(Reinhäng)...

Also auf deinem System ist ein Virut drauf???? Steht zumindest mal im SAM Log...also das ist ne ganz blöde Angelegenheit! Ausserdem haste da Dropper drauf, die bestimmt auch wieder schön "Nachhause Telefonieren"

Ich als NON PRO und NO SUPPORTER würde da schon fast sagen...Neuinstallieren!

Die Kiste is ja schön verseucht. Kaum haste paar runter, kommen schon die nächsten!

Und jetzt weiter mit dem Support von Cosinus!

Okay. Mich würden jetzt mal Kontrollscans mit Malwarebytes und SUPERAntiSpyware interessieren, mach das mal und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

BTW: Ich würde BIOTEC schon mit der Neuinstallation von WIndows zustimmen, aber bis Du die Vista-DVD hast, wäre ein berenigtes System erstmal besser als garkeins

Wollt grad beide aktualisieren und bei beiden kam eine Fehlermeldung dass der Zugang zum Internet blockiert ist. Außerdem ist der PC jetzt extrem langsam. Ich versuchs jetzt mal mit meiner Recovery DVD.
Ich mach dann auch gleich mal einen Scan. Zuerst mit HiJack oder?
Habt ihr vielleicht noch einen Tip für ein gutes Freeware Antivirenprogramm? Ich hab im Moment AntiVir und Norton Demo(war schon drauf) ja und die haben eigentlich nie was erkannt, obwohl dauernd Updates geladen wurden. Achja und übrigens ^^ danke für die Hilfe

Mach mal die Scans ohne Aktualisierung.

Ist leider auch unmöglich... entweder werden die Scans abgebrochen oder der PC bleibt hängen, ...

Geh nochmal mit OSAM ran und deaktivier diese Einträge:

Zitat:

[AppInit DLLs]
-----( HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows )-----
"AppInit_DLLs" - ? - app_dll.dll (File not found)

[Common]
-----( %SystemRoot%\Tasks )-----
"At62.job" - ? - c:\program files\adobe\acrotray .exe (File found, but it contains no detailed information)
"At69.job" - ? - c:\program files\adobe\acrotray .exe (File found, but it contains no detailed information)
"{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job" - ? - C:\Windows\TEMP\Nkj.exe (File found, but it contains no detailed information)

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"ksermxi" (ksermxi) - ? - C:\Windows\system32\drivers\ksermxi.sys (Hidden registry entry, rootkit activity | File not found)

[Logon]
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon )-----
"Userinit" - ? - C:\Windows\system32\mspbue32.exe (File is exclusively opened, access blocked | File found, but it contains no detailed information)
"Userinit" - ? - C:\Windows\system32\mszqha32.exe (File found, but it contains no detailed information)

Ich muss ja eh Windows neuinstallieren, und im Moment läuft wirklich fast gar nix, es läd 10 min wenn ich nur auf den Arbeitsplatz klicke. Ich denke die Recovery wird das beste sein oder? Wollte die nämlich eigentlich jetzt machen. Da wäre es ja eigentlich sinnlos noch groß vorher was zu machen oder?

Jo kannste auch machen. Hätte mich aber schon interessiert, welche Rootkits das waren bzw. ob die noch unbekannt sind.

Also ich eröffne jetzt mal keinen neuen Thread ok?
Hab jetzt erstmal einen Scan mit HiJack gemacht:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:06:09, on 31.03.2010
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16546)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Programme\G DATA AntiVirenKit 2007 Trial\AVKTray\AVKTray.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\ICQ7.1\ICQ.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
R3 - URLSearchHook: (no name) - - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA AntiVirenKit 2007 Trial\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [QuickFinder Scheduler] "c:\Program Files\WordPerfect Office X3\Programs\QFSCHD130.EXE"
O4 - HKLM\..\Run: [recinfo464] c:\RecInfo\RecInfo.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [fsc-reg] C:\ProgramData\fsc-reg\fscreg.exe 20100331
O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ7.1\ICQ.exe" silent loginmode=4
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O9 - Extra button: ICQ7.1 - {71BFC818-0CED-42D6-9C87-5142918957EE} - C:\Program Files\ICQ7.1\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7.1 - {71BFC818-0CED-42D6-9C87-5142918957EE} - C:\Program Files\ICQ7.1\ICQ.exe
O13 - Gopher Prefix:
O23 - Service: AVKProxy - G DATA Software AG - C:\Program Files\Common Files\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA AntiVirenKit 2007 Trial\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA AntiVirenKit 2007 Trial\AVK\AVKWCtl.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: ProtexisLicensing - Unknown owner - c:\Windows\system32\PSIService.exe
O23 - Service: Fujitsu Siemens Computers Diagnostic Testhandler (TestHandler) - Fujitsu Siemens Computers - C:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe
O23 - Service: UPnPService - Magix AG - C:\Program Files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe

--
End of file - 4864 bytes

Wieso denn jetzt HJT? Das zeigt fast nichts an!
Oder biste schon mit der Windows-DVD rübergegangen?

Ja also das ist jetzt schon nach der Neuinstallation.

Sieht natürlich ok aus. Eine Neuinstallation (mit Formatierung) kann ein Schädling nicht überleben.

Du musst Dich unbedingt um die Updates kümmern, da fehlt das SP2 und der IE8!!

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Also es ist so... Bei Windows Vista muss man ja die Recovery selbst brennen und ich hab das leider nicht sofort gemacht als ich den PC gekauft hab, sondern erst später. Ja hab gestern die Recovery gemacht und jetzt hab ich das Problem, dass ich immer noch irgendwas in den Windows Dateien drin hab.
Antivir meldet mir ein paar Trojaner und einen Virut.
Hab grad einen Komplettscan mit Malwarebytes gemacht und der hat gar nix gefunden!?
Also ich bekomm keine Fehlermeldung oder so aber nach einer bestimmten Zeit gehen meine Browser nichtmehr. Und das hat nix mit dem Internet zu tun die Verbindung geht noch. Ich bekomm dann Error 404 oder so angezeigt.
Mit was sollte ich jetzt noch scannen?

Zitat:

dass ich immer noch irgendwas in den Windows Dateien drin hab.

Mit welchen Recovery-Medien? Hast Du die selbst gebrannt auf dem verseuchten System?

Zitat:

und einen Virut.

Wo wurde der gefunden? Ich dachte das wird hier von anfang an klar gemacht, dass man bei Virenmeldungen immer den kompletten Pfad anzugeben hat!!
Hast Du irgendwas ausgeführt, was auch verseuchten System verarbeitet wurde?

Ja die Recovery-DVD hab ich selbst gebrannt, aber leider nicht gleich am Anfang. Ich wusste natürlich net dass schon ein Virus auf dem PC ist als ich die gebrannt hab. Aber immerhin läuft der PC jetzt wieder und es kommen keine tausen Fehlermeldungen.

Also Avira hat verschiedene Sache gefunden:
z.B.
In der Datei 'C:\Windows\Temp\_avast4_\unp102241053.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ASPM.Gen' [trojan] gefunden.

'L:\lukas\PhotoshopCS4Portable\App\Photoshop\Required\Droplet Template.exe'
wurde ein Virus oder unerwünschtes Programm 'W32/Virut.Gen' [virus] gefunden.

Ja und davon gibts ca. 50 Funde, aber ich denk mal dass das meiste Fehlmeldungen sind, da Malware ja nichts anzeigt und ich z.B. Photoshop früher schon drauf hatte und da auch nicht war.