2009 ...oder mit ComboFix: http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird Die Einleitung tönt dramatischer als es ist. Das Programm laufen lassen und hoffen, dass es das Virus entfernt, ist das Eine (bei mir hat es auf Anhieb geklapp [allerdings bei einem anderen Problem]), aufgrund der Log-Datei im Bedarfsfall weiter einzugreifen, das andere. Viel Glück! Jakob Zitieren
Oshkosh Geschrieben 26. September 2009 Geschrieben 26. September 2009 Moin, Danke, das ist es, hab im Taskmanager es beendet und es istr weg, aber wie kann ich es für immer löschen? In C:\Windows\System32\ findet es kein dj9gs8vm.exe das Programm wird über einen Schlüssel in der Registry gestartet: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run [dj9gs8vm.exe] Mit dem Registry Editor (Regedit.exe) kannst du diesen Schlüssel suchen und löschen - sofern du dir sicher bist, das es sich um deinen "Scareware-Virenscanner" handelt. Die Datei ist definitiv vorhanden, vielleicht ist sie versteckt. Effektiver wäre die Sicherung deiner Daten nachdem du den Schlüssel entfernt hast und einer Neuinstallation deines Rechners. Einem mit Schadsoftware infizierten Rechner kann man nicht mehr vertrauen, wer weiß, was die Software noch veranstaltet, bzw. ob noch Teile davon auf dem Rechner lauern. Einige dieser Programme laden selbstständig neue Bestandteile aus dem Internet herunter... Gruß, Markus Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.