Hallo!

ich habe folgendes Problem:
ich habe mir ein Programm per P2P/Torrent runtergeladen.
eigentlich bin ich immer vorsichtig, doch die Setup-Datei enthielt einen Virus.
es wurden mehrere Dateien von AntiVir beim Installieren bereits gefunden, welche ich dann direkt löschte.
Ich weiß daher leider nicht mehr die Namen, aber der Ort war C:\
Soweit ich mich erinnere waren alle Dateien (6 an der Zahl (?)) .exe-Dateien.

Jetzt habe ich folgende Probleme/abnormale Vorkommnisse:

- meine DFÜ-Verbindung wurde mir als >24h angezeigt (war mal 1 Tag 8 Std. x Min.), was ja nicht sein kann, da jeder Provider nach 24h automatisch die Verbindung trennt!

- IE:
beim öffnen, kommt lediglich das folgende bekannte Fenster:
"Internet Explorer hat ein Problem festgestellt......"
und dann die üblichen Buttons:
"SENDEN" und "NICHT SENDEN"

- FF (Firefox):
manchmal ging das Internet mit FF, aber nur kurz, und wenn dann nur langsam, und irgendwann wurde die Verbindung unterbrochen.
Meldung: "Die Verbindung zum Server wurde zurückgesetzt, während die Seite geladen wurde..."

- wenn ich C:\ (wie üblich die Startpartition) per Doppelklick auf das Symbol im Arbeitsplatz öffnen will, kommt folgende Fehlermeldung:

bei D:\ und E:\ passiert einfach garnichts.

per Adresszeile kann ich sowohl per Texteingabe, als auch per Klick alles öffnen.

AntiVir (vollständige Systemprüfung) fand nichts mehr, aber das Problem besteht weiterhin.

Ich habe jetzt auch CCleaner und HijackThis ausgeführt.

- CCleaner mehrmals bis keine Fehler mehr angezeigt wurden.
- HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:58:26, on 17.02.2009
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Programme\pdf24\PDFBackend.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w**.google.de/
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programme\BitComet\tools\BitCometBHO_1.3.1.15.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [PDFPrint] "C:\Programme\pdf24\PDFBackend.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Alles mit BitComet herunterladen - res://C:\Programme\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Alle &Videos mit BitComet herunterladen - res://C:\Programme\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Mit BitComet herunter&laden - res://C:\Programme\BitComet\BitComet.exe/AddLink.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Programme\BitComet\tools\BitCometBHO_1.3.1.15.dll/206 (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload.adobe.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E8FF342B-CB77-4632-89B2-86E6468501F1}: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 5297 bytes

-------------------------------------------------------------------------

Eine Reparatur per WIN XP-SETUP brachte auch nichts.


Vielen Dank für jede Hilfe!

spikey2

Hallo und

Zitat:

ich habe mir ein Programm per P2P/Torrent runtergeladen.

Hast du noch den Link? Falls ja schicke ihn mir per PN zu. Mich interessiert die Quelle sehr.

Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Zitat:

Zitat von spikey2

O17 - HKLM\System\CCS\Services\Tcpip\..\{E8FF342B-CB77-4632-89B2-86E6468501F1}: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40

spikey2

Und schon wieder diese Ukrainischen IP's im DNS Server. Genau die Gleiche wie bei mir und Isabella (Threads hier im Forum). Ich frage mich immernoch wo ich mir sowas eingefangen habe, denn ich hatte nichts gedownloaded (lol was für 'nen blödes denglisches Wort).

Viel Erfolg beim loswerden.. weiß selber noch nicht, ob mein System wieder reine ist. Aber bei den netten Profis hier, klappt das sicher! Liebe Grüße

ok, gut.
jetzt noch eine Frage:
wozu alle Geräte anschließen?

Hi,

ist schnell erklärt, nennt sich autorun.inf und wird gleichmäßig von Deinem lieben Gast (mit sicher selbst als aufzurufende Andwendung) auf alle seid der Infektione angeschlossenen Geräte verteilt, so dass er sich darüber "fortpflanzen" kann. Daher alles anhängen was seid der Infektion dran war und den Rest comboFix überlassen....

Sonst kommst Du nach erfolgter Bereinigung mit einem verseuchten USB-Stick oder USB-Festplatte an und fragst Dich, wieso der ganze Sch.... wieder von vorne anfängt....

Chris and out

danke für die schnelle antwort!
dann muss ich erstmal überlegen, was ich da angeschlossen hatte...
ist schon ein paar tage her.

@Chris4you
Danke fürs Einspringen. Du bist mir sympathisch.

@spikey
Du sollst nicht denken, du sollst alles anschliessen.

ciao, andreas

sorry, hatte die letzten wochen wenig zeit.
wollte das problem jetzt angehen:
schaltete den PC ein.
der rechner zeigte mir bereits beim Hochfahren ("DOS-Teil")
folgende Meldung an:
BOOT DISK FAILURE. INSERT SYSTEM DISK AND PRESS ENTER.
ich legte ne win-startdiskette ein, enter - nix.
neustart.
diesmal kam es nicht.
nur das leider übliche sehr lange (nicht normal lange, sondern einiges länger!) angezeigte "Windows wird gestartet..." bevor der Benutzer-Bildschirm erscheint.

allgemeine Frage zur Sicherheit doch nochmal voraus:
meinem MAC (POWER PC!) kann der Virus nicht schaden, ne ?
da ich die zur Beseitigung benötigten Programme auf dem Mac vom Netz ziehe, da ich ja mit dem PC garnicht mehr ins Netz komme, und dann per USB-Stick auf den PC ziehen will.

@john.doe:
aber schon alle, die ab zeitpunkt der infektion angeschlossen waren, oder ?
da sie ja autorun.inf und somit den virus enthalten könnten?!

Zitat:

@john.doe:
aber schon alle, die ab zeitpunkt der infektion angeschlossen waren, oder ?
da sie ja autorun.inf und somit den virus enthalten könnten?!

Wird heute in der Schule nicht mehr die Bedeutung des Wortes "alle" beigebracht? Dann lies doch mal, was passiert, wenn man nicht alles anschliesst: http://www.trojaner-board.de/68318-r...-erhalten.html.

ciao, andreas

@john.doe:

danke!

Zitat:

Zitat von john.doe

@spikey
Du sollst nicht denken, du sollst alles anschliessen.

danke!

ich bin mir schon der Bedeutung des Wortes "alle" bewußt!

du schriebst ja erst, ich solle "alle ab Infektion" anschließen.
Es war dann schon geklärt, dass es lediglich die womöglich/evtl. infizierten Geräte betrifft.

Nur danach kam noch obiges Zitat.
Also fragte ich dann doch nochmal nach.

Sicher ist sicher...

Gut, geklärt.

Problem jetzt:
Ich komme jetzt garnicht mehr in WIN rein.

an "DISK BOOT FAILURE, INSERT SYSTEM DISK AND PRESS ENTER" führt jetzt irgendwie kein Weg vorbei

hab schon verschiedene Sachen probiert, die sonst bei einem nicht der Erwartung entsprechend reagierenden PC funktionieren, die zwar keine logische Erklärung haben, aber dennoch oft funktionieren.
Wie CD/DVD-Schubladen auf beim Start, Diskette rein.
Den Start mittels Schalter am Netzteil unterbrechen.
Kurz warten und Neustart. Neustart ohne Warten
Direkt Neustart mittels Reset-Taste, etc.

NIX :/

Zitat:

Den Start mittels Schalter am Netzteil unterbrechen.

Schau mal ins BIOS, von welchem Medium zuerst gebootet wird. Falls es die Festplatte ist, dann ändere das auf CD. Lege die Windows CD ein und führe eine Reparaturinstallation durch.

ciao, andreas

ja, das mit dem schalter&netzteil ist dann halt so eine verzweiflungstat, wenn nichts anderes hilft.
ist absolut nicht logisch! aber es hilft

das mit der reparatur hatte ich ja zuvor bereits gemacht, weil durch den virus das system zum teil im Ar*** war. Durch dier Rep.Inst. war es auch nicht sonderslich funktionstüchtig, aber ich kam wenigstens ins System hinein.
SP 1 konnte ich installieren, nur bei SP 2 machte er einfach nicht weiter.
dann konnte ich wie gesagt ins system. alles "lief" (also mit einem bein hinkend )
und dann kam plötzlich aus dem nichts diese fehlermeldung beim start, ohne, dass ich irgendwelche änderungen am system vornahm (neue progs inst. o.ä.)