Schwarzer Bildschirm und Kaspersky öffnet sich nichtmehr!

Lecram · 11.07.2009, 18:38

Hallo erstmal,
Seit etwa 10 min scheint mein Pc regelrecht verrückt zu spielen!
Nachdem ich Fraps runtergeladen hatte wurde mein ganzen Bildschirm Schwarz und ein Fake Anti Virus Programm erschien auf meinem Desktop.
Kaspersky öffnet sich nichtmehr und die Taskleiste ist verschwunden.
Hier mal ein Hijack this logfile:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:19:37, on 11.07.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\arservice.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\ARPWRMSG.EXE
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\HP DigitalMedia Archive\DMAScheduler.exe
C:\Programme\HP\HP Software Update\HPwuSchd2.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Shock Utility\Shock4Way3D\Shock4Way3D.exe
C:\Programme\Stardock\CursorFX\CursorFX.exe
C:\Programme\Stardock\ObjectDock\ObjectDock.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Vista Rainbar\Rainmeter.exe
C:\HP\KBD\KBD.EXE
c:\windows\system\hpsysdrv.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\iTunes\iTunes.exe
C:\Programme\Steam\Steam.exe
C:\Programme\FileZilla FTP Client\filezilla.exe
C:\Dokumente und Einstellungen\HP_Administrator\Desktop\Alles\Cheats\codesoft pw stealer 0.5.exe
C:\DOKUME~1\HP_ADM~1\LOKALE~1\Temp\appvtjeh.exe
C:\WINDOWS\system32\qgclrpj0e72a.exe
C:\DOKUME~1\HP_ADM~1\LOKALE~1\Temp\ms1247332352.exe
C:\WINDOWS\system32\ovqvl.exe
C:\DOKUME~1\HP_ADM~1\LOKALE~1\Temp\a1al6du.exe
C:\WINDOWS\System32\reader_s.exe
C:\WINDOWS\System32\svchost.exe
C:\DOKUME~1\HP_ADM~1\LOKALE~1\Temp\a1al6du.exe
C:\DOKUME~1\HP_ADM~1\LOKALE~1\Temp\rsyncini.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\91841706\91841706.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\9129837.exe
C:\WINDOWS\system32\tpsaxyd.exe
C:\WINDOWS\fonts\services.exe
C:\DOKUME~1\HP_ADM~1\LOKALE~1\Temp\b.exe
C:\DOKUME~1\HP_ADM~1\LOKALE~1\Temp\svchost.exe
C:\DOKUME~1\HP_ADM~1\LOKALE~1\Temp\c.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\sopidkc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\RECYCLER\S-1-5-21-8504614764-5723381833-039935985-7096\wnzip32.exe
C:\WINDOWS\system32\wiawow32.sys
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\verclsid.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=64&bd=PAVILION&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=64&bd=PAVILION&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=64&bd=PAVILION&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=64&bd=PAVILION&pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=64&bd=PAVILION&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=64&bd=PAVILION&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=64&bd=PAVILION&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=64&bd=PAVILION&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=64&bd=PAVILION&pf=desktop
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=64&bd=PAVILION&pf=desktop
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=64&bd=PAVILION&pf=desktop
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
F3 - REG:win.ini: load=C:\WINDOWS\system32\msbkq.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\msylnovi.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Dokumente und Einstellungen\HP_Administrator\yddlyhc.exe \s,C:\Dokumente und Einstellungen\HP_Administrator\pefpby.exe \s
O2 - BHO: C:\WINDOWS\system32\gsf83iujid.dll - {D76AB2A1-00F3-42BD-F434-00BBC39C8953} - C:\WINDOWS\system32\gsf83iujid.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [ftutil2] rundll32.exe ftutil2.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [AlwaysReady Power Message APP] ARPWRMSG.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [DMAScheduler] "c:\Programme\HP DigitalMedia Archive\DMAScheduler.exe"
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [HPBootOp] "C:\Programme\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe" /run
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPwuSchd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE 09\avp.exe"
O4 - HKLM\..\Run: [rgcjrpj0e72a] C:\WINDOWS\system32\qgclrpj0e72a.exe
O4 - HKLM\..\Run: [ovqvl] C:\WINDOWS\system32\ovqvl.exe \u
O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe
O4 - HKLM\..\Run: [11831714] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\11831714\11831714.exe
O4 - HKLM\..\Run: [91841706] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\91841706\91841706.exe
O4 - HKLM\..\RunOnce: [tmp20178312] cmd /Q /C "C:\WINDOWS\tmp20178312.bat"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Shock4Way3D] C:\Programme\Shock Utility\Shock4Way3D\Shock4Way3D.exe
O4 - HKCU\..\Run: [CursorFX] "C:\Programme\Stardock\CursorFX\CursorFX.exe"
O4 - HKCU\..\Run: [msupdate32] C:\Dokumente und Einstellungen\HP_Administrator\Desktop\Alles\Cheats\codesoft pw stealer 0.5.exe
O4 - HKCU\..\Run: [InetChk] C:\DOKUME~1\HP_ADM~1\LOKALE~1\Temp\ms1247332352.exe work
O4 - HKCU\..\Run: [] C:\DOKUME~1\HP_ADM~1\LOKALE~1\Temp\a1al6du.exe
O4 - HKCU\..\Run: [reader_s] C:\Dokumente und Einstellungen\HP_Administrator\reader_s.exe
O4 - HKCU\..\Run: [hsf7husjnfg98gi498aejhiugjkdg4] C:\DOKUME~1\HP_ADM~1\LOKALE~1\Temp\a1al6du.exe
O4 - HKCU\..\Run: [ttool] C:\WINDOWS\9129837.exe
O4 - HKCU\..\Run: [Cognac] C:\DOKUME~1\HP_ADM~1\LOKALE~1\Temp\b.exe
O4 - HKCU\..\Run: [HP_Administrator] C:\Dokumente und Einstellungen\HP_Administrator\HP_Administrator.exe /i
O4 - HKLM\..\Policies\Explorer\Run: [exec] C:\WINDOWS\system32\mselmm.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - Startup: Shock 4Way 3D.LNK = C:\Programme\Shock Utility\Shock4Way3D\Shock4Way3D.exe
O4 - Global Startup: Kaspersky Security Suite CBE 09.lnk = C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE 09\avp.exe
O4 - Global Startup: ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe
O4 - Global Startup: Vista Rainbar.lnk = C:\Programme\Vista Rainbar\Rainmeter.exe
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE 09\SCIEPlgn.dll
O9 - Extra button: Hilfe zu Verbindungen - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Hilfe zu Verbindungen - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\20173281.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\20173281.dll
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASP ER~1\kloehk.dll
O21 - SSODL: VZENsQYmTLZf - {D413B18B-7EB9-1B21-C9FC-BA06B39FDB97} - C:\WINDOWS\system32\juv.dll
O22 - SharedTaskScheduler: rtasgvfu76ew8ndkfno94 - {D76AB2A1-00F3-42BD-F434-00BBC39C8953} - C:\WINDOWS\system32\gsf83iujid.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Security Suite CBE 09 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE 09\avp.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: sopidkc Service (sopidkc) - NewYork DVD LT - C:\WINDOWS\system32\sopidkc.exe

--
End of file - 11647 bytes

Ich bin verzweifelt!
Es wäre nett wenn ich so schnell wie möglich Hilfe bekommen würde.

Chris4You · 11.07.2009, 18:43

Hi,

oh-ha, die tanzen Tango... uno momento ...

chris

Chris4You · 11.07.2009, 19:03

Hallo,

Dein Rechner ist hochgradig verseucht, darunter auch einige im Winsocket, was beim Entfernen Probleme
bereitet (Ausfall der Internetverbindung)...

Ob der Rechner nach der Orgie noch läuft, kann ich nicht garantieren...!

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen!
(nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“
und suche folgende Datei/Dateien:

Code:

ATTFilter

C:\WINDOWS\system32\msbkq.exe
C:\WINDOWS\system32\msylnovi.exe
C:\Dokumente und Einstellungen\HP_Administrator\yddlyhc.exe
C:\Dokumente und Einstellungen\HP_Administrator\pefpby.exe 
C:\DOKUME~1\HP_ADM~1\LOKALE~1\Temp\b.exe
C:\DOKUME~1\HP_ADM~1\LOKALE~1\Temp\svchost.exe
C:\DOKUME~1\HP_ADM~1\LOKALE~1\Temp\c.exe
C:\WINDOWS\system32\sopidkc.exe
C:\RECYCLER\S-1-5-21-8504614764-5723381833-039935985-7096\wnzip32.exe
C:\WINDOWS\system32\wiawow32.sys
- too much, ich gebe auf -

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung,

alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:

ATTFilter

Files to delete:
C:\WINDOWS\system32\msbkq.exe
C:\WINDOWS\system32\msylnovi.exe
C:\Dokumente und Einstellungen\HP_Administrator\yddlyhc.exe
C:\Dokumente und Einstellungen\HP_Administrator\pefpby.exe 
C:\DOKUME~1\HP_ADM~1\LOKALE~1\Temp\b.exe
C:\DOKUME~1\HP_ADM~1\LOKALE~1\Temp\svchost.exe
C:\DOKUME~1\HP_ADM~1\LOKALE~1\Temp\c.exe
C:\WINDOWS\system32\sopidkc.exe
C:\RECYCLER\S-1-5-21-8504614764-5723381833-039935985-7096\wnzip32.exe
C:\WINDOWS\system32\wiawow32.sys
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\11831714\11831714.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\91841706\91841706.exe
C:\WINDOWS\system32\mselmm.exe

Folders to delete:
C:\DOKUME~1\HP_ADM~1\LOKALE~1\Temp
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\11831714
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\91841706

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Code:

ATTFilter

O2 - BHO: (no name) - {060BB0AB-4B09-4C51-9ECB-9580A6D08D7F} - C:\WINDOWS\system32\xxyyxWmj.dll
O2 - BHO: C:\WINDOWS\system32\gsf83iujid.dll - {D76AB2A1-00F3-42BD-F434-00BBC39C8953} - C:\WINDOWS\system32\gsf83iujid.dll
F3 - REG:win.ini: load=C:\WINDOWS\system32\msbkq.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\msylnovi.exe
O4 - HKLM\..\Run: [rgcjrpj0e72a] C:\WINDOWS\system32\qgclrpj0e72a.exe
O4 - HKLM\..\Run: [ovqvl] C:\WINDOWS\system32\ovqvl.exe \u
O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe
O4 - HKLM\..\Run: [11831714] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\11831714\11831714.exe
O4 - HKLM\..\Run: [91841706] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\91841706\91841706.exe
O4 - HKLM\..\Policies\Explorer\Run: [exec] C:\WINDOWS\system32\mselmm.exe
O4 - HKCU\..\Run: [InetChk] C:\DOKUME~1\HP_ADM~1\LOKALE~1\Temp\ms1247332352.exe work
O4 - HKCU\..\Run: [] C:\DOKUME~1\HP_ADM~1\LOKALE~1\Temp\a1al6du.exe
O4 - HKCU\..\Run: [reader_s] C:\Dokumente und Einstellungen\HP_Administrator\reader_s.exe
O4 - HKCU\..\Run: [hsf7husjnfg98gi498aejhiugjkdg4] C:\DOKUME~1\HP_ADM~1\LOKALE~1\Temp\a1al6du.exe
O4 - HKCU\..\Run: [ttool] C:\WINDOWS\9129837.exe
O4 - HKCU\..\Run: [Cognac] C:\DOKUME~1\HP_ADM~1\LOKALE~1\Temp\b.exe
O21 - SSODL: VZENsQYmTLZf - {D413B18B-7EB9-1B21-C9FC-BA06B39FDB97} - C:\WINDOWS\system32\juv.dll
O22 - SharedTaskScheduler: rtasgvfu76ew8ndkfno94 - {D76AB2A1-00F3-42BD-F434-00BBC39C8953} - C:\WINDOWS\system32\gsf83iujid.dll
O23 - Service: sopidkc Service (sopidkc) - NewYork DVD LT - C:\WINDOWS\system32\sopidkc.exe

Sofort bitte MAM installieren und Fullscan...
Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Fullscan und alles bereinigen lassen! Log posten.
Alternativer Download: http://filepony.de/download-malwarebytes_anti_malware/, http://www.gt500.org/malwarebytes/mbam.jsp

So, jetzt den Socket bereinigen...

LSPFix
http://www.snapfiles.com/get/lspfix.html
LSPfix wird Dir Reparaturvorschläge machen falls es nötig ist
gehe n i c h t in den Advanced Mode - befolge nur
die Vorschläge - beachte Warnungen "IF YOU REALLY KNOW WHAT YOU ARE DOING !"
wenn du das siehst machst du besser Nix - sonst kannst Du Dein Netzwerkteil von Windows
zu Fuss neumachen - das ist kein Spass !
ACHTUNG: Es sollten die Dateien

Code:

ATTFilter

c:\windows\system32\20173281.dll
c:\windows\system32\20173281.dll (2x eingetragen!)

erkannt und ausgetragen werden...

Danach ein neues HJ-Log und alles Logs der Tools

Chris

Lecram · 11.07.2009, 19:55

Danke für die schnelle Antwort aber der Pc ist abgestürtzt und ich kann ihn nicht mehr starten.Daher hab ich ihn mit der Computer Bild Notfall CD hochgefahren, dort finde ich den Button organisieren aber nicht.

Chris4You · 11.07.2009, 20:25

Hi,

wobei ist der PC abestürzt, beim Bereinigen (Avenger, MAM) oder einfach so?
Mit welcher Meldung?
Die Bild-CD kenne ich leider nicht, hast du eine XP-CD?

chris

Lecram · 11.07.2009, 20:27

Er ist während ich in meinem ersten Post etwas Editieren wollte abgestürtzt.
Eine Xp CD habe ich leider nicht und die Computer Bild CD ist Linux.

Schwarzer Bildschirm und Kaspersky öffnet sich nichtmehr!

Plagegeister aller Art und deren Bekämpfung: Schwarzer Bildschirm und Kaspersky öffnet sich nichtmehr!