Ich habe bei mein Vierenscan einen Trojanisches Pferd endeckt.
Nun kann ich mein computer aber auch nur noch im abgesicherten modus hochfahren. Kann mir jemand helfen.

Der Trojaner heißt:
TR/Agent.69632.0

Ich hoffe ihr könnt mir helfen.

Bella1986

Hallo Bella.

Lies dir bitte nochmal unsere goldenen Regeln durch.
Um dir helfen zu können, brauchen wir mehr Informationen: Dein betriebssystem, dein Antivirenprogramm, die befallene Datei und alle Einschränkungen auf dem System.

Poste bitte auch ein HijackThis Log.

lg myrtille

microsoft XP, Avira antivir Personal

Zu den Vieren betroffen ist:

C\Recycles\S1-5-21-1606980848-1844237615-682003330-1003\DC189.exe
7.10.2008
C\Programme \AlcoholSoft\Alcohol120\Patch.exe
07.10.08
06.10.08
09.07.08
23.07.08
25.07.08
30.07.08
gefunden und in Quaränten.
Cokumente und Einstellungen \Benutzer1\Lokale Einstellungen\Temporal Internet Files\ Content.IE5\1YCK8H74disneychannelcomhighschool musical3-high-school-3- senioryear-review(1).htm
wurde auch in Quaräne getan Enthält verdächtiger Code: HEUR/HTML.Malware
am 9.8.2008

Ich kann meine pc nicht ordenlich hochfahren es kommt der windos lade zustand und dan wird das laden immer langsamer. Ich kenne mich nicht richtig mit den computer aus. In Abgesichter Modus fährt er hoch, Abgesicherter Mit Netzwerg fährt er nicht hoch. Ohne netzwergwiederherstelung Systemwiederherstellung von Samstag ging es auch nicht. So hat es mein Vater mir gesagt.

Hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:18:45, on 08.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Benutzer1\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: SYSTRAN Web Translator 5.0 - {A5899B52-3AF9-4F56-85FE-AD7B3BE8490F} - C:\Programme\SYSTRAN\5.0\Personal\IEPlugIn.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver2\LVCOMS.EXE
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - http://gamenextde.oberon-media.com/online/online2/luxor_2/mjolauncher.cab
O16 - DPF: {E2A2AF54-194A-499D-B6C7-79B646BC0ED6} (UltraCamX Class) - http://reptiland.selfip.info:8080/UltraCamX.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Ich hoffe ich habe das richtig gemacht kenne mich echt kaum am computer aus.
Wenn ich was vergessen habe sagt es mir bitte.
Danke Bella1986

Hi,

so direkt seh ich keinen Grund warum dein Rechner nicht hochfahren sollte. Kannst du bitte mal in der Ereignisanzeige (Start->Systemsteuerung->Verwaltung->Ereignisanzeige) nachschauen ob dort Fehlermeldungen sind, die zeitlich mit dem letzten Neustart übereinstimm könnten.

Kannst du dir von einem anderen PC Programme runterladen und auf deinen Rechner kopieren? Wenn ja dann lass bitte Malwarebytes mal deinen Rechner scannen.
Kannst du bitte die Datei:

Zitat:

C\Recycles\S1-5-21-1606980848-1844237615-682003330-1003\DC189.exe

auf deinen Desktop kopieren, in virus.vir umbenennen, auf einen USB-Stick kopieren und von einem anderen PC aus bei virustotal hochladen und das Ergebnis dann hier posten.

lg myrtille

Einmal kam eine warnug:
Plug Play Manager
DCCM
Service Cantrol Manager
Bei den letzten zwei ging er nicht mehr.
mit das andere versteh ich nicht richtig mein bekannter hat auch angst das er dan den virus drauf hat.

Wie lautet der genaue Text der Warnungen? (Doppelklick auf die Warnung sollte eine ausführlichere Info anzeigen. Den Inhalt bitte posten)

Wenn die Datei umbenannt wurde (daher das virus.vir) wird sie nicht mehr ausgeführt und sollte daher ungefährlich sein.
Wenn deinem Freund das allerdings zu riskant ist, dann versuchen wir erstmal deinen Rechner zu reparieren und die Datei dann auszuwerten.

lg myrtille

Die Fehler:
Der Dienst DHCP clent "ist von Dienst " Net Bios über TCP/tP abhängig der aufgrund folgenden Fehlers nicht gestartet wurde:
Ein an das System angeschlossenes Gerät funkionier nicht.


Dienst kann nicht im abgescherten Modus gestartet werden"aufgetreten als der Dienst "Event System" mit den Argument gestartet wurde um das folgenden Server zu verwenden 1Be1F766-5536-11D18726-00CD4FB92FAF

Kommisch ist das der comuter den ich jetzt zu meinen kumpel gefahren hat wieder normal hochfährt

Wie? Welcher Rechner fährt hoch? Welcher fährt nicht hoch? Welcher Rechner ist jetzt bei dir? Welcher bei deinem Freund?

Die Fehlermeldungen sind Fehlermeldungen für den abgesicherten Modus. Erscheinen auch welche für die Zeitdauer in der du versuchst im Normalen Modus hochzufahren?

Kannst du Malwarebytes laufen lassen? Hast du eine Windows-CD zur Hand?

lg myrtille

0 bytes size received / Se ha recibido un archivo vacio
virustotal hat mir das ausgespuckt!
Was fang ich jetzt damit an mein computer fährt es wieder hoch.

mfg Bella1986

nun sitzt der virus
C:\System Volume Information\_restore{1D389CCE-37C1-4630-85D4-A63693FD0508}\RP211\A0062706.exe

Hi

beantworte bitte meine Fragen.

Die Datei ist in der Systemwiederherstellung und stellt keine aktive Gefahr dar, solange du die Systemwiederherstellung nicht benutzt.

lg myrtille