Hallo erstmal, ich bin neu hier, und habe da gleich ein ganz großes problem!!

mein pc macht seit einiger zeit heftige probleme die so aussehen:

-abstürze
-komme plötzlich nimmer ins internet
-verlangsamt sich
-antivirus macht zicken und definitions-dateien sind zerstört
-zone-alarm schließt sich, und will neu gestartet werden
-adaware hat zerstörte definitions-dateien und bricht ab bevor der scan beendet ist
-probleme beim hochfahren, braucht mindestens 3 anläufe
-nach einiger zeit ist die system32 datei zerstört und ich muss neu installieren
-probleme beim windows-update

antivir findet NICHTs, adaware findet blos alexa sonst nix, und externe virenscanner finden auch nichts!!

ich habe einen ordner gefunden der sich WANDOWS nennt, und einen unterordner hat der sich system32 nett, der einen unterordner hat der sich drivers nennt...

dieser ordner kommt immer wieder, selbst wenn ich die festplatte 3 mal formatiert habe und den rechner neu aufsetze!!!

ich habe beim letzten aufsetzen nur die windows-original cd benutzt, war kaum im internet und habe alle cds bis auf die mit dem audio-treiber gemieden!!

ich habe schon gegoogelt, aber dabei ist nur rausgekommen das es sich um den trojaner dropper handeln könnte (small if) aber dazu finde ich kein removal-tool oder ähnliches!

ich bin echt am verzweifeln, bitte helft mir!! habe das system nun zum 5. mal neu aufsetzen müssen!!

lieben gruß

angie

Servus, angie00732!

Poste bitte mal ein HJT-Logfile nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17493
bis dann, stupormundi

Zitat:

Zitat von stupormundi

Servus, angie00732!

Poste bitte mal ein HJT-Logfile nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17493
bis dann, stupormundi

Logfile of HijackThis v1.99.1
Scan saved at 12:38:27, on 27.09.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\dreamangel\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1127747806843
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

gruß

angie

Hallo nochmal!

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 12:38:27, on 27.09.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Außer, dass Dein System nicht aktualisiert ist (SP2+Sichereitspatches), kann ich in diesem LogFile nichts Aufregendes erkennen, was auf einen Trojaner schließen ließe! Heißt aber nicht, dass keiner da ist!
Lass´ mal im abgesicherten Modus escan nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17492 laufen und poste das Ergebnis von Haui45´s find.bat (ist in dieser Anleitung ebenfall verlinkt und beschrieben). Achte auf die genauer Einhaltung der Anweisungen, der Scan dauert ca. 1 Stunde oder länger!
Bis dann, stupormundi

Zitat:

Zitat von stupormundi

Hallo nochmal!
Außer, dass Dein System nicht aktualisiert ist (SP2+Sichereitspatches), kann ich in diesem LogFile nichts Aufregendes erkennen, was auf einen Trojaner schließen ließe! Heißt aber nicht, dass keiner da ist!
Lass´ mal im abgesicherten Modus escan nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17492 laufen und poste das Ergebnis von Haui45´s find.bat (ist in dieser Anleitung ebenfall verlinkt und beschrieben). Achte auf die genauer Einhaltung der Anweisungen, der Scan dauert ca. 1 Stunde oder länger!
Bis dann, stupormundi

Tue Sep 27 13:17:36 2005 => ***** Scanning complete. *****

Tue Sep 27 13:17:36 2005 => Total Objects Scanned: 22948
Tue Sep 27 13:17:36 2005 => Total Virus(es) Found: 2
Tue Sep 27 13:17:36 2005 => Total Disinfected Files: 0
Tue Sep 27 13:17:36 2005 => Total Files Renamed: 0
Tue Sep 27 13:17:36 2005 => Total Deleted Objects: 0
Tue Sep 27 13:17:36 2005 => Total Errors: 36
Tue Sep 27 13:17:36 2005 => Time Elapsed: 00:03:37
Tue Sep 27 13:17:36 2005 => Virus Database Date: 2005/09/09
Tue Sep 27 13:17:36 2005 => Virus Database Count: 148428

Tue Sep 27 13:17:36 2005 => Scan Completed.

Zitat:

Zitat von angie00732

Tue Sep 27 13:17:36 2005 => ***** Scanning complete. *****

Tue Sep 27 13:17:36 2005 => Total Objects Scanned: 22948
Tue Sep 27 13:17:36 2005 => Total Virus(es) Found: 2
Tue Sep 27 13:17:36 2005 => Total Disinfected Files: 0
Tue Sep 27 13:17:36 2005 => Total Files Renamed: 0
Tue Sep 27 13:17:36 2005 => Total Deleted Objects: 0
Tue Sep 27 13:17:36 2005 => Total Errors: 36
Tue Sep 27 13:17:36 2005 => Time Elapsed: 00:03:37
Tue Sep 27 13:17:36 2005 => Virus Database Date: 2005/09/09
Tue Sep 27 13:17:36 2005 => Virus Database Count: 148428

Tue Sep 27 13:17:36 2005 => Scan Completed.

Bekomme den kompletten file hier nicht rein... bin da wohl zu blöd für ... schnief...

aber scheinbar sind da 2 viren drauf, wie finde ich nun raus welche das sind?

hab echt keinen plan!!

bin nach beschreibung vorgegangen, aber irgendwie funzt das nicht auf meinem pc....

Zitat:

Zitat von angie00732

Tue Sep 27 13:17:36 2005 => Virus Database Date: 2005/09/09
Tue Sep 27 13:17:36 2005 => Virus Database Count: 148428

Tue Sep 27 13:17:36 2005 => Scan Completed.

Mit Verlaub, heute ist der 27.09.2005

Und in C:\bases_X liegt das Programm (escan) vermutlich auch nicht.




Domino

Zitat:

Zitat von Domino

Mit Verlaub, heute ist der 27.09.2005

Und in C:\bases_X liegt das Programm (escan) vermutlich auch nicht.




Domino

ist ja schön und gut, aber dann hab ich wohl irgendwas falsch gemacht, wie gesagt ich bin ein LAIE!!

kann mir mal jemand erkläre wie ich es dann bitte richtig mache? er hat doch alle updates in diesem schwarzen fenster gefahren, hat das fenster geschlossen und dann gescant!!

gruß

angie

Anleitung




Domino

Zitat:

Zitat von Domino

Anleitung




Domino

nett... aber GENAU nach dieser beschreibung bin ich gegangen, und der escan ist auch im Bases_X ordner drin!!

gruß

angie

Hallo, angie00732!

Zitat:

Tue Sep 27 13:17:36 2005 => Time Elapsed: 00:03:37
Tue Sep 27 13:17:36 2005 => Virus Database Date: 2005/09/09
Tue Sep 27 13:17:36 2005 => Virus Database Count: 148428

Alleine das zeigt mir, dass Du nicht den Anweisungen in dieser Anleitung gefolgt bist (offenbar die Häkchen nicht richtig gesetzt, da nur knapp über 3 Min Laufzeit, Signaturen nicht vor dem Start aktualisiert). Bitte schau´Dir die Anleitung noch einmal genau an, eventuell nutzt Du auch den von Cidre zur Verfügung gestellten Link http://www.trojaner-info.de/anleitun..._antivirus.pdf zum Download dieser Anleitung für den Offline-Betrieb. Dann kannst Du sie Dir ausdrucken und Schritt für Schritt nachvollziehen!

Zitat:

Bekomme den kompletten file hier nicht rein... bin da wohl zu blöd für ... schnief...

Auch das ist nicht notwendig - siehe Anleitung!
Wir brauchen nur das Ergebnis der find.bat wie beschrieben

Zitat:

[5] Rechtsklick auf die Find.rar http://www.cidres-security.de/picture/Find.rar -> Ziel speichern unter… z.B. 'C:\Find.rar' -> 'Find.rar' entpacken z.B. 'C:\Find.bat' -> 'Find.bat' doppelklicken und den Scan abwarten -> den Inhalt [6] der automatisch erstellten 'C:\eScan_neu.txt' posten.
An dieser Stelle, vielen Dank an Haui45, dem Autor der Find.bat.
Sollten Probleme beim Ausführen der Find.bat auftreten, dann lies bitte folgenden Thread von Haui durch.
Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor du es postest.
[6] Strg + A (alles markieren) -> Strg + C (kopieren) -> Strg + V (Thread einfügen).
Alternativ:
Öffne die 'mwav.log' im Ordner 'C:\Bases_X' -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

Also bitte zuerst alles lesen und dann Schritt für Schritt noch einmal!
stupormundi

Zitat:

Zitat von stupormundi

Hallo, angie00732!

Alleine das zeigt mir, dass Du nicht den Anweisungen in dieser Anleitung gefolgt bist (offenbar die Häkchen nicht richtig gesetzt, da nur knapp über 3 Min Laufzeit, Signaturen nicht vor dem Start aktualisiert). Bitte schau´Dir die Anleitung noch einmal genau an, eventuell nutzt Du auch den von Cidre zur Verfügung gestellten Link http://www.trojaner-info.de/anleitun..._antivirus.pdf zum Download dieser Anleitung für den Offline-Betrieb. Dann kannst Du sie Dir ausdrucken und Schritt für Schritt nachvollziehen!
Auch das ist nicht notwendig - siehe Anleitung!
Wir brauchen nur das Ergebnis der find.bat wie beschrieben
Also bitte zuerst alles lesen und dann Schritt für Schritt noch einmal!
stupormundi

so, nun geht gar nix mehr....

ich hatte die datei drauf, nun ist sie weg, downloaden geht nicht weil er mir erklärt das der dateiname ungültig ist...

da hab ich jetzt den salat.... und nun?

würde es ja gerne wiederholen, aber es geht nicht...

bin wohl doch zu blöd zu...

Zitat:

ich hatte die datei drauf, nun ist sie weg, downloaden geht nicht weil er mir erklärt das der dateiname ungültig ist...

Welche Datei nu wieder? Die verlinkte .pdf Datei oder welche? Zum Download geh´ auf den link--> rechte Maustaste *click*-->"Ziel speichern unter" auswählen und dorthin speichern, wo Du sie leicht findest!

Zitat:

bin wohl doch zu blöd zu...

Hör´damit bitte auf! Mach´es einfach Schritt für Schritt dann geht es auch bei Dir!
cu, stupormundi

Hallo angie00732,

bei allem Respekt, es hilft Dir nichts, Dich selber runter zu machen, nur weil Du ein Laie bist !

Ich bin selbst ein Laie und kann mir vorstellen wie Du Dich momentan fühlst. Aber in der Ruhe liegt die Kraft !

Gehe es bitte noch einmal in Ruhe step by step durch. Die Anleitung funktioniert, aber nur bei GENAUER Befolgung. Du möchtest professionelle Hilfe ? Die bekommst Du hier..., aber eben nur wenn Du die erforderlichen Schritte für eine erfolgreiche Ferndiagnose präzise abarbeitest. Wie gesagt - mir ging es nicht anders - es ist 4 Wochen her und heute läuft wieder alles fehlerfrei.

Beschäftige Dich mal eine Stunde mit etwas anderem und nutze das pdf für die Anleitung. Hat mir als Laie bestens geholfen.


@ stupormundi

Sorry, wollte nicht einfach so dazwischenfunken !


Kopf hoch und Grüße

joeyblack
________________________________________________
Sic transit gloria mundi !

@angie00732

Zitat:

Hör´damit bitte auf!

Sorry wenn das zu hart geklungen hat aber

Zitat:

Zitat von joeyblack

bei allem Respekt, es hilft Dir nichts, Dich selber runter zu machen, nur weil Du ein Laie bist

hat recht!
@joeblack *thx*
Alles der Reihe nach, dann funzt es auch bei Dir!
stupormundi