Hallo Zusammen,

brauche dringend Hilfe. ich bin ein absoluter PC Leie und habe folgendes Problem, dass ich hier auch noch nicht finden konnte.

Gestern meldete mir AntiVir, dass er zweimal den o.g. Trojaner gefunden hätte, einmal in irgendeiner Anwendung namens ACDsee und in irgendeiner exe Weiß-der-geier. AntiVir fragte mich, ob er in Quarantäne verschieben soll oder Löschen soll. Ich dachte Löschen ist vielleicht besser, damit er wirklich unten ist.
Bevor aber AntiVir die Meldung brachte, hängte sich der Pc völlig oohne Vorwarnung plötzlich auf, es war überhaupt nichts anderes mehr machbar als zu Reseten (auch Strg,Alt und Enf half nichts mehr) woraufhin der Bildschirm komplett blau wurde, irgendwelche Schriftzüge darüber huschten und er sich dann selbst neu startete. Anschließend habe ich dann AntiVir suchen lassen, der die i.g zwei befallenen Programme/ Dateien fand.
So weit so gut, nur komme ich seit dem nicht mehr ins Internet hinein.
x mal Kabelüberprüfung - alles ok. Aber er findet den Zugang nicht.
Jetzt habe ich den Verdacht, dass evtl. einer der beiden gelöschten Dateien/ Programme etwas mit dem Zugang zu tun hat.
Kann mir da jemand helfen?
Ich hoffe, ich hab mit meiner leienhaften Beschreibung einigermaßen erklären können, was los war. Der AntiVir brachte auch einen Bericht, den ich natürlich gespeichert habe.
Meine Fragen sind nun folgende:
1. Ist dieser besch... Trojaner jetzt wirklich komplett draußen oder schwirrt er noch irgendwo im Hintergrund herum und treibt sein Unwesen
2. Wie schaffe ich es mein Internet wieder ins Laufen zu bringen?

Wäre super toll, wenn ihr mir helfen könntet. Bin vollkommen hilflos waws es solche Dinge betrifft.

Liebe Grüße @all

Ginn

Hallo Ginn und

Um dir kompetent bei deinem Problem zu Seite stehen zu können, benötigen wir Informationen. Bitte lies dir diese Anleitung durch und poste die erforderlichen Log Files.

Hallo,

wie soll ich den Anweisungen denn folgen, wenn ich nichts auf den Pc laden kann?
Ich komme doch nicht ins Internet! (um zB den CCleaner zu installieren)
- verzweifelt schaut.
Und wo finde ich die 'Log Files'?
Zudem hängt sich der Pc nach wie vor ständig auf und es geht nichts mehr, noch nicht einmal Strg,Alt + entf

Liebe Grüße
Ginn

Hallo,

ich habe das Problem jetzt anders gelöst und alle drei Programme (CCleaner, Malwraebytes und HiJack) von einem anderen Pc heruntergeladen, auf meinen aufgespielt und installiert und ausgeführt.
Hier nun der Report von Malwarebytes:
Malwarebytes' Anti-Malware 1.35
Datenbank Version: 1904
Windows 5.1.2600 Service Pack 3

03.04.2009 01:14:25
mbam-log-2009-04-03 (01-14-25).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 154101
Laufzeit: 33 minute(s), 39 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\cmdow.exe (Malware.Tool) -> Quarantined and deleted successfully.
C:\Programme\lame_enc.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\Programme\no23xwrapper.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\Programme\ogg.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\Programme\vorbis.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\Programme\vorbisenc.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\Programme\vorbisfile.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.


Was genau brauchst Du denn von HiJack? Es haben sich zwei Fenster geöffnet, zum einen eines, in dem ich per Häkchen markieren kann, was ich 'fixen' möchte und zum anderen eines mit gleicheem Inhalt, nur als Bericht.
An das Fixen traue ich mich definitiv nicht dran, weil ich absolut keine Ahnung habe, was ich davon gefahrlos löschen darf und was nicht. Aber da kannst Du mir wahrscheinlich schon helfen, oder? Kann ich Dir den Bericht im Editor von HiJack hier gefahrlos rüberschicken? Habe zwar ein paar http..... dabei, allerdings ohne Endung .de
Wie gesagt, in diesen Dingen bin ich wirklich ein Laie!

So, und jetzt muss ich dringendst schlafen gehen.
Dnke Dir auf jeden Fall jetzt schon für Deine Hilfe!
Lg Ginn

Gute Arbeit, dass wäre der nächste Schritt gewesen. Den hast du jetzt selbst gefunden. Wenn meine Anweisungen etwas verwirrend für dich waren tuts mir leid. Ich wollte erst mal sehen ob und wie weit du Zugriff auf dein System hast.

Zu deiner Frage: Ich brauch den Hijack in Berichtsform.

Gibt es irgendeine positive Veränderung an deinem System nachdem du die Schadware gelöscht hast?

Hallo,

bitte entschuldige meine späte Antwort,ich war krank und konnte mich deshalb nicht um mein Problem kümmern.
Hier nun der Bericht von Hijack:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:29:00, on 08.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\lxcicoms.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe
C:\Programme\Linksys Wireless-G PCI Wireless Network Monitor\WMP54Gv4.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Lexmark 7300 Series\lxcimon.exe
C:\Programme\Lexmark 7300 Series\ezprint.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtProc.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\EssentialPIM\EssentialPIM.exe
C:\Programme\Stickies\stickies.exe
C:\Programme\SANYO\XactiScreenCapture\SetClip.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [lxcimon.exe] "C:\Programme\Lexmark 7300 Series\lxcimon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Programme\Lexmark 7300 Series\ezprint.exe"
O4 - HKLM\..\Run: [LXCICATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCItime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [WrtMon.exe] C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [TrayServer] C:\PROGRA~1\MAGIX\VIDEO_~1\TrayServer.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EssentialPIM] "C:\Programme\EssentialPIM\EssentialPIM.exe" /autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Stickies.lnk = C:\Programme\Stickies\stickies.exe
O4 - Startup: Xacti Screen Capture 1.1.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1219237753859
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1219237813625
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{797C2F18-7E95-4162-8E9E-AFCFE514C3FD}: NameServer = 62.72.64.237,62.72.64.241
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: lxci_device - - C:\WINDOWS\system32\lxcicoms.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe
O23 - Service: WMP54Gv4SVC - GEMTEKS - C:\Programme\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe

--
End of file - 7766 bytes


Nein, positive Veränderungen gab es seither nicht. Ich weiß nach wie vor nicht, wie es mir gelingen kann wieder ins Internet zu kommen und bei jedem Start verlangt er auf einmal, dass ich F1 drücke damit er fortfahren kann, war vorher nicht so.

Liebe Grüße Ginn

Hi,
sorry, hab noch was vergessen.
Kannst du mir aufgrund des Berichts sagen, was ich sorgenfrei entfernen (fixen) kann und was nicht.

Liebe Grüße Ginn