Hallo!

Ich hoffe, Ihr könnt mir helfen. Ich versuche gerade einige Probleme mit meinem Rechner zu beheben und entdecke dabei immer neue! Lagsam nervt's gewaltig...
Das aktuell zu behebende ist, daß die Eingabeaufforderung bzw. "Ausführen..." nicht mehr funktioniert und statt dessen eine Fehlermeldung erscheint.


Hier mein Log-File:

Logfile of HijackThis v1.99.1
Scan saved at 17:27:17, on 02.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\ArcorOnline\Arcor.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\Rar$EX00.625\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.arcor.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [winupdate] C:\Programme\winupdate\winupdate.exe /auto
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb03.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunServices: [p2pnetworking] p2pnetworking.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{151DA0A4-C2F2-4B80-93EE-D0498DBE2E4A}: NameServer = 195.50.140.114 195.50.140.252
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

hey

#PC neustarten--> abgesicherter Modus
1. Öffne notepad (editor) Unter Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheit ein notepad editor.
Oder unter Start/Programme/Zubehör/Editor
2. copiere diser Code rein:

Code: Alles auswählenAufklappen

ATTFilter

@ECHO OFF
attrib -s -r -h %windir%\system32\bszip.dll 
attrib -s -r -h %windir%\system32\CMD.COM 
attrib -s -r -h %windir%\system32\netstat.com 
attrib -s -r -h %windir%\system32\ping.com 
attrib -s -r -h %windir%\system32\regedit.com 
attrib -s -r -h %windir%\system32\tasklist.com 
attrib -s -r -h %windir%\system32\taskkill.com 
attrib -s -r -h %windir%\system32\tracert.com 
del %windir%\system32\bszip.dll 
del %windir%\system32\CMD.COM 
del %windir%\system32\netstat.com 
del %windir%\system32\ping.com 
del %windir%\system32\regedit.com 
del %windir%\system32\tasklist.com 
del %windir%\system32\taskkill.com 
del %windir%\system32\tracert.com
pause
         

3. Speichere die Datei als Fix.bat auf Desktop
4. Doppel klick auf diese Datei Fix.bat

#Versuch mal unter Start/Ausführen,ob folgende Befehle funktionieren cmd und regedit auch Task-Manager per Tastenkombi (Strg+Alt+Entf)

Gruss
Expert

#Dann PC neustarten & neue HijackThis log posten

Gruss
Expert

Irgendwie klappt das mit dem Speichern als als fix.bat nicht. Vielleicht stell ich mich auch einfach zu blöd an...

Nun hab ich es doch noch hinbekommen. Hier die neue Log-File:

Logfile of HijackThis v1.99.1
Scan saved at 20:22:51, on 02.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h*p://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h*p://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h*p://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h*p://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h*p://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h*p://www.google.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h*p://www.arcor.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [winupdate] C:\Programme\winupdate\winupdate.exe /auto
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb03.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunServices: [p2pnetworking] p2pnetworking.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

hey

#In der Systemsteuerung/software folgende falls vorhanden deinstallieren
winupdate
p2pnetworking

#PC neustarten--> abgesicherter Modus
Starte das HijackThis "Scan" klicken (Folgende Einträge) Häckchen setzen & Button "Fix checked" klicken, PC neustarten
O4 - HKLM\..\Run: [winupdate] C:\Programme\winupdate\winupdate.exe /auto
O4 - HKLM\..\RunServices: [p2pnetworking] p2pnetworking.exe

#PC neustarten--> abgesicherter Modus
Arbeitsplatz -> rechter Mausklick -->Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"
Loesche:
C:\WINDOWS\system32\p2pnetworking.exe
C:\Programme\winupdate

#Hast du Fix.bat datei ausgeführt?Wenn nicht folgende Dateien falls vorhanden loeschen:
C:\WINDOWS\System32\bszip.dll
C:\WINDOWS\System32\CMD.COM
C:\WINDOWS\System32\netstat.com
C:\WINDOWS\System32\ping.com
C:\WINDOWS\System32\regedit.com
C:\WINDOWS\System32\tasklist.com
C:\WINDOWS\System32\taskkill.com
C:\WINDOWS\System32\tracert.com

#Lade dir Ewido Security Suite unbeding Update,noch nicht scannen.

#lade Adaware, Spybot unbeding Update,noch nicht scannen.

#PC neustarten--> abgesicherter Modus
#Starte Ewido Security Suite mach ein voller Scan (Complete System Scan)

#Danach der PC mit Adaware, Spybot scannen und alle Funde entfernen.

#Inhalt folgende ordner loeschen:
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp---> Inhalt löschen
C:\Dokumente und Einstellungen\Usename\Lokale Einstellungen\Temporary Internet Files---> Inhalt löschen
C:\WINDOWS\temp---> Inhalt löschen

PS: Alle Wichtigten Passwärter ändern

#PC neustarten
#Neue HijackThis Log(von normaler Modus) & den Report des Ewido Scans posten

Gruss
Expert

Hallo,
nur zur info, es gibt zwar bei diesem Thema unterschiedliche Ansichten, aber ich bin der Meinung das dieses System kompromittiert ist, und somit neu aufgesetzt werden sollte. Der Alcan.B (den Virus den du hattest) hat hier den Rbot.CQR (p2pnetworking.exe) nachgeladen, der einen kompletten Fremdzugriff ermöglicht, somit ist dein System als nicht mehr vertrauenswürdig anzusehen.
Weiterer Artikel von Microsoft zu dem Thema (Kompromittierung).

Hier ist eine Anleitung wie du bei dem neu aufsetzen vorgehen solltest.


Grüße Wildone