virus auf pc trotz windows re-installation
 

Hi,
folgendes Problem:
Ich hab mir irgendwas falsches runterladen scheinbar, auf jeden fall gabs ein PIEP und der pc schmierte ab. Seitdem hat er einen Virus.

Was passiert:
neben den üblichen nervigen sachen:
-alle sicherheitseinstellungen scheint er zu deaktivieren und man kann nichts ändern
-systemwiederherstellung klappt nicht, da ist alles gelöscht
-manche programme und manche seiten funktionieren nicht

1)hab mit ad-aware 3 mal alles scannen und alles löschen lassen aber es blieb alles beim alten
2)hab windows re-installed, bringt auch nichts..
hatte vorher SP3 drauf, da Neuinstallation nur noch SP2(sieht man im log)

jetzt bleibt mir vorm formatieren nur noch der hijack-log:

Logfile of Trend Micro HiJackThis v2.0.2
Scan saved at 6:10:03 PM, on 11/19/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\RTHDCPL.EXE
C:\DOKUME~1\chris1\LOKALE~1\Temp\winlogin.exe
C:\WINDOWS\System32\rs32net.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\rs32net.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\RegCleaner\RegCleanr.exe
C:\Programme\RegCleaner\RegCleanr.exe
C:\DOKUME~1\chris1\LOKALE~1\Temp\csrssc.exe
C:\WINDOWS\system32\utilman.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\HijackThis\HijackThis.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [xsjfn83jkemfofght] C:\DOKUME~1\chris1\LOKALE~1\Temp\winlogin.exe
O4 - HKLM\..\Run: [rs32net] C:\WINDOWS\System32\rs32net.exe
O4 - HKLM\..\Run: [7439b91f] rundll32.exe "C:\WINDOWS\system32\fduvlnkg.dll",b
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [xsjfn83jkemfofght] C:\DOKUME~1\chris1\LOKALE~1\Temp\winlogin.exe
O4 - HKCU\..\Run: [rs32net] C:\WINDOWS\System32\rs32net.exe
O4 - HKCU\..\Run: [Jnskdfmf9eldfd] C:\DOKUME~1\chris1\LOKALE~1\Temp\csrssc.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\acrobat\Reader\reader_sl.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Absolute Poker - {13C1DBF6-7535-495c-91F6-8C13714ED485} - C:\Dokumente und Einstellungen\chris1\Startmenü\Programme\Absolute Poker\Absolute Poker.lnk (HKCU)
O9 - Extra 'Tools' menuitem: Absolute Poker - {13C1DBF6-7535-495c-91F6-8C13714ED485} - C:\Dokumente und Einstellungen\chris1\Startmenü\Programme\Absolute Poker\Absolute Poker.lnk (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O20 - AppInit_DLLs: aoorfa.dll
O22 - SharedTaskScheduler: mcb7uehuj3n8weuhejsw - {C5BF49A2-94F3-42BD-F434-3604812C897D} - C:\WINDOWS\system32\jsne87fidgf.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4337 bytes

DANKE IM VORAUS !!!

Also erstmal kannste alle eintraege inner registry und datein loeschen die was mit winlogin.exe und r32net.exe zu tun haben, waeren dann im insgesamten 6. Und O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1 sollte in jedem fall geloescht werden. Hoffe das hilft erstmal weiter

Hi,

lasse bitte mla Malwarebytes laufen und poste das Log hier.

lg myrtille

@ka0t
er sagt doch, dass er noch nicht formatiert hat...

Hast du formatiert oder repariert ?

Wenn du formatiert hast würde ich an deiner Stelle alle Daten sichern und mit dem Herstellertool lowlevel machen. Das überschreibt alles auf der Platte und ist dadurch ein Mittel gegen formatierungsressistente Viren
(kann sein das normales formatieren auch reicht, ich bin mir nicht ganz sicher)


Wenn das Ding nach dem formatieren noch da ist ist es bestimmt zeitintensiver was gegen das Ding zu machen als alles komplett platt zu machen.