Viren, Spyware, Datenschutz 11.214 Themen, 94.192 Beiträge

Verfolgung starten Optionen

Desktop und Einstellungen geändert - Malware?

angela79at / 16 Antworten / Flachansicht Nickles

Hallo,

heute habe ich beim Öffnen einer Internetseite eine Meldung über a.exe von meiner Virensoftware bekommen und ich habe auf "Zugriff verweigern" geklickt. Zuerst ist mir nichts aufgefallen, aber dann habe ich gesehen, daß mein Desktop geändert ist (dort steht unter anderem:
Warning! Spyware detected on your computer!
Warning!Win32/Adware.Virtumonde detected on your computer
Warning!Win32/PrivacyRemover.M64)
und meine Einstellungen (z.B. Windows-Sounds) sind auch geändert.

Ich habe gegoogelt und die Symptome sind so wie bei der Malware XP-Guard. Einziges Problem: XP-Guard findet sich nicht auf meinem PC, wenn ich es manuell deinstallieren will, und diverse Programme finden auch nichts.

Im Task Manager finden sich folgendes verdächtiges Programm:
lphcekvj0ejer.exe
zu dem ich leider keine Infos finden konnte. Könnt Ihr mir vielleicht weiterhelfen?

Danke im voraus,
Angela

bei Antwort benachrichtigen
Hallo angela79at, kannst du mal ein Bild von deinem veränderten Desktop ... shrek3
Hallo, hier ist das Photo: http://www.250kb.de/u/080823/j/12b43450.jpg Liebe ... angela79at
Hallo Angela das sieht nicht sehr vertrauenerweckend aus. Welcher Scanner ... pema1983
angela79at pema1983 „Hallo Angela das sieht nicht sehr vertrauenerweckend aus. Welcher Scanner meldet...“
Optionen

Hallo,

die Meldung habe ich von Avira AntiVir erhalten, ich weiß nicht mehr, wo die Datei genau war. Danach habe ich den Virenscanner am ganzen Laufwerk laufen gelassen und das war das Ergebnis:
Beginne mit der Suche in 'C:\' <Lokaler Datenträger>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Angela\Lokale Einstellungen\Temp\.tt1.tmp.vbs
[FUND] Enthält Erkennungsmuster des VBS-Scriptvirus VBS/Agent.1002
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49233076.qua' verschoben!
C:\Dokumente und Einstellungen\Angela\Lokale Einstellungen\Temp\.tt2.tmp.vbs
[FUND] Enthält Erkennungsmuster des VBS-Scriptvirus VBS/Agent.1002
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49233078.qua' verschoben!
C:\Dokumente und Einstellungen\Angela\Lokale Einstellungen\Temp\.tt450.tmp.vbs
[FUND] Enthält Erkennungsmuster des VBS-Scriptvirus VBS/Agent.1002
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4923307a.qua' verschoben!
C:\Dokumente und Einstellungen\Angela\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2WCI3BOP\swflash[1].cab
[0] Archivtyp: CAB (Microsoft)
--> FP_AX_CAB_INSTALLER.exe
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dokumente und Einstellungen\Angela\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8LAVKHEN\appD[1].cab
[0] Archivtyp: CAB (Microsoft)
--> inapp5.exe
[FUND] Ist das Trojanische Pferd TR/Agent.AHDK.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491f30d7.qua' verschoben!
C:\Programme\WINDOWS\scvhost.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Xeol.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4925352c.qua' verschoben!
C:\WINDOWS\system32\msdtcs.dll
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.kdt
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491337c0.qua' verschoben!
C:\WINDOWS\system32\phcekvj0ejer.bmp
[FUND] Ist das Trojanische Pferd TR/Fakealert.AAF
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491237be.qua' verschoben!

Die letzte Meldung scheint zumindest damit zusammenzuhängen, dem Namen nach.

Bisher habe ich folgende Probleme festgestellt:
1) Das Hintergrundbild und der Bildschirmschoner ließen sich nicht ändern. Das habe ich mittlerweile in der Registry beheben können.
2) Die "dead keys" der Tastatur funktionieren nicht.
3) Die Soundeinstellungen waren zurückgesetzt, ließen sich aber ändern. Also habe ich sie wieder auf "keine Sounds" gesetzt und dann waren sie nach einiger Zeit wieder da.
4) Meine eigene Symbolleiste auf der Taskleiste war weg, konnte aber wieder eingerichtet werden. Ich weiß nicht, ob das nach einem Neustart auch noch so ist. Werde ich jetzt einmal schauen.

Liebe Grüße,
Angela

bei Antwort benachrichtigen
Hallo nochmal, habe den Computer jetzt neu gestartet. Das Hintergrundbild ... angela79at
Ok, vergeßt das mit den dead keys, jetzt funktionieren sie wieder nicht. Angela angela79at
Hallo Angela AntiVir ist zwar ein Scanner mit einer guten Erkennung, ... pema1983
Hallo, ich kann die Seite und www.avira.com nicht öffnen, mit Opera nicht ... angela79at
Dein PC ist einem Hijacker zum Opfer gefallen! rill
Hallo, ich hab s befürchtet. : Ich bin nicht besonders erfahren mit dem ... angela79at
Hallo angela79at, ergänzend zu den Anmerkungen von rill kann ich dir nur ... shrek3
Hallo Angela was für ein Rechner ist das denn? Je nach Modell hast Du ... pema1983
Hallo, das mit den CDs ist halt so eine Sache, wenn man schon mehrere ... angela79at
XP-Neuinstallation ... rill
Alle benötigten aktuellen Treiber/Updates solltest Du Dir unbedingt vorher ... shrek3
...AntiVir ist zwar ein Scanner mit einer guten Erkennung, allerdings ... GarfTermy