Forum
Tipps
News
Menu-Icon

Win XP: Gefakter Virenscan - Kein Desktop H-grund mehr etc.!

Hallo,

als ich etwas im Internet herumsurfte, wurde ich aufeinmal mit gefunden Viren nur so überschüttet, dies waren allerdings echte Viren, ich klickte immer und immer wieder auf löschen (Antivir hat es gemeldet)!

Aufeinmal hörte es auf uns es ging gleich weiter, es öffneten sich zich verschiedene Browserfenster, meine Uhrzeit änderte sich auf z.b. 2:30Uhr VIRUS ALERT! in ICQ stand es genauso ich konnte auch nicht mehr auf meinen Tastmanager zugreifen, jedes mal wenn ich STRG+ALT+ENTF drückte um den Taskmanager zu öffnen bekam ich folgende Meldung:" Der Taskmanager wurde durch den Administrator deaktiviert!", auf meinem Desktop verschwindeten verschiedene Icons, im Startmenü fehlen mir Einträge wie z.b. Arbeitsplatz, Systemsteuerung, Eigene Dateien etc. ich habe schon eine Weile gegooglet und versucht das Problem in den Griff zu kriegen allerdings mit nur Teil-erfolg!

Ich habe es bisher geschafft, das Programm das sich aufeinmal auf meinem Rechner befand zu löschen, einige Reg-Einträge zu löschen die zu dem Programm gehörten und meinen Desktop wieder mit dem alten Hintergrund hergestellt!

Nun habe ich noch folgende Probleme, ich habe bereits HijackThis durchlaufen lassen (Log-File am Ende des Textes), eine Log-File gespeichert und diese auf http://www.hijackthis.de/ auswerten lassen,  die meisten schädlichen Einträge konnte ich löschen doch ein bestimmter Eintrag lässt sich einfach nicht löschen, er stellt sich jedes mal wieder her!
Meine Uhrzeit steht ebenfalls noch auf "uhrzeit VIRUS ALERT!", auf meinem Desktop fehlen noch Icons, in meinem Startmenü ebenfalls!

Ich habe mir bereits Spy Hunter 3 heruntergeladen, da auf mehreren Seiten auf das Programm verwiesen wurde ein bisschen hat es schon weitergeholfen aber wie gesagt, leider nur ein bisschen, wenn ich das Programm starte fällt dem Programm auf, das der Taskmanager etc. deaktiviert sind und aktiviert sie durch klick auf zurücksetzten wieder, allerdings wenn ich meinen PC neustarte geht das selbe spiel wieder von vorne los, Taskmanager beendet etc. d.h. ich muss nach jedem Start bzw. Neustart meines Rechners das Programm öffnen und die Einstellungen zurücksetzten!

Ebenfalls öffnet sich öfter ein Fenster bei mir bei dem mir gesagt wird, das ich Viren auf meinem PC habe und das Programm das ich herunterladen soll diese Viren entfernen würde, das Programm auf das ich verwiesen werde nennt sich VirusRemover2008!

Das Programm was sich auf meinem PC befand, dass ich allerdings selber entfernt habe nennt sich Total Secure 2009!

Nun bitte ich euch, bitte helft mir, meinen PC wieder in den alten Zustand zu versetzen!

Habe Win Xp Pro auf meinem Rechner laufen!

Ich bedanke mich schoneinmal ganz herzlich im vorraus bei den allen die mir helfen!

Mit freundlichen Grüßen

HiJackThis Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:47: VIRUS ALERT!, on 21.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\xampp\apache\bin\apache.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\xampp\apache\bin\apache.exe
C:\xampp\mysql\bin\mysqld-nt.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\tsnp2std.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe
C:\Programme\ICQ6\ICQ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [tsnp2std] C:\WINDOWS\tsnp2std.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [SpyHunter Security Suite] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Office Outlook] C:\PROGRA~1\MICROS~2\Office12\OUTLOOK.EXE /recycle
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O21 - SSODL: vwnskbot - {0D92CD97-9E9F-435C-87BA-5D476274C076} - C:\WINDOWS\vwnskbot.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2.2 - Apache Software Foundation - C:\xampp\apache\bin\apache.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - c:\xampp\FileZillaFTP\FileZillaServer.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\..\svchost.exe
O23 - Service: mysql - Unknown owner - C:\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 6636 bytes


€dit:

Folgender Eintrag lässt sich nicht löschen bzw. stellt sich immer wieder her:

O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\..\svchost.exe

« Letzte Änderung: 21.10.08, 03:04:31 von Dome1992 »


Antworten zu Win XP: Gefakter Virenscan - Kein Desktop H-grund mehr etc.!:

Daten mit knoppix sichern,system neu instalieren.alles andere ist herumkaspern.Was Du sonst noch an netten gästen hast,will ich nicht wissen.

Gibt es vielleicht noch eine andere Möglichkeit?

Welche möglichkeit hättest Du den gerne? eine mit unbekantem restrisiko?

Wäre froh wenn ich um eine Neuinstallation herumkomme!

Habe vielleicht eher damit gerechnet das es daran liegt, dass du den Virus oder der gleichen Reg-Einträge geändert worden sind, aber da ich nicht der Profi bin, kann ich das leider nicht sagen, allerdings muss ich dazu sagen das ein Freund von mir das Problem auch schoneinmal hatte und er die ganzen Probleme mit änderungen an den Registrierungseinträgen und löschen der Dateien behoben hat!

Dies hat er auf einer Seite mal nachgelesen, allerdings hat er den Link zu der Seite leider nicht mehr und kann mir somit leider auch nicht helfen!

Deshalb dachte ich daran, dass etwas an den Reg-Einträgen nicht stimmt!

Lieben Gruß 

« Letzte Änderung: 21.10.08, 05:22:58 von Dome1992 »

Formatieren ist die sicherste Möglichkeit.

 

Zitat
, allerdings muss ich dazu sagen das ein Freund von mir das Problem auch schoneinmal hatte und er die ganzen Probleme mit änderungen an den Registrierungseinträgen und löschen der Dateien behoben hat!
Das kann ich mir kaum vorstellen das er nur mit Änderungen das Problem gelöst hat wenn es ein Virus ist.

Wenn du dir bei solchen Sachen ärger ersparen willst besorgt dir ein Backup Programm wie zb.Acronis, Norten Ghost ,.... mach eine Sicherheitskopie von deinem System
wenn es frisch oben ist das erspart dir beim nächsten mal einiges an zeit u. nerven.
Noch dazu einige einfache sicherheitstipps befolgen und schon sollte weniger geschehen.
http://www.computerhilfen.de/hilfen-17-23305-0.html

hallo,

Formatieren ist wie gesagt die beste lösung aber wenn du es nicht machen willst auf eigene Risiko....

 

Zitat
€dit:

Folgender Eintrag lässt sich nicht löschen bzw. stellt sich immer wieder her:

O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\..\svchost.exe 
weil du die Systemwiederherstellung nicht deaktiviert hasst.

mach das jetzt und fixe mit HJT diese einträge:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\..\svchost.exe

danach Malwarebytes runterladen (&updaten)
eine plattenbereinigung machen (cookies, temp-datein usw löschen).
anschließend pc im abgesichertem modus starten und mit Malwarebytes scannen.
nach neustarten MB Report hier reinposten.

mfg Zidane

« Kann keine AntivirenProgramme benutzenBrauche Schutzpaket?!!!! »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Internet
Das Internet, ein aus den Worten "International" und "Network" zusammengesetzter Begriff, ist ein globales Netzwerk (WAN: Wide Area Network), das eine Vielzahl von Comput...

Internet Time
Siehe Swatch Internet Time. ...

Internet-Zugriffsprogramm
Ein Internet-Zugriffsprogramm, auch Browser genannt, stellt Internetseiten für den Benutzer dar. Am bekanntesten ist der Microsoft Internet Explorer, gefolgt vom kos...