Your Computer is infected in Taskleiste ??

Ich habe in der Taskleiste einen roten Kreis mit einem Kreuz in der Mitte und die Meldung Your Computer is infected wenn man mit der Maus draufzeigt.
Ich habe Adaware und Virenscanner laufen lassen, aber ohne Erfolg. Wie kann ich das wegbekommen ?

mal hjjackthis laufen lassen

kannst du da downloaden und auch gleich das logfile auswerten lassen
http://www.hijackthis.de/de

wennste nicht klar damit kommst poste hier das logfile

Mfg. gimondi

Hey pit28

#Scane mit Symantec Security Check ---->klicke auf Viren-erkennung (Virus Detection) dann Start. Downloading ActiveX erlauben,das Ergebnis hier posten. (Bitte am Ende) --->Mit Internet Explorer

#Lade dir SmitfraudFix http://siri.urz.free.fr/Fix/SmitfraudFix.php auf dem Desktop speichern und auf dem desktop entpacken,danach wird einen Ordner SmitfraudFix auf dem Desktop erstellt,nun muss du dieser Ordner öffnen,dann Doppelklick auf SmitfraudFix.cmd,dann Taste 2 und dann Enter,wenn diese Frage o/n kommt muss du mit Taste o beatätigen,

#PC neustarten
#Lade dir SmitRem  http://noahdfear.geekstogo.com, die Datei auf dem Desktop speichern, doppelklicken auf die Datei und Start klicken.Dann wird ein Ordner SmitRem auf dem Desktop angelegt und die Dateien dahin entpackt.Noch nicht ausführen.

#Lade dir Ewido Security Suite unbeding Update,noch nicht scannen.

#PC neustarten--> abgesicherter Modus
Öffne jetzt den Ordner smitrem doppelklick auf die Datei Runthis.bat , um das Tool zu starten. Den Anweisungen auf dem Bildschirm folgen.
Wenn das Tool fertig wid, startet automatich DiskCleanup und wird die Festplatte aufräumt

#PC neustarten--> abgesicherter Modus
#Starte Ewido Security Suite mach ein voller Scan (Complete System Scan)

#Inhalt folgende ordner loeschen:
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp---> Inhalt löschen
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temporary Internet Files---> Inhalt löschen
C:\WINDOWS\temp---> Inhalt löschen
C:\WINDOWS\Prefetch---> Inhalt löschen

#Lade dir http://www.hijackthis.de/de, stelle es in einen seperaten Ordner und starte
das Programm. Die dabei erzeugte Logfile bitte speichern und hier posten.

Bitte Folgende Ergebnis posten!
#PC neustarten:
#Neue HijackThis Log, den Report des Ewido Scans, Symantec Security Check Ergebnis & das Logfile von smitrem,welches unter C:\smitfiles.txt findet hier posten.

Gruss
Mopao

Hallo,

ich habe smitfraudfix geladen und entpackt und wenn ich das smitfraudfix.cmd doppelklicke fragt windows mit welchem Programm ich das ööffnen soll...was soll ich hier machen ?


Gruß Peter

#Versuch mal unter Start/Ausführen,ob folgende Befehle funktionieren cmd und regedit auch  Task-Manager  per Tastenkombi (Strg+Alt+Entf) ?

Kannst du auch *.exe dateien ausführen?

Poste mal ein HijackThis Log

Gruss
Mopao

ich habe win me, da heißt der Befehl nicht cmd, sonder command...das geht dannn auch alles, aber was ist das für winw Datei mit der Endung .cmd...mit was kann ich das öffnen ?

Logfile of HijackThis v1.99.1
Scan saved at 11:28:28, on 09.03.2006
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\PROGRAMME\SYMANTEC_CLIENT_SECURITY\SYMANTEC ANTIVIRUS\RTVSCN95.EXE
C:\PROGRAMME\SYMANTEC_CLIENT_SECURITY\SYMANTEC ANTIVIRUS\DEFWATCH.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\IRMON.EXE
C:\PROGRAMME\SYMANTEC_CLIENT_SECURITY\SYMANTEC ANTIVIRUS\VPTRAY.EXE
C:\PROGRAMME\SHOPPING0800\TRAYSTART.EXE
C:\PROGRAMME\DAILY WEATHER FORECAST\WEATHER.EXE
C:\WINDOWS\SYSTEM\CTFMON.EXE
C:\WINSTALL.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\WUAUBOOT.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [IrMon] irmon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [Shopping0800] C:\Programme\Shopping0800\traystart.exe
O4 - HKLM\..\Run: [Daily Weather Forecast] C:\Programme\Daily Weather Forecast\weather.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKLM\..\RunServices: [rtvscn95] C:\PROGRA~1\SYMANT~1\SYMANT~1\rtvscn95.exe
O4 - HKLM\..\RunServices: [defwatch] C:\PROGRA~1\SYMANT~1\SYMANT~1\defwatch.exe
O4 - HKLM\..\RunServices: [MDM7] C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE
O4 - HKLM\..\RunOnce: [WU2_RegSvr] C:\WINDOWS\SYSTEM\regsvr32.exe /s C:\WINDOWS\SYSTEM\WUAUPD98.DLL
O4 - HKLM\..\RunOnce: [UpdateHook] C:\WINDOWS\rundll32.exe AUHKNEW.DLL,RenameDll
O4 - HKLM\..\RunOnce: [WU4_RegSvr] C:\WINDOWS\SYSTEM\regsvr32.exe /s C:\WINDOWS\SYSTEM\AUHOOK.DLL
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin9x/AvSniff.cab

hallo,
hab mal nen kurzen blick über dein log geworfen, und da fällt mir zunächst
winstall.exe auf, das ist ein alter freund, ein zäher kerl, der nistet sich doch immer wieder auf systemen ein.
starte deinen pc im abgesicherten modus ( mit F8 ) und lösch die datei sowie
den eintrag in der registry (run schlüssel)
könnte zwar sein, dass du noch andere gäste hast, aber winstall.exe ist auf jeden fall in der lage, diese nervige meldung auf deinem systray zu erzeugen
greetz
drulak

.cmd ist ne Batch-Datei. Batch-Dateien mit der Endung .cmd versteht Windows aber soweit ich weiß erst ab 2000.

Gruß
Christian

Ich habe die winstall Einträge gelöscht und habe nun kein Icon mehr in der Taskleiste.... Vielen Dank !!!
...wie kann ich mich in Zukunft vor dem Virus schützen ? Ich habe Windows ME, mit Symantec Antivirus Client und Adaware...nichts hat geholfen. Brauche ich hier eine Firewall ?

Gruß peter

Hey pit28

Es gibt noch viel zu tun

#PC neustarten
#Lade dir  SmitRem.exe http://noahdfear.geekstogo.com ,die Datei auf dem Desktop speichern, doppelklicken auf die Datei und Start klicken.Dann wird ein Ordner SmitRem auf dem Desktop angelegt und die Dateien dahin entpackt.Noch nicht ausführen.

#PC neustarten--> abgesicherter Modus
Öffne jetzt den Ordner smitrem doppelklick auf die Datei Runthis.bat , um das Tool zu starten. Den Anweisungen auf dem Bildschirm folgen.
Wenn das Tool fertig wid, startet automatich DiskCleanup und wird die Festplatte aufräumt

#PC neustarten--> abgesicherter Modus
#Starte Ewido Security Suite mach ein voller Scan (Complete System Scan)

Bitte Folgende Ergebnis posten!
#PC neustarten:
#Neue HijackThis Log & das Logfile von smitrem,welches unter C:\smitfiles.txt findet hier posten.

Gruss
Mopao

@Pit
ich arbeite schon jahrlang im sicherheitsbereich, und ich habe bisher noch keinen virenscanner gebraucht.
wenn ich computer desinfiziere, mach ich das manuell, das ist nicht nur billiger, sondern auch oft zuverlässiger als das sauer verdiente geld in virenscanner (die oftmals hilflos sind) zu investieren. Bis auf die rootkit-viren gibts ja eigentlich auch gar keine echte gefahr, alle anderen viren kannste leicht erkennen, da sie dein windows nicht verändern können wie die rootkits und also auch sichtbar sind. alles was du sehen kannst, kannst du auch bekämpfen, so siehts doch mal aus. und lass dich nicht von der allgegenwärtigen panikmache anstecken, klapper einfach deine aktiven prozesse ab, versuch sie zu identifizieren und wenn schädlich, zu eliminieren. d.h. lösch die prozesse, beseitig ihre startrampen etx. geh wenn möglich nicht mit deinem computer, sondern über router ins netz, das bringt schon mal einen teil sicherheit...
das wär eigentlich alles, was ich dir raten könnte
greetz
drulak

@drulak

Hmm pit28 PCs hat eine (Trojan.Desktophijack,SpyAxe,SpywareStrike,SpyFalcon,SpyGuard) Famillie Infektion,manuel loeschen oder fixen werden nicht bringen,HijackThis ist nur ein Hilfsmittel,es gibt viele sachen,die werden nicht von Hijackthis Log gezeigt,deswegen gibt es für solsche Infektion paar Tols

SmitfraudFix http://siri.urz.free.fr/Fix/SmitfraudFix.php
SmitRem.exe http://noahdfear.geekstogo.com
ETC....

Gruss
Mopao

@toolsliebhaber alias mapao

warum hat er diese infektion  ? bring da grad was nicht auf die reihe, hilf mir mal
weil hijackthis in der beziehung nichts anzeigt ? und weil hijackthis nicht alles anzeigt ?

winstall.exe war das problem, vielleicht nicht das einzige, aber was solls.

von der ausgangslage des users jetzt zu schließen, dass er eine totalverseuchung hat, und unbedingt dieses oder jenes tool laufen lassen muss, ist irgendwie zum lachen

mir gehts jedenfalls so
greetz
drulak