guten tag, hab jetzt 2 stunden lang per google und einigen foren gesucht hab aber nix gefunden dass meine probleme genauso beschreibt wies is.
als ich im internet bissl rumgesurft hab, gingen plötzlich 14trojaner meldungen von "AntiVir Guard" auf, da hab ich dann sofort alles löschen lassen, hat aber auch nix gebracht, sind immer mehr meldungen eingegangen. als dann ruhe war konnte ich nun folgendes feststellen. mein desktophintergrund wird schwarz angezeigt, kann auch per rechtsclick und eigenschaften kein bild mehr reintun weil ich da nicht anclicken kann, wenn ich aber PC herunterfahre sehe ich den normalen background für paar sekunden.
desweiteren kann ich meinen taskmanager nicht aufrufen, dazu hab ich schon was gefunden indem man per regedit irgendeinen wert von 1 auf 0 ändern soll, hab ich danach gings wieder, aber als ich neu gestartet hab gings wieder nich.
zu guter letzt is mein internet lahm geworden, mein ping beim zocken fängt an mit ca 200 und steigert sich dann kontinuierlich auf über 800.

hab schon paar mal antivir scannen lassen, hat immer 11dateien gefunden und gelöscht, das gleiche im abgesicherten modus. bringt aber alles nix, wenn ich PC neu einmach hüpfen mich sofort wieder unzählige meldungen an.
hab mal ein anderes program drüberlaufen lassen, das hat dann ca 322 infizierte dateien gefunden, mir is aufgefallen dass einiges von den temporären internetdatein befallen war, hab ich sofort alles rausgemacht und es sind shcon paar weniger geworden, doch die probleme bleiben

Was genau hat Antivir gefunden? Was gelöscht? Welches andere Programm hast du drüberlaufen lassen?

Und last but not least: Bitte poste ein Hijackthis-Log. Wie das geht, steht hier im Unterforum "Anleitungen".

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 14:09:31, on 21.02.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\System32\kernels88.exe
C:\Programme\CursorXP\CursorXP.exe
C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe
C:\Programme\Creative\MediaSource\Detector\CTDetect.exe
C:\WINDOWS\System32\taskdir.exe
C:\Windows\xpupdate.exe
C:\WINDOWS\System32\vxga5me3.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\vxga5me3.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\Winamp\winamp.exe
C:\WINDOWS\System32\CTPdeSrv.exe
C:\Programme\MYIE2\MyIE.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://google.bearshare.com/de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\RoboForm.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\RoboForm.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels88.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CursorXP] C:\Programme\CursorXP\CursorXP.exe
O4 - HKCU\..\Run: [RoboForm] "C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
O4 - HKCU\..\Run: [Creative Detector] C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [taskdir] C:\WINDOWS\System32\taskdir.exe
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O8 - Extra context menu item: RF - &Formular speichern - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: RF - &Menü anpassen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - Formular ausf&üllen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausf&üllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - &Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-S&ymbolleiste - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O20 - Winlogon Notify: WBSrv - C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\wbsrv.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

so, das is der hijack log. per antivir gefunden hab ich

Zitat:

TR/Dldr,Tibs,HH.2
TR/Crypt.UCPM.Gem
TR/drop.Agent.ATH
TR/Dldr.Small.QU.6

das andere prog war trojancheck glaub ich. gelöscht hab ich einiges, eben das was mir immer als schädlich bei antivir angezeigt wurde

Hallo p-john,

folgender Trojaner hat sich auf deinem System eingenistet:

Troj/Tibs-PU - Trojaner - Sophos Bedrohungsanalyse

Dies lässt sich an folgendem Eintrag erkennen:
C:\WINDOWS\System32\kernels88.exe

Empfehlenswert wäre eine Analyse dieser Datei bei www.virustotal.com

Da dieser Trojaner Schadcode aus dem Internet nachläd und eine Bereinigung sehr viel Zeitintensiver sein kann, dein System trotzdem danach nicht sicher ist, empfehle ich eine Neuinstallation des Systems nach der Anleitung, die du hier im Board in einigen Siganturen findest, sowie zur sofortiger Änderung deiner Passwörter.

Tut mir leid, das ich dir an dieser Stelle keine erfreulicheren Nachrichten bringen kann.

Nette Grüße
David

ok, hab ich mir schon gedacht, so ne scheiße

n paar sachen aus den eigenen dateien und nen ordner von nem spiel das ich zock sollte ich aber auf nem usbstick speichern können oder?

Dokumente wie die von Word, Exel oder anderen Office Programm sollten ohne Probleme gesichert werden können, um diese dann wieder aufspielen zu können.

Bei Exe Dateien wäre ich aber sehr vorsichtig, da diese eventuell infiziert sein könnten.

Hast du Datei "kernels88.exe" einmal bei virustotal.com scannen lassen ? Wobei du um eine Neuinstallation wohl nicht herumkommen wirst, da wie von dir bereits geschrieben, AntiVir einiges an Schadcode gefunden hat.