Komische Programme installieren sich von selbst

Feuerwehrmann112 · 11. November 2019 um 06:13

Hallo ich werde noch IRRE hier. Bei mir hat sich einfach so ein komisches Programm Malware Defense insatlliert und ich haeb so ein komisches Symbol Namens Windows Security Alerts. Es öffnen sich als Fenster dass ich mir die Vollversion von Malware Defense holen soll ich geh noch kaputt ahbe es deinstalliert keine 10 Minuten fing es wieder mit der Installation an. Ich konnte es auch nicht über Taskmanager beenden. Habe mal ein LOG gemacht:

Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 12:40:52, on 20.12.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\programme\idt\v114_ecs_d_6207.2v7_6099.8xp_g2.0v_rc_sdc\wdm\STacSV.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\IDT\WDM\sttray.exe
C:\Programme\avmwlanstick\FRITZWLANMini.exe
C:\PROGRA~1\ICQ6.5\ICQ.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Firebird\Firebird_2_1\bin\fbguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\Firebird\Firebird_2_1\bin\fbserver.exe
C:\WINDOWS\system32\cidaemon.exe
C:\DOKUME~1\Michael\LOKALE~1\Temp\richtx64.exe
C:\WINDOWS\system32\spoolsv.exe
C:\DOKUME~1\Michael\LOKALE~1\Temp\wscsvc32.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\ILS_SimV3\ILS_Sim.exe
C:\Programme\ILS_SimV3\ILS_Server.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\WINDOWS\System32\msiexec.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\TrendMicro\HiJackThis\HiJackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Malware Defense\mdefense.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;192.168.178.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM…\Run: [DelReg] C:\Programme\MSI\DualCoreCenter\DelReg.exe
O4 - HKLM…\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM…\Run: [SunJavaUpdateSched] „C:\Programme\Java\jre6\bin\jusched.exe“
O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM…\Run: [SysTrayApp] %ProgramFiles%\IDT\WDM\sttray.exe
O4 - HKLM…\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe /install
O4 - HKLM…\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM…\RunOnce: [Execute] C:\WINDOWS\System32\Tools\DelFolders.exe
O4 - HKCU…\Run: [ICQ] „C:\PROGRA~1\ICQ6.5\ICQ.exe“ silent
O4 - HKCU…\Run: [ares] „C:\Programme\Ares\Ares.exe“ -h
O4 - HKCU…\Run: [richtx64.exe] C:\DOKUME~1\Michael\LOKALE~1\Temp\richtx64.exe
O4 - HKCU…\Run: [Malware Defense] „C:\Programme\Malware Defense\mdefense.exe“ -noscan
O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‚LOKALER DIENST‘)
O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‚NETZWERKDIENST‘)
O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‚SYSTEM‘)
O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‚Default user‘)
O4 - Global Startup: Reboot.exe
O8 - Extra context menu item: &Alles mit BitComet herunterladen - res://C:\Programme\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Alle &Filme mit BitComet herunterladen - res://C:\Programme\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Mit BitComet herunter&laden - res://C:\Programme\BitComet\BitComet.exe/AddLink.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra ‚Tools‘ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra ‚Tools‘ menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra ‚Tools‘ menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0…
O16 - DPF: {784797A8-342D-4072-9486-03C8D0F2F0A1} (Battlefield Heroes Updater) - https://www.battlefieldheroes.com/static/updater/BFH…
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - Firebird Project - C:\Programme\Firebird\Firebird_2_1\bin\fbguard.exe
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - Firebird Project - C:\Programme\Firebird\Firebird_2_1\bin\fbserver.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP4\RpcAgentSrv.exe
O23 - Service: Audio Service (STacSV) - IDT, Inc. - c:\programme\idt\v114_ecs_d_6207.2v7_6099.8xp_g2.0v_rc_sdc\wdm\STacSV.exe

–
End of file - 7118 bytes

Thomas_Fischbach_ac0842 · 11. November 2019 um 06:14

Hallo,

Du hast Freunde …

Hier eine Anweisung zum entfernen:

http://www.myantispyware.com/2009/12/20/how-to-remov…

Vorher würde ich die Systemwiederherstellung deaktivieren.

Danach CCleaner aufrufen:

http://www.heise.de/software/download/ccleaner/36380

Schließlich noch einmal

http://www.heise.de/software/download/avira_antivir_…

herunterladen, brennen und Rechner davon starten.

Viel Erfolg, tf

Culles · 11. November 2019 um 06:15

Hallo,

ich würde auf keinen Fall die Systemwiederherstellung deaktvieren. Damit gehen alle Wiederherstellungspunkte verloren, was du sicherlich nicht willst.
Ansonsten finde ich den Verweis auf Malewarebytes in Ordnung.

Grüße Culles

xeen3d · 11. November 2019 um 06:18

Hallo Feuerwehrmann,
die Anleitung zum Entfernen hast du bereits bekommen allerdings solltest du unbedingt mal darüber nachdenken warum sich ein Programm über deinen Browser ungefragt installieren kann.

Welchen Browser setzt du normalerweise ein ?

So gut wie jeder Browser lässt sich härten, mag sein das dann Casino Royale nicht mehr geht aber du bekommst auch keine ungebetenen Programme installiert.

Das man nicht als Admin arbeitet weisst du ja sowiso und machst das auch nicht.

Du hast 2 Möglichketen wenn du nicht dein Betriebssystem wechseln möchtest.

1 verwende einen AV Scanner der sich in alle Datenströme ein klinkt zb Nod32 von Eset (Kostet ca 60 Euro 2 Jahre)

2 härte deinen Browser mit dafür sicherlich auch free verfügbaren Tools

Letzteres bedeutet aber das du ständig nacharbeiten musst, sprich für Aktualisierungen der Tools sorgen usw.
Es gibt sicherlich auch andere AV Scanner die ähnliches leisten, der Vorteil von Esets Lösung st das du de Windows Defender abstellen kannst da der dann über ist und du brauchst keinen extra Malware Scanner.

Aus meiner Persönlichen Sicht heraus ist das Eset Produkt mit über 1500 installierten Versionen bei uns sehr gut wir hatten vorher einige andere die trotz bessere Tests deutlich schlechter waren daher empfehle ich das Teil auch gerne weiter.

MfG

Andre

Hallo ich werde noch IRRE hier. Bei mir hat sich einfach so
ein komisches Programm Malware Defense insatlliert und ich
haeb so ein komisches Symbol Namens Windows Security Alerts.
Es öffnen sich als Fenster dass ich mir die Vollversion von
Malware Defense holen soll ich geh noch kaputt ahbe es
deinstalliert keine 10 Minuten fing es wieder mit der
Installation an. Ich konnte es auch nicht über Taskmanager
beenden. Habe mal ein LOG gemacht: