Trojaner-Board - .tmp dateien Virus

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - .tmp dateien Virus (https://www.trojaner-board.de/77541-tmp-dateien-virus.html)

.tmp dateien Virus

Hi,

hab einen Virus in den .tmp Dateien ( alle exen werden als Viren angezeigt)
löschen geht nicht -> Zugriff verweigert auch nicht mit UNLOCKER.
Außerdem kenne ich wahrscheinlich die exe auch schon:
C:\Dokumente und Einstellungen\Snade\Anwendungsdatein\svchost.exe
-> Sie hat eine CD als Logo
Außerdem steht da was von realtek -> ich bisitze keine Audio Karte von realtek und auch nichts anderes:rolleyes:
Hab die exe umbennant in hallo.log damit sie sich beim nächsten Neustart nicht aktiviert. Löschen kann ich sie auch nicht immer -> Zugriff verweigert.
Auch wenn ich alle svchost.exe beende kann ich nichts löschen (.tmp und .exe)

Hier mein Log:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:28:10, on 16.9.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\explorer.exe

C:\Programme\HP\HP Software Update\HPWuSchd2.exe

C:\Programme\HP\Digital Imaging\bin\hpqSRMon.exe

C:\Programme\Java\jre6\bin\jusched.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

C:\Dokumente und Einstellungen\Snade\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe

C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Dokumente und Einstellungen\Snade\Anwendungsdaten\svchost.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Programme\Unlocker\UnlockerAssistant.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll

O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - (no file)

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll

O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Programme\Orbitdownloader\GrabPro.dll

O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [hpqSRMon] C:\Programme\HP\Digital Imaging\bin\hpqSRMon.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\Snade\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [igndlm.exe] C:\Programme\Download Manager\DLM.exe /windowsstart /startifwork

O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKLM\..\Policies\Explorer\Run: [Sidebar] C:\DOKUME~1\Snade\LOKALE~1\Temp\sidebar.exe

O4 - HKUS\S-1-5-21-1060284298-507921405-725345543-1004\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')

O4 - HKUS\S-1-5-21-1060284298-507921405-725345543-1004\..\Run: [Google Update] "C:\Dokumente und Einstellungen\Snade\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c (User '?')

O4 - HKUS\S-1-5-21-1060284298-507921405-725345543-1004\..\Run: [igndlm.exe] C:\Programme\Download Manager\DLM.exe /windowsstart /startifwork (User '?')

O4 - HKUS\S-1-5-21-1060284298-507921405-725345543-1004\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized (User '?')

O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201

O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204

O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203

O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202

O9 - Extra button: HP Intelligente Auswahl - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {784797A8-342D-4072-9486-03C8D0F2F0A1} (Battlefield Heroes Updater) - https://www.battlefieldheroes.com/static/updater/BFHUpdater_4.0.23.0.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{C3C62DC4-1DF9-4DF4-9FB5-54F910CD465E}: NameServer = 205.234.170.215

O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: Messander - Unknown owner - C:\WINDOWS\Recyclers\svchost.exe (file missing)

O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies, Inc. - C:\Programme\WinPcap\rpcapd.exe
 

--

End of file - 7091 bytes

EDIT1: Die .reg einträge hab ich auch schon gelöscht und ccleaner geht nicht kommt bei cleanen immer ne Fehlermeldung. Die .reg's hab ich manuel gelöscht.

Hallo und Herzlich Willkommen! :)

So wie es aussieht, bist Du nicht der einzige Administrator an dem PC, sondern mit einem Backdoor trojaner (Hintertür) wurde ein server eingebaut, welcher es einem Unbekannten erlaubt die komplette Kontrolle über deinen Rechner zu übernehmen:o

Zitat:

Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig
Eine Neuinstallation garantiert die rückstandsfreie Entfernung der Infektion - Sicherheitskonzept v. SETI@home/Punkt 1.

Falls du doch für die Systemreinigung entscheidest:

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
Lade das SDFix von AndyManchesta eine der folgenden Links herunter:
bleepingcomputer.com
andymanchesta.com
2. auf deinem Desktop speichern
3. per Doppelklick SDFix.exe starten
4. wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken
5. starte den Rechner im abgesicherten Modus - die Taste [F8] drücken, bevor das Windows-Logo angezeigt wird
6. öffne den neu entstandenen SDFix Ordner
7. mit einem Doppelklick auf die RunThis.bat kannst Du das Skript starten
8. gib ein Y ein, um den Reinigungsprozess zu beginnen
9. nun wirst Du aufgefordert, eine beliebige Taste zu drücken, damit dein Rechner neu aufstarten kann
10. nachdem Neustart, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
11. nachdem der Lauf beendet ist - Finished - drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden

- Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern. Kopiere den Inhalt dieses Report.txt und poste ihn!

2.
poste erneut:
Trend Micro HijackThis-Logfile

3.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

4.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

5.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool ccleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

gruß
Coverflow

System neu aufgesetzt -> Virus ist trozdem noch da was soll ich machen hab deine schritte unten befolgt und jetz ist er eigentlich weg oder? :

Report.txt

Code:

SDFix: Version 1.240 

Run by Administrator on Do 17.09.2009 at 04:18
 

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix
 
 Checking Services :
 
 Name : 

protect
 
 Path :

System32\drivers\protect.sys 
 

protect - Deleted
 
 
 

Restoring Default Security Values

Restoring Default Hosts File
 

Rebooting
 
 
 Checking Files : 
 

Trojan Files Found:
 

C:\WINDOWS\SC.EXE - Deleted

C:\WINDOWS\system32\2.tmp - Deleted

C:\WINDOWS\system32\3.tmp - Deleted

C:\WINDOWS\system32\4.tmp - Deleted

C:\WINDOWS\system32\5.tmp - Deleted

C:\WINDOWS\system32\7.tmp - Deleted

C:\WINDOWS\system32\8.tmp - Deleted

C:\WINDOWS\system32\2.tmp - Deleted

C:\WINDOWS\system32\24.tmp - Deleted

C:\WINDOWS\system32\26.tmp - Deleted

C:\WINDOWS\system32\27.tmp - Deleted

C:\WINDOWS\system32\28.tmp - Deleted

C:\WINDOWS\Recyclers\svchost.exe - Deleted

C:\WINDOWS\system32\drivers\protect.sys  - Deleted
 
 
 

Folder C:\WINDOWS\Recyclers - Removed
 
 

Removing Temp Files
 
 ADS Check :

 
 
 

                                 Final Check :
 

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-09-17 04:20:23

Windows 5.1.2600 Service Pack 2 NTFS
 

detected NTDLL code modification:

ZwOpenFile
 

scanning hidden processes ...
 

scanning hidden services & system hive ...
 

scanning hidden registry entries ...
 

scanning hidden files ...
 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0
 
 
 Remaining Services :
 
 
 
 

Authorized Application Key Export:
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"\\??\\C:\\WINDOWS\\system32\\winlogon.exe"="\\??\\C:\\WINDOWS\\system32\\winlogon.exe:*:enabled:@shell32.dll,-1"

"C:\\WINDOWS\\Temp\\VRT20.tmp"="C:\\WINDOWS\\Temp\\VRT20.tmp:*:Enabled:installer"

"C:\\WINDOWS\\fonts\\services.exe"="C:\\WINDOWS\\fonts\\services.exe:*:Enabled:services.exe"
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
 
 Remaining Files :
 
 

File Backups: - C:\SDFix\backups\backups.zip
 
 Files with Hidden Attributes :
 

Wed  4 Aug 2004       147,456 ...H. --- "C:\WINDOWS\Fonts\services.exe"
 
 Finished!

HiJackThis

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 04:28:32, on 17.9.2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\sofatnet.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\System32\reader_s.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\8.tmp

C:\WINDOWS\system32\9.tmp

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Programme\HijackThis\HijackThis.exe
 

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe

O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe

O4 - HKCU\..\Run: [reader_s] C:\Dokumente und Einstellungen\Max\reader_s.exe

O4 - HKUS\S-1-5-18\..\Run: [reader_s] C:\Dokumente und Einstellungen\Max\reader_s.exe (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [sys64_nov] .\8.tmp (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [reader_s] C:\Dokumente und Einstellungen\Max\reader_s.exe (User 'Default user')

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll

O23 - Service: Messander - Unknown owner - C:\WINDOWS\Recyclers\svchost.exe (file missing)

O23 - Service: sofatnet  Service (sofatnet) - Sigma Designs In - C:\WINDOWS\system32\sofatnet.exe
 

--

End of file - 2427 bytes

Filelist - Ich weis nicht was ich posten soll.

Code:

----- Root ----------------------------- 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: 2088-EC28
 

 Verzeichnis von C:\
 

17.09.2009  04:29                43 filelist.txt

17.09.2009  04:19     2.145.386.496 pagefile.sys

17.09.2009  04:02               211 boot.ini

17.09.2009  00:26               577 RHDSetup.log

16.09.2009  23:32                 0 CONFIG.SYS

16.09.2009  23:32                 0 IO.SYS

16.09.2009  23:32                 0 MSDOS.SYS

16.09.2009  23:32                 0 AUTOEXEC.BAT

04.08.2004  14:00             4.952 bootfont.bin

04.08.2004  14:00           251.184 ntldr

04.08.2004  14:00            47.564 NTDETECT.COM

              11 Datei(en)  2.145.691.027 Bytes

               0 Verzeichnis(se), 496.051.908.608 Bytes frei

CCleaner

Code:

Alice-Installationsdateien entfernen

Atheros Communications Inc.(R) AR8121/AR8113 Gigabit/Fast Ethernet Driver

CCleaner (remove only)

High Definition Audio Driver Package - KB888111

HijackThis 2.0.2

marvell 61xx

MSN

Realtek High Definition Audio Driver

hi

Habe eine sehr schlechte Nachricht für dich:
Ich hab da mal so ein verdacht gehabt, typische Anzeichen bei dieser Infektionsart: "Virut"

Zitat:

Zitat von Snade (Beitrag 466030)

alle exen werden als Viren angezeigt

Man erkennt jetzt auf einmal im Logfile deutlich.
Was ist "Virut"?:
*W32/Virut* - der virus infiziert alle *.exe dateien auf dem laufwerk:o
Also keine chance für eine Systemreinigung, Du kannst nur eins machen: dein ganzes System neu zu installieren!
Am besten mit Killdisc die Festplatte löschen:
► Also besorg' dir Killdisc die Festplatte zu richtig und gründlich zu entrümpeln,darf nichts zurückbleiben!
► Dabei sowohl auch auf alle externe Medium gilt, eine totale Löschung erforderlich!!
► Du darfst keine Daten sichern und zurückspielen, da sonst die Gefahr besteht, dass Dein Rechner wirklich wieder nach wenigen Minute wieder infiziert wird
wenn Du doch eine Datensicherung der für dich wichtigen persönlichen Dateien möchtest - Würde es nicht empfehlen, weil gegenüber einer früheren Version v. "Virut", in letzter Zeit einige Beispiele gegeben, wo nicht nur ausführbare Dateien betroffen, sondern "harmlosen Dateitypen" auch
**Vor zurückspielen:
Problematisch sind vor allen Dingen ausführbare Dateien (darfst Du nur mit die Endung sichern wie: JPG, GIF, DOC, XLS, MP3, WMF), deswegen lautet die Empfehlung, eine solche Datensicherung gründlich zu scannen von einem suaberen System aus, am besten mit mehreren Scannern.
Dateiendungen - Dies ist eine Liste von Dateiendungen, die Dateien mit ausführbarem Code bezeichnen können.
sollte sich die Verdachtsdiagnose bestätigen, musst Du die von mir erwähnte Maßnahme zu greifen!
also mache folgendes:

→ besuche die Seite von virustotal und die Datei/en aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren:

Code:

C:\WINDOWS\system32\sofatnet.exe

C:\WINDOWS\System32\reader_s.exe

C:\Dokumente und Einstellungen\Max\reader_s.exe

C:\WINDOWS\Recyclers\svchost.exe

→ Klicke auf "Durchsuchen"
→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox)
→ "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist
→ das Ergebnis wie Du es bekommst da reinkoperen (inklusive Dateigröße und Name, MD5 und SHA1):

WTF!:koch:

Hab mit Killdisc die Festplatte gelöscht der Virus ist immer noch da genauso wie die datein ich lade sie gleich hoch aber C:\WINDOWS\Recyclers\svchost.exe geht nicht auch nicht Unter Cmd wenn ich im ordner C:\WINDOWS\Recyclers
Tab Taste drücke dann kommt zwar svchost.exe aber da steht immer wenn ich del svchost.exe mache svchost.exe nicht Gefunden und über das ordner Gui komme ich nicht mal in den Ordner auch nicht wenn ich alle Ordner anzeigen lasse!

WTF! muss ich mir jetz ne neue platte holen oder was?

Zitat:

Zitat von Snade (Beitrag 466278)

WTF! muss ich mir jetz ne neue platte holen oder was?

kann möglich sein....:teufel3:
hast Du etwas zurückgespielt? Datei/en, Programm/e etc?

1.
- poste mal bitte ein HijackThis-Logfile

2.
Master Boot Record überprüfen:

Lade Dir die MBR.exe von Gmer herunter
Speichere auf deinem Desktop
Per Doppelklick starten.
wenn das Programm fertig ist, das erhaltene Log mbr.log hier posten

Jo habs Problem gelöst nach 3x formatieren ging es:uglyhammer:

Danke für die Hilfe!

mfg. Snade

hi

- Service Pack 2 und 3 für Windows XP Komplett drauf?
- die aktuellen Updates für das Betriebssystem, Software und Hardware?
- Firewall Aktiviert?
- Antivirensoftware installiert?

möchtest Du um sicher zu gehen, dein system zu prüfen? Dann poste mir bitte:
1.
lade Dir HijackThis 2.0.2 von *von hier* herunter
HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen"

2.
Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online - Scanner - wähle "Arbeitsplatz" aus:
Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben
- speichere die Ergebnis als *.txt Datei und poste das Logfile des Scans

3.
Führe dann einen Komplett-Systemcheck mit Nod32 - die Scanergebnis als *.txt Dateien speichern)
- (ESET Online Scanner (Sicherheitseinstellungen wie unter Punkt 1.)
Speichere und Poste bitte das Logfile