hilfe bei virus w32...

Jillian · 12.05.2007, 10:54

hallo

ich habe seit gestern so einen komischen virus auf dem pc, das gelbe dreieck unten rechts blinkt und so ein roter kreis, der sich ein ein fragezeichen verwandelt. dazu dauernd meldungen...

ein kollege hat mir geholfen, nun weiss aber auch er nicht mehr weiter. was kann ich denn hier noch löschen, damit der virus weggeht?

Logfile of HijackThis v1.99.1
Scan saved at 11:33:40, on 12.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\HPConfig.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Video ActiveX Access\iesmn.exe
C:\Programme\Video ActiveX Access\imsmain.exe
C:\Programme\Hewlett-Packard\HP Notebook Utilities\hptasks.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Video ActiveX Access\imsmn.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Video ActiveX Access\iesmin.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopOE.exe
C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
C:\Programme\Symantec\LiveUpdate\AUPDATE.EXE
C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.exe
C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.exe
C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.exe
C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.exe
C:\DOKUME~1\user\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis[1].zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\NppBho.dll
O2 - BHO: (no name) - {7A8F5B7A-A74F-495E-8A33-DF6226D2BAD8} - C:\Programme\Video ActiveX Access\iesplg.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
O3 - Toolbar: Protection Bar - {31615D5C-5126-448A-818A-A7CDFEE85A9B} - C:\Programme\Video ActiveX Access\iesbpl.dll
O4 - HKLM\..\Run: [HP Display Settings] C:\Programme\Hewlett-Packard\HP Notebook Utilities\hptasks.exe /s
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1141820968795
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h cltCommon (file missing)
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe

muss dazusagen, dass ich von pc's echt keine ahnung habe... :-(

vielen lieben dank für eure hilfe!
jillian

myrtille · 12.05.2007, 11:06

Was hat dein Freund denn bisher gemacht?

So direkt sehe ich das Übel jetzt nicht, aber es laufen definitiv einige suspekte Sachen auf deinem Rechner.
Lade bitte mal diese Dateien:

Zitat:

C:\Programme\Symantec\LiveUpdate\AUPDATE.EXE
C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll

Bei virustotal auswerten und poste die Ergebnisse mit Größe und allen anderen Informationen hier.

lg myrtille

12.05.2007, 11:12

hi

verwende den smitfraudfix remover nach dieser anleitung (und download), poste nach jedem scan das logfile

Zitat:

dein adobe reaader ist nicht aktuell, deinstalliere die alte version über
start->programmzugriff und standards->programme ändern oder deinstallieren
adobe reader X.0
lösche nun folgende ordner und leere den mistkübel, sofern sie noch vorhanden sind

C:\Programme\Adobe
C:\Windows\Adobe
C:\Dokumente und Einstellungen\*Profil1*\Anwendungsdaten\Adobe
C:\Dokumente und Einstellungen\*Profil2*\Anwendungsdaten\Adobe
C:\Users\Profil\AppData\Local\Adobe
C:\Benutzer\Profil\AppData\Local\Adobe

download nun den adobe reader, installieren.

lege folgenden ordner an c:\programm_download\ccleaner
download die aktuelle version des ccleaners in diesen ordner
erstelle bei windows me, xp oder vista einen neuen systemwiederherstellungspunkt
installieren den CCleaner durch einen doppelklick auf die heruntergeladene datei (die yahoo toolbar musst du nicht mitinstallieren)
starte nun den CCleaner und wähle unter options settings "german"
bereinige nun damit dein system (windows temp. ordner, prefetch ordner , applications, registry) (germanversion)
(quick-tour und screenshots)
wechsle im CCleaner nach extras -> programme deinstallieren -> als textdatei speichern -> poste auch dieses logfile (schreib dazu, wozu du jedes einzelne programm benötigst)

.

Zitat:

hijackthis löschen, download HijackThis-selfinstall, installieren, dann sieht das so aus C:\Programme\Hijackthis\1_99_1 , starte das programm und erstelle ein logfile, poste den inhalt.

download von filelist.zip auf deinen desktop.
entpacke hier die zip datei
starte nun durch einen doppelklick auf die datei filelist.bat das stapelverarbeitungsprogramm
dein bevorzugtes textverarbeitungsprogramm wird sich öffnen
markiere den inhalt und füge in hier im forum in deinem beitrag ein.
formatiere nun deinen beitrag vor dem speichern, in dem du alle texte, die ein älteres datum besitzen, als die letzten 30 tage, aus der liste löscht.
das sind alle verzeichnisse, die mit dieser filelist.bat ausgelesen werden.
1. Verzeichnis von C:\
2. Verzeichnis von C:\WINDOWS
3. Verzeichnis von C:\WINDOWS\system
4. Verzeichnis von C:\WINDOWS\system32 --> von hier bitte alles posten
5. Verzeichnis von C:\WINDOWS\Prefetch
6. Verzeichnis von C:\WINDOWS\tasks
7. Verzeichnis von C:\WINDOWS\Temp
8. Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

myrtille · 12.05.2007, 11:17

Zitat:

Zitat von Speedyweb

wichtig: logfile im tag [code] posten

Tu das bitte bitte nicht, das wird absolut unlesbar.

Jillian · 12.05.2007, 11:22

bin total überfordert....ahhh!

Jillian · 12.05.2007, 11:24

Complete scanning result of "AUPDATE.EXE", processed in VirusTotal at
05/12/2007 12:22:00 (CET).

[ file data ]
* name: AUPDATE.EXE
* size: 624248
* md5.: 4c2b02d3fd545ab4a80918bde120dbc6
* sha1: 8bdd8c85daea14986800278e5bbb5d887a928f5e

[ scan result ]
AhnLab-V3 2007.5.10.0/20070511 found nothing
AntiVir 7.4.0.15/20070511 found nothing
Authentium 4.93.8/20070511 found nothing
Avast 4.7.997.0/20070511 found nothing
AVG 7.5.0.467/20070511 found nothing
BitDefender 7.2/20070512 found nothing
CAT-QuickHeal 9.00/20070512 found nothing
ClamAV devel-20070416/20070512 found nothing
DrWeb 4.33/20070512 found nothing
eSafe 7.0.15.0/20070508 found nothing
eTrust-Vet 30.7.3628/20070511 found nothing
Ewido 4.0/20070511 found nothing
F-Prot 4.3.2.48/20070511 found nothing
F-Secure 6.70.13030.0/20070511 found nothing
FileAdvisor 1/20070512 found [Not analyzed yet]
Fortinet 2.85.0.0/20070512 found nothing
Ikarus T3.1.1.7/20070512 found nothing
Kaspersky 4.0.2.24/20070512 found nothing
McAfee 5029/20070511 found nothing
Microsoft 1.2503/20070512 found nothing
NOD32v2 2262/20070512 found nothing
Norman 5.80.02/20070511 found nothing
Panda 9.0.0.4/20070511 found nothing
Prevx1 V2/20070512 found nothing
Sophos 4.17.0/20070511 found nothing
Sunbelt 2.2.907.0/20070512 found nothing
Symantec 10/20070512 found nothing
TheHacker 6.1.6.114/20070512 found nothing
VBA32 3.12.0/20070511 found nothing
VirusBuster 4.3.7:9/20070511 found nothing
Webwasher-Gateway 6.0.1/20070511 found nothing

12.05.2007, 11:25

Zitat:

Zitat von Jillian

bin total überfordert....ahhh!

wobei bist du überfordert ?

Jillian · 12.05.2007, 11:30

na mit dem ganzen pc-zeugs! könnte ich den virus auch einfach drauflassen?

pc flicken is nix für frauen, hä hä hä

12.05.2007, 11:34

Zitat:

Zitat von Jillian

na mit dem ganzen pc-zeugs! könnte ich den virus auch einfach drauflassen?

pc flicken is nix für frauen, hä hä hä

hi, nirgends steht, das du eine datei umstricken musst, und frau = nicht gleich dumm, außer du stellst dich selber in diese ecke.

wenn du mit dem smitfraudremover beginnst, wirst du eine veränderung des systen erkennen, der rest dient der kontrolle und systemabsicherung.

hilfe bei virus w32...

Log-Analyse und Auswertung: hilfe bei virus w32...