Hallo zusammen ,

seit 4 Tagen habe ich folgendes Problem welches sich immer weiter ausbaut.
Es fing ganz harmlos an ,dass ich meinen Arbeitsplatz nicht mehr öffnen konnte.
Danach direkt Avira gestartet und das System gecheckt , nächstes Problem Update nicht ausführbar.
Mit Norton versucht das System zu scannen und unten Anstehende Risikodetailseinträge erhalten die NICHT entfernt werden können.
Jetziges Problem : Windows fährt hoch - jedoch zeigt er mir auf dem Desktop nichts mehr an und ich kann nur per Taskmanager Befehle ausführen.
Könnte daran liegen das ich aus der Win-sys32 die winlogon.exe gelöscht habe da Antivir diese als Hochgradig "verseucht" angezeigt hatte.
Jedenfalls sind Antivirupdates nicht ausführbar, Desktop ist tot , Arbeitsplatz wird der Zugriff verwehrt ,Internet läuft unstabil ,Programme lassen sich nur noch bedingt öffnen ,Festplatte hängt sich zum teil auf.
Habe einige Einträge in Foren per Google gefunden ,jedoch ist immer nur ein Problem beschrieben und hoffe auf diesem Wege auf Hilfe welche mein Problem Kompakt lösen könnte.

Bedanke mich schon mal im voraus für eventuelle Hilfe!!

Gefundene Risiken:
Adware.webprefix , infostealer.banker.C und trojan.Gpcoder.E


Risikodetails vom Adware.webprefix:

Infektion:
c:\windows\system32\suchspur.dll
c:\windows\system32\duser32.dll
Registrierung:
HKEY_USERS\S-1-5-21-507921405-1844823847-839522115-1003\Software\Microsoft\Internet Explorer\Main->WebPrefix
HKEY_USERS\S-1-5-21-507921405-1844823847-839522115-1003\Software\Microsoft\Internet Explorer\Main->Offline Folder
Browser-Cache
Registrierung:
HKEY_CLASSES_ROOT\CLSID\{5D945E9A-DC10-4670-83EB-99DAA616628A}
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5D945E9A-DC10-4670-83EB-99DAA616628A}
HKEY_CLASSES_ROOT\CLSID\{81747A6F-E98B-4164-A24B-9E10DA883028}
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{81747A6F-E98B-4164-A24B-9E10DA883028}
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\{5D945E9A-DC10-4670-83EB-99DAA616628A}


Risikodetails vom Infostealer.banker.C :


Infektion:
c:\windows\system32\ntos.exe
Browser-Cache
Registrierung:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon->Userinit



Risikodetails vom Trojan.gpcoder.E:

Datei:
C:\WINDOWS\system32\ntos.exe
C:\WINDOWS\system32\wsnpoem\audio.dll
C:\WINDOWS\system32\wsnpoem\video.dll
C:\WINDOWS\system32\wsnpoem
Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon->Userinit:C:\WINDOWS\system32\userinit.exe,
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Run->userinit
HKEY_USERS\S-1-5-21-507921405-1844823847-839522115-500\Software\Microsoft\Windows\CurrentVersion\Run->userinit
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Run->userinit
HKEY_USERS\S-1-5-21-507921405-1844823847-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run->userinit
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run->userinit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion->Win32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network->UID




Hijackthislogfile:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:18:24, on 26.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
K:\Adobe Photoelements\PhotoshopElementsFileAgent.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Viewpoint\Common\ViewpointService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Norton Security Scan\Nss.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = h**p://www.the-exit.com/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://www.the-exit.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://ebaits.info/index.php?
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = h**p://www.the-exit.com/search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = h**p://www.the-exit.com/search
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = h**p://www.the-exit.com/search
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.ebay.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
R3 - URLSearchHook: eBAIT Toolbar - {03156815-b05d-4b58-b0c5-2d8c51fb0fe1} - C:\Programme\eBAIT\tbeBA1.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\ntos.exe,
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll
O2 - BHO: eBAIT Toolbar - {03156815-b05d-4b58-b0c5-2d8c51fb0fe1} - C:\Programme\eBAIT\tbeBA1.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Suchspur - {5D945E9A-DC10-4670-83EB-99DAA616628A} - C:\WINDOWS\system32\Suchspur.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {81747A6F-E98B-4164-A24B-9E10DA883028} - C:\WINDOWS\system32\duser32.dll
O2 - BHO: SnapFlash Class - {A44CBB0B-C77D-4BF5-87CC-B4EE79AD1B7E} - C:\Programme\Gemeinsame Dateien\Justdo\Jd2002.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: eBAIT Toolbar - {03156815-b05d-4b58-b0c5-2d8c51fb0fe1} - C:\Programme\eBAIT\tbeBA1.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Adobe Photo Downloader] "K:\Adobe Photoelements\apdproxy.exe"
O4 - HKLM\..\Run: [TrayServer] K:\Videoschnitt\TrayServer.exe
O4 - HKLM\..\RunOnce: [*Restore] C:\WINDOWS\system32\restore\rstrui.exe -c
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Startup: OpenOffice.org 1.1.3.lnk = C:\Programme\OpenOffice.org1.1.3\program\quickstart.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Microsoft Office.lnk = K:\MS Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Suchen - res://C:\WINDOWS\system32\Suchspur.dll/Suchspur.HTM
O8 - Extra context menu item: >>> FREE PORN GALLERIES <<< - javascript:{document.location='h**p://sexmaxx.com/freegalleries.htm';}
O8 - Extra context menu item: E&xport to Microsoft Excel - res://K:\MSOFFI~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Save Flash with Flash Catcher - res://C:\Programme\Gemeinsame Dateien\Justdo\IECatcher.DLL/FlashCatcher.htm
O8 - Extra context menu item: SWF Capture tool - C:\Programme\Eltima Software\Flash Decompiler\iebt.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Casino-On-Net - {3015DB92-158E-4b77-9020-85C8E311FBB5} - C:\PROGRA~1\CASINO~1\casino.exe
O9 - Extra button: Flash Catcher - {90BAE0EF-F4BF-4FAC-B2EC-2C725C34AF12} - C:\Programme\Gemeinsame Dateien\Justdo\IECatcher.DLL
O9 - Extra 'Tools' menuitem: Flash Catcher - {90BAE0EF-F4BF-4FAC-B2EC-2C725C34AF12} - C:\Programme\Gemeinsame Dateien\Justdo\IECatcher.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Flash Decompiler SWF Capture tool - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - C:\Programme\Eltima Software\Flash Decompiler\iebt.dll (HKCU)
O9 - Extra 'Tools' menuitem: Flash Decompiler SWF Capture tool menu - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - C:\Programme\Eltima Software\Flash Decompiler\iebt.dll (HKCU)
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - h**ps://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=h**p://www.viewpoint.com/cgi-bin/installer.v4/vet_install_popup.pl?2&6&04.00.03.15&unknown&unknown&file:///D:/ebaitest1.html
O16 - DPF: {326A7290-FAE3-48C5-9FBA-F071633E1EB5} (VPlayer Control) - h**p://www.sonypictures.com/movies/ghostrider/vividas/player/vivid_ocx.jpeg
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://software-dl.real.com/22c6cf0036c94c520d05/netzip/RdxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - h**p://appldnld.apple.com.edgesuite.net/qtinstall.info.apple.com/lupin/us/win/QuickTimeInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1179434394125
O16 - DPF: {988E213A-89C7-4C4E-B15F-5B7EDA2C34C0} (GenimoWebGames Control) - h**p://www.shockwave.com/content/butterflyescape/sis/GenimoWebGamesControl.cab
O16 - DPF: {B0FB831D-17F6-4CBD-9B5D-3305881D362E} (LHGLauncherXForm Control) - h**p://www.shockwave.com/content/reaxxion/sis/HLGLauncher.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - h**p://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab
O16 - DPF: {D54160C3-DB7B-4534-9B65-190EE4A9C7F7} (SproutLauncherCtrl Class) - h**p://www.shockwave.com/content/feedingfrenzy/sis/SproutLauncher.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - h**p://www.shockwave.com/content/peggle/sis/popcaploader_v10_en.cab
O16 - DPF: {E03EEB49-B0CB-46A3-A84B-BA758243A7B0} (Orbital Launcher) - h**p://www.shockwave.com/content/thwartpoker/sis/OrbitalLauncher-2.0.15.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - K:\Adobe Photoelements\PhotoshopElementsFileAgent.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - K:\Common\Database\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: License Management Service ESD - Unknown owner - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: Viewpoint Manager Service - Viewpoint Corporation - C:\Programme\Viewpoint\Common\ViewpointService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 14732 bytes

Zitat:

Könnte daran liegen das ich aus der Win-sys32 die winlogon.exe gelöscht habe da Antivir diese als Hochgradig "verseucht" angezeigt hatte.

mit Sicherheit.
Ich hatte auch mal sowas, die iexplore.exe wurde mir von einem AV gelöscht, auch sie wurde als hochgradig verseucht angesehen. :aplaus:
sie war nicht verseucht, nur Bifrost oder Poison Ivy hatte in den "default" Browser injekziert. Der eigentliche Server wurde nicht entfernt, na egal, ich nutze eh keine Antiviren-Tools, war mal ein Test.

Du hast ntos.exe auf dem PC, da ist formatieren das Mittel der Wahl.
Vergiß nicht, alle Passwörter zu ändern, vielleicht auch Deine Bank anzurufen und Dein Konto vorübergehend sperren lassen.

Hallo PowerBeat
Da brauchst du dir keine Kopf mehr zu machen. Bei deiner Verseuchung ist eh nur Neu aufsetzen angesagt.
Dieser Backdoor Trojaner ist kaum zu beseitigen.

Zitat:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\ntos.exe,

Nach möglichkeit gleich von einem sauberen PC aus sämtliche Passwörter ändern und falls Onlinebanking gemacht wurde, Konto im Auge behalten.

Erstmal herzlichen Dank für die schnelle Hilfe.


Da mir Norton ja die Registrierungsschlüssel gleich mit ausgibt ,reicht es da nicht die Einträge zu entfernen um den Teufel loszuwerden?

Das Problem ist das ich sämtliche Daten auf dem Rechner habe und ich beim letzten Neu aufsetzen sämtliche Einträge (Emails , Registrierungsschlüssel ,Treiber etc.. ) verloren habe.
Oder aber ich habe beim Backup einen Fehler gemacht.


Gruß Benny aka. PowerBeat

Den Teufel (ntos.exe) wirst du dadurch sicherlich losbekommen, aber seine "Gefährten" werden auf dem System bleiben und irgendwann aktiv werden wenn der Besitzer (also der Coder) es gern möchte.
Und dann gehen die richtigen Schwierigkeiten los!

Wir hatten hier schon mehrfach die ntos.exe gekillt, jedoch kam nach einigen Tagen der User an und schrieb das Bankkonten gesperrt oder Logins ausgespäht wurden!

Daher bereinigen wir immer mit einer Neuinstallation, eine andere Möglichkeit ist ausgeschlossen.

Sunny

Zitat:

Zitat von PowerBeat

Das Problem ist das ich sämtliche Daten auf dem Rechner habe und ich beim letzten Neu aufsetzen sämtliche Einträge (Emails , Registrierungsschlüssel ,Treiber etc.. ) verloren habe.
Oder aber ich habe beim Backup einen Fehler gemacht.

Ich weis ja nicht wie du Neu aufgesetzt hast. Mit dem zurückspielen eines Backup kann die Neuinfizierung durchaus passiert sein, wenn das Backup von einem verseuchten BS aus gemacht wurde.
Zu der Frage

Zitat:

reicht es da nicht die Einträge zu entfernen um den Teufel loszuwerden?

muss ich klar sagen NEIN
Da durch die NTOS.EXE Veränderungen an anderen Dateinen gemacht wurden und irgendwelche Hintertüren aufgemacht wurden.
Warte nicht zu lange mit dem Aufsetzen. Dein Rechner wird ja zur Zeit als Bot benutzt.

Hallo PowerBeat
Stelle die Frage, die du mir per PN geschickt hast bitte hier in deinem Posting.
Bitte nenne noch dein E-Mail Programm, das du verwendest.

Danke für die schnelle Hilfe bei meinem Problem.


Mag vielleicht dumm klingen ,aber wie mache ich am besten ein Systembackup ohne die Daten der Emails und andere zu verlieren?
Wichtig für mich sind Email Daten da unsere Firma darüber läuft.
Backup auf CD ist nicht Möglich da ich nicht auf das Laufwerk zugreifen kann ,auch per Taskmanager nicht.
Wäre super wenn du kurz einen Tipp abgeben könntest.

Emailprogramme sind outlook und thunderbird.


Danke dir

Zitat:

Trojan.Gpcoder.E

Du bist ein echter Glückspilz

Zitat:

Zitat von PowerBeat

Wichtig für mich sind Email Daten da unsere Firma darüber läuft.

ach, und dann: Trojan.Gpcoder.E

wende Dich an den Support Deines PC-Händlers oder sonst wo hin, Firmen-PC werden hier nicht "bearbeitet".

Ihr scheint ja in der Firma wilde Klicker zu haben und um die Datensicherheit von Kundendaten macht sich wohl keiner Gedanken, oder?

Hallo Heike ,

ich glaube das kommt falsch rüber, ich habe eine eigene Firma in der Gründung , soll ab 1.8.2008 soweit sein das ich ab dann selbständig bin.
Meine ganzen Kontakte die ich für diese selbständigkeit habe laufen alle per mail. Meine angst ist jetzt das wenn ich Formatiere und das Backup nicht richtig gemacht habe wie letztes mal , das dann alle meine kontakte unwideruflich verloren gegangen sind. Im Moment bin ich einfacher normaler Nutzer und dieser Tolle Virus oder was immer das auch ist macht mir gerade einen gewaltigen strich durch meine Planungen für die zukunft.
Möchte nur nicht das das letzte halbe jahr an vorarbeit quasi umsonst waren ,denke das versteht jeder.

Gruß Benny