"You have a security problem!"- Hijackthislog

Hi,
ich hoffe es kann mir jemand bei meinem Virusproblem helfen: seit gestern erscheint in der Taskleiste das rote Sicherheitsschild mit o.g. Hinweis. Im bestimmten Minutentakt öffnet sich auch ein Explorerfenster mit vermeintlichen Virusscanner. Darüberhinaus habe ich im Taskmanager den Prozess "b.exe" gesehen, der mir suspekt vorkommt. Was besonders nervig ist: durchs Aufpoppen der "SecuritiyProblem-Meldung" wird Schreibvorgang unterbrochen (wie z.B. hier im Forum).
Sende meine HijackthisLog mit.

Vielen Dank für kompetente Hilfe im Vorraus!!


Logfile of HijackThis v1.99.1
Scan saved at 08:39:30, on 26.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Hjt-Logdatei entfernt - Rattiberta

 

Die meldung "you have a security problem", kommt vom wahrscheinlich vom "virus" selbst. Präparierte Internetseiten machen auf Sicherheitslücken aufmerksam und auf eine Sicherheitssoftware, die man nun unbedingt laufen lassen soll. Und schon holen sich viele das Übel erst auf den PC.

Unabhängig vom Hijackthis-Log (ich würde zumindest mal den O21- und diesen verdächtigen O16-Wert fixen) solltest du zunächst einen Komplettscan mit deinem aktuellen Virenscanner durchführen.

Zusätzliche Komplettscans mit Spybot und Ad-Aware wären ebenfalls kein Fehler.

 

Was ich vergessen habe:

Bereits durchlaufen lassen habe ich:

As-Aware SE Personal
Spybot SD (angezeigte Probleme bereits behoben)

Und meinen aktuellen Virenscanner eTrust, der leider nichts gefunden.

Problem allerdings weiter bestehen.

Vielen Dank!

 

eTrust taugt ja auch nicht viel. Da ist Avira um Klassen besser.
Wieso läuft der Microsoft SQL Server?
Was bedeuten diese laufenden Prozesse:

Code:

C:\DOKUME~1\Robert\LOKALE~1\Temp\setup1050.exe
C:\DOKUME~1\Robert\LOKALE~1\Temp\b.exe

Sind die vielleicht von eTrust?

 

Nein, ich denke nicht, dass die von eTrust sind, sondern vielmehr etwas mit dem Virus zu tun haben...

 

Dann lasse die beiden Dateien mal bei www.virustotal.com/de untersuchen.

 

b.exe is einer der Übeltäter
auch a.exe, wenn vorhanden.

 

hellseherische Fähigkeiten?

 

Nicht gerade. Aber Lernfähigkeit.

Habe vorgestern und gestern zwei PCs in der Familie wieder hergestellt, nach intensiver Analyse mit einer Menge Tools.

Auf einem der PCs waren a.exe und b.exe in den entsprechenden Directories vorhanden und durch O4-Verhalten verdächtig.

Auf dem zweiten habe ich zwei andere gefuden, natürlich in einem anderen Verzeichnis wcm.exe und wcs.exe. Sie waren auch mit dem TaskMan oder ProcExplorer zu sehen, aber nicht zu killen. Sie starteten nach dem Kill sofort wieder.

Na ja aus einem PC , der nach jedem Boot allmählich und stetig so verlagsamt wurde, dass die simplesten Aktionen bis zu 10 Minuten dauerten ein PC, der in Subsekundenbereich wieder arbeitet.

Viel Spass beim "Entläusen".

 

Augenwischerei.
Komplette Neuinstallation ist das einzige, was bei einem korrumpierten System hilft.

Siehe auch: http://www.pcwelt.de/forum/sicherhe...4553-you-have-security-problem-anleitung.html

 

Wollen hoffen, dass der TO nicht über einen Monat gewartet hat, bis ihm jemand sagt, was es mit der Datei auf sich hat.

 

Augenwischerei. So lange ein PC noch antwortet, auch wenn extrem langsam und immer wieder mit Störungen, braucht man NIE eine Neuinstallation.
Natürlich habe ich hier nicht alles wiedergeben können, was in dem jeweiligen Fall alles zu bereinigen ist, bis hin in die Registry. Aber es geht.

Und übrigens, die detection & repair programme sind gar nicht so schlecht,
sie (ich habe fünf verscheidene teils parallel eingesetzt) haben mir auf die Spur geholfen und einiges gefunden und sogar solche module gelöscht, die sonst gesperrt wären.

Natürlich muß man vieles manuell und mit Köpfchen machen.

Übrigens, der von Ihnen angegebene Forumnsbeitrag beinhaltet auch einen Link zu einem Wiki-Artikel, der unter den Referenzen auch einen Beitrag ausführt, der selber für einen Trojaner wirbt.

So viel zu denen, die am Big Bang als Lösung glauben.

Viele Grüße

 

Addendum: Ich werde versuchen, in den nächsten Tagen eine kurze Repair-Anleitung mit den Schritten zur Auslöschung dieses Trojaners ins Netz stellen
Gruß

 

Solange ich nicht weiß, ob noch irgendwelche Reste übrig geblieben sind, würde ich NIE mit solch einem PC ins Internet gehen. Die Rettungstools sind leider keine Wundermittel. Solch ein System gilt als kompromittiert.

Btw, ich spiele innerhalb von 5 Minuten ein sauberes Image zurück und bin mir sicher, dass ich danach wieder ein sauberes und funtionierendes System habe.

 

Ich glaube Du hast da was verwechselt. Falls Du Dir doch sicher sein solltest, kannst Du die ja kontaktieren.

 

Baldriantee wirkt heut nicht bei mir...

gehts noch?!?!
Bevor du solche schwachsinnigen Aussagen triffst... Psst..

Hinter dem oben genannten Link steht doch iwie etwas sehr eindeutig

Erspar dir und UNS die Mühe... denn sonst kommt noch jemand auf die Idee und glaubt deinen Aussagen

Ja, einer mehr, der mit einem unsicheren System unterwegs ist und sich damit brüstet

dann bleibt das Sys sowieso sauber

der wäre?

Du hast dich mit deinem Post als DAU ausgezeichnet...
Jeder, der deinen Weg gehen will sollte einfach dem Inet fernbleiben

 

Kann sich mal bitte jemand mein Profile anschauen ich hab das Problem mit dem roten Schildsymbole was so aussieht wie das von Windwos.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:46:30, on 04.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Logdatei entfernt - Rattiberta



Ich danke euch dann schon mal im Voraus..

 

Da sind einige aktive Schädlinge.

C:\WINDOWS\system32\ieexplorer32.exe
O4 - HKCU\..\Run: [ieupdate] "C:\WINDOWS\system32\ieexplorer32.exe"
[FUND] Ist das Trojanische Pferd TR/FraudPack.adx

R3 - URLSearchHook: (no name) - - (no file)
- No File ist keine Entwarnung, wenn ein Rootkit aktiv ist.

O2 - BHO: (no name) - {037C7B8A-151A-49E6-BAED-CC05FCB50328} - C:\WINDOWS\system32\winsrc.dll
[Fund] Dynamische Link-Bibliotheken des Adware-Programms VirtuMonde

O4 - HKCU\..\Run: [66858809056053174949917654912160] C:\Programme\Antivirus 2009\av2009.exe
[Fund] Ist "Rogue-Anti-Spyware", die zum Runter laden weiterer Schädlinge verleitet und Geld aus der Tasche ziehen will.

Lies hier, warum das Herumdoktern mit Removal-Tools verlorene Zeit ist:
http://www.microsoft.com/germany/technet/datenbank/articles/600574.mspx
http://www.malte-wetz.de/index.php?viewPage=sec-removal.html

Und zu dem ganzen Schlamassel kommt noch eine Personal Firewall, die pennt.
http://www.pcwelt.de/forum/1629471-post5.html

Funktionsprinzip einer Personal Firewall:
http://web.archive.org/web/20040319231541/geek.blog.ma.cx/images/unischranke.jpg

 

auch für dich gilt dasselbe wie bei den anderen vor dir

 

Ja du hast recht. Ich war eben auf phösen Seiten. Es ist zwar nix passiert, außer dass NOD ab und zu gemeckert hat, aber ich lasse jetzt das Image von heute morgen wieder herstellen. Dauert 15 Minuten (Partitionen c: + d: ).

Wenn man merkt, dass man sich gerade etwas eingefangen hat, nicht den PC neu starten, sondern sofort mit Hijackthis fixen und die Systempartition auf Schadlinge überprüfen.
Beim Neustarten werden schadliche Programme über den Autostart mit gestartet und man hat dann schlechte Karten, weil die dann gleich online gehen können und noch mehr Ungeziefer herbei holen können.