Hallo allerseits
Diese Viren kamen wohl aus heiterem Himmel
denn auf einmal kamen Meldungen von ominöse Programme wie "Microsoft Defender" und es war zu spät!

Hatte bisher Antivir, aber ließ sich nicht mehr öffnen und die Viren scheinen auch I-Net-Seiten zu anderen ANti-Viren-Programme (z.b. Kaspersky Online Scan) zu blockieren. Zudem startete wie von Geisterhand mein PC andauernd neu. Stehe also relativ hilflos dar.

Eine Neuinstallation von WIndows auf C scheint nix geändert zu haben. Obwohl er sich nicht wieder andauernd neustartet, ist das Blockieren bestimmter Seiten immer noch aktiv. Sprich: Die Viren sind noch da.

Ich hoffe ich kann hier Hilfe erwarten und bedanke mich schon mal im voraus für jeden Hilfeversuch ;-)

Das Ergebnis von Hijack enthalte ich euch natürlich nicht ;-)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:34:02, on 06.11.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\reader_s.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\79.tmp
C:\WINDOWS\system32\restorer32_a.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Windows Live\Contacts\wlcomm.exe
C:\Programme\OpenOffice.org 3\program\swriter.exe
C:\Programme\OpenOffice.org 3\program\soffice.exe
C:\Programme\OpenOffice.org 3\program\soffice.bin
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\P*****.MAFIA-V33738GGL\Desktop\HiJackThis.exe

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [11164] C:\WINDOWS\system32\7B.tmp.exe
O4 - HKLM\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe
O4 - HKLM\..\Run: [restorer32_a] C:\WINDOWS\system32\restorer32_a.exe
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe (User 'Default user')
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\kbdnet.dll
O23 - Service: Google Update Service (gupdate1ca5ef5e240c718) (gupdate1ca5ef5e240c718) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe

--
End of file - 3358 bytes

Hallo,

Du hast da anscheinend einen Virut-Befall, wenn sich das bewahrheitet, musst Du das System komplett neuaufsetzen, d.h. von der Windows-CD booten und sämtliche Partitionen auf der Festplatte löschen und anschließend eben eine Neuinstallation durchführen.

Mach mal bitte einen Scan mit MalwareBytes => Anleitung

Hallo Cosinus
Mein PC lässt sich schon wieder nicht hochfähren. Hab gestern Windows neu draufgeschmissen aber nur auf C, mein PC lief erstmal wieder wie immer, aber leider war die Virenhorde immer noch präsent. Seit gestern abend fährt er zum Desktop hoch (Ominöserweise erscheint die Anmeldung, die sonst nie kam) aber dort kommt nun stets eine Meldung dass aus Sicherheitsgründen Windows nicht gestartet werden kann
So ist derzeit der Stand der Dinge... zum Glück steht mir allerdings noch ein zweiter PC zur Verfügung.

Ich werd jetzt erstmal wieder C neudraufsetzen und Malwarebytes durchlaufen lassen (und hoffen). Komplett System neu draufschmeissen wäre für mich die wirklich letzte Lösung

Virut ist ein Fileinfector, Du wirst das Problem nicht in den Griff bekommen, wenn Du das System nicht komplett neu aufsetzt!!

Der Virut befällt auch Dateien auf den anderen Partitionen, also bringt es nichts die Datei darauf auch zu behalten.

Ok Ergebnis von Malware (nach dem ich erstmals wieder zum Desktop komme)

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3115
Windows 5.1.2600 Service Pack 1

07.11.2009 15:14:08
mbam-log-2009-11-07 (15-14-08).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 416589
Laufzeit: 3 hour(s), 22 minute(s), 10 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 42

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\WINDOWS\system32\lowsec (Stolen.data) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CNE36F61\w[1].bin (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CNE36F61\w[2].bin (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CNE36F61\w[3].bin (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CNE36F61\w[4].bin (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KRMTI9E1\w[1].bin (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KRMTI9E1\w[2].bin (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KRMTI9E1\w[3].bin (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KRMTI9E1\w[4].bin (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KRMTI9E1\w[5].bin (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KRMTI9E1\w[6].bin (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MRU3KV6Z\w[1].bin (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MRU3KV6Z\w[2].bin (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MRU3KV6Z\w[3].bin (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MRU3KV6Z\w[4].bin (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MRU3KV6Z\w[5].bin (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MRU3KV6Z\w[6].bin (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SDCFK36V\w[1].bin (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SDCFK36V\w[2].bin (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SDCFK36V\w[3].bin (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SDCFK36V\w[4].bin (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\p*****\7C.tmp (Trojan.Cutwail) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\p*****\Lokale Einstellungen\Temp\b.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\p*****\Lokale Einstellungen\Temp\ocsmarenxw.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\p*****\Lokale Einstellungen\Temp\VRT39.tmp (Malware.Tool) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\p*****\Lokale Einstellungen\Temp\VRT75.tmp (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\p*****\Lokale Einstellungen\Temp\VRT76.tmp (Trojan.StartPage) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\p*****\Lokale Einstellungen\Temp\xecraomnws.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\p*****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KPMZ0XAZ\lo[1].txt (Trojan.Cutwail) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\P*****.MAFIA-V33738GGL\restorer32_a.exe (Trojan.Cutwail) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\P*****.MAFIA-V33738GGL\Lokale Einstellungen\Temporary Internet Files\Content.IE5\5V4G3VTU\lo[1].txt (Trojan.Cutwail) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{85E3929A-9095-4F8C-92C4-C11D194A0169}\RP6\A0004173.dll (Spyware.Passwords) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{85E3929A-9095-4F8C-92C4-C11D194A0169}\RP6\A0004177.dll (Spyware.Passwords) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{85E3929A-9095-4F8C-92C4-C11D194A0169}\RP6\A0004186.dll (Spyware.Passwords) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{85E3929A-9095-4F8C-92C4-C11D194A0169}\RP6\A0004194.dll (Spyware.Passwords) -> Quarantined and deleted successfully.
C:\Clone Cash System.url (Malware.Trace) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\p*****\Favoriten\Clone Cash System.url (Malware.Trace) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\p*****\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Windows System Defender.lnk (Rogue.WindowsSystemDefender) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\P*****.MAFIA-V33738GGL\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\p******\reader_s.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\P*****.MAFIA-V33738GGL\reader_s.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\p*****\restorer32_a.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\p*****\Lokale Einstellungen\Temp\50549.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

So viele Funde obwohl Du (angeblich) Windows neu installiert hattest? Hast Du auch formatiert? Ich würde Dir wirklich dringend eine Neuinstallation empfehlen.Mit Formatierung vorher und anschließender Absicherung. Ändere nach der Absicherung dann auch alle Passwörter vom sauberen System aus (für E-Mail-Konten, StudiVZ, Ebay...einfach alles!)

Alles klar
Letzte Frage: Kann ich noch Daten auf eine ext. Festplatte sichern bevor ich System neu aufsetze oder wegen den Viren nicht ratsam?

Ansonsten, vielen dank für den Rat ;-)

Wenn Du Daten sichern willst, dann nur reine Daten-Dateien, keine ausführbaren wie *.exe, *.msi, *.com usw.

jo geht nur um ein paar word-dokumente und etwas musik
danke und schönes wochenende noch