dachs1

Hallo,
auf meinem Bildschirm erscheinen nach dem Start 2 pop-up Fenster mit Virus Burts. Außerdem kommt hin und wieder aus der Taskleiste das pop-up "Critical System Error!".
Wie kann ich das entfernen?
Ich bin in der Vorgehensweise so etwas zu entfernen jedoch vollkommen unerfahren und benötigte Anfängerhilfestellung.
Vielen Dank schon mal vorab an die Hilfesteller.

EazyE

Hi, lad dir mal Hijackthis runter und kopier das Logfile hier rein.

Programm gibt's hier:
http://www.chip.de/downloads/c1_downloads_13011934.html

dachs1

Hi EasyE,
danke für die Antwort. Hab download durchgeführt.
Soll ich bei Hijackthis einen "do a system scan and save a logfile" oder "do a system scan only" durchführen?

EazyE

Mach mit "safe logfile". Das Logfile kopierst du dann hier rein.

dachs1

Nachfolgend der/die/das?? Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 16:50:30, on 03.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\RunDll32.exe
D:\Programme\Network Associates\VirusScan\SHSTAT.EXE
D:\Programme\Network Associates\Common Framework\UpdaterUI.exe
D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb0 4.exe
D:\WINDOWS\system32\rundll32.exe
D:\Programme\Java\jre1.5.0_06\bin\jusched.exe
D:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
D:\Programme\QuickTime\qttask.exe
D:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
D:\Programme\Virus-Burst\Virus-Burst.exe
D:\WINDOWS\system32\ctfmon.exe
D:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
D:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
D:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
D:\Programme\BT500\BTTray.exe
D:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE
D:\Palm\HOTSYNC.EXE
D:\Programme\BT500\BTStackServer.exe
D:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\kernel.exe
D:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\sc_watch.exe
D:\WINDOWS\system32\cisvc.exe
D:\Programme\Network Associates\Common Framework\FrameworkService.exe
D:\Programme\Network Associates\VirusScan\Mcshield.exe
D:\Programme\Network Associates\VirusScan\VsTskMgr.exe
D:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\PROFIL~1.EXE
D:\PROGRA~1\T-Online\T-ONLI~2\Notifier\Notifier.exe
D:\WINDOWS\system32\cidaemon.exe
D:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_6\EMAIL\MAIL.EXE
D:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_6\BROWSER\BROWSER.EXE
D:\DOKUME~1\SCHIER~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - D:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - D:\Programme\Media-Codec\isaddon.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: Protection Bar - {479fd0cf-5be9-4c63-8cda-b6d371c67bd5} - D:\Programme\Media-Codec\iesplugin.dll (file missing)
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ShStatEXE] "D:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "D:\Programme\Network Associates\Common Framework\UpdaterUI.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb0 4.exe
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] D:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -onlytray
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ToADiMon.exe] D:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Virus-Burst] D:\Programme\Virus-Burst\Virus-Burst.exe /h
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [InfoCockpit] D:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash
O4 - HKCU\..\Run: [PcSync] D:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - Startup: HotSync Manager.lnk = D:\Palm\HOTSYNC.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com.../c381/chat.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...45/yacscom.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1120563709080
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp05.photoprintit.de/microsi...eUploader3.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{01A664E7-F40E-49C0-84BB-595B82A51C07}: NameServer = 217.237.150.115 217.237.148.33
O17 - HKLM\System\CS1\Services\Tcpip\..\{01A664E7-F40E-49C0-84BB-595B82A51C07}: NameServer = 217.237.150.115 217.237.148.33
O20 - Winlogon Notify: WgaLogon - D:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: imputable - {6570b782-1a41-4053-b2c9-12c7fcf0d84d} - D:\WINDOWS\system32\duxzj.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - D:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - D:\Programme\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - D:\Programme\Network Associates\VirusScan\VsTskMgr.exe

EazyE

Da haben wirs:
D:\Programme\Virus-Burst\Virus-Burst.exe

"Fix" (lösch) zuerst den den Eintrag.

Falls es nicht hilft, solltest du dir Spybot Search and Destroy runterladen und dein System scannen.


EDIT:
Dachte erst, es wär einfache Adware, aber das hier ist schon etwas "komplizierter".
Vermute deshalb, dass das Spybot Search and Destroy oder Ad-Aware nicht einfach wegbekommen wird, aber du solltest deinen Rechner trotzdem mal mit einem der Programme durchscannen.
Was ich bis jetzt gefunden habe, ist ne Anleitung, wie du das weg bekommst, leider auf Englisch:
http://www.bleepingcomputer.com/forums/topic63896.html

dachs1

Habe noch folgende Fragen:
1. Muß ich nach dem löschen bzw. "fixed checked" den Rechner neu starten oder kann ich mit ad-aware direkt scannen?
2. Wenn ad-aware nicht hilft - wie bekomme ich spybot search and destroy?
3. Gibt es die Anleitung von "www.bleeping............" auch in Deutsch?
Danke für Info.

Thats me

1. ich glaub man sollte neustarten
2. runterladen/installieren
3. kA


4. O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe


ich glaub dieser eintrag muss auch gefixt werden

sam123

so, meine hijack mal rausgenomme, da meins gelöst ist

EazyE

R3 - Default URLSearchHook is missing (kein Eintrag, fixen!)

löschen!
O13 - DefaultPrefix:
O13 - WWW Prefix:
O13 - Home Prefix:
O13 - Mosaic Prefix:
O13 - FTP Prefix:
O13 - Gopher Prefix:


O21 - SSODL: hydrodictyon - {b166be07-30a4-4d38-b781-44528a630706} - C:\WINDOWS\system32\gqagksr.dll



Versuchts mal hiermit:
http://siri.urz.free.fr/Fix/SmitfraudFix_De.php