Seltsames Problem durch Antivirus XP

Hallo!

Ich habe ein sehr nerviges Problem. Irgendwie habe ich mir gestern beim Surfen so ein seltsames Antiviren Programm "Antivirus XP 2008" eingefangen, dass auch automatisch installiert wurde. Wie dem auch sei, ich hab es irgendwie geschafft das Ding zu löschen, doch leider gibt es üble Nachwirkungen. Zum einen hat das Programm ein eigenes Desktopbild angelegt. Es ist blau und in der Mitte steht: "Warning! Spyware detected on your computer! Install an antivirus or spywareremover to clean your computer." Hatte gedacht, es würde automatisch verschwinden, nachdem ich das Programnm gelöscht habe, dem ist aber leider nicht so. Und zu allem Überfluss kann ich das Desktopbild ändern. Wenn ich auf dem Desktop auf Einstellungen gehe, stehen nur 3 Reiter zur Verfügung: Designs, Darstellungen und Einstellungen. Wie bekomm ich die restlichen Reiter wieder da rein, damit ich das Desktopbildändern kann.

Allerdings ist das das geringst Übel. Das eigentliche Problem ist extrem nervig und erschwert mir das Schreiben hier enorm. Diese Leiste ganz oben im Internet oder auch bei anderen Programmen (dort wo das Minimieren- und Schließenzeichen ist) flackert dauernd (bzw. es wird plötzlich matt). Das lässt sich schwer erklären. Man muss sich das in etwa so vorstellen: Wenn man z.b. Mozilla laufen hat und die Windowstaste drückt wird ja das Startmenü aufgerufen. Dabei wird der Farbton dieser Zeile ganz oben bei Mozilla so matt. Und das ist bei mir dauernd der Fall (bei jedem Programm) ohne, dass ich etwas mache.
Zudem wird mir ab und an automatisch aangeboten, irgend ein Programm runterzuladen. Folgendes:
Link darf ich wohl nich angeben. Nennt sich jedenfalls PCPrivacytool
Weiß nich, was es ist, daher lass ich es natürlich.

Was kann ich machen? Bitte um Hilfe, bin am verzweifeln...

 

Virensuchlauf etc. geht bei mir leider nicht. Es würde in der Regel um die 15-20 Stunden dauern, bis es fertig ist. Ich hab das in der Vergangenheit schon zwei mal versucht. Es ist bei beiden Versuchen irgendwann hängen geblieben oder abgestürzt.

Sonst hätte ich das schon mir alles dazugeschrieben...

 

Ah, dieses hijackthis ging recht schnell. Ich häng die entsprechende Datei also mal an.

 

Das System ist schlecht geplegt. Java Runtime ist schon Jahre alt und hat unzählige Sicherheitslücken, über die Malware unbemerkt eindringen kann.
Solche Sicherheitslücken werden von Malware, die auf verseuchten Seiten lauert, automatisch ausgenutz. Man muss dann nur mit einem schlecht gepfegten System auf eine solche Seite kommen, um sich zu infizieren.
Der Realplayer ist auch ein Einfallstor für Malware. Der hat ständig Sicherheitslücken.

Das sind schädliche Einträge:

Im ProzessExplorer beenden:
http://technet.microsoft.com/de-de/sysinternals/bb896653.aspx

Code:

C:\microsoft\svchost.exe 10x
C:\WINDOWS\TEMP\ms-CC.exe
C:\WINDOWS\TEMP\ms-B4.exe

Dann die Systemwiederherstellung beenden.
Dann in den abgesicherten Modus wechseln.
Dann mit ATF-Cleaner alle temporären Dateien löschen.

Dann mit HijackThis fixen:

Code:

O4 - HKLM\..\Run: [DaemonTools_WhenUSave_Installer] C:\Programme\DaemonTools_WhenUSave_Installer\DaemonTools_WhenUSave_Installer.exe
O4 - HKLM\..\Run: [lphcco4j0e319] C:\WINDOWS\system32\lphcco4j0e319.exe
O4 - HKLM\..\Run: [SMrhc9o4j0e319] C:\Programme\rhc9o4j0e319\rhc9o4j0e319.exe
O4 - HKLM\..\Run: [RegistryMonitor1] C:\WINDOWS\system32\qtplugin.exe
O4 - HKCU\..\Run: [ICQUpdater] "E:\DOKUME~1\Nutzer\LOKALE~1\Temp\IcqUpdater.exe" -update 3468 "C:\PROGRA~1\ICQ6\updates" "C:\PROGRA~1\ICQ6" "C:\PROGRA~1\ICQ6\ICQ.exe noupdater=1" /autorun
O4 - HKCU\..\Run: [CDriver] c:\microsoft\svchost.exe
O4 - HKCU\..\Run: [DDriver] c:\microsoft\svchost.exe
O4 - HKCU\..\Run: [alpha] c:\microsoft\svchost.exe
O4 - HKCU\..\Run: [beta] c:\microsoft\svchost.exe
O4 - HKCU\..\Run: [gamma] c:\microsoft\svchost.exe
O4 - HKLM\..\Policies\Explorer\Run: [CDriver] c:\microsoft\svchost.exe
O4 - HKLM\..\Policies\Explorer\Run: [DDriver] c:\microsoft\svchost.exe
O4 - HKLM\..\Policies\Explorer\Run: [alpha] c:\microsoft\svchost.exe
O4 - HKLM\..\Policies\Explorer\Run: [beta] c:\microsoft\svchost.exe
O4 - HKLM\..\Policies\Explorer\Run: [gamma] c:\microsoft\svchost.exe
O4 - HKUS\S-1-5-18\..\Run: [SystemDriver] (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [FDriver] (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [ADriver] (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [CDriver] c:\microsoft\svchost.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [DDriver] c:\microsoft\svchost.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [alpha] c:\microsoft\svchost.exe (User 'SYSTEM')
O23 - Service: MS Software Shadow Download Provider (dnlsvc) - Unknown owner - E:\DOKUME~1\Nutzer\LOKALE~1\Temp\dnlsvc.exe

Was bedeutet Fixen ?
http://members.linzag.net/680262/HJT/HijackThis.html#Was_bedeutet_FIXEN


Der PC darf nicht mehr online gehen, bis alle schädlichen Autostarteinträge beseitigt wurden. Ansonsten infiziert er sich automatisch wieder neu und spammt als Zombie das Internet voll.

Eigentlich gehört die Festplatte formatiert und das Betriebssystem neu aufgesetzt und dabei alles aktualisiert.

 

Erstmal vielen Dank für die Hilfe!

Ich bin deinen Anweisungen gefolgt, konnte das Problem allerdings noch nicht ganz lösen.
Zunächst sollte ich sagen, dass ich folgende Dateien nicht fixen konnte, da sie nicht mit in der Liste aufgeführt waren.
"O4 - HKCU\..\Run: [ICQUpdater] "E:\DOKUME~1\Nutzer\LOKALE~1\Temp\IcqUpdater.exe" -update 3468 "C:\PROGRA~1\ICQ6\updates" "C:\PROGRA~1\ICQ6" "C:\PROGRA~1\ICQ6\ICQ.exe noupdater=1" /autorun
O4 - HKCU\..\Run: [CDriver] c:\microsoft\svchost.exe
O4 - HKCU\..\Run: [DDriver] c:\microsoft\svchost.exe
O4 - HKCU\..\Run: [alpha] c:\microsoft\svchost.exe
O4 - HKCU\..\Run: [beta] c:\microsoft\svchost.exe
O4 - HKCU\..\Run: [gamma] c:\microsoft\svchost.exe"

Bedauerlicherweise kann ich mir gut vorstellen, dass gerade dort das Problem liegt. Wenn ich mit ProzessExplorer die svchost-Dateien beende, habe ich dieses seltsame Problem mit mit der Leiste oben nicht mehr. Und auch dieses seltsame Programm zum runterladen wird nich mehr angeboten. Das Desktopbild kann ich allerdings trotzdem nich ändern.

Das Problem ist allerdings, dass diese svchost-Dateien nach einem Neustart wieder aktiviert werden. Ich kann sie also nicht dauerhaft löschen. Das wiederum würde ich wohl darauf zurückführen, dass ich die oben gelisteten Dateien nicht fixen konnte, da sie nicht zu sehn waren. Ich weiß es allerdings nicht. Was könnte ich also noch machen?

Zu dem Hinweis, dass ich PC formatieren sollte: Ich weiß, der ist ohnehin ziemlich zugemüllt. In der nächsten Zeit ist das allerdings nicht machbar, da ich um die 90-100 GB an Dateien von den etwa 400 noch benötige. Und da müssten erst mal ein paar DVD RWs her.... nichtsdestotrotz hast du recht und ich werde des auch sicherlich sobald es möglich ist, machen. Aber zunächst muss ich dieses Problem erstmal bewältigen.

PS: Weißt du, was diese svchost-Dateien auslösen? Ist das Spyware, Trojaner etc.?

 

Da wird ein Backdoortrojaner mit Rootkitfunktion aktiv sein, mit dem auch HijackThis nicht fertig wird. Die Dateien werden bei jedem Start in veränderter Form neu aufgerufen.
Was du machen machen könntest, wäre den Ordner c:\microsoft umzubenennen.
Das würde ich aber nicht im gestarteten Windows machen, sondern in der Wiederherstellungskonsole. Dann kriegt das auch keine Malware mit.

 

So wie ich die lage einschätze Neuinstallieren und nicht Lage fackeln