Habe gestern meinen Rechner nach Viren durchsuchen lassen, weil der mit einem Schlag mehrere Macken hatte. Wenn ich im Mozilla surfe, öffnen sich ab und zu diverse Werbefenster, war vorher nich. Wenn ich direkt auf meine Festplatte gehe (Arbeitsplatz funzt), lädt mein Rechner kurz und macht nicht, wenn ich jedoch im Pfad den Laufwerksbuchstaben eingebe öffnet er die Platte. Mein Avira Antivir führt kein Update durch, weil angeblich keine Verbindung hergestellt werden konnte, obwohl ich nebenbei selbst surfe und als option voprhandene Verbindung verwenden gewählt ist.
Gestern wurden nun 42 teils verschiedene, teils gleiche Trojaner in den unterschiedlichsten Ordnern, aber definitiv 1x im "resycled" auf jeder Platte. Es sind zwar nun alle in Quarantäne, aber die Probleme sind noch die selben geblieben. Was kann ich tun?

Ich seh auch gerade, dass mein Guard zwar aktiviert ist, aber anscheinend nichts durchsucht???

Hi!

Mach doch bitte mal ein HijackThis Logfile......

Benenne aber die HiJackThis.exe vorm Scannen um....in 3643.exe oder sowas!

Poste dein Log dann mal hier rein!

Gruss BIOTEC

Hi,

probiere es mal damit:
http://extreme.pcgameshardware.de/windows-xp-vista-seven-windows-allgemein/24344-beseitigungs-tutorial-fuer-resycled-boot-com-im-arbeitsplatz.html

Danach MAM laufen lassen und ein HJ-Log (s. Signatur) posten...
Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Fullscan und alles bereinigen lassen! Log posten.

chris

Naja...alles gut und schön:-) Auch schonmal danke, aber gestern nach nem Neustart hat er sich ständig im Willkommen-Fenster aufgehangen. Werd es morgen nochmal versuchen ob es wieder klappt...Danke schonmal

Hi,

dann über den abgesicherten Modus probieren (F8 beim Booten)...
Allerdings solltest Du Dich schon mal mit dem Gedanken an das Neuaufsetzen befassen...

chris

Na lol...das bedeutet wieder ne woche davor sitzen und alles wieder installieren:-S Stimmt...da hätt ich auch mal drauf komm könn:-) Schieb es einfach mal auf die Müdigkeit gestern

Also abgesicherter Modus funktioniert:-) Immerhin... lass grad noch mal nen virenprogramm durchlaufen. funzzt das mit dem Hijack auch im abgesicherten Mosus? wenn der nich mehr im normalen starten sollte?

Hi,

ja, das sollte funktionieren...

chris

Das wär super also auf meine Festplatten kann ich erstmal wieder super zugreifen...der hat ne autostart erstellt. Hab auch gleich mal den Tempordner gelehrt, lass jetzt nochmal antivir und trend micro durchlaufen und versuch dann nochmal neu zu starten. Sollte das wieder nich funktionieren, führ ich hijack im abgesicherten modus durch... Schonmal vielen Dank für die Antworten und die Geduld mit mir;-)

Hi, also im normalen Modus hengt er sich direkt nach dem Willkommensbildschirm auf, zeigt mir quasi nur das desktopbild un das war es. Im abgesicherten Modus erkennt er mein USB-Stick nich so dass ich das HijackThis net install. kann. habe kein Diskettenlaufwerk... hat sonst noch jemand ne ahnung ausser neuinstall von windows?

Rechner geht wieder...Trend Micro Internet security war schuld...hab im abgesicherten Modus alles unter gehaun was ich davon gefunden hab und es ging wieder... hab jetzt auch mal Hijack durchgeführt... Viren wurden erstmalö auch keine mehr gefunden, das mit den festplatten geht auch alles wieder...hab jetzt nur noch das problem mit dem Update meiner Virensoftware, quasi spybot und avira antivir stellt keine Verbindung her, obwohl ich nebenbei im netz surfe...

HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:21:27, on 25.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\LEXBCES.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\LEXPPS.EXE
D:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
D:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
D:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
D:\Programme\Bonjour\mDNSResponder.exe
D:\WINDOWS\system32\svchost.exe
D:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe
D:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
D:\WINDOWS\system32\PnkBstrA.exe
D:\WINDOWS\system32\PnkBstrB.exe
D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe
D:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
D:\WINDOWS\tsnp2std.exe
D:\WINDOWS\vsnp2std.exe
D:\WINDOWS\RTHDCPL.EXE
D:\Programme\RivaTuner v2.09\RivaTuner.exe
D:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe
D:\WINDOWS\system32\rundll32.exe
D:\Programme\Sony Ericsson\Mobile4\Application Launcher\Application Launcher.exe
D:\Programme\Lexmark X74-X75\lxbbbmgr.exe
D:\Programme\Skype\Phone\Skype.exe
D:\Programme\Lexmark X74-X75\lxbbbmon.exe
D:\Programme\ICQ6\ICQ.exe
D:\Programme\Lavalys\EVEREST Ultimate Edition\everest.exe
D:\WINDOWS\system32\wscntfy.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\Intuwave\Shared\mRouterRuntime\mRouterConfig.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\WINDOWS\System32\alg.exe
D:\Programme\Intuwave\Shared\mRouterRuntime\mRouterRuntime.exe
D:\Programme\Mozilla Thunderbird\thunderbird.exe
D:\Programme\Skype\Plugin Manager\skypePM.exe
D:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
D:\Programme\Gemeinsame Dateien\Teleca Shared\logger.exe
D:\PROGRA~1\Symbian\Shared\SYMBIA~1\SYMBIA~1.EXE
D:\PROGRA~1\Symbian\Shared\SYMBIA~1\SCBAL.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe
D:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://edit.europe.yahoo.com/config/mail?.intl=de&rl=1
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - D:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {9950772D-AF73-4AEA-80B6-C251EC40EA30} - (no file)
O2 - BHO: (no name) - {CE25991D-7F47-42ED-9B6F-6955B7DD0816} - (no file)
O4 - HKLM\..\Run: [tsnp2std] D:\WINDOWS\tsnp2std.exe
O4 - HKLM\..\Run: [snp2std] D:\WINDOWS\vsnp2std.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [RivaTuner] "D:\Programme\RivaTuner v2.09\RivaTuner.exe" /T
O4 - HKLM\..\Run: [amd_dc_opt] D:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "D:\Programme\RivaTuner v2.09\RivaTuner.exe" /S
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [PC Suite for Smartphones] "D:\Programme\Sony Ericsson\Mobile4\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Lexmark X74-X75] "D:\Programme\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKCU\..\Run: [Skype] "D:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ICQ] "D:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [EVEREST AutoStart] D:\Programme\Lavalys\EVEREST Ultimate Edition\everest.exe
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [mRouterConfig] "D:\Programme\Intuwave\Shared\mRouterRuntime\mRouterConfig.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [OE] D:\Programme\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Internet.lnk = ?
O4 - Startup: Mozilla Thunderbird.lnk = D:\Programme\Mozilla Thunderbird\thunderbird.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - D:\Programme\Yahoo!\Common\Yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{1EE9A41B-AB43-4A1D-B34A-CFFD9B7E20B8}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: ssqRICtq - ssqRICtq.dll (file missing)
O23 - Service: Adobe LM Service - Unknown owner - D:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Premium MailGuard (AntiVirMailService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: Avira AntiVir Premium Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: Avira AntiVir Premium Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Avira AntiVir Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - D:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Diskeeper - Diskeeper Corporation - D:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - D:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - D:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - D:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - D:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - D:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: PnkBstrA - Unknown owner - D:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - D:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TMBMServer - Unknown owner - (no file)
O23 - Service: TmPfw - Unknown owner - (no file)
O23 - Service: TmProxy - Trend Micro Inc. - (no file)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

--
End of file - 9902 bytes

Hoffe könnt mir helfen...

Achso...und der Avira Guard macht immer noch nix:-S, der Webguard geht allerdings...

Hi,

das kann verschiedene Gründe haben;
Erstmal können Reste von Trendmicro noch da sein, daher versuche das hier:
http://www.mydigitallife.info/2008/07/15/how-to-uninstall-and-remove-trend-micro-internet-security-pro-and-pc-cillin-internet-security-2005200620072008-manually/

Dann solltest Du unbedingt noch wie vorgeschlagen MAM laufen lassen und das Log posten.

Und als letztes ev. eine Neuinstallation von Avira probieren (alte komplett entfernen)...

chris

Ja...da is z.B. noch die Scheiß Firewall aktiviert von Trend Micro...Dadurch kann ich m´nichmal mehr Spybot installieren, weil der die komplette Website von denen sperrt...versuch erstmal mein bestes...danke...