Hallo!

ich habe folgendes Problem:
ich habe mir ein Programm per P2P/Torrent runtergeladen.
eigentlich bin ich immer vorsichtig, doch die Setup-Datei enthielt einen Virus.
es wurden mehrere Dateien von AntiVir beim Installieren bereits gefunden, welche ich dann direkt löschte.
Ich weiß daher leider nicht mehr die Namen, aber der Ort war C:\
Soweit ich mich erinnere waren alle Dateien (6 an der Zahl (?)) .exe-Dateien.

Jetzt habe ich folgende Probleme/abnormale Vorkommnisse:

- meine DFÜ-Verbindung wurde mir als >24h angezeigt (war mal 1 Tag 8 Std. x Min.), was ja nicht sein kann, da jeder Provider nach 24h automatisch die Verbindung trennt!

- IE:
beim öffnen, kommt lediglich das folgende bekannte Fenster:
"Internet Explorer hat ein Problem festgestellt......"
und dann die üblichen Buttons:
"SENDEN" und "NICHT SENDEN"

- FF (Firefox):
manchmal ging das Internet mit FF, aber nur kurz, und wenn dann nur langsam, und irgendwann wurde die Verbindung unterbrochen.
Meldung: "Die Verbindung zum Server wurde zurückgesetzt, während die Seite geladen wurde..."

- wenn ich C:\ (wie üblich die Startpartition) per Doppelklick auf das Symbol im Arbeitsplatz öffnen will, kommt folgende Fehlermeldung:

bei D:\ und E:\ passiert einfach garnichts.

per Adresszeile kann ich sowohl per Texteingabe, als auch per Klick alles öffnen.

AntiVir (vollständige Systemprüfung) fand nichts mehr, aber das Problem besteht weiterhin.

Ich habe jetzt auch CCleaner und HijackThis ausgeführt.

- CCleaner mehrmals bis keine Fehler mehr angezeigt wurden.
- HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:58:26, on 17.02.2009
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Programme\pdf24\PDFBackend.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w**.google.de/
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programme\BitComet\tools\BitCometBHO_1.3.1.15.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [PDFPrint] "C:\Programme\pdf24\PDFBackend.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Alles mit BitComet herunterladen - res://C:\Programme\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Alle &Videos mit BitComet herunterladen - res://C:\Programme\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Mit BitComet herunter&laden - res://C:\Programme\BitComet\BitComet.exe/AddLink.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Programme\BitComet\tools\BitCometBHO_1.3.1.15.dll/206 (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload.adobe.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E8FF342B-CB77-4632-89B2-86E6468501F1}: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 5297 bytes

-------------------------------------------------------------------------

Eine Reparatur per WIN XP-SETUP brachte auch nichts.


Vielen Dank für jede Hilfe!

spikey2

Hallo und

Zitat:

ich habe mir ein Programm per P2P/Torrent runtergeladen.

Hast du noch den Link? Falls ja schicke ihn mir per PN zu. Mich interessiert die Quelle sehr.

Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

ok, gut.
jetzt noch eine Frage:
wozu alle Geräte anschließen?

Hi,

ist schnell erklärt, nennt sich autorun.inf und wird gleichmäßig von Deinem lieben Gast (mit sicher selbst als aufzurufende Andwendung) auf alle seid der Infektione angeschlossenen Geräte verteilt, so dass er sich darüber "fortpflanzen" kann. Daher alles anhängen was seid der Infektion dran war und den Rest comboFix überlassen....

Sonst kommst Du nach erfolgter Bereinigung mit einem verseuchten USB-Stick oder USB-Festplatte an und fragst Dich, wieso der ganze Sch.... wieder von vorne anfängt....

Chris and out

danke für die schnelle antwort!
dann muss ich erstmal überlegen, was ich da angeschlossen hatte...
ist schon ein paar tage her.

@Chris4you
Danke fürs Einspringen. Du bist mir sympathisch.

@spikey
Du sollst nicht denken, du sollst alles anschliessen.

ciao, andreas

Zitat:

Zitat von spikey2

O17 - HKLM\System\CCS\Services\Tcpip\..\{E8FF342B-CB77-4632-89B2-86E6468501F1}: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40

spikey2

Und schon wieder diese Ukrainischen IP's im DNS Server. Genau die Gleiche wie bei mir und Isabella (Threads hier im Forum). Ich frage mich immernoch wo ich mir sowas eingefangen habe, denn ich hatte nichts gedownloaded (lol was für 'nen blödes denglisches Wort).

Viel Erfolg beim loswerden.. weiß selber noch nicht, ob mein System wieder reine ist. Aber bei den netten Profis hier, klappt das sicher! Liebe Grüße