brauch dringend hilfe. virus

[Leon der Pofi]

weder kapser, noch nod bringen was :/
hier ist das logfile für die eine antiviren seite

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:05:57, on 03.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
CWINDOWS\System32\smss.exe
CWINDOWS\system32\csrss.exe
CWINDOWS\system32\winlogon.exe
CWINDOWS\system32\services.exe
CWINDOWS\system32\lsass.exe
CWINDOWS\system32\svchost.exe
CWINDOWS\system32\svchost.exe
CWINDOWS\System32\svchost.exe
CProgramme\TGTSoft\StyleXP\StyleXPService.exe
CWINDOWS\system32\svchost.exe
CWINDOWS\system32\svchost.exe
CWINDOWS\system32\spoolsv.exe
CWINDOWS\Explorer.EXE
CProgramme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
cAPPS\Powercinema\Kernel\TV\CLCapSvc.exe
CWINDOWS\cm9tYW4\command.exe
CProgramme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
CProgramme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
cAPPS\HIDSERVICE\HIDSERVICE.exe
CProgramme\Network Monitor\netmon.exe
CWINDOWS\system32\svchost.exe
cAPPS\Powercinema\Kernel\TV\CLSched.exe
CProgramme\Canon\CAL\CALMAIN.exe
CWINDOWS\System32\alg.exe
CProgramme\Synaptics\SynTP\SynTPLpr.exe
CProgramme\Synaptics\SynTP\SynTPEnh.exe
CWINDOWS\RTHDCPL.EXE
CWINDOWS\system32\hkcmd.exe
CWINDOWS\system32\igfxpers.exe
CProgramme\Java\j2re1.4.2_05\bin\jusched.exe
CApps\Powercinema\PCMService.exe
CProgramme\Alcatel\Dragdiag.exe
CProgramme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
CProgramme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
CWINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE
CProgramme\QuickTime\qttask.exe
CProgramme\iTunes\iTunesHelper.exe
CProgramme\Winamp\winampa.exe
CWINDOWS\mrofinu572.exe
CWINDOWS\system32\rundll32.exe
CWINDOWS\system32\Rundll32.exe
CProgramme\iPod\bin\iPodService.exe
CProgramme\MSN Messenger\MsnMsgr.Exe
CWINDOWS\system32\ctfmon.exe
CProgramme\DNA\btdna.exe
CDOKUME~1\roman\EIGENE~1\PPPATC~1\chkntfs.exe
CWINDOWS\system32\?icrosoft.NET\r?ndll.exe
CProgramme\Belkin\USB F5D7050\Wireless Utility\Belkinwcui.exe
CWINDOWS\system32\wuauclt.exe
CWINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
CProgramme\MSN Messenger\usnsvc.exe
CProgramme\Mozilla Firefox\firefox.exe
CProgramme\Trend Micro\HijackThis\HijackThis.exe
CWINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://CAPPS\IE\offline\ger.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://as.starware.com/dp/search?x=w...lDGVprxTeHVsWa
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R3 - URLSearchHook: ScriptInocUI Class - - (no file)
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - CPROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: PBDEV2 - {4E7BD74F-2B8D-469E-A0E8-FA68B685FA7D} - CWINDOWS\system32\pbdev2.dll
O3 - Toolbar: Starware - {D49E9D35-254C-4c6a-9D17-95018D228FF5} - CProgramme\Starware\bin\Starware.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - CProgramme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - CPROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "CWINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] CWINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] CWINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SynTPLpr] CProgramme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] CProgramme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] CProgramme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [igfxtray] CWINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] CWINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] CWINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] CProgramme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [PCMService] "cApps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "CProgramme\Alcatel\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [TkBellExe] "CProgramme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Ulead AutoDetector] CProgramme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
O4 - HKLM\..\Run: [gwiz] CWINDOWS\system32\ntsystem.exe
O4 - HKLM\..\Run: [EPSON Stylus DX5000 Series] CWINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "CWINDOWS\TEMP\E_S8D.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [QuickTime Task] "CProgramme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "CProgramme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [WinampAgent] CProgramme\Winamp\winampa.exe
O4 - HKLM\..\Run: [{B4-40-01-15-DW}] CWINDOWS\system32\bv2\renabcom4.exe DWram
O4 - HKLM\..\Run: [runner1] CWINDOWS\mrofinu572.exe 61A847B5BBF728173599284503996897C881250221C8670836AC4FA7C8833201749139
O4 - HKLM\..\Run: [5c1b40ba] rundll32.exe "CWINDOWS\system32\ydccrdml.dll",b
O4 - HKLM\..\Run: [BM5f287326] Rundll32.exe "CWINDOWS\system32\bnivhcnw.dll",s
O4 - HKCU\..\Run: [MsnMsgr] "CProgramme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] CWINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "CProgramme\DNA\btdna.exe"
O4 - HKCU\..\Run: [Ruls] "CDOKUME~1\roman\EIGENE~1\PPPATC~1\chkntfs.exe" -vt ndrv
O4 - HKCU\..\Run: [Jwyoohk] CWINDOWS\system32\?icrosoft.NET\r?ndll.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] CWINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] CWINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] CWINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] CWINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: DW_Start.lnk = CWINDOWS\system32\bv2\renabcom4.exe
O4 - Startup: RocketDock.lnk = CWINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Global Startup: Belkin Wireless USB Utility.lnk = CProgramme\Belkin\USB F5D7050\Wireless Utility\Belkinwcui.exe
O4 - Global Startup: Microsoft Office.lnk = CProgramme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://CPROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Save Flash - res://CProgramme\UnH Solutions\Flash Saving Plugin\FlashSButton.dll/210
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - CProgramme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - CProgramme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: SWF To Video Scout - {586420EA-076D-4650-AD5C-EFE2171113D1} - CProgramme\SWF To Video Scout\flashextract.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - CProgramme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - CProgramme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - CProgramme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - CProgramme\Messenger\msmsgs.exe
O9 - Extra button: Flash - {43CF38F3-5AEC-45a3-AD31-04EB06E9C6CA} - CProgramme\Picasa2\Flash Saving Plugin\FlashSButton.dll (HKCU)
O14 - IERESET.INF: START_PAGE_URL=file://CAPPS\IE\offline\ger.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{530EF9BF-673A-4791-8607-2235FD89B0AC}: NameServer = 195.3.96.67 195.3.96.68
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - CProgramme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - CProgramme\Canon\CAL\CALMAIN.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - cAPPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - cAPPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: Command Service (cmdService) - Unknown owner - CWINDOWS\cm9tYW4\command.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - CProgramme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - cAPPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - CProgramme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - CProgramme\iPod\bin\iPodService.exe
O23 - Service: Microsoft cache control (MSControlService) - Unknown owner - CWINDOWS\system32\windows
O23 - Service: Network Monitor - Unknown owner - CProgramme\Network Monitor\netmon.exe
O23 - Service: StyleXPService - Unknown owner - CProgramme\TGTSoft\StyleXP\StyleXPService.exe

--
End of file - 9674 bytes

[Sebbo]

Hast du die Systemwiederherstellung deaktiviert oder auch mal im abgesicherten Modus gescannt?


Ah ja, es empfiehlt sich in jedem Fall private Dokumente/Dateien zu sichern. Es gibt keine Garantie, dass immer alles klappt.

So, mal zum Log:
Die .exe Dateien, die als schädlich oder evtl. schädlich eingestuft werden, zur Sicherheit noch einmal hiermit scannen.
Wenn sich etwas finden sollte, fixen und unter Software in der Systemsteuerung schauen, ob sich etwas findet und deinstallieren. Gegebenenfalls die .exe-Dateien dann auch manuell löschen. Ich meine HijackThis entfernt nicht direkt die .exe-Dateien, sondern verhindert nur, dass diese ausgeführt werden. Vor dem Löschen auf jeden Fall die Systemwiederherstellung deaktivieren.

Die anderen schädlichen Einträge fixen.

Bei O17 im Log wird gefragt, ob es deine IP ist. Ist sie es auch? Deutet ansonsten auf einen Trojaner hin. Wenn sie es nicht ist -> fixen
http://www.wieistmeineip.de/ Noch besser wäre es, wenn du direkt im Routerinterface nachzuschaust.


Falls es dann noch Probleme geben sollte, nachfragen

[Bible Black]

CWINDOWS\cm9tYW4\command.exe

...

Wie bereits gesagt Malware.

CProgramme\Network Monitor\netmon.exe

...

Das sieht jetzt wirklich übel aus. Kommt angeblich nur über E-Mails, verdacht?

CProgramme\Synaptics\SynTP\SynTPLpr.exe
CProgramme\Synaptics\SynTP\SynTPEnh.exe

...

Benutzt du ein Touchpad? Wenn nicht Trojan?

CWINDOWS\mrofinu572.exe

...

Trojan/Backdoor

CDOKUME~1\roman\EIGENE~1\PPPATC~1\chkntfs.exe
CWINDOWS\system32\hkcmd.exe
CWINDOWS\system32\igfxpers.exe

...

Die 3 sollen soweit ich rausfinden konnte ab und zu Probleme machen -> Resourcen fressen. Scheinen auch keine wichtigen Dateien zu sein.

CWINDOWS\system32\rundll32.exe
CWINDOWS\system32\Rundll32.exe

...

Hm...gleich 2 mal? Auch verdächtig.

CWINDOWS\system32\?icrosoft.NET\r?ndll.exe

...

Noch ne Rundll.exe? Sieht wirklich verdächtig aus.


Wie bereits in MSN gesagt scan mal im Abgesicherten Modus, wenn was gefunden wird löschen. Danach PC rebooten und nochmal scannen, sollte diesmal wieder etwas gefunden werden ist wahrscheinlich die Systemwiederherstellung an. Diese deaktivieren Arbeitsplatz->Systemwiederherstellung->Haken weg machen. Achtung ALLE Systemwiederherstellungspunkte werden gelöscht. Danach wieder scannen.
Ansonnstens auch das machen was Sebbo sagte. Besonders: "Ah ja, es empfiehlt sich in jedem Fall private Dokumente/Dateien zu sichern. Es gibt keine Garantie, dass immer alles klappt." das würde ich in deinem fall machen.

Scanner für Viren: AntiVir / Kaspersky
Malware und co.: Ad-Aware / Spybot Search & Destroy (Spybot findet allerdings manchmal bei einem zweiten oder dritten Scan gerne die jeweiligen Schädlinge wieder.)

[Sebbo]

Falls es danach keine Probleme mehr geben sollte: Passwörter ändern.
Die netmon.exe kann ganz gemein sein und Eingaben am PC loggen und versenden. Das habe ich im letzten Post vergessen zu erwähnen.

[Leon der Pofi]

geht noch immer nicht.
bei ordner öffnen hängt er sich manchmal auf, langsam ende nie, und in meinen eigenen datein ist ungefähr 300 mal die selbe scheiss datei

ich würde ja alles formatieren, aber ich hab meine ganzen word daten für die schule drauf, die ich eh bereits gesichert habe, aber nicht sicher bin unter den ganzen daten noch was vergessen zu haben :/

[NeM]

Sind die Word-Dateien infiziert? Wenn kein Virenscan bei denen anschlägt, kopier sie halt und formatier dann.

Wird die einzige Lösung sein wenn die ganzen Scanner das nicht wegkriegen.

[Gendrek]

Gut das hier schonmal so ein Thread offen ist den missbrauche ich gleich mal^^.
Hab ein dickes Problem hab mir irgendwie nen Virus eingefangen durch eine Datei die ich ausversehen runtergeladen,habe duch plötzlich aufploppende Pop-Ups.
Habe mit AntiVir schon alles gescannt aber hat nix gefunden,nur als die Datei runtergeladen wurde,da kamen 3 Meldungen wo ich jeweils angegeben habe die Dateien zu löschen.
Bin am verzweifeln den jedes mal wenn ich mein I-Net öffne,ploppen Meldungen auf das ich mir die neuste Anti-Viren Software runterladen soll.
Ich gehe allerdings nicht drauf ein da ich meinen System schon nicht mehr so ganz vertraue.Brauche echt dringend hilfe.

[Sebbo]

Immer nur im abgesicherten Modus scannen oder eben im normalen Modus die Systemwiederherstellung deaktivieren.
Fertige du auch mal ein HijackThis-Log wie Leon der Profi an und poste es.

Ansonsten eben die typischen Programme scannen lassen: Spybot, Ad-Aware und einen Antivirenscanner, aber wie gesagt: Im abgesicherten Modus oder eben die Systemwiederherstellung deaktivieren.

Tz tz tz, immer diese Pornoseitensurfer. :-D

[Gendrek]

Tz tz tz, immer diese Pornoseitensurfer. :-D

...

Und ausversehen ein Pop-Up als Surfbrett zu verwenden ist wohl ziemlich dumm XD.
Spaß beiseite mittlerweile werde ich von Virenmeldungen übeflutet,das ich mich fast nurnoch damit beschäftigen kann diese wegzuklicken.
Mein System macht es mir unmöglich ins Internet zu gehen,da ich die Befürchtung habe das mir der Virus schädliche Software runterlädt(hab die Befürchtung das es ein Backdoor-Virus sein könnte).Deshalb poste ich schon von dem Laptop meiner Eltern.
Zusätzlich ist mein System im Vergleich zu 4 Uhr langsamer geworden.
Hab nun den Schritt gewagt mein System neu aufzusetzen,da meine Daten alle ersetzbar sind.
Trotzdem danke für die schnelle hilfe btw. hat im abgesicherten modus nix gefunden nur 2 Warnungen gegeben das er Dateien nicht öffnen könnte(beide befanden sich im Windows Ordner ).

[Leon der Pofi]

so. northon hat einiges gekillt.
jetzt hab ich nur noch die eine fehlermeldung, die ich oben gepostet habe.

und ab und zu dauert ein ordner ewig zum laden, aber ich glaube das ist weil ich jetzt norton, antivir und nod draufhabe und das ressourcen frisst, also schmeiss ich mal alles bis auf norton runter

[Whiz-zarD]

Ich würde dir raten, alles wegzuschmeissen und zu einem vernünftigen Virenscanner greifen. z.B. Kaspersky.
Norton ist ebenfalls der letzte Dreck.

[Sebbo]

Wenn man Norton drauf hat, dann hilft auch keine einfache Deinstallation. Das frisst sich ja so tief in das System rein und nistet sich dort ein. :-D

[Leon der Pofi]

hab kasperksy versucht aber das ist ein witz. die dauer der überprüfung würde 3 tage und 22 stunden dauern laut der anzeige....