Da ich es wohl nicht genaugenug gemacht habe neuer anlauf mit überarbeiteten text:

Hallo erstmal!
Bin neu hier und habe ein paar fragen. Ich benutze XP und versuche euch das problem so gut wie möglich zu scildern.

Also ich habe folgenes Problem:
Ich habe mal eine Datei entpackt, da war wohl ein Virus (oder sowas) drin.
Nunja, seitdem kommt ständig bei mir von antivir 2 Fehlermeldungen (immer 2!!!) und sie lassen sich wohl nicht löschen weil sie obwohl ich auf löschen gehe diese meldungen immer wieder kommen.
Nach ein paar Tagen nachdem ich ,,inpfiziert" wurde kommen nun immer wenn ich windows hochfahre (wenn gerade der Desktop erscheint) 2 Fehlermeldungen seits windows.

Was habe ich und wie bekomme ich diesen scheiß wieder weg

seitdem stürst mein desktop (die ganzen icons) ständig ab, dann sehe ich weder noch die icons noch sonst irgentwas... mit strg+alt+entf melde ich meinen benutzer dann immer ab und logge mich neu ein..anders gehts dann nie..


nochmal zu den 2Fehlermeldungen seits windows, die erste lautet so:
links roter kreis mit einem X
Überschrift: "C:\WINDOWS\system32\winupdate.exe"
Text: "C:\WINDOWS\system32\winupdate.exe" konnte nicht gefunden werden. Stellen sie sicher dass sie den namen korrekt eingegeben haben und wiederholen sie den vorgang. Klicken sie auf start und anschließend auf suchen um eine datei zu suchen.

2.Fehlermeldung:
links gelbes dreieck mit einem ! namen: desktop
Die in der Registrierung angegebene Datei "C:\WINDOWS\system32\winupdate.exe" konnte nicht gefunden werden.

Teilweise kommt noch eine dritte fehlermeldung:
wieder links des zeichen mit dem X und namen : rundul
text:
"C:\WINDOWS\system32\xqtdeuet.dll"
Das angegebene Modul konnte nicht gefunden werden.


Zudem sollte ich noch angeben das ich ein Programm aus der Liste gelöscht habe, welches mit dem windows gestartet wurde, welches aus einem code bestand welchen ich aber nicht mehr weiß, da die schon länger her ist.

Wenn ich AntiVir durchlaufen lasse kommt folgene Funde:
TR/PCK.Monder.83520
TR/PCK.Monder.88128
TR/Vundo.Gen (bei mehreren Dateien)
TR/Agent.3648.1(sehr oft, bei vielen Dateien, vor allem im odner C:system32: und ende der datei ist immer dann .dll)


Bei AntiVir die Funktion Rootkits suchen funktioniert im übrigen auch nicht mehr. Um genau zu sein durchsucht er 0 Dateien und sagt nach 2 sekunden Fertig!


bitte helft mir.. ich will wieder meine ruhe haben
vielen dank im vorraus


p.s.:
falls nun wieder irgentetwas falsch ist bitte nicht sofort löschen sondern bitte in 3 wörtern sagen was falsch ist. Danke!

Hi

Bitte erstelle als erstes einmal ein HijackThis logfile und poste es hier
Link ist in meiner Signatur

würde ich eigentlich gerne jetzt machen, allerdings will er keine von diesen 3 dateien herunterladen.. keine ahnung wieso.
Eine einfache frage dazu:
Ist dies Version 1 oder 2? weil im internet wird mir version 2 angeboten und bevor ich das ,,falsche" nehme wollte ich einmal vorher nachfragen.


p.s. das programm, welches sich mit windows öffnet aber laut tuneup sich auch keine datei bezieht nennt sich xqdeuet. Damit kann auch keiner was anfangen oder?!
sagt mir also einfach die version und dann mach ich das alles was in dem thread steht auf welchen mir virus aufmerksam gemacht hat.


lg

nimm die version 2....ich glaub genau ist es 2.0.2 und erstelle ein log nach anleitung von virus
mfg Sektor =)

Hallo
habe ein ähnliches Problem:

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA
[/edit]

@Luggas bitte erstelle einen eigenen Thread und beschreibe dein Problem dort

@Fooker

Was meinst du mit kann nicht herunterladen? Kommte eine Meldung oder was?

nee es kommt GARNIX
aber ich werd mich heute oder morgen m,al dran setzen und das dann alles schön machen und dann posten

Hallo!
Ich weiß, ist lange her aber hier mein HiJackThis-File..

hoffe habe alles richtig gemacht


was soll ich jetzt tun?
bitte genau sagen weil der schluss von der erklärungsseite ist finde ich ein wenig unverständlich
vielen vielen dank im vorraus für eure mühen, ich weiß diese wirklich zu schätzen.

hier das was ausgespuckt wurde:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:42:55, on 26.04.2008
Platform: Windows XP SP3, v.3264 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.3264)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Bluetooth\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Mouse Driver\MouseDrv.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
G:\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
F3 - REG:win.ini: run="C:\WINDOWS\system32\winupdate.exe"
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WireLessMouse] C:\Programme\Mouse Driver\StartAutorun.exe MouseDrv.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Steam] "g:\cs-1.6 & cz + ts + steam\steam.exe" -silent
O4 - HKCU\..\Run: [Firefox] C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
O4 - HKCU\..\Run: [QIP2005] G:\qip!!!\QIP\qip.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Bluetooth\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Translate with &Babylon - res://G:\Babylon (Übersetzter)\Utils\BabylonIEPI.dll/Translate.htm
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - (no file)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\icq\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\icq\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Bluetooth\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Bluetooth\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: RaptisoftGameLoader - http://www.miniclip.com/hamsterball/raptisoftgameloader.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.schuelervz.net/photouploader/ImageUploader4.cab
O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - http://icqintl.oberon-media.com/online/online2/luxor/mjolauncher.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/online2/bejeweled2/popcaploader_v6.cab
O20 - AppInit_DLLs: C:\WINDOWS\system32\wowfx.dll
O21 - SSODL: SysDrive - {17290adf-ab2c-47db-82ff-cd011c64e264} - (no file)
O21 - SSODL: zip - {28fe3bb1-6b59-4f7c-85fa-2af3ce4c3272} - (no file)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\Bluetooth\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\RGVubmlz\command.exe (file missing)
O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 8538 bytes

up!
bitte hälelft mir!!!! (wie jar-jar-binks es sagen würde)

Hi,
lad dir bitte mal Smitfraudfix herunter und folge dort auf der Seite der Anleitung unter "Suche"

Poste das erstellte Log hier.

Lasse bitte außerdem

Zitat:

C:\WINDOWS\system32\winupdate.exe
C:\WINDOWS\system32\wowfx.dll
C:\WINDOWS\RGVubmlz\command.exe

bei virustotal auswerten.

lg myrtille

Außerdem:

Zitat:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://searchbar.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://searchbar.findthewebsiteyouneed.com
O9 - Extra button: (no name) - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - (no file)
O16 - DPF: RaptisoftGameLoader - h**p://www.miniclip.com/hamsterball/raptisoftgameloader.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - h**p://static.ak.schuelervz.net/photouploader/ImageUploader4.cab
O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - h**p://icqintl.oberon-media.com/online/online2/luxor/mjolauncher.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - h**p://arcade.icq.com/online2/bejeweled2/popcaploader_v6.cab

In HJT Fixen! Versuche mal den Boonty-Müll über Systemtemsteuerung/Software runter zu schmeißen (Was zu 90% eh nich klappen wird)

Das hier ist aber viel schlimmer:

Zitat:

F3 - REG:win.ini: run="C:\WINDOWS\system32\winupdate.exe"
020 - AppInit_DLLs: C:\WINDOWS\system32\wowfx.dll
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\RGVubmlz\command.exe (file missing)

Lass die fettgedruckten Sachen mal bei VirusTotal auswerten, und poste sie VOLLSTÄNDIG (also mit md5 und sha Werten!).

winupdate.exe kann zu allen möglichen Bots gehören, das dient nur zur Kontrolle...

Kannst dich aber schonmal dadrauf einstellen: http://www.trojaner-board.de/51262-a...sicherung.html

Edit: Myrtille hat schneller editiert^^ command.exe ist (File Missing)

wenns ganz im arsch ist naja.. ich bekomm in etwa 2 monaten nen komplett neuen rechner
werd dann nur meine 2. festplatte so lassen (sind nur bilder und andere datein wie musik und so drauf) und die andere werd ich dann komplett formatieren (alles weg )

aber danke schonmal
vll mach ichs nachher sofort

lg

hab jetzt mal schonmal angefangen:
frage zu dem fixen
hab jetzt bei den sachen die du mir gesagt hast nen häckchen gemacht bei hjt, muss ich jetzt unten auf fix checked gehen????? was passiert dadurch (kenne mich auf dem gebiet gar nicht aus)


die winupdate.exe datei kann ich gar nicht hochladen weil ich die unter durchsuchen gar nicht finde!?
und wowfx.dll gibts ebenfalls nicht.. nur wowfax.dll
und den rgv.. ordner gibts auch gar nicht

Zitat:

hab jetzt mal schonmal angefangen:
frage zu dem fixen
hab jetzt bei den sachen die du mir gesagt hast nen häckchen gemacht bei hjt, muss ich jetzt unten auf fix checked gehen????? was passiert dadurch (kenne mich auf dem gebiet gar nicht aus)

Ja genau.

Bewirken tut das, das die Sachen aus zB der Registry gelöscht werden:
z.B. Wenn wir O4 - HKCU\..\Run: [QIP2005] G:\qip!!!\QIP\qip.exe im HJT fixen würden, würde sich dein QIP nicht mehr bei Windoofs-Starten automatisch starten.

Zitat:

die winupdate.exe datei kann ich gar nicht hochladen weil ich die unter durchsuchen gar nicht finde!?
und wowfx.dll gibts ebenfalls nicht.. nur wowfax.dll
und den rgv.. ordner gibts auch gar nicht

Ja, das ist logisch Kopiere den Pfad aus dem Post von mir und füge sie einfach ein, und wenn das nicht geht dann gehst du in einem beliebigen Ordner auf Extras-> Ordneroptionen-> Ansicht-> Geschützte Systemdateien ausblenden Haken wegmachen
Den rgv...-Ordner vergiss mal schön, der hat sich schon aus dem Staub gemacht

Zitat:

Zitat von Fooker

wenns ganz im arsch ist naja.. ich bekomm in etwa 2 monaten nen komplett neuen rechner
werd dann nur meine 2. festplatte so lassen (sind nur bilder und andere datein wie musik und so drauf) und die andere werd ich dann komplett formatieren (alles weg )

Pass nur auf das da wirklich keine ausführbaren Dateien sind, und mach am besten von einer Linux-Live-CD oÄ eine gründliche Überprüfung

also ich hab es jetzt eingetippt, dann kommt nach dem senden dies:
0 bytes size received / Se ha recibido un archivo vacio
also nix

wenn ich des häckchen wegmach finde ich si auch nciht

gefixt hab ich die dats.. soll ich mal neues protokoll reinschmeißen??


zu der festplatte:
es sind nur noch musik,bilder,texte, und noch nen paar exe datein von programmen drauf, die ich aber bewusst dadrauf getan hab
aber sonst is da nix mehr druf.. schlimm mit den nicht installierten programmen???

danke nochmal für eure super und sehr nette hilfe!!!!!:aplaus: