Ich hab vor einigen Wochen von nem Fruend viele dateien auf meine externe Festplatte packen lassen, daran wirds wohl liegen...

Also:

Am besten die c: partition auf allen Rechnern formatieren und die dateien auf der externen Festplatte löschen?

MFG
Efte

Edit: Ich lass grad Trend Micro HouseCall laufen, hoffentlich findet er nichst auf den andren partitionen.

Zitat:

Zitat von eftekhari

Ich hab vor einigen Wochen von nem Fruend viele dateien auf meine externe Festplatte packen lassen, daran wirds wohl liegen...

Also:

Am besten die c: partition auf allen Rechnern formatieren und die dateien auf der externen Festplatte löschen?

MFG
Efte

Die externe kannst du lassen, überprüfe sie und lösche eventuell schädliche Dateien. Denn so vermeidest du, das du nach dem Neuaufsetzen eine Datei/Programm startest, und das System wieder verseucht ist.

Also, alle Partitionen mit dem HOUSE.CALL überprüfen, schädliche Dateien entfernen (nicht die aus den Systempartitionen, diese sind irreperabel!), danach alle Systempartitionen formatieren und das OS neu aufspielen.

So, hab jetzt mal Trend Micro laufen lassen und er hat eben auch dieses scvhost gefunden und noch ein wenig andren kram. Hab alles geslöscht, wobei bei Grayware bzw. Spyware da nicht stand um welche datei es sich handelt.

Mein jetziger schritt wird sein das ich den die C: Formation lösche! Ist das richtig?

Danke nochmal für eure schnelle und kompetente Hilfe!

MFG
Efte

Edit: kommt dieser Wurm nun von einer Externen Festplatte? Wenn dem so ist was soll ich da machen?

Hi,
nachdem ich die C: Festplatte Formatiert habe funktionieren keine Programme mehr. Was kann ich da machen? Die ordner sind in d: vorhanden, aber kein Programm funzt mehr.

MFG
Efte

hallo kann mir jemand helfen
ihr müsstet mal mein logfile überprüfen

gibts denn was zu beachten bevor ich den file rein tue ?

vielen dank im vorraus

@eldinho

Beachten brauchst du eigentlich nichts, einfach abkopieren und in einen neuen Beitrag einfügen, und nicht irgendwo, sowie hier.


@eftekhari

Das deine Programme nicht mehr funktionieren ist normal, weil die Dateien so oder so gelöscht gewesen wären wenn sie auf C gespeichert wären, und alle Einträge aus der Registrierung sind sowieso hinfällig, da du formtiert hast.

Aber warum installierst du deine Programme jetzt nicht einfach sauber und neu? Du solltest sie ja als Original da haben, oder?

Jo, mach ich!

Sieht meine HJT sauber aus?

Logfile of HijackThis v1.99.1
Scan saved at 00:42:39, on 28.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\MSN Messenger\msnmsgr.exe
D:\Downloads\hijackthis\HijackThis.exe

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1185573807093
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1185573800109
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA
[/edit]

Zitat:

Zitat von eftekhari

Jo, mach ich!

Sieht meine HJT sauber aus?

Ja, sieht wieder sauber aus.
Hoffe du hast dich auch an die Absicherungen gehalten, ein Anti-Virenprogramm schützt dich heut zu Tage nicht mehr, DU selbst musst auch etwas dafür tun.



@Eldinho

Nochmal: DU sollst einen komplett neuen Beitrag eröffnen und nicht in diesem Beitrag zu deinem Problem posten und schreiben.

Hallo,
da mein Computer jetzt Virenfrei ist weiß ich nicht wie ich mit der externen Festplatte umgehen soll. Wenn der Virus daher kommt trau ich mich nicht sie wieder in betrieb zu nehmen. Was kann ich da machen? Kommt der Virus sicher über USB oder verbreitet er sich nur darüber?

MFG
Efte

Hi,
mein computer ist immer ausgelastet wegen svchost. Woran kann das liegen? Mein Computer ist viel zu langsam! Bitte um Hilfe

MFG
Efte

Hallo

deaktiviere mal zum Test die automatischen Updates von Windows und berichte ob es sich gebessert hat.

MFG

hi, hat nichts gebracht.
auffällig ist auch das z.b. Firefox eine Computerauslastung von 65K Speicher nimmt. Ich denke nicht das das bei 3 Tabs standart ist. Acrobat reader nimmt 20! Früher ging das problemlos.

MFG
Efte

Edit: Auch Spiele, die vorher einwandfrei funktioniert haben stottern bei der geringsten auflösung!

Hiernochmal die LogFile:

Logfile of HijackThis v1.99.1
Scan saved at 19:31:16, on 28.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
D:\Programme\DAEMON Tools Pro\DTProAgent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\msiexec.exe
D:\Programme\eMule\Incoming\***\hijackthis\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\PROGRA~1\MICROS~1\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "D:\Programme\DAEMON Tools Pro\DTProAgent.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1185573807093
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1185573800109
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\PROGRA~1\MICROS~1\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Hallo nochmal,
Ich hab wieder einen Virus
Ich hab heut nacht mal escan laufen lassen und der hat mir gleich 6 Viren gefunden. Nun weiß ich weder woher sie kommen noch was ich dagegen tun kann. Bitte helft mir weiter.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.3.5
Sprache: German
C:\DOKUME~1\admin\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Aktion vorgenommen.
System found infected with elite toolbar Spyware/Adware (toolbar.exe)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei D:\AUTORUN.INF infiziert von "Fujack" Virus. Aktion vorgenommen: No Action Taken.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\DOKUME~1\admin\LOKALE~1\Temp\NERO13346\Toolbar.exe markiert als "not-a-virus:AdTool.Win32.MyWebSearch". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temp\NERO13346\Toolbar.exe markiert als "not-a-virus:AdTool.Win32.MyWebSearch". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File D:\System Volume Information\_restore{56C31CCF-3B04-4F01-AB38-67B3F14E88AA}\RP636\A0391493.exe markiert als "not-a-virus:AdTool.Win32.WhenU.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\temp\nero13346\toolbar.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCU\\magnet !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\DOKUME~1\admin\LOKALE~1\Temp\e4j24.tmp_dir22876\jre.tar.gz nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOKUME~1\admin\LOKALE~1\Temp\NERO13346\Cab\E2B8B375.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temp\e4j24.tmp_dir22876\jre.tar.gz nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temp\NERO13346\Cab\E2B8B375.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
D:\MSOCache\All Users\{90120000-00A1-0407-0000-0000000FF1CE}-D\OnoteLR.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
D:\Nero 7\Nero Mobile\SetupNeroMobile.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
D:\Programme\Microsoft Office\Office12\1031\OneNoteMobile.CAB nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 183201
Gefundene Viren: 6
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 31
Dauer des Scans bisher: 02:38:48
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 10:18:08,29
Batchende: 10:18:21,23

kann keiner helfen? Tut mir leid wenn ich nerve!