Hallo!

Ich bin besitzer eines Chiligreen Notebooks und wollte heute ins Internet. Mir ist aufgefallen, dass andauernd werbung auf dem Desktop erscheint. Als ich versuchte mich ins Inet einzuwählen (LAN), war die LAN Verbindung nicht mehr da.

Danach wollte ich im Abgesicherten Modus booten, um die Netzwerkkarte neu zu installieren doch: Bluescreen.

Neu installieren des Systems kommt bei mir leider nciht in Frage.


lg

jokl202

Hallo jokl202,

versuche mal folgende Anleitung.

Anschließend mit dieser Anleitung (Programme unter Punkt 2) weiter machen.

Und bitte immer die Logfiles posten.

Darf ich fragen, warum eine Neuinstallation nicht in Frage kommt (bin neugierig ;-)

Grüße
a5cl3p1o5

Der Grund ist, weil es ein PC ist, der 250 GB Daten hat, die unwiederherstellbar sind.

Hier Logfile:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:47:14, on 07.03.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\WINDOWS\system32\cisvc.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Diginext\IQonn\RUS.exe

C:\WINDOWS\system32\tcpsvcs.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\snmp.exe

C:\PROGRA~1\aon\aonFlex\Guard.exe

C:\Program Files\RealVNC\VNC4\WinVNC4.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Blubster\Blubster.exe

C:\Program Files\Search Settings\SearchSettings.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\aon\Onlinefestplatte\OnlineFestplatte.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\Blubster\BGCheck.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\WINDOWS\System32\rasautou.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.imesh.com/at/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Telekom Austria TA AG

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R3 - URLSearchHook: Mininova-Vuze Toolbar - {d51d388b-f5dc-471a-a1ce-5e2d671091c0} - C:\Program Files\Mininova-Vuze\tbMin1.dll

R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb127\SearchSettings.dll

O2 - BHO: UrlHelper Class - {474597C5-AB09-49d6-A4D5-2E8D7341384E} - C:\Program Files\iMesh Applications\iMesh MediaBar\iMeshIEHelper.dll

O2 - BHO: DealioBHO Class - {6A87B991-A31F-4130-AE72-6D0C294BF082} - C:\Program Files\Dealio\kb127\Dealio.dll

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll

O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll

O2 - BHO: Mininova-Vuze Toolbar - {d51d388b-f5dc-471a-a1ce-5e2d671091c0} - C:\Program Files\Mininova-Vuze\tbMin1.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb127\SearchSettings.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Mininova-Vuze Toolbar - {d51d388b-f5dc-471a-a1ce-5e2d671091c0} - C:\Program Files\Mininova-Vuze\tbMin1.dll

O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll

O3 - Toolbar: Dealio - {E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} - C:\Program Files\Dealio\kb127\Dealio.dll

O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [Blubster] C:\Program Files\Blubster\Blubster.exe SILENT

O4 - HKLM\..\Run: [au] C:\Program Files\Dealio\DealioAU.exe

O4 - HKLM\..\Run: [SearchSettings] C:\Program Files\Search Settings\SearchSettings.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [OnlineFestplatte] C:\Program Files\aon\Onlinefestplatte\OnlineFestplatte.exe /tray

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Shortcut to WgaTray.lnk = C:\WINDOWS\system32\WgaTray.exe

O8 - Extra context menu item: Compare Prices with &Dealio - C:\Documents and Settings\Hermann Bischof\Application Data\Dealio\kb127\res\DealioSearch.html

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Dealio - {E908B145-C847-4e85-B315-07E2E70DECF8} - C:\Program Files\Dealio\kb127\Dealio.dll

O9 - Extra 'Tools' menuitem: Dealio - {E908B145-C847-4e85-B315-07E2E70DECF8} - C:\Program Files\Dealio\kb127\Dealio.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\usage.lsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\usage.lsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\usage.lsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\usage.lsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\usage.lsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\usage.lsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\usage.lsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\usage.lsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\usage.lsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\usage.lsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\usage.lsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\usage.lsp.dll

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: Diginext DBL Hosting Service (dblhost) - Diginext B.V. - C:\Program Files\Diginext\IQonn\dblhost.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: Remote Utility Service (RUS) - Unknown owner - C:\Program Files\Diginext\IQonn\RUS.exe

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: TAGuard - Unknown owner - C:\PROGRA~1\aon\aonFlex\Guard.exe

O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe



--

End of file - 8443 bytes

Hallo jokl202,

Zitat:

Der Grund ist, weil es ein PC ist, der 250 GB Daten hat, die unwiederherstellbar sind.

Ok, 250GB Daten sind viel, aber warum sind die unwiederherstellbar. Auch so viele Daten kann man sichern und später wieder aufspielen.

Auf der HijackThis-Logfile sind schon mehrere Infektionen zu erkennen. Aber warten wir noch die anderen Ergebnisse ab. Bist Du schon mit den anderen Punkten auf den Anleitungen weiter gekommen?

Grüße
a5cl3p1o5

Weil ich im Moment nicht die Zeit habe, meine Firmendaten zu verlieren.

Ich habe gestern Norton 360 drüberlaufen lassen und habe viel gefunden, aber nach nem Neustart war der mist wieder da.

Zitat:

Ich habe gestern Norton 360 drüberlaufen lassen und habe viel gefunden, aber nach nem Neustart war der mist wieder da.

Dann interessiert mich die Logfile davon! Bitte mache ab jetzt nur noch das, was hier geschrieben wird. Sonst wird es enorm schwer, Deine Schritte nach zu vollziehen und das erschwert eine Bereinigung!

Und wie steht es um meine Frage?

Zitat:

Bist Du schon mit den anderen Punkten auf den Anleitungen weiter gekommen?

Grüße
a5cl3p1o5

Firmendaten? Ich glaub bei dir hakt es wohl. Wenn die Festplatte sich nachher entscheidet, den Betrieb einzustellen, dann macht stellt die Firma den Betrieb auch ein? Gibt ja Hartz IV, und wenn es ein richtiger Großbetrieb sein sollte oder irgendwas, was man jetzt systemisch nennt, dann bastelt der Hosenanzug sicher einen Rettungsschirm. Pädagogisch wäre ein Tot der Festplatte wertvoll, manche lernen einfach nur auf die harte Tour.

Und wenn bei dem Versuch der Bereinigung hier was schief geht und die 250 GByte sind plötzlich doch futsch (das ist ein einzukalkulierendes Restrisiko), was dann? Also erst komplette Datensicherung auf externe Medien, dann weitermachen.

Ich hab die Anleitung durchgeführt (HAb auch die Bootreihenfolge geändert) Aber er bootet nicht von der Rescue Disk.

Gibt es nicht nochwas vor neuinstallation?

Bin dabei jetzt nochmal, wie es steht mit Malwarebytes zu scannen. (Läuft noch.)

Daten gesichert.

Hallo jokl202,

eine Neuinstallation ist meines Erachtens immer die beste Wahl bei einer Infektion. Hierfür muss man natürlich ein Backup aller Daten anlegen, was in Deinem Fall, wie KarlKarl richtig geschrieben hat, sehr sinnvoll ist, da es sich schließlich um wichtige Geschäftsdaten zu handeln scheint.

Wenn Du weiter versuchen willst, das bestehende System zu bereinigen, dann beachte folgendes:
Dafür, dass die Rescue CD nicht startet, kann es folgende Gründe geben:
1.) CD- ISO bei Download beschädigt
2.) CD-ISO nicht richtig auf CD gebrannt oder CD beschädigt
3.) BIOS ist doch falsch eingestellt
4.) CD-Laufwerk ist beschädigt

Punkt 3 kannst Du ausschließen, wenn Du beim Neustart des Computers bemerken kannst, dass auf das CD-Laufwerk zugegriffen wird (hören und blinkende Lichter).

Grüße
a5cl3p1o5

Ich hab mit 360 bereits gesichert.

Das Malwarebytes log post ich gleich, aber mir is einiges aufgefallen

Heuristics.Infected.Word.Document, C:\WINDOWS\winlogon.del

Adware Softmate gleich 7x.

Zitat:

Ich hab mit 360 bereits gesichert.

auf die gleiche oder eine andere Festplatte?

Auf eine Externe 250 GB hab ich alles gesichert, was NICHT ausführbar ist.

Kannst Du bitte die Logfiles von Malwarebytes und dem Scan zuvor mit Norton hier posten.
Bisher habe ich noch nicht allzuviele Informationen über Dein System.