Hallo,
ich bin neu hier und hab mich registriert da ein Virus und ein Trojaner auf dem Pc entdeckt wurden-ich hoffe das ist ok... Ich kenn mich mit Computern überhaupt nicht aus aber ich versuch jetzt einfach mal so genau wie möglich zu schildern was los ist


Als erstes wenn ich das Programm Antivir PE Classic starte und ich einen Suchlauf starte kommt mir die Meldung "es wurden verdächtige Prozesse gefunden! Sollen diese Prozesse jetzt beendet werden? 5809375.exe Löschen?" Drücke dann Ja. Aber wenn ich das Programm das nächste Mal starte kommt mir die selbe Nachricht wieder.

Danach wenn ich auf Ja gedrückt habe kommt mir sofort diese Meldung: "C:\WINNT\system32\6A998225.DLL ist das Trojanische Pferd TR\Dldr.Agent.13261" Wenn ich dann auf "In Quarantäne verschieben" drücke kommt auch diese Meldung gleich wieder wenn ich das Programm das nächste mal starte.


Dann am Ende des Programms wann schon ca. 90% gelaufen sind kommt mir dei Meldung "C:\WINNT\system32\6A998225.DLL Es handelt sich um einen heuristischen Treffer. Dabei könnte es sich um einen Fehlalarm handeln. Für eine genauere Analyse sollten Sie uns diese Datei über den Quarentäne Manager zur genaueren Untersuchung zusenden. Enthält verdächtigen Code: HEUR/Malware"
Dann klicke ich auf in Quarentäne verschieben. Dann kommt mir sofort die Meldung "C:/..... Möglicherweise fehlen Ihnen die nötigen Rechte, oder der Zugriff ist gesperrt.
Bitte stellen Sie sicher, das sie für die gewünschten Rechte Administratorenrechte haben. Entählt den verdächtigen Code: HEUR/Malware "
dann klicke ich auf gesperrte DAtei nach Neustart löschen. Aber das nächste Mal dass ich anschalte ist die Datei wenn ich den Antivir laufen lasse wieder drinn..



Auch kommt mir jetzt häufig auf diversen Internetseiten die Meldung: "Informationen die sie mit dieser Seite austauschen können von anderen weder angesehn noch verändert werden. Das Sicherheitszertifikat der Seite ist jedeoch fehlerhaft." Dann stehen 3 Sätze unten einer davon ist nicht mit einem Häckchen sondern mit einem gelben Ausrufenzeichen versehen und er lautet "Das Sicherheitszertifikat ist abgelaufen oder noch nicht gültig"
Am Ende habe ich die Option den Vorgang fortzusetzen oder nicht oder das Zertifikat anzeigen zu lassen...
Diese ganze Meldung ist mir bevor ich den Virus bekommen habe nie gekommen...


Wie kann ich das wieder hinbekommen.??
Kann mir da wer weiterhelfen??

Vielen Dank

liam

kann mir jemand weiterhelfen?? soll ich es kürzer erklären?? hab angst dass der pc kaputtgeht...

bitte bitte jemand???

Gerne

Folg der Anleitung zu HijackThis in meiner Signatur. Alles genau durch lesen und anschließend Logfile posten. Ich denke aber das ich da schon ne Idee hab aber erstmal HiJackThis.

OK ich hoffe dass ich das jetzt richtig gemacht habe...

Logfile of HijackThis v1.99.1
Scan saved at 09:26:44, on 27.05.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\wuauclt.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\system32\rundll32.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_08\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Nikon\PictureProject\NkbMonitor.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINNT\system32\HPZipm12.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Java\jre1.5.0_08\bin\jucheck.exe
C:\Dokumente und Einstellungen\Hillbold\Desktop\Hijackzeug\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.stol.it/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.dolomiten.it/
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,userinit.exe
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [NI] "C:\Dokumente und Einstellungen\Hillbold\Anwendungsdaten\si.exe"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by18fd.bay18.hotmail.msn.com/resources/MsnPUpld.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7B4A9C4-A6A6-4642-B5B6-166630D46EF5}: NameServer = 85.37.17.56 85.38.28.98
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: P1ug and P1ay (P1ugP1ay) - Unknown owner - C:\WINNT\system\services.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe
O23 - Service: Remote Procedure Call (RPC) Remote (RpcRemote) - Unknown owner - C:\WINNT\system32\remote.exe (file missing)

Hallo,

habe das gleiche Problem...

1.
Versuch folgende Datei zu löschen:

Zitat:

C:\Dokumente und Einstellungen\Hillbold\Anwendungsdaten\si.exe

Falls das nich geht folg der Anleitung zu Avenger in meiner Signatur. Dein Script lautet:

Zitat:

Files to delete:
C:\Dokumente und Einstellungen\Hillbold\Anwendungsdaten\si.exe

Anschließend Avira scannen lassen und alles löschen lassen was kommt. Dann Neustart nochmal scannen lassen und gucken ob die Funde wieder auftauchen.

hab datei gelöscht aber viren waren noch da nach dem scan mit ANTIVIR. habe nicht avira ist das ein problem?? und was soll ich jetzt machen??

Hi,
Du hast AntiVir von Avira
und jetzt zu deinem Problem

Guck mal ob die beiden Dateien noch vorhanden sind:

Zitat:

C:\WINNT\system\services.exe
C:\WINNT\system\services.exe

Denke aber die dürften weg sein.

Dann lies dir die Anleitung zum eScan in meiner Signatur genau durch und führe sie aus. Anschließend Ergebnis mit Hilfe der find.bat posten.

_____________________________________________________________

Danach RegCleaner einmal mit RegCleaner die Registry reinigen lassen.


Zusätzlich schick dir tmp Datei mal an das Avira Labor:

Zitat:

C:\WINNT\system32\6A998225.DLL

Allerdings gib an: Mit Verdacht auf Fehlalarm!

soll ich das mit dem router oder ohne runterladen?? hab keine ahnung ob ich den habe da ich keine ahnung habe was das überhaupt ist...

Wikipedia Router

ok und wie finde ich heraus ob ich sowas installiert habe??

Mach einfach die ohne Router....

windows mit einem account öffnen der über administratorenrechte verfügt...wie soll ich das machen?? starte ich windows nicht jedes mal mit einem account der über administr... verfügt??

Meine Güte,
Start->Systemsteuerung->Benutzerkonten

Da kannst du gucken welche deiner Konten über Administratorrechte verfügen, mit einem loggst du dich dann ein...


BTW: Ein bisschen Computerkenntnis wäre für die Entfernung eines Virus von Vorteil...

wie weis ich mit welchem ich gerade eingeloggt bin??