guten tag alle zusammen,
ich komm dann mal eben direkt zu meinem problem..
und zwar habe ich schon seid längerer zeit probleme mit einer "vbskript"-datei, die sich auf meiner alten (und aktuellen) festplatte mit vielen -auf keinen fall formatierbaren- wichtigen daten eingenistet hat. mittlerweile hab ich mir eine neue festplatte zugelegt und jetzt ist dieser virus, oder was auch immer, wieder da. einfach so von heut auf morgen. wenn ich ganz normal über den arbeitsplatz auf meine festplatte zugreifen möchte (mit doppelklick) dann tut sich nichts, außer das manchmal dann eben diese vbskript-datei angelegt wird. auf beiden partitionen. und im kontextmenü steht an oberster stelle nichmehr "öffnen" sondern "autorun"....... und das stinkt. gestern (morgen) habe ich mir dann von einem kollegen einige programme geben lassen, die ich auch schon über den rechner gejagt hab, aber ohne großen erfolg. erst schien es, als würde alles funktionieren, aber dann gegen abend kam ich heim und alles war wie vorher. (keine inetverbindung, bzw. "eingeschränkte konektivität" und meine ip konnte im netzwerk nicht vergeben werden). achja: in meinem inetexplorer steht oben in der adressleiste "hacked by ******". sehr (SEHR) bedenklich.

mittlerweile habe ich schon multi viruscleaner, spywareblaster, 1-2-3 spywarefree, spybot search & destroy, xp-antispy, viruskeeper 2008 pro, norton 260 und das normale antivir drüberlaufen lassen, aber es passiert einfach nichts und die ganze zeit sagen alle programme das alles okay sei.. aber dennoch ist nichts in ordnung. die verbindung ist langsam und manchmal halt aufgrund meiner nicht-vergebbaren ip garnicht vorhanden.

jetzt hab ich mich dazu entschlossen hier mal hinzuposten und zu schauen, ob es vllt möglich ist, das mir geholfen werden kann.
hijack-log-dingens:



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:20:02, on 05.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
D:\Programme\AxBx\VirusKeeper 2008 Pro Probeversion\vk_service.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
D:\Programme\Winamp\winampa.exe
D:\Programme\AxBx\VirusKeeper 2008 Pro Probeversion\VirusKeeper.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\phonostar\ps_timer.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\Programme\Winamp\winamp.exe
D:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe
D:\Programme\Opera\Opera.exe
D:\Programme\AxBx\Multi Virus Cleaner 2008\MVC.exe
D:\Programme\Spybot - Search & Destroy\SpybotSD.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by NRA
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - D:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.6\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - D:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ccApp] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "D:\Programme\Norton 360\osCheck.exe"
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [VirusKeeper] D:\Programme\AxBx\VirusKeeper 2008 Pro Probeversion\VirusKeeper.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PhonostarTimer] D:\Programme\phonostar\ps_timer.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - D:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: LiveUpdate - Symantec Corporation - D:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Programme\Sygate\SPF\smc.exe
O23 - Service: Symantec Core LC - Unknown owner - D:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe
O23 - Service: VirusKeeper antivirus/antispyware (vkservice) - AxBx - D:\Programme\AxBx\VirusKeeper 2008 Pro Probeversion\vk_service.exe

--
End of file - 5332 bytes



und fast vergessen: die diversen programme wie z.b. auch die sygatefirewall sagen mir immerwieder, das verschiedene dateien seid der letzen ausführung geändert wurden. danach kommt die frage, ob diese immernoch ins inet dürfen. normalerweise bestätige ich dann mit "nein, und nichmehr nachfragen" aber diese meldungen kommen nach jeden neustart wieder. super stier, der ganze scheiß!!! "wuauclt.exe" ist eine die sich immerwieder ändert.. hab auch schon herausgefunden, das das ein microsoft update vorgang ist, aber da soll sich eigentlich nix updaten, oder verändern. -ich hab die updates ausgeschaltet.

bitte bitte helft mir..
danke im vorraus!

liebe grüße, arn

Halli hallo arn und

Zitat:

multi viruscleaner, spywareblaster, 1-2-3 spywarefree, spybot search & destroy, xp-antispy, viruskeeper 2008 pro, norton 260 und das normale antivir drüberlaufen lassen,

-Deinstalliere diese bitte alle wieder! Mit dem Spywareblaster hast du es zum Bleistift noch schlimmer gemacht. Der ist selbst verseucht und gehört zu den sogenannten RogueAntiProgrammen.
Lasse nur AntiVir drauf. Alles ander runter! Auch die SygateFirewall!


-Installiere das Servie Pack3.


-Folge dieser Anleitung. Dein HJT Eintrag ist folgender:

Zitat:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by NRA

-Räume deinen Rechner danach bitte mit CCleaner(Punkte 1+2) auf und poste danach ein frisches HJT log.

Danach geht's dann weiter.

lg

Hallo, ich habe von deinem problem gehört.
Es ist kaum noch au zu schließen, dass du dich mit Spyware infizirt hast!
Wenn im Internetexplorer verschiedene Werbeblocks oder so etwas zu sehen ist, dann Computer 100% mit Spyware infizirt!
Ich empfiele dir "Spybot search and Destroy"!
Es findet 99% der existierenden Spyware und kann auch manche Trojaner und Vieren auswendig machen!
Wenn du keine Internetverbindung hast, kannst du dir von einem Freund oder so von seinem Computer die Updates aus der Hauptwebseite von "Spybot" auf eine Speicherkarte oder etwas anderem Runterladen und dann auf deinem Computer installiren!
Spybot ist kostenlos1
Ich hoffe ich konnte dir helfen!
Viel glück!

so hab jetzt soweit alle miesen programme runtergeworfen und bin das servicepack 3 am laden, ccleaner ist schon fertig. was kann das spywareblaster prog anrichten? (hatte das von chip runtergeladen. dachte immer chip wär "clean")
kannst du mir eine gescheite firewall empfehlen? bzw. ein gescheites rundumpacket, am besten kostenlos..
hjt-log kommt gleich rum..
thx soweit..

Der Spywareblaster selbst richtet wahrscheinlich nichts selber an aber spamt dich mit FALSCHEN Meldungen zu du seist infiziert und nur die Vollversion könne die Probleme beheben. Das tut sie aber in keinem Fall.

Auf SpywarWarrior findet man eigentlich immer eine recht aktuelle Liste.
Installiere während der Bereinigung bitte nur Programme die ich dir empfehle um die Ergebnisse nicht zu verfälschen.

Räume bitte nach der SP3 Installation und der Bereinigung des hacked by nochmal mit CCleaner auf, starte den Rechner neu und poste dann das frische HJT log.

PS: Dann machen wir nach dem Wochenende weiter und Morgen wird gefeiert.