Spyware - Internet öffnet sich selbstständig

Hi Leute,

mein Problem ist folgendes: Mein Internetexplorer öffnet sich permanent von selbst. Davor aber kommt eine blöde Meldung von einem Antivirus-Programm und sagt mir mein Rechner sei infiziert.

"Security Warning!

Worm.Win32.NetSky detected on your machine. This virus..." usw.

In diesem Fenster werde ich gefragt, ob ich den Wurm von meinem Rechner haben will und das ich dafür auf "Ja" drücken soll. Wenn ich ja drücke komme ich auf folgende Internetseite: http://performanceoptimizer.com/.la...e0a170b0650034210517249483a0c5401535105500f08 welches gleichzeitig meine Hauptadresse wird.
Wenn ich auf "Nein" drücke geht die Meldung weg und kommt nach kurzer Zeit wieder. Das was ich am meisten stört ist, dass ich den Mist nicht installiert habe und das ich wegen der Sache nichts anständiges unternehmen kann mit meinem Rechner, da die Meldung ununterbrochen auftaucht "Spyware Alert". Unten rechts blinkt außerdem das Symbol zu irgendeinem Antivirus-Programm was ich aber nicht installiert habe. Der Versuch über den Task-Manager das Programm zu beenden funktioniert nicht, da ich den Task-Manager nicht geöffnet kriege. "Der Task-Manager wurde vom Administrator deaktiviert". Der Administrator bin eigentlich ich und deaktiviert habe ich es nicht.
Was ebenso nervt ist das Öffnen von Seiten wie http://xpantiviruspro.com/2008/4/_freescan.php?aid=880028 u.ä.

Also ich habe versucht im Internet und in diversen Foren nach einer Lösung zu finden. Viel habe ich leider nicht finden können was zu meinem Problem passt und die Sachen, die passen haben leider nicht funktioniert.

Für eure Hilfe wäre ich sehr dankbar - ohne Hilfe werde ich das Problem wahrscheinlich nicht los

Dankend im Voraus
- Ich

 

Hallo,

lese bitte hier und poste nach Anleitung ein "HiJackThis-Log", ohne diese Log-Datei können wir keine Ferndiagnose durchführen.

http://www.pcwelt.de/forum/sicherhe...r-rootkits/134046-posten-hijackthis-logs.html

 

Ok, habe es hoffentlich richtig gemacht.

 

da darfst dich nicht wundern dass was durch kommt:
fixen: (Haken bei HJT setzen, bei deaktivierter Systemwiederherstellung)

Code:

[COLOR="SeaGreen"]R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.[B]bearshare.com[/B]/sidebar.html?src=ssb[/COLOR]
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll (file missing)
O21 - SSODL: printers - {F5E269F1-10BC-4DA4-85C0-F03F9F3D32CA} - libweb.dll (file missing)
O21 - SSODL: version - {5AC260E4-E57B-4FEF-A772-6E6EFBDC70C4} - libinets.dll (file missing)

bitte online überprüfen lassen (jotti oder virustotal)

Code:

O2 - BHO: ICHlprObj Class - {1f0c8547-2639-4c91-b8aa-c7eca24c3163} - C:\PROGRA~1\ALLUME~1\INTERN~1\IC3hlpr.dll
O2 - BHO: PopupFilter Class - {1F2E844B-8211-46ff-8262-772F03295CF4} - C:\PROGRA~1\ALLUME~1\INTERN~1\PopFiltr.dll
O3 - Toolbar: The elfwgps - {A6074EA4-01C7-40A1-82C3-FC683866AB03} - C:\WINDOWS\elfwgps.dll
O4 - HKCU\..\Run: [AdwareRemover2007] C:\Program Files\AdwareRemover2007\AdwareRemover2007.exe
O21 - SSODL: bqxomdo - {0DF53CFA-6F3B-4EC3-840B-998AA539FB22} - C:\WINDOWS\bqxomdo.dll
O21 - SSODL: aswmklt - {2324DBD6-501C-416A-82DF-89053D4F4116} - C:\WINDOWS\aswmklt.dll
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe

Ergebnisse bitte posten (Anleitungen und links findest du hinter meiner Signa)

 

Was genau meinst du mit Sigma

Sobald ich verstanden habe was ich machen soll werde ich es machen

 

Das sieht nicht gut aus für dich bzw. deinen Rechner,
man sieht hier noch Reste einer Backdoor-Infektion..

W32/Dabber-D
O21 - SSODL: version - {5AC260E4-E57B-4FEF-A772-6E6EFBDC70C4} - libinets.dll (file missing)

O21 - SSODL: printers - {F5E269F1-10BC-4DA4-85C0-F03F9F3D32CA} - libweb.dll (file missing)

Info..
http://www.sophos.de/security/analyses/w32dabberd.html

 

Er hat das Wort abgekürzt ... "Signatur" sollte das werden.

Beachte bei allen Löschaktionen:.."Deaktivierung der Systemwiederherstellung" .. sonst macht das keinen Sinn.

Bundesamt für Sicherheit in der Informationstechnologie (BSI)
Informationen zur Deaktivierung der Systemwiederherstellung und zum Start in den abgesicherten Modus (Windows XP)

http://www.bsi.de/av/texte/wiederher_xp.htm

 

Danke @ Wolfgang

@TO: in meiner Signatur versteckt sich ein Link....

1. deaktiviere Systemwiederherstellung
2. Sete die Haken bei den von mir vorgeschlagenen Einträgen bei HJT

die anderen lädtst du auf einen onlinescan zur Überprüfung

google: jotti, oder virustotal

 

Das hier scheint auch noch ein Backdoor zu sein ..W32/Rbot.
Ich denke formatieren und System neu installieren ist angebracht.

O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe /a /b