Hallo Leute!!!


Ich habe einen Virus (Trojaner) und kriege den einfach nicht weg.

Ein Kumpel hat mir eure Seite empfohlen und nun hoffe ich, dass ihr mir helfen könnt. nun zum Problem:


Bei jedem Neustart zeigt mir mein Antivirenprogramm (AVG Free) an, dass es einen Virus gefunden hat. Dieser lässt sich dann zwar bereinigen bzw löschen. Aber bei jedem Neustart erkennt es den Virus wieder und es beginnt die gleiche Prozedur...

Virusname: oo.exe oder 00.exe


über SpybotS&D habe ich dann mal vorm kurzem festgestellt, dass ich eZula hatte. Dies ist nun runter, aber hat das damit vielleicht etwas zu tun???


Kenne mich im PC-Wesen mehr oder weniger gar nicht aus.

Wäre super wenn man hier helfen könnte.



Viele Grüsse aus Schwalmtal

Hallo Chris,
mach ein Hijackthis-Log und stell es hier ein.
Anleitung dazu findest du hier auf der Startseite unter "Anleitungen,FAQ,Links"
Irrlicht

Erstmal Danke für die Hillfsbereitschaft!

Hier nun die "Auswertung":


Logfile of HijackThis v1.99.1
Scan saved at 21:05:44, on 08.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\CtrlVol.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\MsMovies\MsMovies.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Skype\Phone\Skype.exe
c:\progra~1\intern~1\iexplore.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~2\Notifier\Notifier.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {2A2299F6-FF92-B5D8-DBFB-8FD8F21E9921} - C:\DOKUME~1\Chris\ANWEND~1\MANAGE~1\loud love.exe
O2 - BHO: (no name) - {5345A7A1-805A-4923-B505-86B2FEBA3FE0} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: XBTB06353 - {BBBE1C1A-89F7-4AF6-ABD1-F8FBCFA47408} - (no file)
O2 - BHO: IEHlprObj Class - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - (no file)
O3 - Toolbar: Kidda Toolbar - {5124376D-C964-4817-B40E-CBD36195116E} - (no file)
O3 - Toolbar: (no name) - {5345A7A9-805A-4923-B505-86B2FEBA3FE0} - (no file)
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ChkMail] C:\Programme\Launch Manager\ChkMail.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [MsMovies] C:\Programme\MsMovies\MsMovies.exe /auto
O4 - HKLM\..\Run: [About pop default test] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\webfindaboutpop\CDROM BONE.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Siemens SmartSync - ScheduleSync] C:\DOWNLO~1\download\Siemens\SMARTS~1\SCHEDU~1.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steam] C:\Valve\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Long Way] C:\DOKUME~1\Chris\ANWEND~1\POKEBI~1\vc spam junk.exe
O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [AIM] C:\Programme\AIM95\aim.exe -cnetwait.odl
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Download with Go!Zilla - file://C:\Programme\Go!Zilla\download-with-gozilla.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Kidda Toolbar - {5124376D-C964-4817-B40E-CBD36195116E} - (no file)
O9 - Extra 'Tools' menuitem: Kidda Toolbar - {5124376D-C964-4817-B40E-CBD36195116E} - (no file)
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{B19EFCCB-BA10-4115-B275-CC670D969642}: NameServer = 217.237.150.97 217.237.149.161
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE


Bin gespannt wie "krank" mein Rechner ist. Hoffentlich ist es nicht allzu schlimm und man kann ihn so retten, ohne alles zu formatieren!

Gruss Chris

Hallo Chris,
wenn du die Programme sicher kennst und von dir gewollt sind kann ich nichts auffälliges entdecken.
C:\Programme\MsMovies\MsMovies.exe
O2 - BHO: (no name) - {2A2299F6-FF92-B5D8-DBFB-8FD8F21E9921} - C:\DOKUME~1\Chris\ANWEND~1\MANAGE~1\loud love.exe
Ist GoZilla so ein Tauschbörsenprogramm ?
Wenn ja, lass die Finger von den Tauschbörsen,sind allesamt die größten Virenschleudern.
Dein Java kann ein Update vertragen.
Du hast reichlich "no file" Einträge.Die bereinigen wir ,wenn du zu den oben genannten Programmen was gesagt hast.
Die O4 Einträge bezeichnen deinen Autostart,also alles was die Kiste anfängt zu laden wenn du auf`s Anschaltknöppche drückst.Ist eine Geschmacksfrage,aber mehr als der Virenscanner und die Firewall muß da nicht stehen.Der Rest kommt bei Bedarf dazu.
Irrlicht

1. öhm...welche Programme???

2. Gozilla...kein Plan, schmeisse ich sofort runter.

3. no-file...kann ich doch über xpclean machen, oder???

4. Werde Java updaten

Was heisst das ganze jetzt auf meinen Virus bezogen???



Bin ja schon mal erleichtert, dass sonst soweit alles ok ist.

Hallo Chris,
ich habe dir die Programme doch gezeigt.C:\Programme\MsMovies\MsMovies.exe und das hier :
:C:\DOKUME~1\Chris\ANWEND~1\MANAGE~1\loud love.exe

Beschreibung:
Der bekannte Go!Zilla Download Manager ermöglicht das Speichern und Ordnen von Download-Links, so daß diese zu einem späteren und möglichst günstigeren Zeitpunkt gestartet werden können. Die Links werden per Drag-and-Drop Ihrer Wunschliste hinzugefügt, wonach Name, Größe und Status der herunterzuladenden Files angezeigt werden. Haben Sie die Auswahl von mehreren Download-Sites für eine Datei, können Sie mit Go!Zilla testen, welche Site für Sie gerade am günstigsten ist. Dieses Programm darf bei keinem Power-Downloader fehlen.
Go!Zilla finanziert sich durch Einblendung von Werbebannern, zudem handelt es sich bei dieser "Free"-Version um sogenannte Spyware. Diese wissensdurstigen Komponenten lassen sich im Nachhinein mit Ad-aware wieder entfernen. Nicht immer ist jedoch nach einem solchen Eingriff ein Weiterarbeiten mit dem Programm möglich.
Hätte bei mir nichts zu suchen !

Gozilla ist weg.

Kann das sein, dass die oben von dir angesprochenen Programme "versteckt" sind???

Denke habe das mit dem MsMovies gelöscht. Aber das mit loud love krieg ich nicht gelöscht.

Du weißt noch wo dein Hijackthis-Log liegt ? Das wieder aufrufen Haken setzen vor dem betreffenden Eintrag und fix checked klicken.
das ist der Eintrag so wie er in deinem Log ist :
O2 - BHO: (no name) - {2A2299F6-FF92-B5D8-DBFB-8FD8F21E9921} - C:\DOKUME~1\Chris\ANWEND~1\MANAGE~1\loud love.exe
Ich schlage vor wir gehen der Sache jetzt mal auf den Grund !
Dort wo du auch den Hijack gefunden hast,ist ein weiteres Proggi zu finden mit dem Namen EScan.Das führst du aus,nachdem du die Anleitung ausführlich gelesen hast.Unten auf der Seite ist ein PDF zum Download,das kann man ausdrucken.(Wink mit dem Zaunpfahl )
Du mußt dich penibel an die Anleitung halten,sonst funktioniert es nicht.Es ist etwas schwerer als das Log von Hijack und es dauert auch etwas länger.Um einer Frage zuvorzukommen,unter dem roten Punkt 5 liegt blau die "findrar",die du brauchst.
Dann postest du das Log.
Alles klar ?
Irrlicht

Im Moment schon. Werde das ganze morgen abend angehen, da ich mich jetzt hinhaue. mus morgen wieder früh raus!

Trotzdem Danke für die Mühe!!!!