Hallo

Ich habe grade ein sehr schweres Problem nicht nur dass ich meinen Rechner nicht vernünftig benutzen kann sondern dass ich ihn zum arbeiten brauche und in 3 wochen etwas fertig haben muss und dass schaffe ich ohne meinen rechner leider nicht..

Zum hergang:

Ich habe einen Treiber runterladen wollen, den ich über Google gefunden habe und ihn dann auch installiert.. es kam noch eine meldung dass alles entpackt wird. und dann gings auch schon los alles eingefroren rechner hat einfach nicht mehr reagiert.. ich hab schnell reagiert und sofort neugestartet weil ich dass irgendwie schon geahnt hatte. dann direkt kurz vor eigentlich bootvorgang blauer bildschirm mit der meldung "system 000x1 irgendwas.. schwerer ausnahmefehler.. " so nen 3 zeiler.. ich hab dann nochmal versucht in den abgesicherten modus zu kommen aber das gleiche problem.
ich hab mir meine windows cd geschnappt formatiert und das system neu aufgesetzt und dann sind mir aber schon so einige merkwürdigekeiten aufgefallen "VRT1.tmp" hat ein problem festgestellt blabla.. und da ich mein system öfter neu mache hab ich nen ordner auf ner anderen partition indem alle meine treiber, programme und co drin sind um alles schnell wieder in den alten zustand zu bringen die hälfte davon hat ca 3mal solange gebraucht und die andere hälfte ging überhaupt nicht also web installationen gingen nicht manche meinten die exe wurde verändert.. dann ging ich nochmal ins netz um antivir runterzuladen ums zu installieren nach der installation meinte das programm "die CRC-Summe der exe wurde verändert dies könnte von einem Virus verursacht worden sein".. tja dann in den abgesicherten modus um das runtergeladene nochmal zu installieren das hat soweit geklappt aber nachmn hochfahrn dann wieder ein error den ich jetzt nicht auswendig weiß.. ich glaub dass irgend ne exe von antivir wiedermal verändert wurde
Problem der ganzen sache ist dass ich kein sp2 installieren kann und auch sonst kein programm richtig verwenden kann oder neu installieren.. und dass ich wichtige daten hab und vermuten muss dass alle meine "exe" infiziert sind..
was ich nicht weiß wie der virus die formatierung überlebt hat

Hijack post (hatte ich noch drauf und funktioniert soweit ):

Logfile of HijackThis v1.99.1
Scan saved at 18:59:12, on 06.10.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\mdm.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wpabaln.exe
C:\WINDOWS\System32\svchost.exe
c:\whekdwjb.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\WINDOWS\tsitra.exe
D:\***\Warez\HijackThis.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\tsitra.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [WinAble] C:\Programme\WinAble\winable.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{6C5BD9E2-2E69-44BD-AEC0-9F84AB939C83}: NameServer = 192.168.2.1
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

ich hab soweit selbst schon rausgefunden dass im "TEMP" Ordner von Windows eine datei hängt die "Perflib_Perfdata_ec.dat" heisst und mit der man nichts machen kann.. und die auch auch nicht auf nen onlinevirenscanner hochladen kann.

Ich brauch wirklich hilfe sonst bin ich echt angeschissen...

Vielen Dank im vorraus.. Steffen

Hallo.
Das hört sich nich gut an, entweder du hast etwas beim Neuaufsetzen falsch gemacht oder du hast dir den CIH-Virus eingefangen.(erster virus der den FlashBios überschreibt so dass du den PC vergessen kannst)
Ich hoffe ich irre mit meiner vermutung, aber ich denke das sich noch ein experte diesen thread hier anschaut.
Bis dahin mfg

Erstmal danke für die antwort.

was kann ich denn alles vergessen wenn ich diesen Virus hab? reicht es neues mainboard und neue festplatten oder hat der meine grafikkarte und co da auch schon mit reingezogen? und wie siehts mit netzwerk aus überträgt der sich auch von alleine aufs gesamte netzwerk? Und gibts ne möglichkeit den zu killn? Und ich bin ja programmierer und vielleicht weiß ja jemand ob der sich in meinen projekte irgendwie reingeschrieben hat weil ich will die möglichst retten.

also wär ne kleine katastrophe wenn ich all meine daten vergessen kann und neuen pc holen muss.

omg ich bekomme langsam angst.. eben sind 2 neue prozesse einfach aufgetaucht.. "wintouch.exe" unter google findet sich dass es ein tool ist mitdem man alle parameter von dateien ändern kann... und "Insider.exe" die jeweils für kurze zeit auf hohe CPU auslastung steigen... "kxlenuq.exe" grad erschienen.. hackt mich grad einer ??..

ich poste mal einen neuen Hijack log: da sind nämlich ne menge neuer sachen aufgetaucht... omg ich hab das gefühl dass ich am Ar*** bin


Logfile of HijackThis v1.99.1
Scan saved at 22:33:11, on 06.10.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wpabaln.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\VideoLAN\VLC\vlc.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\taskmgr.exe
C:\WINDOWS\system32\spoolsv.exe
D:\***\Warez\HijackThis.exe

O2 - BHO: (no name) - {35D90846-C5D0-9957-A23D-E72B2CE482BC} - C:\WINDOWS\System32\clsulhob.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\tsitra.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [WinAble] C:\Programme\WinAble\winable.exe
O4 - HKCU\..\Run: [Insider] C:\Programme\Insider\Insider.exe
O4 - HKCU\..\Run: [Lnbu] "C:\WINDOWS\FNTS~1\javaw.exe" -vt yazb
O4 - HKCU\..\Run: [Vbse] C:\WINDOWS\system32\?ystem\?ttrib.exe
O4 - HKCU\..\Run: [WinTouch] C:\Dokumente und Einstellungen\fierce\Anwendungsdaten\WinTouch\WinTouch.exe
O4 - HKCU\..\Run: [SfKg6w] C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Windows\kxlenuq.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{6C5BD9E2-2E69-44BD-AEC0-9F84AB939C83}: NameServer = 192.168.2.1
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

ich hab den neuen kram erstmal gekickt mit hijack und kill sofort alles was neu im taskmanager auftaucht den hab ich dauernd an jetzt.. falls ich mir was in win zerstör isses mir egal das setz ich neu auf.. so erstmal cds gesucht und alles was nicht .exe ist sichern...

Edit:

Ich werd mal versuchen alle dateien die ich als "schädlich" empfinde im abgesicherten zu entfernen und ausm bootvorgang rausnehmen.. "msconfig" sei dank x)

hi

dein windows ist nicht up-to-date
es fehlen dir ne menge sicherheitsupdate,die es mit dem Service Pack 2 für XP gibt...du hast nur SP 1-->musste eben neuaufsetzen..alles andre is sinnlos

also erstmal vonner sicheren seite das SP 2 runterladen

Hi

Zitat:

D:\***\Warez\HijackThis.exe

Kann es sein, dass Du dir auch den Firefox mit Crack und Keygen von einer Warez-Seite ziehst

Ich weiß ja nicht, was Du sonst noch so in dem Ordner Warez hast, Empfehlung ist aber, dort ebenfalls alles zu löschen. Ansonsten ist auch ein Windows mit allen Updates schnell hinüber.

Gruß, Karl

Hi, thx für die Antworten .

"Warez" ist nen Ordner den ich so genannt hab da war früher allerlei schrott drin.. und jetzt ist nur noch hijack darin.. und firefox muss man doch gar net cracken oO das ist doch kostenlos.. ich hab win grad neu installiert nachdem ich ntldr zerstört hab was nicht so schlau war x) .. bis jetzt läuft alles tadellos ich werde meinen alten Remake-Ordner löschen und mir meine Treiber installer und co neu ausm internet saugen... ich hoffe dass es keine Probleme gibt mal abwarten ich meld mich wenns wieder probleme gibt soweit besten dank

puh... ich glaub das meiste hab ich überstanden.. ich konnte fehlerfrei antivir installiern und der macht grad nen komplett systemcheck.. dann hab ich mir noch schnell sygate firewall zugelegt und sp2 runtergeladen was ich nachm system check drauf ziehen werde bis jetzt hat der eine warnung aber auch nur 4.3% durchsucht x)

ok win32/Virut.Z hatta jetzt gefunden in verdammt vielen .exe von mir .. alle die sind infiziert die ich gestartet hatte als der virus drauf war >_>.. aber ich habe gesiegt !!