Win XP: DICKER VIRUS. Bitte schnelle Hilfe. Kann nicht lang Online bleiben!

 

Wie bekomme ich den weg?

Antivir zeigt kein Problem
Spyware Doctor Löscht nur die Troja´s (kommen aber immer wieder)

Norton der den gefunden hat, bekommt ihn nicht weg?!

Kann mein beitrag nicht Editieren.
Sorry...

Der Übeltäter sitzt im System32 Ordner und nennt sich
 lphclflj0e79n

Bei Windows hochfahren kommt ein Fenster mit
 Problem festgestellt muss beendet werden lphclflj0e79n "Problembericht senden / nicht senden oder so...

Also mal wieder Standardpogramm:
Daten mit knoppix sichern,auf seperate festplatte welche mit fat32 formatiert wurde und systemplatte formatieren.
Jegliche anderen maßnahmen sind reine zeitverschwendung.Aber warte mal,gleich melden sich einige gurus,die empfehlen seltsame sachen,welche am ende ein deutliches restrisiko hinterlassen.
Du kannst gerne noch ein Hijakthis log hier verlinken,aber das Dürfte grausig ausschauen.

BTW:
weshaöb konnten sich die gäste ausbreiten? hast Du mit adminrechten gearbeitet?Mit benutzer oder gastrechten wäre es nicht soweit gekommen.

ich kann sogar sagen wo ich mir den geschnappt habe...
Bei Youtube kursiert ein Video von Britney Spears Stolen Video doch ab 18.
und dieser ist verlinkt auf die Seite britney-s e x-tape.weebly.com
dann ist da ein Player und sobald man auf play drückt, will er angeblich ein Codec laden.
Man man man... sowas durchschaue ich doch sonst immer und bin immer vorsichtig...

naja jetzt hab ich den Salat ...

Hier die Log files
Habe den Übeltäter Dick makiert!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:26:56, on 09.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Norman\Bin\Zanda.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Norman\bin\NJEEVES.EXE
C:\WINDOWS\System32\alg.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Norman\bin\ZLH.EXE
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macrovision\FLEXnet Connect\6\ISUSPM.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\system32\sistray.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
G:\PhoneConnectorVMC.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Norton Security Scan\Nss.exe
G:\vmc.exe
C:\Programme\Trend Micro\HijackThis\HJT1991.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: CodecPlugin Class - {098716A9-0310-4CBE-BD64-B790A9761158} - C:\WINDOWS\system32\RichVideoCodec.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Programme\Styler\TB\StylerTB.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LXBUCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBUtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [LXBYCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBYtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run:  [lphclflj0e79n] C:\WINDOWS\system32\lphclflj0e79n.exe
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKCU\..\Run: [ISUSPM] "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macrovision\FLEXnet Connect\6\ISUSPM.exe" -scheduler
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - F:\Eigene Dateien\Programme\pp\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - F:\Eigene Dateien\Programme\pp\PartyPokerNet\RunPF.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{052BD5B3-FECE-407B-AFA3-C5BFA5286DF1}: NameServer = 139.7.30.125 139.7.30.126
O17 - HKLM\System\CS1\Services\Tcpip\..\{052BD5B3-FECE-407B-AFA3-C5BFA5286DF1}: NameServer = 139.7.30.125 139.7.30.126
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\Bin\Zanda.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe

Schaut grausig aus,wie ich es mir dachte.
Gennerell:
Spywaredocktor taucht nix,koste nur und kann nix.Solltest Du bezahlt haben,hat man Dich gelinkt.

Desweiteren bistDu an der misere selber schuld,da Du mit adminrechten gearbeitet hast.Der Admin ist zum systempflegen da,für sonst nix.zum arbeiten als benutzer,zum surfen als gast.Da haben gästealler art keine freude mehr.

Also,daten sichern wie angegeben und system neu aufsetzen.
Hast Du IRC?wenn ja,wäre hilfe beim instalieren in echtzeit möglich.ein zweitrechner mit internet wäre aber sehr zu empfehlen.Ich möchte Hier nicht alle hinweise hinschreiben.


Ach ja,es sind noch einige andere seltsame sachen im system,derentwegen ich auch neu aufsetzen würde.

ist zufällig noch Norman antivirus im system? wenn ja,es sollte immer nur 1 hintergrundwächter aktiv sein,keine 2.

Also.

Im vordergrund laufen immer Antivir und Spy Doc (nicht bezahlt/freeware)

und gestern hat sich mal eben Norton eingeschaltet und es entdeckt und meinte mal ganz frech, dass ein eingriff erforderlich ist und er es nicht entfernen kann.

Dann habe ich aus ner C-Bild zeitschrift norman Programm manager als 30Tage test. der aber macht nix werder suchen noch warnen.

Habe 2 Platten C/ und G/ eigene Dateien auf G/ Win auf C/

doch bin ich vor kurzem umgezogen und die Win CD verloren? vergessen?

Habe kein IRC und 2. PC

Hm,sehr schlecht.Kann ein freund oder kumpel helfen?
Da bleibt nur auslesen von seriennummer,sofern Du eine orginal Cd hast.Oder bei M$ anrufen und fragen,ob man dir eine neue Cd zusendet.

Hab aufn Rechner die Product Key Nummer druff.

hilft die?

und wie kann ich denn vorerst diesen lphclflj0e79n killnen?

kann ich es einfach aus dem Sys32 ordner Löschen `?

Im abgesicherten modus kannst du die Datei löschen, trotzdem wird der PC dadurch nicht clean!!!

Hab mir die Datei mal genauer unter die Lupe genommen und auf meinen Test rechner gelassen, da ist nix mit einfachem löschen!!!

Formatieren, ers recht bei unerfahrenen Benutzern.

Wie hast du die denn auf den rechner gepackt?
von der Seite?

und hast du ihn runter bekommen?

wie kann ich denn den runterschmeissen ohne die Platte zu Plätten?

 

Ich bin
extra auf die Seite gegangen und hab den Schädling auf meinen PC gelassen!!

Du musst ihn Platt machen!!

Es werden eine reihe von registry einträgen geändert, die dein System weiterhin manipulieren auch wenn du die Schädlichen Dateien löschst.
 

Mist.

Wie schon gesagt habe keine CD.

Aber die 2. Platte kann bleiben, oder?

 

Ja die 2. kann bleiben.