hi, ich habe ein problem, unzwar ist mein pc verseucht.
ich habe jetzt den großteils der viren mit bitdefender, spybot search and destroy. das prob ist ich habe irgendwo in der registery 2 einträge, die von spybot s&D als gefährlich angezeigt werden, aber nicht änder/löschtbar sind weil sie laufen, und das programm bietet mir an nach dem neustart mit zu starten und die einträge zu reparieren, aber wenn ich das mache kakt entweder die maschine ab, oder die einträge sind wieder unänderbar. ich bekomme auch die ganze zeit von bitdefender meldungen das im cache von opera exploits liegen, und der pc stockt megamässig, einerseits durch die viren, andererseits durch die ständig gegenarbeitenden proggis.
ich habe leider keine möglichkeiten windows neu zu installieren, und ich weis auch ab wann ich mir den virus eingefangen hab, der die anderen reingelassen hat, aber die syswiederherstellen funktioniert nicht, anscheind durch den virus.
nun wollte ich euch fragen ob ihr mir helfen könnt dieses zeug loszuwerden.
es müsste doch eigentlich im abgesicherten modus gehen, oder?
könnt ihr mir sagen wie ich xp im abges. modus starte.

danke,
Yannick

Servus!
Poste doch einmal ein HJT-Logfile nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17493 hier! Wichtig dabei: Entpacke HJT in ein eigenes Verzeichnis (zB. C:\HJT). Nicht im Temporärordner laufen lassen!
Zum abgesicherten Modus guck mal hier!
stupormundi

HJT logfile

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 14:16:59, on 03.01.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender8\vsserv.exe
C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe
C:\Programme\Winamp2\winampa.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Softwin\BitDefender8\bdmcon.exe
C:\Programme\Softwin\BitDefender8\bdnagent.exe
C:\yenicag\cleandiskpro\cleandisk.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp2\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender8\bdmcon.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender8\bdnagent.exe"
O4 - HKLM\..\Run: [CleanDiskAutoRun] c:\yenicag\cleandiskpro\cleandisk.exe -boot
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] C:\Programme\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [Shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [gaylord] C:\WINDOWS\System32\crack.exe
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {85D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin class) - http://secure2.comned.com/signuptemplates/securelogin-devel.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5D972438-D20F-4457-8D0F-679AB8AA3EC0}: NameServer = 62.27.27.62 195.247.247.195
O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll
O20 - Winlogon Notify: avpe32 - C:\WINDOWS\SYSTEM32\avpe32.dll
O23 - Service: 12Ghosts TrayProtect - Unknown owner - C:\Programme\12Ghosts\12srvc.exe (file missing)
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Microsoft Windows Explorer Shell Subsystem (Shell32Extender) - Unknown owner - C:\WINDOWS\system32\shell32.exe (file missing)
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender8\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

also, ich würde gerne nach der HJT anleitung gehen die citre gepostet hat, in den abges. modus komm ich auch, nur, was ist malware, also da steht die malware muss auch entfernt werden, sonst bringts nichts.

danke,
yannick

hm naja die automatische auswertung(http://www.hijackthis.de) sagt das du

O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
fixen solltest

wenn so ne meldung kommt wie kann net gelöscht werden kannst du einmal probieren ob du so einen prozess im taskmaneger (str+alt+entf)
findest und ihn beenden kannst.

ansonsten gibt es noch ein programm welches laufende prozesse entsicher kann so das die davon benutzten dateien trotzdem gelöscht werden können.
weiß aber leider gerade netmehr den namen des programmes muss mal suchen...

edit: http://download.freenet.de/archiv_u/unlocker_7704.html

das programm solltedir helfen können die zu löschenden dateien zu entsperren.

hallo,

bitte nicht den eintrag fixen...
lass bitte diese datei:

O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

bei jotti online überprüfen...
poste hier das ergebniss...
link zu jotti in meiner signatur..

hi, wie soll ich das file den checken, weil ich weis net wo des liegt, C:\winstall.exe
is nix, also wenn ich das als uploadpfad angebe kommt:
The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file.

danke,
yannick

ok dann führe bitte dies aus..
mal sehen ob da etwas erkannt wird...

Zitat:

Zitat von deb1an

hi, wie soll ich das file den checken, weil ich weis net wo des liegt, C:\winstall.exe
is nix, also wenn ich das als uploadpfad angebe kommt:
The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file.

danke,
yannick

Die Auswertung bei Jotti sollte klappen, wenn Du die Datei z.B. auf den Desktop kopierst, danach umbenennst und diese auf dem Desktop liegende Kopie dieser winstall.exe bei Jotti hochjagst.
Ich hoffe es handelt sich nicht dabei um den hier...

Hallo zusammen,

wie kann man hier denn Beiträge verfassen, die für jeden ersichtlich sind?

Viel Glück bei Deinem Problem...

so long
stingermusik

hi, jo das problem ist das diese date in c:\ nicht liegt.

also, das ergebnis von ewido:
__________________________________________________
ewido security suite online scanner
http://www.ewido.net
__________________________________________________


Name: Backdoor.Haxdoor.dw
Path: [1168] C:\WINDOWS\system32\avpe32.dll
Risk: High

Name: Backdoor.Haxdoor.dw
Path: [1284] C:\WINDOWS\System32\avpe32.dll
Risk: High

Name: Backdoor.Haxdoor.dw
Path: [1316] C:\WINDOWS\System32\avpe32.dll
Risk: High

Name: Backdoor.Haxdoor.dw
Path: [1416] C:\WINDOWS\System32\avpe32.dll
Risk: High

Name: Backdoor.Haxdoor.dw
Path: [1504] C:\WINDOWS\System32\avpe32.dll
Risk: High

Name: Backdoor.Haxdoor.dw
Path: [1668] C:\WINDOWS\System32\avpe32.dll
Risk: High

Name: Backdoor.Haxdoor.dw
Path: [1684] C:\WINDOWS\System32\avpe32.dll
Risk: High

Name: Backdoor.Haxdoor.dw
Path: [348] C:\WINDOWS\System32\avpe32.dll
Risk: High

Name: Backdoor.Haxdoor.dw
Path: [448] C:\WINDOWS\System32\avpe32.dll
Risk: High

Name: Backdoor.Haxdoor.dw
Path: [280] C:\WINDOWS\System32\avpe32.dll
Risk: High

Name: Backdoor.Haxdoor.dw
Path: [480] C:\WINDOWS\System32\avpe32.dll
Risk: High

Name: Backdoor.Haxdoor.dw
Path: [500] C:\WINDOWS\System32\avpe32.dll
Risk: High

Name: Backdoor.Haxdoor.dw
Path: [556] C:\WINDOWS\System32\avpe32.dll
Risk: High

Name: Backdoor.Haxdoor.dw
Path: [924] C:\WINDOWS\System32\avpe32.dll
Risk: High

Name: Backdoor.Haxdoor.dw
Path: [996] C:\WINDOWS\System32\avpe32.dll
Risk: High

Name: Not-A-Virus.NetTool.Win32.MSDCOM
Path: C:\Dokumente und Einstellungen\Yannick\Eigene Dateien\IRC Bot BNC usw\Str3iberScript_0.9.1.rar/Str3iberScript 0.9.1\Str3iberScript\MISC\scanms.exe
Risk: High

Name: Adware.SaveNow
Path: C:\Programme\DAEMON Tools\SetupDTSB.exe
Risk: Medium

Name: Trojan.Agent.bu
Path: C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.dll
Risk: High

Name: Trojan.Zapchast.ad
Path: C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe
Risk: High

Name: Logger.Small.dg
Path: C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00002.dll
Risk: High

Name: Trojan.Agent.bu
Path: C:\WINDOWS\kl.exe
Risk: High

Name: Dropper.Paradrop.a
Path: C:\WINDOWS\system32\TFTP3692
Risk: High

Name: Backdoor.Rbot.akr
Path: C:\WINDOWS\system32\TFTP4248
Risk: High

da lies sich nichts online entfernen, er will das ich ewido downloade.
das is ja en guter haufen, meint ihr es lohnt da zu entmüllen, oder soll ich backuppen und reinstallen.
gibt es ein tut hier im board wie man nen pc zuverlässig installieren und schützen kann.
bzw wie groß ist das risiko das die viren mit backups ins neue system eindringen?

danke
Yannick

also aufgrund des files und dem backdoor rate ich dir hier dein system gemäß der anleitung in meiner signatur neu aufzusetzen..
alles andere bringt nix und ist nicht sicher genug..

Dem Tipp kann ich nur beipflichten...eine "Bereinigung" wäre zu unsicher bei Backdoorbefall. Siehe auch hier.