Hi zusammen habe mir letztens irgendwo ein Virus bzw eine Spyware angehängt... bei mir ist jetzt ein rotes Kreuz in der taskleiste und da kommt alle paar minuten eine sprechblase die sagt your computer is infected! windows has detected spyware infection und wenn ich da drauf klicke versucht es xp security center zu installieren habe mich in zahlreichen foren erkundigt und festgestellt das es ein teil der spyware sein muss natürlich sofort gelöscht... dan habe ich angefangen mit allen spyware programmen das problem zu beheben aber nix gefunden . Das problem ist noch, dass mein antivirus programm sich nicht öffnen lässt, hijack this auch net und windows konnt ich nicht im abgesichertem modus starten weil dan einfach ein schwarzer bildschirm kommt... Ich habe daraufhin Systemwiederherrstellung versucht was das problem leider nicht behoben hat... dann habe ich hijack auf den desktop kopiert und umbennannt dan ging das könnten mir vlt ein paar profis mit meinem problem helfen? bin hier seid tagen am verzweifeln
also hier ist mein log im normalen modus , kann mir vorstellen das ich nicht nur ein virusproblem habe^^
Hoffe auf eine baldige antwort! und thx im vorraus

MfG Gigantlui

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:21:28, on 01.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\G DATA AntiVirus\AVK\AVKService.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\G DATA AntiVirus\AVK\AVKWCtl.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\PnkBstrA.exe
D:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP2c\RpcAgentSrv.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\G DATA AntiVirus\AVKTray\AVKTray.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Vista Drive Icon\DrvIcon.exe
C:\Programme\VIA\VIAudioi\SBADeck\ADeck.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\iPod\bin\iPodService.exe
D:\Programme\DAEMON Tools\daemon.exe
C:\Programme\RocketDock\RocketDock.exe
E:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\Mark.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://driveragent.com/?ref=59
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA AntiVirus\Webfilter\AVKWebIE.dll
O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: IEVkbdBHO Class - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA AntiVirus\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA AntiVirus\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [DrvIcon] C:\Programme\Vista Drive Icon\DrvIcon.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIA\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Programme\DAEMON Tools\daemon.exe" -autorun
O4 - HKCU\..\Run: [RocketDock] "C:\Programme\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [OpenGL] "C:\WINDOWS\system32\system32.dll"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = E:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\WINDOWS\system32\shdocvw.dll
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} -
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)
O20 - AppInit_DLLs: karina.dat
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: G DATA Scheduler (AVKService) - G DATA Software AG - C:\Programme\G DATA AntiVirus\AVK\AVKService.exe
O23 - Service: AntiVirus Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA AntiVirus\AVK\AVKWCtl.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - D:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP2c\RpcAgentSrv.exe

--
End of file - 7878 bytes

Du hast anscheinend mehrere Virenscanner (mit Hintergrundwächter) gleichzeitig am Laufen. Beachte, daß das nachteilige Effekte haben kann! Entscheide Dich daher entweder für Kaspersky oder GDATA!

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\system32.dll
         

Werte diese Datei bei virustotal.com us und poste die Ergebnisse!

mach danach einen Durchlauf mit Malwarebytes und

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

danke für die schnelle antwort werde es sofort ausprobieren das mit kaspersky und g data is so das kaspersky im mom net angeht^^ weil er wahrscheinlich vom virus blockiert wird

Zitat:

Zitat von Gigantlui

danke für die schnelle antwort werde es sofort ausprobieren das mit kaspersky und g data is so das kaspersky im mom net angeht^^ weil er wahrscheinlich vom virus blockiert wird

Hallo? Du solltest auch keine zwei oder mehr Virenscanner mit Hintergrundwächter benutzen, da es zu genau sowas kommen kann! Die behindern sich gegenseitig und hebeln sich einander aus. Obendrein verpulverst Du Resourcen ohne Ende.

jop habe g data grad deinstalliert

also die datei C:\WINDOWS\system32\system32.dll habe ich schon gestern nacht gelöscht weil es immer bei neustart automatisch auf den desktop kam ^^ dann des anti malware scanner ist einfach genial hat alle meine probleme auf einmal gelöst hier mal der log



Quick scan

Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1014
Windows 5.1.2600 Service Pack 2

10:39:38 01.08.2008
mbam-log-8-1-2008 (10-39-38).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 40580
Laufzeit: 1 minute(s), 41 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{a7cddcdc-beeb-4685-a062-978f5e07ceee} (Adware.Shopping.Report) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c5428486-50a0-4a02-9d20-520b59a9f9b2} (Adware.Shopping.Report) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c5428486-50a0-4a02-9d20-520b59a9f9b3} (Adware.Shopping.Report) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{147a976f-eee1-4377-8ea7-4716e4cdd239} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179} (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{c5428486-50a0-4a02-9d20-520b59a9f9b2} (Adware.Shopping.Report) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{c5428486-50a0-4a02-9d20-520b59a9f9b3} (Adware.Shopping.Report) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\karina.dat (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\karina.dat (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\winivstr.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\beep.sys (Fake.Beep.Sys) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dllcache\beep.sys (Fake.Beep.Sys) -> Quarantined and deleted successfully.
C:\WINDOWS\buritos.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\buritos.exe (Trojan.FakeAlert) -> Delete on reboot.

Vollständiger scan

Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1014
Windows 5.1.2600 Service Pack 2

11:15:32 01.08.2008
mbam-log-8-1-2008 (11-15-32).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 115540
Laufzeit: 31 minute(s), 5 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 16

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CV6903YT\Install[1].exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7739A499-9A9C-4FED-972D-24F700987110}\RP282\A0047694.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7739A499-9A9C-4FED-972D-24F700987110}\RP283\A0047861.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7739A499-9A9C-4FED-972D-24F700987110}\RP283\A0048347.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7739A499-9A9C-4FED-972D-24F700987110}\RP284\A0048357.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7739A499-9A9C-4FED-972D-24F700987110}\RP284\A0048446.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7739A499-9A9C-4FED-972D-24F700987110}\RP285\A0048452.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7739A499-9A9C-4FED-972D-24F700987110}\RP285\A0048523.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7739A499-9A9C-4FED-972D-24F700987110}\RP286\A0048907.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7739A499-9A9C-4FED-972D-24F700987110}\RP286\A0048922.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7739A499-9A9C-4FED-972D-24F700987110}\RP286\A0050937.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7739A499-9A9C-4FED-972D-24F700987110}\RP288\A0050987.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7739A499-9A9C-4FED-972D-24F700987110}\RP288\A0051011.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7739A499-9A9C-4FED-972D-24F700987110}\RP288\A0051028.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7739A499-9A9C-4FED-972D-24F700987110}\RP288\A0051046.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7739A499-9A9C-4FED-972D-24F700987110}\RP290\A0051177.exe (Rogue.Installer


dank ihm funktioniert kaspersky wieder und abgesicherter modus geht nun auch big thx für den geilen support

und combofix.exe habe ich mir noch nicht geholt da ich denke das mein problem gelöst ist thx nochmal

Laß combofix unbedingt noch durchlaufen!
Lösch bitte auch alle Wiederherstellungspunkte der Systemwiederherstellung (SWH), da hat sich ebenfalls Malware eingenistet. Folglich sind alle Punkte unbrauchbar. Du löscht alle, indem Du die SWH deaktivierst.