Unerwünschte Warnungen

[T.K.]

Hallo erstmal,
Ich habe ein Problem
UNd zwar sieht es so aus : ich habe unten in der Task-leiste ein komisches symbol das blinkt und mir ab und zu sagt das mein Pc infiziert sei (auf englisch) !


Ich bekomme das nicht mehr weg und weiss auch nicht welcher prozess das sein soll.
Würd das gerne weg haben da es ziemlich stört.

Danke im vorraus für alle Antworten/Hilfen

[Jasager]

Hallo,
der Thread gehört ins Viren/Trojaner Board. Poste dort den Link zu deinem HijackThis Log, wie das geht wird oben im sticky erklärt.


Grüße Jasager

[T.K.]

Ups, mein Fehler

also hier der link von Hijack http://www.hijackthis.de/logfiles/3b...1438476ef.html

[Jasager]

Hallo,
grenzwertige Sache, wenn du ganz auf Nummer sicher gehen willst setzt du das System neu auf, denn da ist schon einiges im argen.

Wenn du dich doch für eine Bereinigung entscheidest, besorgst du dir mal folgendes Tool, führst es wie im Unterpunkt Reinigung beschrieben aus und postest danach einen neuen Link zu deinem HijackThis Log und den Inhalt der Datei C:\rapport.txt



Grüße Jasager

[T.K.]

EDIT: Mein Problem ist jetzt aufjedenfall weg, danke!!


Hijack : http://www.hijackthis.de/logfiles/a2...18b59dea4.html

C:\rapport.txt:

SmitFraudFix v2.65

Scan done at 20:36:01,03, 28.06.2006
Run from C:\Dokumente und Einstellungen\Benutzer\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{af3fd9a8-1287-4159-9212-9a5b4494af70}"="ecosystems"

[HKEY_CLASSES_ROOT\CLSID\{af3fd9a8-1287-4159-9212-9a5b4494af70}\InProcServer32]
@="C:\WINDOWS\System32\guxxa.dll"

[HKEY_CURRENT_USER\Software\Classes\CLSID\{af3fd9a8-1287-4159-9212-9a5b4494af70}\InProcServer32]
@="C:\WINDOWS\System32\guxxa.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

C:\WINDOWS\System32\guxxa.dll -> Hoax.Win32.Renos.gen.b
C:\WINDOWS\System32\guxxa.dll -> Deleted


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\drsmartload2.dat Deleted
C:\WINDOWS\keyboard1.dat Deleted
C:\WINDOWS\newname.dat Deleted
C:\WINDOWS\teller2.chk Deleted
C:\WINDOWS\system32\atmclk.exe Deleted
C:\WINDOWS\system32\dcomcfg.exe Deleted
C:\WINDOWS\system32\hp???.tmp Deleted
C:\WINDOWS\system32\ld????.tmp Deleted
C:\WINDOWS\system32\ot.ico Deleted
C:\WINDOWS\system32\regperf.exe Deleted
C:\WINDOWS\system32\simpole.tlb Deleted
C:\WINDOWS\system32\stdole3.tlb Deleted
C:\WINDOWS\system32\ts.ico Deleted
C:\WINDOWS\system32\1024\ Deleted
C:\DOKUME~1\Benutzer\FAVORI~1\Antivirus Test Online.url Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

[Jasager]

Hallo,
mag sein das du keine Symptome mehr hast, aber da ist noch mehr. Überprüfe mal die folgenden Dateien hier(kann ein wenig dauern) und poste das jeweilige Ergebnis:

C:\WINDOWS\system32\khfeeca.dll (Tipp wäre virtualmonde)
C:\WINDOWS\SYSTEM32\wineij32.dll (Purityscan, will aber mal schauen ob Sophos ihn mittlerweile erkennt)


Grüße Jasager

[T.K.]

C:\WINDOWS\SYSTEM32\wineij32.dll :


C:\WINDOWS\system32\khfeeca.dll:
war nicht vorhanden im system32 ordner!

[Jasager]

Hallo,
hmm, hätte ein anderes Ergebnis erwartet. lösche mal die Datei C:\WINDOWS\SYSTEM32\wineij32.dll (wenn es nicht geht mit killbox mit der Option "delete on reboot".
außerdem fixt(Haken davor und auf "fix checked") du folgende Einträge mit HijackThis:
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\khfeeca.dll
O20 - Winlogon Notify: khfeeca - C:\WINDOWS\SYSTEM32\khfeeca.dll
O20 - Winlogon Notify: wineij32 - C:\WINDOWS\SYSTEM32\wineij32.dll

danach führst du einen Neustart durch und postest wieder einen Link zu deinem HijackThis Log.


Grüße Jasager

[T.K.]

Kommt das gleiche da ich die beiden Einträge
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\khfeeca.dll
O20 - Winlogon Notify: khfeeca - C:\WINDOWS\SYSTEM32\khfeeca.dll

irgendwie nicht fixen kann.

denn da steht das hier:


Aber falls du troztdem den Hijack report sehen willst dann hier:
http://www.hijackthis.de/logfiles/0b...b71074c3c.html