PC-Probleme: Virus oder mehr?

pc-laie23 · 17.04.2005, 15:54

Hallo!

Sorry, wenn ich jetzt nen neues Thema erstelle, aber mein Nick ist Programm, dh kann meinen PC grad mal an und aus machen, ansonsten total null Plan von der PC-Welt, leider!

Hier mein Problem:

Mein PC geht ab und zu einfach aus, hatte leider AntiVir nicht aktiviert. Habe einen Suchlauf gestrtet und auch da ging das Ding ständig aus, spätestens nach 4000 durchsuchten Datein. Wenn ich nur SICHERUNG D durchsuchte ging er sofort nach kurzer Zeit aus.
Einmal gelang es mir komplett zu suchen:

2 Funde: TR/Dldr.Stubby.C

Zudem sagt er mir ab und zu an, dass Dateien beschädigt sind. Eben sogar das er Windows XP nicht finden konnte.

Sehr häufig bekomme ich dann auch zu Beginn die Fehlermeldung, sobald das Desktop angezeigt wird:

GENERAL EXTRACTION error location ES1

Bin komplett ratlos und würde mich freuen wenn jemand mir irgendwie helfen könnte.

Vielen Dank im voraus

Gruß Mike

chaosman · 17.04.2005, 16:04

@pc-laie23
poste ein HJT logfile
download
anleitung

lade escan
download
anleitung
EscanErgebnis
Teile uns das Ergebnis des eScan mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

hast du ein programm namens PTFB installiert?
chaosman

pc-laie23 · 17.04.2005, 16:12

Danke schon mal für deine schnelle Antwort!

Sind die beiden downloads kostenflichtig?

Cidre · 17.04.2005, 16:18

@ pc-laie23

Beide Programme sind kostenlos einsetzbar.

pc-laie23 · 17.04.2005, 17:34

Hab jetzt escan mal durchlaufen lasse:

10 Viren, aber dafür müsste ich irgendwas kaufen zur reperatur:

Sun Apr 17 18:15:56 2005 => File C:\PROGRA~1\Save\Save.exe infected by "not-a-virus:AdWare.SaveNow.bc" Virus. Action Taken: No Action Taken.
Sun Apr 17 18:16:16 2005 => File C:\PROGRA~1\Save\Save.exe infected by "not-a-virus:AdWare.SaveNow.bc" Virus. Action Taken: No Action Taken.
Sun Apr 17 18:16:30 2005 => System found infected with BearShare Spyware/Adware ({905d0df2-3a0a-4d94-853c-54a12a745905})! Action taken: No Action Taken.
Sun Apr 17 18:16:30 2005 => File System Found infected by "BearShare Spyware/Adware" Virus. Action Taken: No Action Taken.

Sun Apr 17 18:16:30 2005 => System found infected with BearShare Spyware/Adware ({9f95f736-0f62-4214-a4b4-caa6738d4c07})! Action taken: No Action Taken.
Sun Apr 17 18:16:30 2005 => File System Found infected by "BearShare Spyware/Adware" Virus. Action Taken: No Action Taken.

Sun Apr 17 18:16:30 2005 => System found infected with BearShare Spyware/Adware ({558ec983-bedb-9168-b2de-31dbf0ee543e})! Action taken: No Action Taken.
Sun Apr 17 18:16:30 2005 => File System Found infected by "BearShare Spyware/Adware" Virus. Action Taken: No Action Taken.
Sun Apr 17 18:16:30 2005 => System found infected with BearShare Spyware/Adware ({5f95e1af-2620-4f15-bdf9-7fdce4607e17})! Action taken: No Action Taken.
Sun Apr 17 18:16:30 2005 => File System Found infected by "BearShare Spyware/Adware" Virus. Action Taken: No Action Taken.

Sun Apr 17 18:16:31 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Sun Apr 17 18:16:31 2005 => File System Found infected by "Alexa Spyware/Adware" Virus. Action Taken: No Action Taken.
Sun Apr 17 18:16:31 2005 => System found infected with bearshare Spyware/Adware! Action taken: No Action Taken.
Sun Apr 17 18:16:31 2005 => File System Found infected by "bearshare Spyware/Adware" Virus. Action Taken: No Action Taken.

Sun Apr 17 18:16:31 2005 => Offending value found in HKCU\appevents\eventlabels\bearsharechatnotifymsg !!!
Sun Apr 17 18:16:31 2005 => System found infected with bearsharechatnotifymsg Spyware/Adware! Action taken: No Action Taken.
Sun Apr 17 18:16:31 2005 => File System Found infected by "bearsharechatnotifymsg Spyware/Adware" Virus. Action Taken: No Action Taken.
Sun Apr 17 18:21:53 2005 => File C:\DOKUME~1\MIKE~1.MIK\LOKALE~1\Temp\saveinstwm.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken.

Ich hoffe das hilft was, wenn ich noch mehr machen muss, bitte sagen. Auch wenn alles was länger dauert bei mir

chaosman · 17.04.2005, 17:41

@pc-laie23
leere dein TIFs
Temporary Internet Files
Leere diese Ordner:
C:\Dokumente und Einstellungen\*Benutzername*\Lokale Einstellungen\Temp
C:\WINDOWS\Downloaded Program Files
C:\Dokumente und Einstellungen\*Benutzername*\Lokale Einstellungen\Temporary Internet Files

deinstalliere über systemsteuerung, software, BearShare
lade spybot
und AdAware download
beide installieren und updaten,
dann in den abgesicherten modus wechseln
anleitung
mit beide programme nacheinander scannen, lösche was vorgeschlagen wird,
neu booten, neues HJT logfile posten
chaosman

Cidre · 17.04.2005, 17:42

Poste auch noch diesen Teil:

Total Files Scanned:
Total Virus(es) Found:
Total Disinfected Files:
Total Files Renamed:
Total Deleted Files:
Total Errors:
Time Elapsed:

Erstelle und poste auch das HJT Log-File.
Persönliche Informationen, wie Benutzername und dergleichen, bitte unkenntlich machen.

pc-laie23 · 17.04.2005, 17:57

Wie komme ich denn zu TIF um die Datei zu löschen?

chaosman · 17.04.2005, 18:00

@pc-laie23
Leere diese Ordner:
C:\Dokumente und Einstellungen\*Benutzername*\Lokale Einstellungen\Temp
C:\WINDOWS\Downloaded Program Files
C:\Dokumente und Einstellungen\*Benutzername*\Lokale Einstellungen\Temporary Internet Files
TIF= temporary Internet Files
chaosman

pc-laie23 · 17.04.2005, 18:04

Total scanned: 11482
virus found: 10
dann 3 mal 0

bei error:1

time war 07min 35

pc-laie23 · 17.04.2005, 18:08

Aber wie komme ich da hin um die rdner zu löschen? über systemsteuerung?

pc-laie23 · 17.04.2005, 20:35

Hab bearshare deinstalliert und die 2 ordner auch gelöscht.

HTJ ergab folgendes:

Logfile of HijackThis v1.99.1
Scan saved at 21:34:28, on 17.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\Save\Save.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_AICN03.EXE
C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinAce\WinAce.exe
C:\Dokumente und Einstellungen\Mike.MIKE-BDMJ8EVDIF\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tippen4you.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WhenUSave] C:\PROGRA~1\Save\Save.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus COLOR 580] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_AICN03.EXE /P22 "EPSON Stylus COLOR 580" /O6 "USB001" /M "Stylus COLOR 580"
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/164e5248...dxIE601_de.cab
O16 - DPF: {D7A4D8FB-83F0-40E5-954F-88F48D15AE96} (ICQVideoWindow Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C28724E-75C8-4F4B-985F-754369F4FB75}: NameServer = 217.237.150.97 217.237.149.161
O17 - HKLM\System\CS1\Services\Tcpip\..\{3C28724E-75C8-4F4B-985F-754369F4FB75}: NameServer = 217.237.150.97 217.237.149.161
O17 - HKLM\System\CS2\Services\Tcpip\..\{3C28724E-75C8-4F4B-985F-754369F4FB75}: NameServer = 217.237.150.97 217.237.149.161
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe

Cidre · 17.04.2005, 20:44

Zitat:

Total scanned: 11482
virus found: 10
dann 3 mal 0
bei error:1
time war 07min 35

Du hast eScan nicht richtig ausgeführt! Lese nochmals die Beschreibung und scanne abermals dein System, denn so ist eine Analyse nicht wirklich sinnvoll.

pc-laie23 · 17.04.2005, 21:44

@ Cidre:

Jetzt bekomme ich den escan nicht mehr gedownloaded. Kommt imer ne Fehlermeldung wenn es fertig sein solte...

pc-laie23 · 17.04.2005, 23:42

Habe den escan nun nochmal fst so richtig wie lt anleitung laufen können.

Nach ca. 18.000 datei schmeisst er einfach das ding raus und schliesst das "fenster".

Konnte aber nun bei den funden folgende ursachen finden:

2 mal zeigte er an: keinen virus, sondern AdWarwe.BiSpym
AdWare.saveNow.2

Bei den Viren folgendes:

Trojan-Downloader.Win32Stubby.a

und wohl verheerendr:

C/Windows/system32/config/systemprofile/lokale einstellungen/temporary Internet Files/content IES/6 FiR/SY3/WKsPatch (7).exe

NetWorm. Win 32.Welchia.e
NetWorm.win32.welchia.h

Sorry, wenn ich nerve, aber alle "bekannte" von mir sind auch komplett ratlos und hier glaube ich sind experten, die mir vielleicht helfen können *hoff*

Gruß mike

17.04.2005, 16:18	#4
Cidre Administrator, a.D.	PC-Probleme: Virus oder mehr? @ pc-laie23 Beide Programme sind kostenlos einsetzbar. __________________ Gruß, Cidre [B]Neuaufsetzen des Systems/Absicherung - Wie poste ich falsch?

PC-Probleme: Virus oder mehr?

Plagegeister aller Art und deren Bekämpfung: PC-Probleme: Virus oder mehr?