Hallo Leute,

hab ein ziemliches Problem auf meinem XP Rechner und zwar meldete mir Antivir beim surfen vor zwei Tagen eine Reihe von Attacken, so dass ich die Internetverbindung getrennt habe und das System hab scannen lassen.
Nachdem Antivir nun beim scannen des Ordners "Temporary Internet Files / Content.IE5" einfach ohne weitere Fehlermeldung abgebrochen hat, habe ich es mit escan, adaware, stinger (auch im abgesicherten Modus) und einigen online scans versucht => immer das gleiche problem: alle Programme werden wärend des scannens des Ordners abgebrochen!!
Lediglich Spybot läuft durch und findet auch einiges, hilft aber auch nicht weiter.
Dann dachte ich mir, vielleicht mit KIllBox die Unterdateien von ContentIE zu löschen, das bricht aber auch ab.
Kann auch den ContentIE Ordner nicht mehr einsehen, da sich, wenn ich ihn öffnen möchte, ALLE offenen Fenster schliessen und ich wieder blöd vor dem Desktopbild sitze.

Habe dann seit zwei Tagen in Foren gesucht, aber zu diesem konkreten Problem leider nichts finden können, deshalb mal hier nachgefragt.

Kann mir jemand weiterhelfen?

Vielen Dank

Hier der HijackThis Log:


Logfile of HijackThis v1.99.1
Scan saved at 12:59:59, on 21.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\csrss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\WINDOWS.0\System32\alg.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS.0\System32\cisvc.exe
C:\WINDOWS.0\System32\nvsvc32.exe
C:\Programme\PurgeIE\PurgeIE_Service.exe
C:\WINDOWS.0\System32\locator.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\System32\wdfmgr.exe
C:\PROGRA~1\MUSICM~1\MUSICM~1\mm_tray.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE
C:\WINDOWS.0\System32\atkctrs9.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS.0\System32\ctfmon.exe
C:\WINDOWS.0\System32\RUNDLL32.EXE
C:\WINDOWS.0\System32\devldr32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS.0\System32\wuauclt.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\NETSCAPE\NETSCAPE\NETSCP.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS.0\explorer.exe
C:\Dokumente und Einstellungen\knechtbert.RECHENKNECHT\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {E71DBF67-035E-945A-4ABB-B39F50C996AE} - wormexe.dll (file missing)
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS.0\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MMTray] C:\PROGRA~1\MUSICM~1\MUSICM~1\mm_tray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS.0\System32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun
O4 - HKLM\..\Run: [3e46ed4a7ede] C:\WINDOWS.0\System32\atkctrs9.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS.0\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [AliceSD] LOPTCON.exe
O4 - HKCU\..\Run: [CToolBar] MONITER.exe
O4 - HKCU\..\Run: [backorif] WinInitDll.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{193EE767-AC11-433B-A6BF-D49E4DAC5DBF}: NameServer = 69.50.176.158,85.255.112.8
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS.0\System32\nvsvc32.exe
O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS.0\svchost.exe (file missing)
O23 - Service: PurgeIE XP Service (PurgeIEservice) - Assistance & Resources for Computing, Inc. - C:\Programme\PurgeIE\PurgeIE_Service.exe

@losse

Zitat:

meldete mir Antivir beim surfen vor zwei Tagen eine Reihe von Attacken

AntiVir meldet grundsätzlich keine Attacken.

Zitat:

Nachdem Antivir nun beim scannen des Ordners "Temporary Internet Files / Content.IE5"

Systemsteuerung/Internetoptionen/Allgemen/Dateien löschen, Haken gegen "Alle offlineinhalte löschen..." setzen, OK drücken.

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Windows auf aktuelle Sicherheitsstand bringen.
Fixen

Zitat:

O4 - HKLM\..\Run: [3e46ed4a7ede] C:\WINDOWS.0\System32\atkctrs9.exe
O4 - HKCU\..\Run: [AliceSD] LOPTCON.exe
O4 - HKCU\..\Run: [CToolBar] MONITER.exe
O4 - HKCU\..\Run: [backorif] WinInitDll.exe

Strg+Alt+Entf göeichzeitig dücken, Prozesse mit Namen

Zitat:

atkctrs9.exe
LOPTCON.exe
MONITER.exe
WinInitDll.exe

falls solche vorhanden, beenden, diese Dateien richtig suchen, löschen.
Danach:
1.Systemwiederherstellung abschalten
2. Dieses Bereinigungsprogramm hilft dir, den ganzen Müll aus den Temp-Ordner und Papierkorb zu entfernen.
3. Infected-Ordner des Antivirus-Programms, ggf. auch von Spybot Search & Destroy, Ad-Aware usw. leeren. Der Name des Ordners sowie Pfad sind Programm- und Benutzerabhängig. Bitte RTFM zum AV-Programm. Bei einigen Programmen (z. B. AVPE) ist diese Option nicht im Programm integriert. In dem Fall soll dies manuell erfolgen.
4. eScan genau nach Anleitung (bitte ausdrucken und aufmerksam lesen) im abgesicherten Modus laufen lassen. Log hier Posten.

Hallo Rene-gad

und vielen Dank für die schnelle und ausführliche Antwort!
Hab auch alles soweit, wie beschrieben gemacht, allerdings:

1. ist bei der Suche nach atkctrs.exe schon wieder das Fenster geschlossen worden (vermutlich als es gerade im ContentIE Ordner suchte)
-> hab die Datei aber dann mit Hilfe des Hijack Logpfads entdeckt und gelöscht.

2. hab ich keine Infected-Ordner der Programme finden können.

3. ist trotz genauer Anleitungsbefolgung von escan und scannung im abgesicherten Modus und mit deaktivierter Systemwiederherstellung das Programm auch wieder während dem scannen des Content IE (genauer gesagt des Unterordners "0509YFG1") abgestürtzt!
(Hat bis dahin allerdings schon 21 Viren ausfindig gemacht)

Da ich den bis dahin erstellten Log aufgrund der Länge nicht Posten kann, hier ein Auszug, wo anscheinend was entdeckt wurde und das Ende (wo abgebrochen wurde:

Sun Aug 21 15:24:29 2005 => ***** Scanning Registry and File system for Adware/Spyware *****
Sun Aug 21 15:24:29 2005 => Loading Spyware Signatures from new External Database (Size: 134742).

Sun Aug 21 15:24:34 2005 => System found infected with istbar Spyware/Adware ({aa8c93e1-7e5f-497e-b67c-cc8fe2a40d3b})! Action taken: No Action Taken.
Sun Aug 21 15:24:34 2005 => System found infected with istbar Spyware/Adware ({2ddd90d6-f153-4ea7-a324-4b2d83d1027e})! Action taken: No Action Taken.
Sun Aug 21 15:24:34 2005 => System found infected with istbar Spyware/Adware ({9ce15eb5-6b39-4656-9e1f-2d219ee42e0e})! Action taken: No Action Taken.
Sun Aug 21 15:24:35 2005 => System found infected with PeopleOnPage.Apropos Spyware/Adware ({b5ab638f-d76c-415b-a8f2-f3ceac502212})! Action taken: No Action Taken.
Sun Aug 21 15:24:35 2005 => System found infected with SearchMiracle.EliteBar Spyware/Adware ({ed103d9f-3070-4580-ab1e-e5c179c1ae41})! Action taken: No Action Taken.
Sun Aug 21 15:24:36 2005 => System found infected with Hijacker Spyware/Adware ({4E7BD74F-2B8D-469E-A1F6-FC7EB590A97D})! Action taken: No Action Taken.
Sun Aug 21 15:24:39 2005 => System found infected with RapidBlaster Spyware/Adware ({01fc5803-8644-45d7-877b-5a3924d8ecc4})! Action taken: No Action Taken.
Sun Aug 21 15:24:39 2005 => System found infected with RapidBlaster Spyware/Adware ({15e7d23b-736e-46fa-bffd-cbec4126befd})! Action taken: No Action Taken.

und das Ende:


un Aug 21 15:36:33 2005 => Scanning File C:\Dokumente und Einstellungen\knechtbert\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
Sun Aug 21 15:36:33 2005 => Scanning File C:\Dokumente und Einstellungen\knechtbert\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
Sun Aug 21 15:36:33 2005 => Scanning Folder: C:\Dokumente und Einstellungen\knechtbert\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\*.*
Sun Aug 21 15:36:33 2005 => Scanning Folder: C:\Dokumente und Einstellungen\knechtbert\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\9.0\*.*
Sun Aug 21 15:36:33 2005 => Scanning File C:\Dokumente und Einstellungen\knechtbert\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\9.0\WMSDKNS.DTD
Sun Aug 21 15:36:33 2005 => Scanning File C:\Dokumente und Einstellungen\knechtbert\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\9.0\WMSDKNS.XML
Sun Aug 21 15:36:33 2005 => Scanning File C:\Dokumente und Einstellungen\knechtbert\Lokale Einstellungen\desktop.ini
Sun Aug 21 15:36:33 2005 => Scanning Folder: C:\Dokumente und Einstellungen\knechtbert\Lokale Einstellungen\Temporary Internet Files\*.*
Sun Aug 21 15:36:33 2005 => Scanning Folder: C:\Dokumente und Einstellungen\knechtbert\Lokale Einstellungen\Temporary Internet Files\Content.IE5\*.*
Sun Aug 21 15:36:33 2005 => Scanning Folder: C:\Dokumente und Einstellungen\knechtbert\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0509YFG1\*.*


=> Es stürzt einfach jedes Programm beim öffnen dieses Ordners ab!

Gibts noch Tipps??

Danke!!

Ja, ich habe genau das selbe Problem.
Virenprogramme schmiern an der selben stelle ab!
Der Prozess SVCHOST.EXE ist bei mir 5x geöffnet und wenn ich versuche diese zu beenden seh ich wie bei dir wieder meinen Desktop.
Kann auch nich, wie bei dir auch, in den Ordner "Temporary Internet Files\Content.IE5" navigiern...
Bin so ziemlich verzweifelt, da ich auch nicht so den Plan von Virenbekämpfung hab... ausser halt mit nem Virenproggie, welches in diesem Fall ja leider nicht funktioniert.
Habs mit AntiVir und Norton Anti Virus versucht.

Hab keinen Plan was ich nu tun kann...

MfG 3und20

@losse

Zitat:

Hab auch alles soweit, wie beschrieben gemacht

Nein.

Zitat:

2. Dieses Bereinigungsprogramm
hilft dir, den ganzen Müll aus den Temp-Ordner und Papierkorb zu entfernen.

Den Punkt hast du unterlassen.

Zitat:

hab ich keine Infected-Ordner der Programme finden können.

C:\Programme\AVPersonal\Infected

@3und20

Zitat:

Ja, ich habe genau das selbe Problem.

Dann tue bitte genau das Selbe, was ich schon hier gepostet habe, und poste bitte nicht mehr in einem fremden Thread, wenn du keine Abhilfe schaffen kannst.

Ich denke, dass du verstehst, dass ich Laie bin.
Dies ist mein erstes schwerwiegendes Problem mit Viren...


"Systemsteuerung/Internetoptionen/Allgemen/Dateien löschen, Haken gegen "Alle offlineinhalte löschen..." setzen, OK drücken."
-geht nicht / werd auf den Desktop geworfen

Prozesse beenden kann ich auch net...
-werd auf den Desktop geworfen

"Windows auf aktuelle Sicherheitsstand bringen."
-ich bin Laie / was muss ich machen?

Bereinigungsproggie zwecks Temporäre Internet Dateien
-geht nicht / werd auf den Desktop geworfen


Soll ich mein Logfile posten?


MfG 3und20

@3und20
Wenn nichts weiter geht, scheint es, dein System ist nicht mehr zu retten. Bitte gehe nach der Anleitung in meiner Sigantur vor. Glaub mir, du bekommst garantiert sauberes und sicheres System in weniger als 2 Stunden. Wenn wir jetzt beginnen mit der Antwort-Suche nach "Warum dieses und jenes nicht geht", vergehen die Tage.
Deine Eigene Dateien kannst du natürlich auf CDs oder Disketten sichern.

Ja, ich denk das wird das beste sein.
Danke für die Checkliste, ist ausgedruckt und wird befolgt.

Vielen Dank nochmal an Rene-gad, es gab aber auch noch einen weiteren Tipp für mein Problem und das war:

"versuch mal den Inhalt bzw. den Ordner aus der Eingabeaufforderung heraus zu löschen.

z.B. so:

Start -> Ausführen
cmd
cd "Lokale Einstellungen"
cd "Temporary Internet Files"
rmdir /s Content.IE5

Dateien die nicht gelöscht werden können werden mit einem entsprechenden Hinweis gemeldet.
Normalerweise ist das nur eine index.dat

Das ganze am besten auch im Abgesicherten Modus. "

-> Hat dann auch tatsächlich FUNKTIONIERT!

Danach konnten alle Virensuchprogramme wieder laufen lassen und auch einiges vernichten. Ausserdem nach Lust und Laune den Ordner ContentIE öffnen (wow!).
escan findet jedoch nach wie vor ca. 60 Viren - wie kann man diese auch noch ausmerzen?

Danke und viel Glück 3und20...