PC spinnt viren,trojaner ect.

http://sicher-ins-netz.info/analyse/
Poste mal die Logfile, dann sehen wir weiter.

 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:13:01, on 12.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\STAMPIT\BINARY\STRAY.EXE
C:\Programme\CyberLink\PowerDVD8\PDVD8Serv.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\HP\Digital Imaging\bin\hpqbam08.exe
C:\Programme\HP\Digital Imaging\bin\hpqgpc01.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\uTorrent\uTorrent.exe
C:\Programme\VideoLAN\VLC\vlc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_clipbook.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.net/de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O4 - HKLM\..\Run: [C6501Sound] RunDll32 c6501.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [STAMPIT-Tray] C:\Programme\STAMPIT\BINARY\STRAY.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RemoteControl8] C:\Programme\CyberLink\PowerDVD8\PDVD8Serv.exe
O4 - HKLM\..\Run: [PDVD8LanguageShortcut] C:\Programme\CyberLink\PowerDVD8\Language\Language.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [hpqSRMon] C:\Programme\HP\Digital Imaging\bin\hpqSRMon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [prunnet] "C:\WINDOWS\system32\prunnet.exe"
O4 - HKLM\..\Run: [ac11971b] rundll32.exe "C:\WINDOWS\system32\xnaoxxjb.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [prunnet] "C:\WINDOWS\system32\prunnet.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: HP Intelligente Auswahl - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{27D6994D-D13D-4103-AFDF-8D5D45191376}: NameServer = 62.220.18.8 89.246.64.8
O17 - HKLM\System\CS1\Services\Tcpip\..\{27D6994D-D13D-4103-AFDF-8D5D45191376}: NameServer = 62.220.18.8 89.246.64.8
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: wfqnvf.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Programme\Gemeinsame Dateien\SureThing Shared\stllssvr.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe

--
End of file - 8035 bytes

Platform: Windows XP SP2 (WinNT 5.01.2600)   SP3 ist Pflicht !!

http://www.hijackthis.de/   <<< LOG da auswerten...

Du hast einen Backdoor Trojaner!
Formatieren und danach das Sp3 Update nicht Vergessen.

o20  eintrag backdoor.
Formatieren und install !!

also PC neu aufsetzen richtig ?

 

O4 - HKLM\..\Run: [prunnet] "C:\WINDOWS\system32\prunnet.exe"
O4 - HKCU\..\Run: [prunnet] "C:\WINDOWS\system32\prunnet.exe"

die wurden als äußerst schädlich gemeldet
 

Ja, tu dir den Gefallen.

was ist mit meinen daten die ich auf der platte hab sind die alle fürn eimer oder kann man da noch was retten
und wie sieht es mit meiner 2. partition aus? alles runter oder kann die bleiben
auf c: sind windows und die ganzen systemdatein und programme auf F: nur daten und spiele 

Daten auf Externe retten (Sticks/Platte) .
VOR Öffnen/ Einspielen SCANNEN !!!
Am besten von Bootbarer AV-CD ( Avira? )

http://www.avira.com/de/support/support_downloads.html
Avira AntiVir Rescue System
Das Avira AntiVir Rescue System ist eine linux-basierte Applikation, die es erlaubt auf Rechner zuzugreifen, die nicht mehr gebootet werden können. Auf diese Weise ist es möglich, ein beschädigtes System zu reparieren, Daten zu retten oder eine Überprüfung des Systems auf Virenbefall durchzuführen. Das Rescue System kann nach dem Herunterladen per Doppelklick auf eine CD/DVD gebrannt werden. Dieses CD/DVD kann dann benutzt werden, um einen Rechner zu booten. Das Avira AntiVir Rescue System wird mehrmals täglich aktualisiert, so dass immer die aktuellsten Sicherheitsupdates zur Verfügung stehen.

also noch mal für blöde (wie mich)

1.alles was ich behalten will auf externe festplatte kopieren
2.Avira AntiVir Rescue System runterladen und auf cd brennen
3.festplatte (beide partitionen) formatiren
4. auf XP-SP3 updaten
5.externe festplatte anschliesen und vor dem öfnen mit AntiVir scennn lssen (oder mit Avira AntiVir Rescue System?)
6.was tun um das in zukunft zu verhindern ?
 

noch mal ne frage was ist den mit der fix checked von HijackThis kann man den trojaner nicht damit entfernen ?

nein geht nicht,da sich der immer noch irgendwo hinkopiert hat.

Deine anleitung war richtig.

In zukunft HW firewall ein antivirus pogramm und search und destroy spayware drauf hauen.
Dann noch auf deinem Admin konto ein langes pw draf hauen.

Deine anleitung war richtig.

In zukunft HW firewall ein antivirus pogramm und search und destroy spayware drauf hauen.
Dann noch auf deinem Admin konto ein langes pw draf hauen.

OK dann bleibt mir wohl nichts anderes übrig
eine letzte frage hab ich noch was meinst du mit "HW-firewall"

ich hatte vor die windowsFW wider zu nutzen AntiVir und spybot S&D kommt sowieso wider drauf 

HW Firewall = die, die im Router eingebaut ist. Musst mal in der Betriebsanleitung deines Routers nachgucken, ob der eine hat. Oder bei Unschlüssigkeiten hier den Namen sagen. Irgendwer wird sich mit dem Modell schon auskennen. Prinzipiell gute Kombo. Windowsfirewall kannste auch anlassen

ich hab keinen router nur mein DSL modem hab nämlich nur einen PC
 

..den Eintrag kannst du nicht so einfach fixen und alle Programme der Welt bekommen ihn nicht restlos beseitigt!
Denn, dann würden Sie nicht mehr existieren.
Formatier!..oder ich werde hier vieleicht noch Ausfallend   

Gibt es auch Modemses mit Firewall? Weiß ich gerade nicht... Dann schalt auf alle Fälle die Windowsfirewall ein.

..den Eintrag kannst du nicht so einfach fixen und alle Programme der Welt bekommen ihn nicht restlos beseitigt!
Denn, dann würden Sie nicht mehr existieren.
Formatier!..oder ich werde hier vieleicht noch Ausfallend  

mach ich ja hab schon angefangen daten auf DVD´s zu kopieren
werd im laufe der woche eine externe platte zu besorgen und den rest an daten durchzusieben was ich noch brauch und was müll ist

und da ich ein PCnoob :'( bin werd ich die formatirung und installation von windows und dem SP3 nem fachman überlassen so das ich nur noch die ex-platte zu scannen brauche und dann hoffe ich das ich von viren und dem anderen dreck verschont bleibe wenn ich antivir spybot S&D und die windowsFW anhab und alles update

ich möchte mich schon mal bei allen herzlich bedanken für eure hilfe und ratschläge

solte sich noch was ergeben oder noch probleme auftreten meld ich mich wieder

also danke und alles erdenklich gute für euch alle   
 

..warte mal welches xp hast du auf der Installations Cd, denn das brauchst du erstmal dafür..
Denn Rest bekommst du auch selbstständig mit unserer Hilfe hin.
Im Normalfall!

schau mal hier:
http://www.windows-tweaks.info/html/windows-xp-installation.html

so der pc ist enteumeld und läuft wider
jetzt noch eine frage zu:

Dann noch auf deinem Admin konto ein langes pw draf hauen.

das ist Start-menü -> Bild-PCname ->Benutzerkonto -> Kennwort erstellen
richtig?

bei welchen gelegen heiten wird das den abgefragt ?
 

hallo,

wie lang dein ADMIN PW ist irrelevant.
du solltest nur nicht im ADMIN konto arbeiten!

mfg Zidane 

wie meinen nicht im Admin-konto arbeiten ?
wenn ich den pc hoch fahre hab ich nur ein konto 

hallo,

DANN macht du dir ein zweites konto auf (eingeschränkt).

mfg Zidane

hallo,

DANN macht du dir ein zweites konto auf (eingeschränkt).

mfg Zidane

ich wäre dir dankbar wenn du das erklären köntest
ich bin alein am PC und der einzige der was installiert und so
da muss es doch reichen wenn ich ein admin-PW erstelle (egal wie lang oder kurz )

und bei welchen gelegenheiten wird das PW abgefragt ?

auch mit langem PW ?

kann ich den auch über das eingeschränkte konto die XP, antivir, spybot ect. updates machen sowie die   systemprüfung von antivir und spybot ?


wo und bei welchen gelegenheiten wird den jetzt das
admin-PW abgefragt 

Nach instalation den admin mit kennwort versehen,dies aber über die systemsteuerung erledigen.Dabei auch den versteckten admin mit einem kennword versehen.Dann eine benutzer mit eingeschränkten rechten erstellen,um darunter zu arbeiten.
Die pogramme sollten es ermöglichen,auch als benutzer die updates zu erlediegen.Kann ein pogramm dies nicht,ist es unbrauchbar.
Ein arbeiten mit admin rechten sollte unterbleiben oder Du darfst alle 4 wochen formatieren,sofern kein sauberes image vorhanden.Das ist sicherlich nicht sonderlich fein.