Fake Microsoft Security Essentials Alert

12.01.2011, 19:23

hallo zusammen,
auch ich habe leider das problem mit der gefakten meldung. ich habe die hier beschriebenen schritte zu hijack befolgt und wollte fragen, ob mir dann jemand mit dem logfile helfen kann, da ich mich mit solchen dingen nicht allzugut auskenne.

12.01.2011, 19:34

Dazu musst du uns das Logfile hier einstellen.

LG

12.01.2011, 20:01

jetzt hab ich leider noch ein problem: ich kann wegen des trojaners kein programm und wenn, nur kurz öffnen. deshalb musste ich mir hijack von einem anderen computer über usb-stick rüber holen, doch wenn ich es dann starte, kommt die meldung, dass "hijackthis.log" nicht gefunden werden konnte, ob ich eine neue datei erstellen will, klicke ich ja, passiert nichts.

12.01.2011, 20:26

Dann starte den Rechner abgesichert und versuche es dann.

Auf jeden Fall trenne den Rechner solange vom Internet bis er wieder sauber ist.

LG

12.01.2011, 20:34

blöde frage: wie startet man den rechner abgesichert?

hab's heraus. ich versuch es nochmal.

hier ist das logfile:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 20:46:42, on 12.01.2011
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18999)
Boot mode: Safe mode

Running processes:
C:\Users\Norman\AppData\Roaming\bonnxd.exe
C:\Program Files\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Club VAIO | Welcome
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Innichen ? Wikipedia
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Club VAIO | Welcome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: ::1 localhost
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~2\MICROS~1\Office14\URLREDIR.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User '?')
O4 - HKUS\S-1-5-20\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User '?')
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Free YouTube Download - C:\Users\Norman\AppData\Roaming\DVDVideoSoftIEHelp ers\youtubedownload.htm
O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Users\Norman\AppData\Roaming\DVDVideoSoftIEHelp ers\youtubetomp3.htm
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Save YouTube Video as MP3 - res://C:\Program Files (x86)\Common Files\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm
O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Senden an Bluetooth - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: Senden an &Bluetooth-Gerät... - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - https://wwwimages.adobe.com/www.adobe...bat/nos/gp.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\x86\ekrn.exe
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)

--
End of file - 4506 bytes

13.01.2011, 09:57

Moin,
1. habe ich 3 kurz hintereinander verfasste Beiträge zusammen geführt und den Inhalt der Textdatei direkt eingefügt.
2. das HjT Logfile kommt mir unwahrscheinlich kurz vor und zeigt einen bedenklichen Eintrag:

O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)

Die Aussage dazu:

Der angebliche Systemprozess läuft nicht im System32 Ordner und ist deshalb als schädlich einzustufen. Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.

Kannst du damit etwas anfangen? Sonst fixen.

3. Was hat Norton oder du mit deinen vermeintlichen Trojaner gemacht?

13.01.2011, 16:24

ich bereits diesen eintrag zu löschen, doch er bleibt immer drin. ich habe die info angehängt, die zu diesem eintrag gegeben wird.
ich habe eset, doch dieses wurde vom trojaner ausgeschaltet, ich bekomme keine meldung.

13.01.2011, 16:47

Moin,
ich habe dieses 'Eset' /NOD - Norton zugeschrieben und kenne das Programm nicht.
Dieses und andere Programme werden also von einem Trojaner lahm gelegt, schreibst du. Dieser muss doch erst mal gefunden werden. Da das über HjT nicht möglich ist, andere Scanner nicht installiert werden können, bleibt dir nichts anderes übrig, als

externe Datensicherung
Festplatte formatieren
BS neu installieren

Das ist zwar eine aufwändige aber die sicherste Methode, wieder einen sauberen Rechner zu bekommen.

13.01.2011, 16:59

danke.
1. aber wenn ich alles auf eine externe festplatte packe, dann geht doch der trojaner mit, oder?
2. wie installiere ich das bs neu?

13.01.2011, 17:21

Du sollst nicht alles extern sichern, sondern deine 'Eigenen Dateien'.
Die Programme und Treiber musst du nach Neuinstallation des BS erst wieder installieren.

wie installiere ich das bs neu?

... indem du im BIOS die Bootreihenfolge umstellst und CD-Rom an 'first boot device' rückst, die Festplatte an Pos.2.
Danach Neustart mit eingelegter DVD, Der Installationsvorgang beginnt und du lässt die FP formatieren (Format: NTFS) danach läuft die Installation weiter.
Hier das weitere Vorgehen:
Vista Neuinstallation und Einrichtung – Schritt für Schritt - Grundlagen Computer
und hier noch mal mit mehr Details:
Windows Vista neu installieren - PCFreunde.de

Fake Microsoft Security Essentials Alert

Fake Microsoft Security Essentials Alert

Ähnliche Themen

Trojaner: Fake Microsoft Security Essentials Alert

Microsoft security essentials alert

Microsoft Security Essentials Client Update Package - KB2691905

trojan fake alert / kann mich bei windows nicht mehr anmelden

Es erscheint dauern Security Alert und ähnliches