Windows Vista: was soll ich tun mit dem virus?

Generell ...
sollte man seine Daten nach Befall sichern ,und den PC neu aufsetzen (Formatieren & Installieren) .....

------------------------------------------------------------------------------------------------------------

zuerst : Browsercache & Cookies löschen

Plattenbereinigung machen zum löschen aller temporären Dateien
Zubehör .....oder :
Arbplatz , Rechtsklick auf die Platte , Eigenschaften ,Bereinigen

dann :
HijackThis , im Normalmodus !
http://www.hijackthis.de/     <<< Download & Auswertung
http://members.linzag.net/680262/HJT/HijackThis.html    <<<Beispiel
Log  ggf hier posten.

-------------------------------------------------------------------------------------------------------------

Virenscan    (unbedingt immer im abgesicherten Modus machen)  !
Denn im Normalmodus sind etliche Dateien gesperrt .

Ausserdem verstecken sich welche ggf in der Systemwiederherst.
Vor dem Scan dort unter SYSTEM die Systemwiederherstellumg AUS ,
(vorsicht, alle Punkte sind dann weg)
----------------
Viren-Vollscan machen imabges. Modus mit DEINEM Virprog.
----------------
MalwareBytes  Vollscan im Normal-Modus machen....
Achtung :
vor Scan >> 1x "Update" anklicken ...  !  !

http://www.paules-pc-forum.de/forum/4-pc-sicherheit/107467-malwarebytes-anti-malware.html

http://www.zdnet.de/adware_entfernen_unter_windows_malwarebytes__anti_malware_download-39002345-88313-1.htm

http://www.trojaner-board.de/51187-anleitung-malwarebytes-anti-malware.html

http://www.hijackthis-forum.de/showthread.php?p=174914

---------------
Systemwiederherst. wenn OK = wieder AN
Normalstart und Systemwiederherstellungspunkt setzen .

-------------------------------------------------------------------------------------------------------------

Abgesicherter Modus:
Beim Start des PC  mehrfach die F8 drücken , spätestens beim  PIEP
des schwarzen Schirms mit dem Blinkstrich ....

Alternativ :
msconfig  <<< ausführen , dann Diagnosestart wählen .
Später wieder auf "normalen Systemstart" umstellen !!

-------------------------------------------------------------------------------------------------------------

Vista:           *** SysWdh.jpg *** unter Hilfe.pic
SYS-WDH AN/AUS in Vista ... in Syst-Steu.: "Computerschutz eingebe bei Suche.
Dann  auf "ein-ausschalten" & Haken bei Platten raus ...

-----------------------
XP
Systemwiederherstellung   AUS
Rechtsklick auf Arbeitsplatz
Eigenschaften , Systemwiederherstellung
Deaktivieren AN-haken : <<< Vorsicht , damit sind ALLE Punkte weg !!

Systemwiederherstellung   AN
Eigenschaften , Systemwiederherstellung
Deaktivieren AB-haken
Danach ggf Wiederherstellungs-Punkt setzen .
 z.B. Start , Hilfe & Supp. , System-WDH , neuen Punkt setzen

-------------------------------------------------------------------------------------------------------------

Wenn alles nicht hilft :
mit Knoppix-CD
http://www.computerhilfen.de/info/video-anleitung-daten-retten-mit-knoppix-2.html
-------------------------------------------
oder
BartPe-LiveCD
http://www.wintotal.de/Artikel/pebuilder/pebuilder.php
http://www.computerhilfen.de/jueki/BartPE-CD_mit_Deutscher_Oberflaeche.pdf

http://www.nu2german.de/pebuilder319.shtml

http://www.pebuilder.de/

http://www.pcwelt.de/downloads/108595/

-------------------------------------------------------------------------------------------------------------

und ist der virus schlimm.? 

JEDER Virus ist schlimm ... weil DU den nächsten PC damit ansteckst .
Arbeite das ab ! Und sei vorsichtiger ,wo Du draufklickst ....

Ist dein GOOGLE kaputt ?
http://www.google.de/search?q=worm+agent+466944&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:de:official&client=firefox-a
 

Ich bin immer vorsichtig gewesen mit allem. Ähm. Was mach ich gegen diesen komischen worm/agent... ?!

LASS ES DIR VORLESEN ???? Antwort 1 !!!

Da versteht man auch echt sehr viel.
Sry aber ich bin kein lebender Computerfreak.

DANN such dir Hilfe VOR ORT , eine Erklärung zu Erklärung geht hier nicht.

sehr freundlich. ich pack das auch allein ey. iwie. 

Schließe mich an:  Sehr freundlich und gepflegter Umgangston hier!

Die Beschreibung (die tolle Antwort 1) ist so, als ob jemand am Rechner sitzt und einem etwas zeigen möchte: Dann klickst du hier, dann hier, hier den Haken setzen, usw. usw. Und das alles in wenigen Sekunden.
Da schaltet jeder auf Durchzug und hört nicht mehr zu.

Das ist jedoch nicht das wirklich schlimme.

Wie schon angedeutet: es ist der Ton hier! 

QUATSCH ...wer Hilfe will , kann sich die Antwort drucken und dann danach vorgehen.

Wer die Anleitung nicht versteht , braucht sowieso Hilfe vor Ort .

Kostenlose Hilfe erwarten und dann zu FAUL,sich etwas anzustrengen ...  mit MIR nicht . 

also ich finde die erklärung gut verständlich vielen dank dafür!!!
habe alles nach anleitung gemcht hoffe ich bin ihn jetzt wieder los

Ggf die Protokolle / LOGs hier zeigen , dann können die Spezialisten nochmal nachsehen !

@ Mr.W.

tut uns leid, dass wir nicht für jeden Schritt einen Screenshot bei der Hand haben. wirklich ich werde mich bemühen um so zu posten, das Du auch damit was anfangen kannst 

und wer es nicht versteht, kann ohne Probleme nachfragen
ist mir/ uns lieber, als wenn auf "eigene Faust" was versucht wird

Wir versuchen hier so gut zu helfen, wie es uns möglich ist
wenn Du damit nichts anfangen kannst kann ich das nicht ändern

Ja der Ton ist ab und an etwas rau hier aber muss manchmal sein

Und an alle die das Problem haben und HCKs Schritte abgearbeitet haben, so einfach ist es mit der Malware heutzutage nicht mehr

Wer mit HJT , AV-Pog (abges. & o. SysWdh) sowie MalwareBytes durch ist hat das Gröbste geschafft .

Ist ein Guter Anfang , um ggf in die Tiefe zu gehen .

Aufräumen, BEVOR der Kammerjäger kommt.. ???  

Nein HCK
Damit würde man nur Kleine Spuren beseitigen
das grobe sitzt vl schon im Kernel

und HJT ist kein Antimalware Tool sondern ein Scan Programm was ürsprünglich für die Bekämpfung von HiJacking ist,wurde aber etwas weiter entwickelt

SIEHE fette Überschrift in meiner Antwort....

Klar , hätte der Poster wie gefordert die Logs gleich gezeigt ..., wären wir weiter .
HINTERHER Sprüche machen hilft nix mehr ... wo wart IHR denn ?
WO ist eure "Erste-Hilfe-Anweisung" ??

http://www.computerhilfen.de/hilfen-17-235710-0.html#msg1169966
Habe diese früher genutzt, haben noch weniger verstanden . 

Ja auch ich habe damals durch diese HJT kennen gelernt

und der Onlinescan ist zu beginn umsonst aber egal jz

Es gibt im Endeffekt keine Erste Hilfe

Ich ziehe es vor mir zuerst anzusehen was am System ist und danach weitere schritte (remover) einzuleiten

Jeder macht das etwas anders
Aber mann sollte sich ein gewisses Arbeitsschema aneignen

Darum steh ich auch so auf die Zwischenposts 

Also soll ich lieber NICHTS tun , wenn sonst keiner da ist ?
DAS kann nicht die Lösung sein ... ODER ??

Also helfe ich weiter auf meine Weise ,und ihr geht danach ans "Eingemachte"   

Ich habe ja nichts gegen deine Anleitung gesagt oder  ???

Aber uns wäre so geholfen-->
1. MBAM
2.HJT
3. Genauer Fund des Virus (was wann wo)
und dann schauen wir, wie es weiter geht

Datensichern etc kann man dann machen, wenn formatiert werden muss  

hier wär mal die logfile von hjt nach dem scan mit mbam:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:25:34, on 28.05.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\ASUS\ASUS Live Update\ALU.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\ASUS\ATK Media\DMedia.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\ASScrPro.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Windows\System32\rundll32.exe
C:\Windows\WindowsMobile\wmdSync.exe
C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
D:\Programme\ICQ6.5\ICQ.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Common Files\Logishrd\LQCVFX\COCIManager.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 0000279758:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll (file missing)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files\ASUS\ATK Media\DMEDIA.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ASUS Screen Saver Protector] C:\Windows\ASScrPro.exe
O4 - HKLM\..\Run: [ASUS Camera ScreenSaver] C:\Windows\ASScrProlog.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [BrMfcWnd] C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [ControlCenter3] C:\Program Files\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [MSConfig] "C:\Windows\system32\msconfig.exe" /auto
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Windows Mobile-based device management] %windir%\WindowsMobile\wmdSync.exe
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [ICQ] "D:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O13 - Gopher Prefix:
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: ADSM Service (ADSMService) - Unknown owner - C:\Program Files\ASUS\ASUS Data Security Manager\ADSMSrv.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ATK Hotkey\ASLDRSrv.exe
O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Program Files\ATKGFNEX\GFNEXSrv.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

--
End of file - 8957 bytes


http://www.hijackthis.de/
Log da einkopieren & auswerten ... schau mal selber.
 

Bitte NICHT die Automatische Auswertung verwenden
Ich versteh nicht warum die noch online ist 

Und auch die Logfile von MBAM wäre wichtig

Andere Frage: Gibt es Probleme  ???

nur mal am rande:
Mr.W. ist nicht w3.

Das log ist ja grausig,der autostart eine zumutung zum lesen.Muß da wirklich derart viel mist drin sein?
9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O13 - Gopher Prefix:
Diese einträge sind bestimmt normal,oder?


Ach ja,eine datensicherung sollte vor jeglicher systemveränderung erfolgen,nicht vor formatierungen.hat eine systemänderung böse folgen,steht der anwender sehr fein da...
 

@larusso:
in der logfile von mbam steht überall nichts drinnen also keine funde soweit ich das richtig gesehen habe deswegen hab ich sie garnicht erst gepostet

Malwarebytes' Anti-Malware 1.37
Datenbank Version: 2187
Windows 6.0.6001 Service Pack 1

28.05.2009 18:08:49
mbam-log-2009-05-28 (18-08-49).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 261818
Laufzeit: 3 hour(s), 18 minute(s), 32 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)