Hallo, bin neu und suche Hilfe.

Nachdem mein erster Hilferuf ohnen genauere Angaben dazu, gegen welche Regel ich verstossen habe, in der Mülltonne gelandet ist, versuche ich einen zweiten Hilferuf unter Berücksichtigung aller derzeit geltenden Regeln.

Ich habe hier ein System mit Win XP SP3 (Hardware sollte bei dem Problem keine Rolle spielen), auf dem der Antivir2009 sein Unwesen getrieben hat, oder noch treibt. Ich konnte zwar einige Komponenten des Trojaners entfernen, aber scheinbar habe ich noch nicht alles erwischt.

Das System läuft momentan vermeindlich stabil, allerdings lassen sich diverse Programme nicht aufrufen oder installieren, auch Internetseiten lassen sich nicht starten. Auffällig ist es, dass es sich bei den Programmen und Seiten die nicht funktionieren, in erster Linie um Antivir oder Anitspyware handelt.
Bsp: Ich kann im Internet googeln, unsere Firmenwebsite und die Seite meines Providers besuchen, alles kein Problem, aber bei Seiten von z.B. Kaspersky, symantec oder malwarebytes.org & co. bekomme ich nur die meldung "Die Website kann nicht angezeigt werden". An einem anderen PC funktionieren dieses Seiten wunderbar.

Ausserdem laufen zwar Avira Antivir, mit dem ich gestern sogar 2 Viren in Quarantäne geschoben habe und Spybot. Allerdings lässt sich von Spybot die Oberfläche nicht starten. Ebenso wenig kann ich das Setup für HijackThis oder Malwarebytes nicht starten. Es erscheint nur kurz der Mauszeiger, und das wars dann auch schon. Sonst hätte ich natürlich auch gerne das Logfile gepostet.

Natürlich habe ich Stunden damit verbracht, hier, in Google und anderen Foren nach einer Lösung zu suchen, aber alle von hilfsbereiten Usern gemachte Vorschläge scheitern daran, dass ich die empfohlenen Programme weder an dem betroffenen Rechner runterladen, noch ausführen kann.

Bevor ich mich daszu entschließe, das System neu aufzusetzen, versuche ich über dieses Forum einen anderen Weg zu finden.

Liebe Adminis: Sollte ich wieder gegen eine der goldenen Regeln verstoßen haben, dann teilt mir bitte mit, gegen welche. Denn ich kann mich nur dann bessern, wenn ich weiß, was ich falsch gemacht habe, ok?

Gruß
Stebo69

Ohne Hijack Log kann man dir erstens gar nicht helfen. Zweitens Neuaufsetzen bringt 100% eine Lösung und ein 100% sicheres System. Und jetzt frag dich mal selber wieviele Stunden für die Reparatur schon vergeudet hast bzw. noch wirst?

Ich bin hier nur ein kleines Licht und kann nur bedingt helfen...

Hallo Leonidas88,
da gebe ich dir vollkommen recht, nur ist man am Ende immer schlauer.

Ich will mich auch überhaupt nicht beschweren, aber es hätte ja sein können, dass Jemand weiß, welche Registrywerte bei diesem Kammeraden gelöscht oder verändert werden müssen, damit sich zumindest die Virenscanner und Spytools wie HijackThis u.ä. wieder installieren lassen.

Es konnt ja auch sein, dass Jemand eine Lösung dafür hat, warum ich die meißten Internetseiten nicht aufrufen kann. Irgendwo muss da eine versteckte Umleitung sein.

Aber imMoment habe ich es irgendwie geschafft, HiJackthis zum Laufen zu bekommen (wenn auch eine ältere Version) Vielleicht hilft das weiter?

Logfile of HijackThis v1.99.1
Scan saved at 17:12:56, on 19.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\DOKUME~1\[user]\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_1991.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.prosieben.de/index.php?icqpath=icq
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Photosmart Premier – Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-01.sun.com/s/ESD44/JSCDL/jdk/6u7/jinstall-6u7-windows-i586-jc.cab?e=1223807617827&h=eccff7ac60c2ce6cce52b2ed8329033c/&filename=jinstall-6u7-windows-i586-jc.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

Jau, endlich ein LEIDENSGENOSSE.
Ich weiß nicht ob Ich lachen oder heulen soll.
Landest du auch immer bei " bediddle oder 12 finder Suche" ??
Alle Seiten die dem Störenfried gefählich werden könnten sind " nicht ereichbar".
SP 3 installieren hat auch nichts genützt.
Wiederherstellungspunkte funktionieren nicht!!!
Ansonsten ist der PC stabiel.

Warum Dein erster Thread im Müll gelandet ist kann Ich aber auch nicht verstehen, habe ihn aber da gefunden.

Übrigens konnte trojaner-board nicht über die google Suche angeklickt werden. Die Adresse muß von Hand eingegeben werden. Sonst nicht ereichbar.

Angeblich ist " malwarebytes 1,3" in der Lage den Störenfried zu erledigen. Kann Ich aber erst von einem anderen Rechner ziehn.
Alle online scanner sind nicht ereichbar.
Echt lustig, manche redirected sites sind ja auch lustig.
Viel Erfolg
willi

Hallo Willi,

solltest Du Erfolg bei der Beseitigung haben, dann wäre ich Dir sehr dankbar wenn du mir die Lösung mitteilen könntest.
Sollte mein Threat nicht wieder im Müll landen, dann werde auch ich hier die Lösung Posten, sofern ich sie gefunden habe. Aber nichts desto trotz sollte uns klar sein, dass eine Neuinstallation die einzigst wahre Lösung ist. Aber auf der anderen Seite reizt es mich mittlerweile, meinen "Feind" und sein Denken besser kennen zu lernen.

Gruß
Stebo69

Hallo Stebo69,

da die letzte Antwort auf Deine Frage doch schon ziemlich lange her ist, mag es sein, daß Du schon eine Lösung hast. Hier wurde Dir zumindest noch keine geboten, deswegen will ich Dir hier noch mal was dazu schreiben - kann ja auch für andere interessant sein.

Daß Du keine Internetseiten von Anti-Viren-Software-Herstellern etc. aufrufen kannst, liegt daran, daß Dir ein Trojaner oder Virus die DNS-Einstellungen auf Deinem Rechner verbogen hat. Über die vom Virus eingetragenen DNS-Adressen sind alle sicherheitsrelevanten Seiten nicht erreichbar. Das führt auch dazu, daß z.B. AntiVir keine Viren-Signaturen mehr updaten kann und sich SpybotSD nicht installieren läßt.

Du mußt also zunächst die IP-Einstellungen unter den Eigenschaften Deiner Netzwerkverbindung kontrollieren und die DNS-Server wieder auf die DNS-Server Deines Providers setzen.
Danach am besten erstmal AntiVir updaten und einen Komplettcheck machen. SpybotSD läßt sich zumindest auch wieder installieren und auch der Updater läßt sich starten. Warum aber die Oberfläche von SpybotSD nicht erscheint, habe ich noch nicht feststellen können. SpybotSD taucht aber im Taskmanager unter den Prozessen auf.
Wiederherstellung habe ich nicht getestet, da ich es nicht verwende.

Noch eine Anmerkung zum Hinweis auf Neuinstallation: Das ist zwar mit Sicherheit die sicherste Methode, aber für den, der ernsthaft mit dem PC arbeitet mit Sicherheit nicht die erste Wahl. Sämtliche Software muß neu installiert werden (das kleinere Übel) und neu konfiguriert werden (wer weiß schon noch, an welchen Schrauben überall gedreht wurde). Bis dann alles wieder so ist, wie man es hatte, kann es auch ziemlich lange dauern. Und das ein oder andere nützliche Tool, welches sich nicht unbedingt auf dem Desktop verewigt vergisst man wahrscheinlich dabei.

Gruß
COBOLD

Hallo Cobold,

vielen Dank, dass Du dir die Mühe gemacht hast, mir nach so langer Zeit zu antworten. Sicher habe ich es irgednwie wieder hingebracht, leider weiss ich nicht mehr, wie.

Auf alle Fälle hatte ich es geschafft (ich glaube mit einer Bart PE CD), Malwarebytes zu installieren, und das hat dem Kammeraden dann den Garaus gemacht.

Liebe Grüße
stebo69