Hallo,

Erstmal vorne weg, ich kann nur noch über Linux hier posten und meine Windows Partitionen werden auch unter Linux nicht gemountet. Komischerweise auch meine Partion mit der Musiksammlung nicht (liegt auf ntfs).
Mein PC kommt unter Windows nur noch bis zum Anmeldebildschirm danach bekomm ich einen Bluescreen. (Shutdownvirus?)

ich glaub das ganze hängt damit zusammen:
ich hab mir gestern yahoo widget installiert, mit diesen tollen Uhren und allerlei Kram. Ich war nicht grad begeistert davon und hab es sofort wieder gelöscht. Danach wurde mein Browser bei jedem Aufruf auf die Seite entführt von der ich das Programm her hatte, ohne das die Startseiteneinstellung geändert wurden.

Ich hab dann 1 Trojaner und zwei andere Schadprogs auf meinem PC gefunden... von denen ich auch Namen und Verzeichnisspfad hatte, nur die .txt liegt jetzt in Eigende Daten und ich komm nid ran. Ich hatte die dann gelöscht. Nach dem Neustart wurde dann ein Registry Eintrag als bösartig angezeigt, hab ihn auch löschen können.
Danach hab ich aus Linux meine Windowspartion gescannt und nichts gefunden. (Ich glaub aber der Scanner ist einfach nur scheiße, ist von Avira.) Also hab ich danach einen online Scan bei Pandasoft gemacht und es wurden prommt zwei Schadprogramme entdeckt (dummerweise Namen nid aufgeschrieben). Ich hab sie löschen lassen. Dann wollt ich den PC neu starten, und nix ging mehr... halt der Bluescreen mit Fehlermeldung von Windows wie oben geschildert/und aus Linux find ich die beiden Partionen nicht mehr.

Ich hab auch noch ein HJT Bericht dazu den ich vor dem onlinescan gemacht hatte - leider auch in der Windowspartion.

Ich wär dankbar wenn Ihr mir Tipps geben könntet wie ich jetzt weiter vorgehen
kann. Ich probiere jetzt erstmal meine beiden Partitionen wiederzufinden.

LG Erdbeereis

Ich hab nun Zugang auf die ntfs Partitionen:

Hier ein paar Infos:

Die Trojaner:

Zitat:

Datei: C:\WINDOWS\NDNuninstall6_38.exe

Datei: C:\WINDOWS\system32\rkinstaller.exe

Datei: C:\Programme\VVSN\VVSN.exe
Verzeichnis: C:\Programme\VVSN

nach der Löschung und Neustart war noch das da:

Zitat:

RegistryKey: HKEY_CURRENT_USER\Software\New.net

hab ich gelöscht: dann mein HJT Bericht:

Zitat:

Logfile of HijackThis v1.99.1

Scan saved at 03:23:40, on 06.07.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16473)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\avmwlanstick\WlanNetService.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\avmwlanstick\FRITZWLANMini.exe

C:\Programme\Winamp\winampa.exe

C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe

C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe

C:\Programme\SysMetrix\SysMetrix.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe

C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe

C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe

C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe

C:\Dokumente und Einstellungen\Internet\Desktop\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Winamp Bookmark Copier] rundll32 "C:\Programme\Winamp\msacm32.dll",BookmarkCopy

O4 - HKLM\..\Run: [SysMetrix] C:\Programme\SysMetrix\SysMetrix.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"

O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe

O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe

O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe

O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe

O4 - Startup: Yahoo! Widget Engine.lnk = C:\Programme\Yahoo!\Widgets\YahooWidgetEngine.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O11 - Options group: [TABS] Tabbed Browsing

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe

O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Mit den beiden Viren die Panda gefunden hat kann ich nun nicht dienen, oder wurde dort automatisch eine Datei angelegt?

LG Erdbeereis

Werte doch mal die beanstandeten Dateien online bei Virustotal aus undposte die Ergebnisse.
Zu New.Dot.net bzw. New.net gibtes diese Anleitung von Sunny