Ich weiß nicht, ob ich hier einfach so schreiben darf, aba ich tu es mal (bitte sagt mir, wenn ich was falsch mache)

Hallo, Ich weiß gar nicht, wo ich anfangen soll:


also, ich habe meinen pc eingeschaltet und zuerst wurde die darstellung von windows xp auf windows klassisch geändert. (windows xp ist nicht mehr zur auswahl verfügbar)
Erst mal keine Ahnung, ob das etwas mit dem Problem zu tun hat.

Danach wollte ich Kaspersky downloaden, doch die Verbindung war so langsam, dass kaspersky die verbindung automatisch beendet hat.
Jetz habe ich mir eine ältere Version von Kaspersky von einer ComputerBild CD geholt und Installiert.
Das Programm ist drauf, aber bei Doppelklick startet gar nichts.

Avira Antivir habe ich mir gedownloadet, dass findet zwar Viren, jedoch sind meine Probleme auch nicht besser geworden.

Der abgesicherte Modus funktioniert auch nicht. Der PC fährt nicht hoch!

Eine Systemwiederherstellung habe ich versucht, doch der Button „Weiter“ will nicht funktionieren.
(ich denke nicht, das es etwas mit XPSecurityCenter zu tun hat)

Meine Soundkarte ist jetzt angeblich auch noch verschwunden!

Hab mir jetz schon ziemlich viele Foren darüber durchgelesen, jedoch noch nichts brauchbares gefunden!

Brauche dringend Hilfe!!!! Danke schonmal im Voraus

Hallo bannth

Lies dir dies bitte erst einmal durch

http://www.trojaner-board.de/69886-a...-beachten.html

ja ich hab mir das jetzt durchgelesen (auch davor schon)
was ist denn nicht korrekt?

Zitat:

Zitat von bannth

ja ich hab mir das jetzt durchgelesen (auch davor schon)
was ist denn nicht korrekt?

Zb. alles ab Punkt 2.

zu 2. ich habe doch nur ein Thema

zu 3. das problem ist doch klar oder nicht? "ich habe einen sehr verlangsamten PC und den verdacht auf einen Virus"

zu 4. was habt ihr gegen mein deutsch? oO

zu 5. meine Programme sind sehr langsam; meine kaspersky will nicht starten; systemwiederherstellung unmöglich; abgesicherter modus nicht machbar; angeblich keine soundkarte installiert;

Hallo,
hatte bei meinem letzten Beitrag das gleiche Problem wie Du. Du bist auf der Seite mit den Verhaltensweisen nur zum Punkt 1. und seinen Subpunkten vorgedrungen (gutes Deutsch etc). Für Lektüre des Punktes 2 mußt Du die Seite runterscrollen...
viele Grüße und viel Erfolg

Zitat:

Zitat von 4RobSen8

Zb. alles ab Punkt 2.

Ich kann mich nur wiederhohlen...
Das ist der Teil mit den Programmen...
Die brauchen wir, weil eine Aussage wie: "meine Programme sind sehr langsam; meine kaspersky will nicht starten; systemwiederherstellung unmöglich; abgesicherter modus nicht machbar; angeblich keine soundkarte installiert;" sind nur bedingt aussagekräftig.

ehm... ok
zu den programmen:

das wäre die textdatei zu hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:02:56, on 02.03.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\netdde.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\tlntsvr.exe
C:\Programme\OpenOffice.org 3\program\soffice.exe
C:\Programme\OpenOffice.org 3\program\soffice.bin
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [EPSON Stylus D68 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB001" /M "Stylus D68"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe
O9 - Extra button: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
O9 - Extra 'Tools' menuitem: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{7B9B786B-7011-4428-AD09-2E415A183D14}: NameServer = 85.255.115.22,85.255.112.228
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.22,85.255.112.228
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.22,85.255.112.228
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.22,85.255.112.228
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4388 bytes


anstatt des programms CCleaner habe ich etwas ähnliches/gleiches namens
"PCShower"


malwarebytes folgt noch

ich hoffe damit könnt ihr was anfangen =(

malwarebytes:

alwarebytes' Anti-Malware 1.34
Datenbank Version: 1749
Windows 5.1.2600 Service Pack 2

02.03.2009 16:35:27
mbam-log-2009-03-02 (16-35-27).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 145526
Laufzeit: 54 minute(s), 56 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 7
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.22,85.255.112.228 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{7b9b786b-7011-4428-ad09-2e415a183d14}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.22,85.255.112.228 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.22,85.255.112.228 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{7b9b786b-7011-4428-ad09-2e415a183d14}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.22,85.255.112.228 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.22,85.255.112.228 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{7b9b786b-7011-4428-ad09-2e415a183d14}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.22,85.255.112.228 -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\RECYCLER\S-7-4-43-100026063-100024725-100021390-4448.com (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\gaopdxtmoytpqj.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\gaopdxfmqhylba.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\gaopdxnttkwkil.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\gaopdxyuvltobo.sys (Trojan.Agent) -> Quarantined and deleted successfully.

Ich mache mich grade schlau:
85.255.112.228
org-name: UkrTeleGroup Ltd.
address: UkrTeleGroup Ltd.
address: Mechnikova 58/5 65029 Odessa

das hijackthis-logfile sieht gar nicht gut aus, du wirst über eine ukrainsche ip umgeleitet, und bist somit also wahrscheinlich nicht mehr herr über deinen rechner:

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{7B9B786B-7011-4428-AD09-2E415A183D14}: NameServer = 85.255.115.22,85.255.112.228
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.22,85.255.112.228
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.22,85.255.112.228
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.22,85.255.112.228

ich würde neuaufsetzen empfehlen, was meinen die profis hier im board dazu?

Das ist richtig!!!
Ein ukrainischer Webhoster, der lange Zeit als Basis für einen sehr aktiven Typ von Malware diente, wurde nach Beschwerden von Security Fix an den verantwortlichen ISP, vom Netz genommen.

Seit mindestens 2005 hatte UkrTeleGroup Ltd. hunderte von Webservern gehostet, welche die Kontrolle über ein breites Netzwerk von mit Malware infizierten Computern hatten. Im vorliegenden Fall ging es um Varianten des Trojaners DNSChanger aka Zlob, wie die Sicherheitsfirma McAfee erklärte. Dieser Trojaner ändert auf dem betroffenen System die Hosts Einträge und leitet damit die Computernutzer auf gefälschte Webseiten um Kreditkarten- oder Kontodaten abzugreifen.

DNSChanger/Zlob blockiert außerdem den Zugriff auf sicherheitsrelevante Webseiten wie Antivirus Hersteller oder auch den Microsoft Update Dienst, so dass die Nutzer der infizierten Rechner keine Sicherheitsupdates einspielen oder sich Informationen zum Entfernen des Trojaners besorgen können.

Der Trojaner DNSChanger/Zlob war laut dem Computer Sicherheitsunternehmen Sunbelt Software das 10. häufigste Malware Programm im Dezember 2008.

Nach einem McAfee Bericht von Dezember 2008 wurden mehr als 400 DNS Server im Netzbereich von UkrTeleGroup gefunden. Das bedeutet das mehr als 10% des kompletten IP Bereiches für DNS Server ausgelegt war.

Schon seit langem war die UkrTeleGroup vielen Sicherheitsexperten ein Dorn im Auge und schon 2006 gab es die Empfehlung den IP Bereich des Hosters komplett zu sperren. Nach der nun überfälligen Netzsperre ist leider kein Aufatmen angesagt. Die Gruppe hinter dem Trojaner hat ihre Basis inzwischen bereits verlegt, diesmal nach Lettland zu Zlkon.lv, so dass die neuen DNS Server wohl irgendwo zwischen 94.247.2.0 und 94.247.3.255 auftauchen werden. Quelle: netzhappen


Ich hoffe ich kann dir gleich antworten....
Bin leider zeitlich etwas eingeschränkt...->gleich Kickertraining in der Kneipe

DNS-Einträge entfernen

Achtung:
Solltest du Probleme mit deiner Internet Verbindung bekommen:
Systemsteuerung > wähle Netzwerk und Internet Verbindungen oder mach einen
Doppelklick auf Netzwerk-Verbindungen > Klick mit der rechten Maustaste
auf Default Connection (Normale Verindung), das ist normalerweise die
örtliche Umgebung, Kabel oder DSL Verbindung > Klick mit der linken
Maustaste auf Eigenschaften > Doppelklick auf Internet Protocol (TCP/IP) >
wähle den Knopf der dafür steht, dass die DNS Verbindung automatisch
aufrecht erhalten wird > zweimal auf "OK" klicken > den Rechner neu
starten (Diese Einstellungen sind nicht auf allen Systemen gleich oder
vorhanden)

-Lade dir Fixwareout.exe herunter und speichere es auf dem Desktop.
-installiere das Tool und achte darauf das "Run fixit" aktiviert ist.
-klicke nun auf "Finish", der Scan wird starten und bald wirst du aufgefordert
einen Neustart durchzuführen, tu dieses. (der Neustart wird sich dann etwas verzögern, das ist normal!)

-achte nun auf die Hinweise die gegeben werden



ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)