Hallo zusammen!

Ich hoffe ich poste hier richtig. Habe ein mega Problem. Und zwar habe ich gestern ganz normal gesurft. Ich benutz wie fast jeder heute WinXP. Dann wurde mir die Meldung angezeigt das eine AcitveX-Anwendung geladen werdern soll. Ich konnte aber nur OK drücken oder das Windows "X" symol in der ecke des fensters. Habe ich gemacht aber er hat es trotzdem ausgeführt.

Dann landeten auf meinem Desktop ein paar komische dateien, und ein archiv.Danach wurde der Rechner sehr langsam und irgendwas wurde wohl installiert. Da ich meinen Virenscanner nichtr mehtr anbekam habe ich den rechner neu gestartet. Dann kam er wieder in Windows und seit dem startet er immer neu wenn er eine Weile geladen hat.

Es steht dann dort etwas von einem DCOM-Befehl oder so der den Neustart vernanlasst-

Habe dann mal mit KAspersky Anti-Virus im Abgesicherten Modus gescannt. Er hat ca. 11 Viren bzw. Trojaner gefunden, in windows dateien wie svchost.exe usw.

Entfernen konnte ich diese nicht und auch nicht desinfiozieren. Habe dann alles auf Maximalen schutz gestellt und wieder normal neui gestartet.
Wenn ich es dann schaffe schnell genug mit strg-alt-entf. einige Prozesse zu beenden bevor er neustartet und der Virenscanner geladen wird klappt es manchmal das er danach alles blockt. Dann kann ich normal starten.

Aber das ist natürlich nicht der sinn. Ich würde gern wissen wie ich den Virus oder Trojaner vernichten kann damit mein System wieder normal läuft. Wisst ihr was ich tun soll?

Jeden Vorschlag der kommt dafür bin ich dankbar und werde ihn ausführen!

mfg. andi

Habe eben nochmal alle Systemdateien und den Windowsordner durchsuchen lassen. Er findet jetzt noch im abgesicherten Modus 1 Trojaner Names:

Trojaner-Downloader.Win32.Small.cyn

Vielleicht hilft euch das ja weiter!
mfg. andi

Hallo,

erstens, solltest du einen HijackThis logfile erstellen und hier posten. Ausserdem hast du sehr wenig Angaben gemacht, das man dir helfen könnte. Lies die NUB`s durch, damit dir hier auch jemand helfen kann.

Würde aber jetzt schon vermuten, dass du dein System neu aufsetzen darfst. 11 Viren??

Welchens AV benutzt du, welche Version von XP?

Gruss

http://www.trojaner-board.de/17493-a...ijackthis.html

Erstelle bitte erstmal ein HijackThis Logfile... Anleitung findest du im Unterforum "FAQ&Anleitungen"

Achte bitte darauf private Infos und aktive Links unkenntlich zu machen.

lg myrtille

ok danke, hab es mir gerade runtergeladen und werd es drüben am rechner direkt mal ausprobieren, poste dann die logfile von dem programm!

Hier nun meine Logfile, ausgeführt im abgesicherten Modus. Habe alle https mit ** ersetzt, an privaten _Informationen konte ich nichts finden, sollte euch was auffallen wäre es natürlich sehr nett wenn ihr mich drauf hinweisen tut dann editier ich es sofort.

Logfile of HijackThis v1.99.1
Scan saved at 12:25:55, on 15.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
E:\Programme\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programme\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.gmx.de/
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - E:\Programme\Free Download Manager\iefdmcks.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC USB\routcnf.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [RemoteControl] E:\Programme\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTXFIREG] CTxfiReg.exe
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [spoolsvv] C:\WINDOWS\system32\spoolsvv.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVP] "E:\Programme\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKCU\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = E:\Programme\AOL 9.0\aoltray.exe
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://E:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Mit FDM herunterladen - file://E:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - E:\Programme\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll
O16 - DPF: {1239CC52-59EF-4DFA-8C61-90FFA846DF7E} (Musicnotes Viewer) - h**p://www.musicnotes.com/download/mnviewer.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1145305650937
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: mszsrn32 - C:\WINDOWS\system32\mszsrn32.dll
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - E:\Programme\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

Hi,
schlechte Nachrichten für dich.

Leider ist Zlob nicht das einzige was du aufm Rechner hast:

Zitat:

O4 - HKLM\..\Run: [spoolsvv] C:\WINDOWS\system32\spoolsvv.exe
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\jldfqqy.dll
O20 - Winlogon Notify: mszsrn32 - C:\WINDOWS\system32\mszsrn32.dll
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll

Die letzte Datei ist leider ein Backdoor, einige weitere Dateien deuten auf weitere Backdoorbefälle hin.
Hier bleibt wahrscheinlich nur ein Neuausetzen.

Danke für die Antwort!

Das ist jedoch das letzte was ich machen werde und möche. Ich will alle möglichkeiten ausnutzen die es irgendwie gibt um diesen Mist wieder vom System zu bekommen, koste es was es wolle.

Es muss doch irgendwie möglichsein diesen Virus bzw. Trojaner oder Backdoorprogramm wieder zu entfernen?
Kann doch nich sein das es unmöglich ist oder? Was für Mäglichkeiten habe ich?

Ich werde Montag auf jeden Fall eine externe Festplatte kaufen und meine ganzen wichtigen Daten sichern, solang das noch geht. Trotzdem möchte ich dann erstmal alles Versuchen das System zu retten. Hat jemand noch Rat?

mfg. andi

Mach was du willst, aber ein Kompromittiertes System bleibt es immer!

Ob es klappt kann ich dir nicht garantieren, vielleicht wird dadurch auch alles nur noch schlimmer. Aber du willst es ja so...


Arbeite das hier ab:


WINSOCKFIX für Windows XP

Lade dir das Tool WinsockXPFix.exe, falls deine Internetverbindung unterbricht bzw. nicht mehr funktioniert.


Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:


2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

Files to delete:
C:\WINDOWS\system32\spoolsvv.exe
C:\WINDOWS\system32\ntos.exe
c:\windows\system32\jldfqqy.dll
C:\WINDOWS\system32\mszsrn32.dll
C:\WINDOWS\system32\rpcc.dll

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.

4.) Danach das System unverzüglich neu starten lassen
5.) Lass HijackThis nochmal laufen, erstelle und poste ein neues HijackThis Logfile.
Poste ausserdem den Inhalt der C:\avenger.txt Datei.

Gruß
Sunny

Danke für den Hinweis, das werde ich Montag direkt einmal ausprobieren! Da kaufe ich mir zuerst einmal die externe Festplatte, sichere alles wichtige. Danach kann mir das System dann fast egal sein, werde versuchen mir alle wichtigen ERinstellungen usw. zu merken und meine Ordnerstruiktur usw. (deswegen hasse ich Neuinstallationen)

Sollte es dann geklappt haben bin ich glücklich, falls nicht ok, dann eben alles formatieren, aber dann habe ich auf jeden Fall meine Sicherung der Daten. Vorher mache ich nichts ist mir dann auch zu riskant,´wie Du sagtest ist riskant und vielleicht geht danach garnichts mehr.

Poste dann Montag Abend die neue log.file und dann können wir ja weiter sehen, danke nochmal!

mf.g andi

Zitat:

Zitat von DarkWG

Danke für den Hinweis, das werde ich Montag direkt einmal ausprobieren!
......
Vorher mache ich nichts ist mir dann auch zu riskant,´wie Du sagtest ist riskant und vielleicht geht danach garnichts mehr.

Vielleicht ist es dann zu spät.
Vielleicht gefällt Deinem Remote-Admin ja so gar nicht was Du hier schreibst und er erspart Dir die Arbeit der Datensicherung indem er vorher alles löscht?
Naja, wollen wir ja nicht hoffen, aber es könnte passieren, keine Frage.

Have fun,
Heike

PS: dann trenne den PC doch wenigstens vom Internet.

Das habe ich schon getan, bin mit meinem anderen Rechner Online keine Sorge

mfg. andi

HILFE !

Jetzt läd mein Rechner nicht mal mehr in XP!
Habe nichts gemacht, ich wollte nur noch einmal starten wie es die letzten male auch ging ins windows und gucken was ich am montag alles sichern möchte.

Wie kann ich jetzt sichergehen das alle meine wichtigen Daten noch vorhanden sind? Was kann ich am Montag tun um das hinzubekommen??

Denke die XP-CD Mit der Reperationhilfe wird mich auch nicht weiterbringen oder?
XP läd nur noch kurz, egal ob abgesicherter modus oder nicht, dann kommt kurz ein blauer bildschrim mit text der so schnell weg ist das ich nichts davon lesen kann, und dann startet der rechner neu.

Was kann ich jetzt noch tun? Rechner neu aufsetzen ok, aber ich muss unbedingt an die Daten die sind sehr wichtig

Wir haben es dir ja gleich gesagt...

Wo hast du denn deine Daten gespeichert?

Besorg dir Rettungs-Boot-CD, boote dann von dieser CD kopiere bzw. sichere dann Montag deine Daten und fertig!

Ultimate Boot CD - Basic 3.4 - Freeware - ZDNet.de, Downloads, Utilities, System-Tools

Gruß
Sunny

Was soll ich denn jetzt am besten tun??

Ich weiss absolut nich was ich machen soll, xp startet nich mehr, ich muss aber DRIGEND die daten sichern. Hab keinen Rechner der S-ATA anschlüsse hat so kann ich auch nich die platte als slave anschliessen.

Die wichtigsten Daten die ich auf jeden Fall sichern muss sind auf meiner zweiten Platte, da wo nicht XP drauf ist. Also eine formatierung der Platte würde im Ernstfall noich ok sein, wenn man an die Daten nich drankommt. Aber dieanderen muss ich sichern.

Würdet ihr den PC vielleicht wegbringen? Gibt es Läden die sowas machen, einem da helfen? Oder glaubt ihr eine Neuinstallation von XP auf der anderen platte könnte mir helfen? das ich so zumindest nochmal in ein xp komme um mit einer usb-platte alles zu sichern?

Vielen Dank für jede Hilfe!!