Hallo!

Ich hatte beim surfen auch plötzlich diesen schwarzen Bildschirm mit Warnhinweis auf eine Infizierung. Durch das Anwenden von verschiedenen Scannern habe ich zumindest den Bildschirm wieder normal hinbekommen, doch ist noch einiges im Argen (Computer sehr langsam, immer wieder Fehlermeldungen, Browserfenster schließen sich, Browser-Adressen-Eingaben verändern sich) und ich weiß nicht mehr, was ich jetzt tun kann. Wer kann mir bitte helfen?

Hier schonmnal ein aktuelles log:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\shnlog.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\intmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\Programme\Kazaa Lite\clean.kmd
C:\Programme\BearShare\BearShare.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\RegCleaner\RegCleanr.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Temporäres Verzeichnis 17 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bestwebslinks.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.bestwebslinks.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.bestwebslinks.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: HP Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hp5767.tmp
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1102027345859
O17 - HKLM\System\CCS\Services\Tcpip\..\{BE302CC4-C372-43CF-80BA-DEB04226D457}: NameServer = 195.50.140.252 145.253.2.81
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Dardo

Hallo,
starte mal den Computer im abgesicherten Modus(F8 beim booten) und lösche folgende Dateien (vorher im explorer unter extras>>Ordneroptionen>>Ansicht den Haken bei "geschützte Systemdateien ausblenden rausnehmen. Dann Rechtsklick auf Arbeitsplatz>>Eigenschagten>>Systemwiederherstellung dort den Haken bei Systemwiederherstellung deaktivieren reinmachen (nicht vergessen den später wieder rauszunehmen)) :
C:\WINDOWS\system32\shnlog.exe
C:\WINDOWS\system32\intmon.exe
C:\WINDOWS\system32\hp5767.tmp
Dann HijackThis starten, und folgende Einträge fixen:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.bestwebslinks.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = hxxp://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = hxxp://www.bestwebslinks.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = hxxp://www.bestwebslinks.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\MainLocal Page =
O2 - BHO: HP Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hp5767.tmp

Dann neues Logfile(diesmal bitte mit Kopfzeilen) erstellen und wieder hier her posten. Dein Java könnte mal wieder ein Update vertragen.


Grüße Wildone

Hallo Dardo,

gehe danach vor:
http://www.trojaner-board.de/showthread.php?t=17863

Deinstalliere über Systemsteuerung/Software "Bearshare" und alle wietere Dir unbekantte Software.

dartus

Hallo!

Habe leider zwei Probleme bei der ganzen Sache:

1. Ich kann meinen Computer nicht im abgesicherten Modus starten. Kurz nach dem Befehl, im abges. Modus zu starten, wird der Bildschirm schwarz, irgenwelche Zeilen wandern über den Bildschirm und dann wird und bleibt der Bildschirm schwarz.

2. Wenn ich die Einträge im HijackThis fixe und neu starte, ist alles wieder da.

Gruß,

Dardo

Hallo,

versuche es mal wie hier beschrieben:
http://www.bsi.bund.de/av/texte/wiederher_xp.htm

Arbeite meinen Link durch, das blosse fixen reicht nicht, die Dateien müssen auch gelöscht werden.
Desweiteren sind noch mehr Dateien zu löschen.

dartus

Würde man für all diese mühsame Arbeit am Computer Geld bekommen - man wäre ein reicher Mensch;-)

Ich habe jetzt lange rumprobiert, doch ich komme einfach nicht in den abgesicherten Modus. Wenn ich die Startoptionen entsprechend den Anweisungen im Systemkonfigurationsprogramm verändere, wird trotzdem der Computer "normal" gestartet (trotzdem kommt nach dem Start der Hinweis auf die veränderten Optionen).

Ich bin rat- und schlaflos....

Vielleicht gibt es ja eine weitere Möglichkeit, bevor ich an eine Neuinstallation denken muß.

Dardo

Hallo,
hmm, versuche mal die drei Dateien die ich dir oben genannt habe mit Hilfe von HijackThis zu löschen, und zwar öffnest du die "misc tool section" dort auf "delete file on reboot", wählst die erste aus, dann wirst du gefragt ob der Computer neu gestartet werden soll, dies bestätigst du erst wenn du alle 3 Dateien bei delete file on reboot eingegeben hast. Versuche mal ob du danach in den abgesicherten Modus reinkommst und den Link durcharbeiten kannst.



Grüße Wildone

Hallo!

Also die Dateien konnte ich löschen, doch das mit dem abgesicherten Modus funktioniert nach wie vor nicht:-(

Alles Gute,

Dardo

Hallo,
dann fällt mir auch nichts mehr ein, warte mal bis die vielleicht noch jemand anderes helfen kann.


Grüße Wildone

Hmm ich denke ma durch Bearshare und Kazaa haste dir aber was ganz schönes eingefangen!Ich weiß nicht wie lange du diese Programme auf deinem Pc hattest, aber Bearshare is'n ganz unsicheres Programm das kannst du mir glauben und auch kazaa ist nich mehr das was es mal war auch da fängt man sich ganz schnell was ein ohne das man es merkt!
Mit dem abgesicherten Modus,da kann ich dir auch nicht helfen aber ich könnt mir sicher sein das irgendwas auf deinem pc ist was durch die programme da gekommen ist!Also mein tipp wenn du den pc neu aufsetzt lass von den programmen die finger!