Hey Leute
mein Vater hat sich 3 Win32:Trojan_Gens eingefangen. Die Dateinamen sind alle 3 io.exe, 2 sind System Volume Information Ordner, ein anderer in C:/Windows/Downloaded Installations. In den Arbeitsplatz komm ich nicht mehr. Avast kriegt sie auch nicht weg, zeigt immer einen Fehler an, egal was ich mache. Wie krieg ich die blöden Dinger weg?
Danke schon mal,
mfg
Flo

Hallo und im Trojaner Board!


Arbeite als erstes das hier ab:


Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.exe
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab (Strg+A markieren -> Strg+C kopieren) und füge es in deinen Beitrag im Forum mit ein)


Schädlinge im Ordner der Systemwiederherstellung:

* Deaktiviere die Systemwiederherstellung -> So wird es gemacht.
* Danach das System neu starten, und mit deinem AV-Scanner nach dem Neustart
alles üb erprüfen.
(Systemwiederherstellung kann nun wieder aktiviert werden.)

Gruß
Sunny

Ich habs jetzt doch geschafft!
Hier das logfile:
Logfile of HijackThis v1.99.1

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

Der Dokumente und Einstellungen-Ordner-Name wurde in *** umgeändert:

Logfile of HijackThis v1.99.1
Scan saved at 19:31:57, on 20.05.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Corel\Corel Snapfire\Corel Photo Downloader.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Gemeinsame Dateien\AOL\1177608426\ee\AOLSoftware.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\MSMSGS.EXE
C:\Programme\Microsoft Encarta\Encarta 2006 Enzyklopaedie DVD\EDICT.EXE
C:\Programme\phonostar\ps_agent.exe
C:\Programme\phonostar\ps_timer.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\iFinger\iFinger.exe
C:\Programme\klickTel\klickTel OEM 2006\KSTART32.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Java\jre1.5.0_09\bin\jucheck.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\***\Desktop\hijackthis\This.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://suche.klicktel.de
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: iFinger - {1624F640-49AC-11D3-8ABD-00C04FA95EE0} - C:\Programme\iFinger\iFingerBHO.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: (no name) - {84B94901-3645-4D80-A6B7-4D0050B19455} - (no file)
O2 - BHO: Hilfsobjekt für Encarta Web-Begleiter - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: (no name) - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - (no file)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O2 - BHO: (no name) - {E9E027BF-C3F3-4022-8F6B-8F6D39A59684} - (no file)
O2 - BHO: (no name) - {FFFFFFA2-C40D-475D-8C91-9A9876ACFCDD} - C:\PROGRA~1\klickTel\KLICKT~2\KTTOOL~1.DLL
O3 - Toolbar: Encarta Web-Begleiter - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &klickTel Toolbar - {FFFF8BAD-BB43-4A08-8258-BFB40A29FBD7} - C:\PROGRA~1\klickTel\KLICKT~2\KTTOOL~1.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Corel Photo Downloader] C:\Programme\Corel\Corel Snapfire\Corel Photo Downloader.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1177608426\ee\AOLSoftware.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [E06DXLRD_2085453] "C:\Programme\Microsoft Encarta\Encarta 2006 Enzyklopaedie DVD\EDICT.EXE" -m
O4 - HKCU\..\Run: [PhonostarAgent] C:\Programme\phonostar\ps_agent.exe
O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - Startup: klickTel OEM 2006 - Schnellstarter.lnk = C:\Programme\klickTel\klickTel OEM 2006\KSTART32.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: iFinger.lnk = C:\Programme\iFinger\iFinger.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Office-Bibliothek-Direktsuche.lnk = C:\Programme\Office-Bibliothek\PCLib.exe
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Programme\\Preispiraten3\\Preispiraten3\\preispiraten.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - C:\WINDOWS\System32\SHDOCVW.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {1239CC52-59EF-4DFA-8C61-90FFA846DF7E} (Musicnotes Viewer) - http://www.musicnotes.com/download/mnviewer.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - http://de.errorsafe.com/pages/scanner_de/ErrorSafeScannerInstallDE.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0BF6E02C-7C60-423F-A6FA-B93AB6C8BD00}: NameServer = 205.188.146.145
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\G DATA AVK InternetSecurity präsentiert von AOL\AVK\AVKService.exe (file missing)
O23 - Service: G DATA AntiVirenKit Wächter (AVKWCtl) - Unknown owner - C:\Programme\G DATA AVK InternetSecurity präsentiert von AOL\AVK\AVKWCtl.exe (file missing)
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Wenn ich dich richtig verstanden habe, werden alle Schädlinge aus dem Ordner der Systemwiederherstellung gemeldet!

Daher folgendes:

Fixe mit HijackThis folgende Einträge im Logfile:

Starte HijackThis -> Do a System Scan only -> Einträge markieren:

Zitat:

O2 - BHO: (no name) - {84B94901-3645-4D80-A6B7-4D0050B19455} - (no file)
O2 - BHO: (no name) - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - (no file)
O2 - BHO: (no name) - {E9E027BF-C3F3-4022-8F6B-8F6D39A59684} - (no file)
O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - h**p://de.errorsafe.com/pages/scanner_de/ErrorSafeScannerInstallDE.cab

Wenn alles angehakt ist, den Button -> FIX CHECKED klicken!

dann:


Schädlinge im Ordner der Systemwiederherstellung:

* Deaktiviere die Systemwiederherstellung -> So wird es gemacht.
* Danach das System neu starten, und mit deinem AV-Scanner nach dem Neustart
alles üb erprüfen.
(Systemwiederherstellung kann nun wieder aktiviert werden.)

Gruß
Sunny

Danke, ma schaun obs klappt.

Hey,
Avast findet zwar nichts mehr, aber ich komme immer noch weder in den Arbeitsplatz, noch in die Eigenen Dateien oder einen anderen Ordner. Was soll ich tun?
mfg
Flo
P.S.:Vielen Dank schon mal für die schnelle Hilfe!

Wie du kommst nicht auf den Arbeitsplatz bzw. in die Ordner??

Hast du das System mal neu gestartet???

Ja schon ca. 5 mal^^ Wenn ich auf einen Ordner (Arbeitsplatz etc.) klicke, bleibt erst der Computer hängen, dann kommt nach ca. 10 Sekunden ein Bluescreen und dann nach ca. 5 Sekunden wieder der Desktop mit einem Hinweis im Hintergrund und einem Button auf dem gefragt wird, ob man den "Active Desktop" wiederherstellen möchte.

Mach mal folgendes:

Start -> Systemsteuerung -> System -> Erweiter -> Starten und Wiederherstellen -> Haken entfernen bei "automatisch neustarten" ...

Wenn nun der Bluescreen kommt, schreib die Fehlermeldung auf/ab und poste es im nächsten Beitrag!

Hattest du vorher schon einmal Probleme mit den Bluescreens?

Sunny

Hab ich gemacht. Ja, es war schonmal und da wars auch ein Virus, aber den hab ich dann mit Avast wegbekommen. Was außerdem auffallend ist, ist das alles so im Windows 98 Design ist, also zum Beispiel keine schicke XP Startleiste und so, alles grau. Und man findet auch bei den Designs nix mehr von XP...

Die Meldung lautet:

Active Desktop wiederherstellen
Unerwarteter Fehler. Als Vorsichtsmaßnahme wurde Active Desktop deaktiviert. Beachten Sie die folgenden Hinweise, um Active Desktop wiederherzustellen:

Reagiert der Browser nicht oder wurde der Computer neu gestartet, ohne dass Windows heruntergefahren wurde? Klicken Sie in diesem Fall auf:


Verwenden Sie neuerdings eine Webseite als Hintergrund? In diesem Fall:
1. Klicken Sie mit der rechten Maustaste auf den Desktop und dann auf Eigenschaften.
2. Klicken Sie auf der Registerkarte Desktop unter Hintergrund auf den gewünschten Hintergrund.

Haben Sie häufig neue Objekte zu Active Desktop hinzugefügt? In diesem Fall:
1. Klicken Sie mit der rechten Maustaste auf den Desktop und dann auf Eigenschaften.
2. Klicken Sie auf der Registerkarte Desktop auf Desktop anpassen.
3. Deaktivieren Sie auf der Registerkarte Web unter Webseiten das Kontrollkästchen des zuletzt hinzugefügten Elements.
Möchten Sie Active Desktop wirklich deaktivieren? In diesem Fall:
1. Klicken Sie mit der rechten Maustaste auf den Desktop, und wählen Sie Eigenschaften.
2. Klicken Sie auf der Registerkarte Desktop auf Desktop anpassen.
3. Deaktivieren Sie auf der Registerkarte Web unter Webseiten alle Kontrollkästchen

Das hört sich garnicht gut an, da du ja keine Ordner mehr öffnen kannst, schlage ich dir einen ONLINE-SCAN vor, vielleicht kann dieses noch etwas retten:

Trend Micro HouseCall - Free Online Virus and Spyware Scan (SCAN NOW)

Es ist nur komisch das gerade alles auf einmal kommt..

Sunny

Danke. Der bleibt aber irgendwie mitten im Scan hängen, ist das normal?

Kanns sein, dass wieder die einzige Möglichkeit ist Windows neu draufzuspielen? Wenn ja, gibt's dann irgend nen Weg seine Dateien zu behalten?