"Your computer is infected"-Meldung deaktivieren

  • geschlossen

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • "Your computer is infected"-Meldung deaktivieren

    Guten Abend Community,

    seit ein paar Tagen kommt bei mir immer diese Meldung -> klick. Kann man die irgendwie abschalten? Is ziemlich nervig...
    Viren- und Spywarescanns hab ich schon genügend gemacht (AntiVir, Spybot - S&D und Ad-Aware Pro) - auch mit "Erfolg", hab aber dann alle Schädlinge entfernt.
    Hab nämlich gestern erst mein XP Prof neu ausgesetzt, ist atm nur auf dem Stand von SP2, und seit heute kommt die Meldung - früher war das bei der selben Installations-CD nicht so!

    Wäre nett, wenn mir jmd weiterhelfen kann!

    Vielen Dank schonmal

    Blackhawk

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Blackhawk () aus folgendem Grund: erledigt

  • Ja, dein Computer ist wahrscheinlich infiziert, aber von dem Programm, welches diese Meldung hervorbringt. Du wirst damit aufgefordert angeblich ein AV-Programm herunterzuladen und zu installieren. Danach hast du mit Sicherheit einen Trojaner an Bord.

    Lade dir HijackThis herunter und scanne den Rechner.
    Das Logfile werte entweder selber bei www.hijackthis.de aus oder poste es hier. Dann werden wir weiter sehen.
  • Hi,

    wenn du sagst, dass du mit Erfolg gescannt hast, dann hast du das sehr warscheinlich nicht, weil dann die Meldung nicht mehr da wäre. Merkwürdig aber, dass die Meldung wieder kommt, auch nach neuaufsetzen. Hast du vorher komplett formatiert? Ansonsten empfehle ich dir im Safe Mode zu scannen mit ausgeschalteter Systemwiederherstellung!

    Shadow

    edit: @ Jumper: Mit erfolgreich meine ich nicht, dass was gefunden wurde, sondern, dass es nicht (korrekt) entfernt wurde. Das was da ist hat Blackhawk ja schon gesagt. Außerdem als was bezeichnest du denn dann das, was da immer fragt? Wird auch ein Virus sein!

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Shadow ()

  • @Shadow

    Der Scan muß ja nicht zwangsläufig Ergebnisse bringen, da es sich wahrscheinlich noch nicht um einen Virus handelt. Er wird lediglich dazu aufgefordert einen zu installieren.

    Mit Hijackthis werden aber alle geladenen Prozesse und deren Aufrufe (Autostarts) ermittelt. An Hand dieser Daten kann man recht schnell den Übeltäter ausfindig machen und eliminieren.
  • Da hilft nur noch FORMAT C: !!!! ausser du kennst dich gut mit der reg. aus!!!
    Ich hatte auch vor 3 Monaten das Problem, ich konnte es nicht lösen ausser mit Format C: !!!
    LG Phoenix
  • Danke für Eure schnellen Antworten!

    Jop, hab alle Partitionen formatiert (ausser meine ext. HDD, da waren meine ganzen wichtigen Daten drauf) und dann Win Xp Prof SP2 ganz normal installiert.

    "Mit Erfolg gescannt": Habe mit AntiVir 65 bösartige Dateien gefunden (da war meine Externe noch nicht angeschlossen, und ich war vllt. erst seit ~3 Stunden online - ohne auf irgendwelchen dubiosen Seiten Honeypot gespielt zu haben) und die auch gelöscht. Es kann auch nix auf dem MBR (wird bei einer Formatierung nicht gelöscht) sein, hab den nämlich schon gechekt...

    Hier ist das HiJackThis-Ergebnis (nach nem Reboot, das Zeichen in der Taskleiste + die Blase waren trotzdem noch da):

    Quellcode

    1. Logfile of Trend Micro HijackThis v2.0.2
    2. Scan saved at 22:06:08, on 16.10.2008
    3. Platform: Windows XP SP2 (WinNT 5.01.2600)
    4. MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    5. Boot mode: Normal
    6. Running processes:
    7. C:\WINDOWS\System32\smss.exe
    8. C:\WINDOWS\system32\winlogon.exe
    9. C:\WINDOWS\system32\services.exe
    10. C:\WINDOWS\system32\lsass.exe
    11. C:\WINDOWS\system32\Ati2evxx.exe
    12. C:\WINDOWS\system32\svchost.exe
    13. C:\WINDOWS\System32\svchost.exe
    14. D:\Appz\Ad-Aware\aawservice.exe
    15. C:\WINDOWS\system32\Ati2evxx.exe
    16. C:\WINDOWS\Explorer.EXE
    17. C:\WINDOWS\Dit.exe
    18. C:\WINDOWS\system32\RunDll32.exe
    19. C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    20. D:\Appz\Avira\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    21. C:\WINDOWS\system32\brastk.exe
    22. C:\WINDOWS\system32\ctfmon.exe
    23. C:\WINDOWS\system32\drivers\svchost.exe
    24. C:\WINDOWS\system32\lunmbwlc.exe
    25. D:\Appz\Spybot - Search & Destroy\TeaTimer.exe
    26. D:\Appz\Steam\Steam.exe
    27. D:\Appz\Psi\psi.exe
    28. C:\WINDOWS\system32\spoolsv.exe
    29. D:\Appz\Avira\AntiVir PersonalEdition Classic\sched.exe
    30. D:\Appz\Avira\AntiVir PersonalEdition Classic\avguard.exe
    31. C:\Programme\Trend Micro\HijackThis\HijackThis.exe
    32. C:\WINDOWS\System32\svchost.exe
    33. C:\WINDOWS\system32\wuauclt.exe
    34. O4 - HKLM\..\Run: [Dit] Dit.exe
    35. O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
    36. O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    37. O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    38. O4 - HKLM\..\Run: [avgnt] "D:\Appz\Avira\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    39. O4 - HKLM\..\Run: [brastk] brastk.exe
    40. O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    41. O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe
    42. O4 - HKCU\..\Run: [sysuiapl] C:\WINDOWS\system32\lunmbwlc.exe
    43. O4 - HKCU\..\Run: [brastk] C:\WINDOWS\system32\brastk.exe
    44. O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Appz\Spybot - Search & Destroy\TeaTimer.exe
    45. O4 - HKCU\..\Run: [Steam] "D:\Appz\Steam\Steam.exe" -silent
    46. O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
    47. O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
    48. O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    49. O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    50. O4 - Startup: Psi.lnk = D:\Appz\Psi\psi.exe
    51. O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Appz\Excel\Office12\REFIEBAR.DLL
    52. O20 - AppInit_DLLs: karna.dat
    53. O21 - SSODL: SetDbSh - {342CF724-4BDA-6CB7-80C8-03E4FB648091} - C:\Programme\pmbnojc\SetDbSh.dll
    54. O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Appz\Ad-Aware\aawservice.exe
    55. O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Appz\Avira\Avira\AntiVir PersonalEdition Classic\sched.exe
    56. O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Appz\Avira\Avira\AntiVir PersonalEdition Classic\avguard.exe
    57. O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    58. O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe
    59. O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
    60. --
    61. End of file - 3510 bytes
    Alles anzeigen


    Blackhawk

    Edit: @ PhoenixBerlin: Was kann man denn in der Reg machen? Wäre nett, wenn dus mal schreiben könntest!
    Format C: hat ja nicht viel geholfen^^ :(

    Edit²: Die Online-HiJackThis-Auswertung sagt, dass "C:\WINDOWS\system32\brastk.exe", "C:\WINDOWS\system32\drivers\svchost.exe", "O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe" und "O4 - HKCU\..\Run: [brastk] C:\WINDOWS\system32\brastk.exe" sehr schädlich sind und "O20 - AppInit_DLLs: karna.dat" sogar äusserst schädlich.

    Edit³: Noch ein Edit :D

    Hab jetzt mal "brastk.exe" per Taskmanager gekillt - das Symbol ist weg, aber vermutlich nicht dauerhaft... :(
    Kann ich die *.exe einfach löschen? Ist bei mir 2 mal aufm PC:
    1. C:\WINDOWS
    2. C:\WINDOWS\System32

    Dieser Beitrag wurde bereits 4 mal editiert, zuletzt von Blackhawk ()

  • Die folgenden Einträge mit Hijackthis unbedingt fixen (Fix checked)!!! Das sind Schädliche Programme (Trojaner):

    O4 - HKCU\..\Run: [brastk] C:\WINDOWS\system32\brastk.exe
    O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe
    O4 - HKCU\..\Run: [sysuiapl] C:\WINDOWS\system32\lunmbwlc.exe
    O4 - HKCU\..\Run: [brastk] C:\WINDOWS\system32\brastk.exe
    O20 - AppInit_DLLs: karna.dat

    Unbekannter Prozess! Prüfe, ob es dir bekannt ist:
    O21 - SSODL: SetDbSh - {342CF724-4BDA-6CB7-80C8-03E4FB648091} - C:\Programme\pmbnojc\SetDbSh.dll

    Das System sieht nicht gut aus. Installiere lieber noch mal, aber vorher formatieren.

    Edit:

    Sorry, habe nicht bis unten gelesen. Du mußt keine Handarbeit machen. Das kann Hijackthis für dich erledigen. Du mußt im Scan-Log nur bei den entsprechenden Einträgen davor im Kästchen ein Häkchen setzen und auf "Fix checked" klicken. Dann werden die Registry-Einträge entfernt. Nur die Dateien mußt du selber notfalls löschen.

    Ansonsten findest du die Einträge unter:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    und
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    Dieser Beitrag wurde bereits 3 mal editiert, zuletzt von Jumper ()

  • Als erstes bootest du am besten mal im Safe Mode, dann läst du HijackThis nochmal laufen und entfernst die besagten Einträge. Dann am besten nochmal nen Virusscan machen und da natürlich auch alles entfernen. Wenn das nix hilft, dann kommst du wohl nicht drum rum nochma neu aufzusetzen, ist zu viel infiziert!

    Shadow

    edit: Und Ad-Aware am besten auch nochmal laufen lassen.