brauch dringend hilfe. virus

[Leon der Pofi]

hi. ich brauche dringend hilfe. mein laptop meldet immer einen fehler beim hochfahren, dass eine systemdatei fehlt. kann nicht sagen welche, da er nur systemdatei hinschreibt >_>#

hab antivir probiert, da bekomm ich in 10 sekundentakt trojanermeldungen.
lösch sie immer oder schieb sie in quarantäne, hängt sich der computer auf.

internet geht auch kaum. ebay und youtube zb laden gar nicht mehr.


hab jetzt stinger installiert, der findet keine viren.
ich weiß auch nicht, warum ich die dinger habe, hatte noch nie probleme mit viren. besuch auch keine illegalen seiten oder sonstwas.

kennt ihr noch nen guten antivirus neben antivir und northon?

[Indy]

Abend

Erst einmal Hijackthis runterladen und die ausführbare Exe-Datei am besten gleich umbenennen (Manche Schädlinge erkennen das Programm am Namen und verstecken sich daraufhin!). Danach ein Logfile machen und gleich mal hier auswerten:

Anschließende Hijackthis-Fileauswertung

[Leon der Pofi]

danke, probiers gleich.

hier der fehler.

[Leon der Pofi]

so ich hab jetzt die logfile ausgewertet. und wie gehe ich jetzt weiter vor?
bin net so gut in dem gebiet ...

edit: ich hab 6 die äusserst gefährlich sind.

kann ich das irgendwie kopieren, damit es hier einfügen kann? damit ihr seht, welche?

[Sebbo]

Logo, du kannst "save as log" auswählen (oder so ähnlich). Den Inhalt der Textdatei kopierst du dann einfach hier rein. URLs aber bitte deaktivieren, so dass sich nicht noch versehentlich jemand etwas einfängt.
Dann können wir selbst auch das Log auswerten und uns die Ergebnisse anschauen.

Und Norton ist nicht gut! Ich empfehle immer Kaspersky. Der arbeitet effektiv und ressourcenschonend. Mcaffee kann man auch empfehlen. Mcaffee arbeitet aber nicht gerade ressourcenschonend.
Falls dir jemand NOD32 empfehlen sollte: Finger weg! Der untersucht gepackte Archive nicht effektiv. Vielleicht hat sich das ja mittlerweile geändert, aber ich denke eher nicht.

NT-Kernel Error hört sich ja schon einmal sehr heiß an.

Und für das nächste Mal:
1.) Router (Der blockt schon einiges)
2.) Ordentlichen Browser: Firefox oder Opera
3.) Nicht jeden Scheiß im Netz anklicken ... sei es Pornozeugs, Downloads zu Raubkopien (wenn dann Quellen bei denen du dir sicher sein kannst, dass sie vertrauenswürdig sind) oder irgendwelche Mailanhänge von unbekannten Absendern.
4.) Guten Virenscanner
Wenn man hinter einem Router hängt, dann passiert eigentlich schon nichts mehr, wenn man nicht wild im WWW drauf losklickt. ;-)

[NeM]

NOD32 soll ganz gut sein.

Kaspersky macht auch gute Virenscanner. Von denen gibts kostenlose Testversionen die 30 Tage lang laufen, danach musst du sie halt deinstallieren -> kaspersky.de

Hab ich bei Bedarf immer so gemacht, bevor ich mir die Vollversion geholt hab.

[Leon der Pofi]

weder kapser, noch nod bringen was :/
hier ist das logfile für die eine antiviren seite

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:05:57, on 03.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
CWINDOWS\System32\smss.exe
CWINDOWS\system32\csrss.exe
CWINDOWS\system32\winlogon.exe
CWINDOWS\system32\services.exe
CWINDOWS\system32\lsass.exe
CWINDOWS\system32\svchost.exe
CWINDOWS\system32\svchost.exe
CWINDOWS\System32\svchost.exe
CProgramme\TGTSoft\StyleXP\StyleXPService.exe
CWINDOWS\system32\svchost.exe
CWINDOWS\system32\svchost.exe
CWINDOWS\system32\spoolsv.exe
CWINDOWS\Explorer.EXE
CProgramme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
cAPPS\Powercinema\Kernel\TV\CLCapSvc.exe
CWINDOWS\cm9tYW4\command.exe
CProgramme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
CProgramme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
cAPPS\HIDSERVICE\HIDSERVICE.exe
CProgramme\Network Monitor\netmon.exe
CWINDOWS\system32\svchost.exe
cAPPS\Powercinema\Kernel\TV\CLSched.exe
CProgramme\Canon\CAL\CALMAIN.exe
CWINDOWS\System32\alg.exe
CProgramme\Synaptics\SynTP\SynTPLpr.exe
CProgramme\Synaptics\SynTP\SynTPEnh.exe
CWINDOWS\RTHDCPL.EXE
CWINDOWS\system32\hkcmd.exe
CWINDOWS\system32\igfxpers.exe
CProgramme\Java\j2re1.4.2_05\bin\jusched.exe
CApps\Powercinema\PCMService.exe
CProgramme\Alcatel\Dragdiag.exe
CProgramme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
CProgramme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
CWINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE
CProgramme\QuickTime\qttask.exe
CProgramme\iTunes\iTunesHelper.exe
CProgramme\Winamp\winampa.exe
CWINDOWS\mrofinu572.exe
CWINDOWS\system32\rundll32.exe
CWINDOWS\system32\Rundll32.exe
CProgramme\iPod\bin\iPodService.exe
CProgramme\MSN Messenger\MsnMsgr.Exe
CWINDOWS\system32\ctfmon.exe
CProgramme\DNA\btdna.exe
CDOKUME~1\roman\EIGENE~1\PPPATC~1\chkntfs.exe
CWINDOWS\system32\?icrosoft.NET\r?ndll.exe
CProgramme\Belkin\USB F5D7050\Wireless Utility\Belkinwcui.exe
CWINDOWS\system32\wuauclt.exe
CWINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
CProgramme\MSN Messenger\usnsvc.exe
CProgramme\Mozilla Firefox\firefox.exe
CProgramme\Trend Micro\HijackThis\HijackThis.exe
CWINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://CAPPS\IE\offline\ger.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://as.starware.com/dp/search?x=w...lDGVprxTeHVsWa
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R3 - URLSearchHook: ScriptInocUI Class - - (no file)
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - CPROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: PBDEV2 - {4E7BD74F-2B8D-469E-A0E8-FA68B685FA7D} - CWINDOWS\system32\pbdev2.dll
O3 - Toolbar: Starware - {D49E9D35-254C-4c6a-9D17-95018D228FF5} - CProgramme\Starware\bin\Starware.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - CProgramme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - CPROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "CWINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] CWINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] CWINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SynTPLpr] CProgramme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] CProgramme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] CProgramme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [igfxtray] CWINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] CWINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] CWINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] CProgramme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [PCMService] "cApps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "CProgramme\Alcatel\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [TkBellExe] "CProgramme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Ulead AutoDetector] CProgramme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
O4 - HKLM\..\Run: [gwiz] CWINDOWS\system32\ntsystem.exe
O4 - HKLM\..\Run: [EPSON Stylus DX5000 Series] CWINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "CWINDOWS\TEMP\E_S8D.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [QuickTime Task] "CProgramme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "CProgramme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [WinampAgent] CProgramme\Winamp\winampa.exe
O4 - HKLM\..\Run: [{B4-40-01-15-DW}] CWINDOWS\system32\bv2\renabcom4.exe DWram
O4 - HKLM\..\Run: [runner1] CWINDOWS\mrofinu572.exe 61A847B5BBF728173599284503996897C881250221C8670836AC4FA7C8833201749139
O4 - HKLM\..\Run: [5c1b40ba] rundll32.exe "CWINDOWS\system32\ydccrdml.dll",b
O4 - HKLM\..\Run: [BM5f287326] Rundll32.exe "CWINDOWS\system32\bnivhcnw.dll",s
O4 - HKCU\..\Run: [MsnMsgr] "CProgramme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] CWINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "CProgramme\DNA\btdna.exe"
O4 - HKCU\..\Run: [Ruls] "CDOKUME~1\roman\EIGENE~1\PPPATC~1\chkntfs.exe" -vt ndrv
O4 - HKCU\..\Run: [Jwyoohk] CWINDOWS\system32\?icrosoft.NET\r?ndll.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] CWINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] CWINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] CWINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] CWINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: DW_Start.lnk = CWINDOWS\system32\bv2\renabcom4.exe
O4 - Startup: RocketDock.lnk = CWINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Global Startup: Belkin Wireless USB Utility.lnk = CProgramme\Belkin\USB F5D7050\Wireless Utility\Belkinwcui.exe
O4 - Global Startup: Microsoft Office.lnk = CProgramme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://CPROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Save Flash - res://CProgramme\UnH Solutions\Flash Saving Plugin\FlashSButton.dll/210
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - CProgramme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - CProgramme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: SWF To Video Scout - {586420EA-076D-4650-AD5C-EFE2171113D1} - CProgramme\SWF To Video Scout\flashextract.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - CProgramme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - CProgramme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - CProgramme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - CProgramme\Messenger\msmsgs.exe
O9 - Extra button: Flash - {43CF38F3-5AEC-45a3-AD31-04EB06E9C6CA} - CProgramme\Picasa2\Flash Saving Plugin\FlashSButton.dll (HKCU)
O14 - IERESET.INF: START_PAGE_URL=file://CAPPS\IE\offline\ger.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{530EF9BF-673A-4791-8607-2235FD89B0AC}: NameServer = 195.3.96.67 195.3.96.68
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - CProgramme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - CProgramme\Canon\CAL\CALMAIN.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - cAPPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - cAPPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: Command Service (cmdService) - Unknown owner - CWINDOWS\cm9tYW4\command.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - CProgramme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - cAPPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - CProgramme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - CProgramme\iPod\bin\iPodService.exe
O23 - Service: Microsoft cache control (MSControlService) - Unknown owner - CWINDOWS\system32\windows
O23 - Service: Network Monitor - Unknown owner - CProgramme\Network Monitor\netmon.exe
O23 - Service: StyleXPService - Unknown owner - CProgramme\TGTSoft\StyleXP\StyleXPService.exe

--
End of file - 9674 bytes

[Sebbo]

Hast du die Systemwiederherstellung deaktiviert oder auch mal im abgesicherten Modus gescannt?


Ah ja, es empfiehlt sich in jedem Fall private Dokumente/Dateien zu sichern. Es gibt keine Garantie, dass immer alles klappt.

So, mal zum Log:
Die .exe Dateien, die als schädlich oder evtl. schädlich eingestuft werden, zur Sicherheit noch einmal hiermit scannen.
Wenn sich etwas finden sollte, fixen und unter Software in der Systemsteuerung schauen, ob sich etwas findet und deinstallieren. Gegebenenfalls die .exe-Dateien dann auch manuell löschen. Ich meine HijackThis entfernt nicht direkt die .exe-Dateien, sondern verhindert nur, dass diese ausgeführt werden. Vor dem Löschen auf jeden Fall die Systemwiederherstellung deaktivieren.

Die anderen schädlichen Einträge fixen.

Bei O17 im Log wird gefragt, ob es deine IP ist. Ist sie es auch? Deutet ansonsten auf einen Trojaner hin. Wenn sie es nicht ist -> fixen
http://www.wieistmeineip.de/ Noch besser wäre es, wenn du direkt im Routerinterface nachzuschaust.


Falls es dann noch Probleme geben sollte, nachfragen

[Bible Black]

CWINDOWS\cm9tYW4\command.exe

...

Wie bereits gesagt Malware.

CProgramme\Network Monitor\netmon.exe

...

Das sieht jetzt wirklich übel aus. Kommt angeblich nur über E-Mails, verdacht?

CProgramme\Synaptics\SynTP\SynTPLpr.exe
CProgramme\Synaptics\SynTP\SynTPEnh.exe

...

Benutzt du ein Touchpad? Wenn nicht Trojan?

CWINDOWS\mrofinu572.exe

...

Trojan/Backdoor

CDOKUME~1\roman\EIGENE~1\PPPATC~1\chkntfs.exe
CWINDOWS\system32\hkcmd.exe
CWINDOWS\system32\igfxpers.exe

...

Die 3 sollen soweit ich rausfinden konnte ab und zu Probleme machen -> Resourcen fressen. Scheinen auch keine wichtigen Dateien zu sein.

CWINDOWS\system32\rundll32.exe
CWINDOWS\system32\Rundll32.exe

...

Hm...gleich 2 mal? Auch verdächtig.

CWINDOWS\system32\?icrosoft.NET\r?ndll.exe

...

Noch ne Rundll.exe? Sieht wirklich verdächtig aus.


Wie bereits in MSN gesagt scan mal im Abgesicherten Modus, wenn was gefunden wird löschen. Danach PC rebooten und nochmal scannen, sollte diesmal wieder etwas gefunden werden ist wahrscheinlich die Systemwiederherstellung an. Diese deaktivieren Arbeitsplatz->Systemwiederherstellung->Haken weg machen. Achtung ALLE Systemwiederherstellungspunkte werden gelöscht. Danach wieder scannen.
Ansonnstens auch das machen was Sebbo sagte. Besonders: "Ah ja, es empfiehlt sich in jedem Fall private Dokumente/Dateien zu sichern. Es gibt keine Garantie, dass immer alles klappt." das würde ich in deinem fall machen.

Scanner für Viren: AntiVir / Kaspersky
Malware und co.: Ad-Aware / Spybot Search & Destroy (Spybot findet allerdings manchmal bei einem zweiten oder dritten Scan gerne die jeweiligen Schädlinge wieder.)

[Sebbo]

Falls es danach keine Probleme mehr geben sollte: Passwörter ändern.
Die netmon.exe kann ganz gemein sein und Eingaben am PC loggen und versenden. Das habe ich im letzten Post vergessen zu erwähnen.

[Leon der Pofi]

geht noch immer nicht.
bei ordner öffnen hängt er sich manchmal auf, langsam ende nie, und in meinen eigenen datein ist ungefähr 300 mal die selbe scheiss datei

ich würde ja alles formatieren, aber ich hab meine ganzen word daten für die schule drauf, die ich eh bereits gesichert habe, aber nicht sicher bin unter den ganzen daten noch was vergessen zu haben :/

[NeM]

Sind die Word-Dateien infiziert? Wenn kein Virenscan bei denen anschlägt, kopier sie halt und formatier dann.

Wird die einzige Lösung sein wenn die ganzen Scanner das nicht wegkriegen.