Hallo ich hab ein ganz ganz dickes Problem
Ständig kommt eine Virus Meldung und ich weiß nicht mehr was ich tun soll.. wie kann ich den Virus löschen?

Bitte helft mir

Hier 2 Bilder von der Liste:
http://img62.imageshack.us/i/virus1.png/
http://img503.imageshack.us/img503/9905/virus2.png

Hallo Susi_19,

bitte lade Dir zuerst nach folgender Anleitung CCleaner aus dem Internet und führe es aus.

Als zweiten Punkt lade Dir bitte HijackThis aus dem Internet und führe es nach folgender Anleitung aus. Die Logfile hier bitte posten (in Code markiert -> #-Zeichen in der Menüleiste).

Anschließend bitte noch Malwarebytes Anti-Malware nach dieser Anleitung ausführen und auch dieses Ergebnis (Logfile) hier posten.

Anschließend geht es weiter ;-)

Viele Grüße
Manuel

HighJack Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:02:39, on 29.10.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\Ati2evxx.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\Ati2evxx.exe
I:\WINDOWS\system32\spoolsv.exe
I:\Programme\Avira\AntiVir Desktop\sched.exe
I:\Programme\Avira\AntiVir Desktop\avguard.exe
I:\WINDOWS\system32\cisvc.exe
I:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zwunzi\zwunzi119.exe
I:\WINDOWS\Explorer.EXE
I:\WINDOWS\RTHDCPL.EXE
I:\Programme\Avira\AntiVir Desktop\avgnt.exe
I:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
I:\WINDOWS\system32\ctfmon.exe
I:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\MessengerDiscovery 2\MessengerDiscovery 2.exe
I:\Programme\ATI Technologies\ATI.ACE\cli.exe
I:\Programme\ATI Technologies\ATI.ACE\cli.exe
I:\Programme\Windows Live\Contacts\wlcomm.exe
I:\WINDOWS\system32\cidaemon.exe
I:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
I:\WINDOWS\system32\wuauclt.exe
I:\WINDOWS\System32\svchost.exe
I:\Programme\Mozilla Firefox\firefox.exe
I:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ${URL_SEARCHPAGE}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.live.com/sphome.aspx
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R3 - URLSearchHook: (no name) - {EEE6C35D-6118-11DC-9C72-001320C79847} - (no file)
R3 - URLSearchHook: Softonic-Eng7 Toolbar - {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - I:\Programme\Softonic-Eng7\tbSoft.dll
R3 - URLSearchHook: Eazel-DE Toolbar - {69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5} - I:\Programme\Eazel-DE\tbEaze.dll
O1 - Hosts: ::1 localhost
O1 - Hosts: 69.5.88.73 wwwstatic.megaupload.com
O1 - Hosts: 174.140.128.5 www01.megaupload.com
O1 - Hosts: 69.5.88.75 static.megaupload.com
O1 - Hosts: 216.155.128.58 redtube.com
O1 - Hosts: 66.55.141.21 www.redtube.com
O1 - Hosts: 66.55.141.250 thumbs.redtube.com
O1 - Hosts: 216.155.128.62 ads.redtube.com
O1 - Hosts: 66.55.141.35 dl.redtube.com
O1 - Hosts: 216.155.147.23 dlembed.redtube.com
O1 - Hosts: 66.55.141.20 embed.redtube.com
O1 - Hosts: 74.208.27.228 redtube.com.
O1 - Hosts: 89.149.209.51 server31.files.youporn.com
O1 - Hosts: 89.149.208.240 server32.files.youporn.com
O1 - Hosts: 38.103.4.236 server33.files.youporn.com
O2 - BHO: Softonic-Eng7 Toolbar - {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - I:\Programme\Softonic-Eng7\tbSoft.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Eazel-DE Toolbar - {69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5} - I:\Programme\Eazel-DE\tbEaze.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - I:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - I:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - I:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - I:\Programme\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - I:\Programme\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Softonic-Eng7 Toolbar - {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - I:\Programme\Softonic-Eng7\tbSoft.dll
O3 - Toolbar: Eazel-DE Toolbar - {69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5} - I:\Programme\Eazel-DE\tbEaze.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ATICCC] "I:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [avgnt] "I:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] I:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "I:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - I:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - I:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - I:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - I:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - I:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - I:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - I:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - I:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Update Service (gupdate1ca2bc32cf5d66a) (gupdate1ca2bc32cf5d66a) - Google Inc. - I:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - I:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Power Manager (PowerManager) - Unknown owner - I:\WINDOWS\svchost.exe (file missing)
O23 - Service: Zwunzi Service - Unknown owner - I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zwunzi\zwunzi119.exe

--
End of file - 10585 bytes
         

So das war jetzt erst einmal der HighJack

Und ? Weißt du was los ist ?

Der Scan von Malware ist zu Ende. Keine Funde !

dann scheint ja alles in ordnung

Zitat:

Zitat von Sven Uwe

dann scheint ja alles in ordnung

Aber sändig kommt diese Virusmeldung!!!!

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite bitte folgendes ab.

Poste bitte alle Logfiles in Code-Tags.
Klicke antworten --> #
danach [code]text[/code]
So sollte das dann hier aussehen nach dem antworten:

Code: Alles auswählenAufklappen

ATTFilter

deine Logfile
         

schritt 1

Windows-Explorer öffnen (Windows-Taste + E) und unter => Extras => Ordneroptionen => im Reiter "Ansicht"

• Dateien und Ordner: Erweiterungen bei bekannten Dateitypen ausblenden deaktivieren
• Dateien und Ordner: Geschützte Systemdateien ausblenden (empfohlen) deaktivieren
• Dateien und Ordner: Inhalte von Systemordnern anzeigen aktivieren (bei Vista nicht vorhanden)
• Versteckte Dateien und Ordner: alle Dateien und Ordner anzeigen aktivieren

schritt 2

• alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.

Gmer scannen lassen

• Lade Dir Gmer von dieser Seite herunter
  (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Gmer ist geeignet für => NT/W2K/XP/VISTA.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
• Vista-User mit Rechtsklick und als Administrator starten.
• Sollte sich ein Fenster mit folgender Warnung öffnen:
  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?
  Unbedingt auf "No" klicken.
• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.
• Füge das Log aus der Zwischenablage in Deine Antwort hier ein.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!


schritt 3

• Lade Random's System Information Tool (RSIT) herunter,
• speichere es auf Deinem Desktop.
• Starte mit Doppelklick die RSIT.exe.
• Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
• Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
• Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
• Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt

Bitte poste in Deiner nächsten Antwort
Logfile von Gmer
beide Logfiles von RSIT
(ich gehe jz ins bett. sehe ich mir morgen dann an )

Ich formatier lieber.. Weißt du wo ich eine genaue Anleitung kriege zum Formatieren?

Susi, diese Begrüssung ist ein Standard Baustein

Poste mir ersteinmal die Logfiles, ich denke dass Du nur Adware (unerwünschte Software) am System hast.

Es läuft einfach nur der Service Dienst ...

Sehen wir uns dass doch vorher einfach einmal genauer an.
Wenn wirklich mehr gefunden wird, kannst Du gerne formatieren. Vielleicht reicht es auch nur, etwas zu deinstallieren
:

Zitat:

Zitat von Larusso

Susi, diese Begrüssung ist ein Standard Baustein

Poste mir ersteinmal die Logfiles, ich denke dass Du nur Adware (unerwünschte Software) am System hast.

Es läuft einfach nur der Service Dienst ...

Sehen wir uns dass doch vorher einfach einmal genauer an.
Wenn wirklich mehr gefunden wird, kannst Du gerne formatieren. Vielleicht reicht es auch nur, etwas zu deinstallieren
:

Ich komm nicht weiter

ähm ja hm mal überlegen hm

Wo ?

Zitat:

Zitat von Larusso

ähm ja hm mal überlegen hm

Wo ?

Wo ich anfangen soll und so weiß ich nicht

Na dann

schritt 1

Rootkit-Suche

Was sind Rootkits?

Einige Scans auf Dateien, Prozesse u2nd Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):

• alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.

Gmer scannen lassen

• Lade Dir Gmer von dieser Seite herunter
  (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Gmer ist geeignet für => NT/W2K/XP/VISTA.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
• Vista-User mit Rechtsklick und als Administrator starten.
• Sollte sich ein Fenster mit folgender Warnung öffnen:
  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?
  Unbedingt auf "No" klicken.
• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.
• Füge das Log aus der Zwischenablage in Deine Antwort hier ein.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.


schritt 2

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles in hier in den Thread.

Teile die Logfiles in mehrere Posts auf

hallo ersma also ich kann dich verstehn echt eig hab ich nix gegen trojan bin bei sowas meistens mit na virtual box online von daher aber den hatte ich auch also ich hab im abgesichtern modus gestartet dann bei msconfig die anlyse start option (ka wie das jtzt heist ) gewählt dann neugestartet dann den virus gelöscht der hat bei mir installiert c/programme(x86)/zwunzi
dann war der weg und bleibt auch weg also villt konnte ich helfen wenns nicht schon geklärt is ansonzten sry