Guten Tag.

Ich habe ein Problem. Und zwar habe ich 'PC ACME' auf dem PC. Ich bekomme es aber nicht mehr weg. Wenn ich den PC hochfahre kommt immer die Meldung:

"Wenn Sie 'PC ACME' testen wollen klicken Sie 'Ja' und wenn sie es entfernen möchten klicken Sie 'Nein' .

Wenn ich aber 'Nein' klicke stürzt der PC ab und ich bekomme angezeigt:

"BAD_POOL_HEADER

Übertrage Daten des physichen Systems...

bla bla..."

Ich habe mir aus dem Internet 3 diverse Spyware-Remover gezogen, aber 2 davon funktionierten erst gar nicht und der 3. hat gar nichts gefunden.

Als ich die ersten beiden deinstallieren wollte, ist der PC wieder abgestürzt und es kam wieder diese Meldung...

Was soll ich machen?

Danke im Vorraus!

MfG

brainfuck

Guten Tag @ brainfuck,

erstelle bitte ein Hijack This Logfile und poste es mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html.

Besuche diese Seite: www.trojaner-info.de und lade Dir dort 'Ad-Aware 6 Personal' und 'Spybot-Search & Destroy 1.3' runter, scanne damit Deinen Rechner und lass die bestehenden Probleme beheben.

Lade dann den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht löscht.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

SD

Logfile of HijackThis v1.98.2
Scan saved at 16:47:59, on 18.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\twunk_32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\MicroStar\WLANUtility\WlanUtility.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinAce\WinAce.exe
C:\DOKUME~1\Fresh\LOKALE~1\Temp\~AceTemp\hijackthis1982\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - Default URLSearchHook is missing
O2 - BHO: C:\WINDOWS\lbbho.dll - {D1D20A7E-1B49-4010-9AB9-2F43E5830C06} - C:\WINDOWS\lbbho.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\system32\rmctrl.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [StarSkin] C:\PROGRAMME\ROCKET DIVISION SOFTWARE\STARSKIN\STARSKIN.EXE -H
O4 - HKLM\..\Run: [Twain.dll Client's 32-Bit Thunking Serv] C:\WINDOWS\system32\twunk_32.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe
O4 - HKLM\..\Run: [SpyHunter] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe
O4 - HKLM\..\RunServices: [Twain.dll Client's 32-Bit Thunking Serv] C:\WINDOWS\system32\twunk_32.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: ASE Scheduler.lnk = C:\Programme\Aluria Software\ASE\ASE Scheduler.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WlanUtility.lnk = C:\Programme\MicroStar\WLANUtility\WlanUtility.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab30149.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab30149.cab
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll

--------------------------------------------------------------------------

eScan-LOG

Thu Nov 17:51:47 2004 => File C:\DOKUME~1\Fresh\LOKALE~1\Temp\ComputerSchock.zip infected by "not-virus:Hoax.Win32.ComputerSchock" Virus. Action Taken: No Action Taken.

Thu Nov 18 17:51:48 2004 => File C:\DOKUME~1\Fresh\LOKALE~1\Temp\edb5a7.exe infected by "TrojanDownloader.Win32.Swizzor.bn" Virus. Action Taken: No Action Taken.

Thu Nov 18 17:51:54 2004 => File C:\DOKUME~1\Fresh\LOKALE~1\Temp\idl18467.exe infected by "TrojanDownloader.Win32.IstBar.er" Virus. Action Taken: No Action Taken.

Thu Nov 18 17:52:21 2004 => File C:\DOKUME~1\Fresh\LOKALE~1\Temp\Sheep.zip tagged as not-a-virus:Simulator.Win16.Sheep. No Action Taken.

Thu Nov 18 17:52:22 2004 => File C:\DOKUME~1\Fresh\LOKALE~1\Temp\Shooting Range.zip infected by "not-virus:Joke.Win32.JepRuss" Virus. Action Taken: No Action Taken.

Thu Nov 18 17:52:23 2004 => File C:\DOKUME~1\Fresh\LOKALE~1\Temp\sysgxnt.exe infected by "TrojanDownloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.

Thu Nov 18 17:52:23 2004 => File C:\DOKUME~1\Fresh\LOKALE~1\Temp\temp.frC0CC infected by "Trojan-Downloader.Win32.Swizzor.cd" Virus. Action Taken: No Action Taken.

Thu Nov 18 17:55:04 2004 => File C:\DOKUME~1\Fresh\LOKALE~1\TEMPOR~1\Content.IE5\0J3BMWDP\prompt[1].htm infected by "TrojanDownloader.JS.IstBar.a" Virus. Action Taken: No Action Taken.

Thu Nov 18 17:55:04 2004 => File C:\DOKUME~1\Fresh\LOKALE~1\TEMPOR~1\Content.IE5\0J3BMWDP\rbot[1].exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Thu Nov 18 17:55:05 2004 => File C:\DOKUME~1\Fresh\LOKALE~1\TEMPOR~1\Content.IE5\0J3BMWDP\rbot[2].exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Thu Nov 18 18:00:50 2004 => File C:\DOKUME~1\Fresh\LOKALE~1\TEMPOR~1\Content.IE5\BJXVR9KW\prompt[1].htm infected by "TrojanDownloader.JS.IstBar.a" Virus. Action Taken: No Action Taken.

Thu Nov 18 18:04:54 2004 => File C:\DOKUME~1\Fresh\LOKALE~1\TEMPOR~1\Content.IE5\MNMFEXEB\ger_nopop[1].exe infected by "Trojan.Win32.Dialer.dc" Virus. Action Taken: No Action Taken.

------------------------------------------------------------------------

Und jetzt?

@ brainfuck

Zitat:

Thu Nov 18 17:55:04 2004 => File C:\DOKUME~1\Fresh\LOKALE~1\TEMPOR~1\Content.IE5\0J3BMWDP\rbot[1].exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Thu Nov 18 17:55:05 2004 => File C:\DOKUME~1\Fresh\LOKALE~1\TEMPOR~1\Content.IE5\0J3BMWDP\rbot[2].exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Die Sophos Viren-Enzyklopädie: Backdoor.Win32.Rbot.gen-> "Erläuterung" beachten.

Es wird sehr wahrscheinlich nicht genügen, die TIF zu leeren, um diesen Wurm vom System zu bekommen. Dieser Wurm mit Backdoor-Funktionalität hinterläßt Schlüssel in der Registry, Code auf dem System .. und das alles, um Dritten Fernzugriff auf Deinen Rechner zu erlauben. Dein System muss als kompromittiert betrachtet werden, ist folglich nicht mehr sicher.

Ich empfehle Dir daher Deine Festplatte zu formatieren - Schritt für Schritt und Dich dazu an diese Tipps zu halten:

Lutz: Datensicherung und Cidre's Rat

SD