Hallo Leute,

Irgend etwas stimmt nicht mit meinem Rechner. Antivir funktioniert nicht mehr. Habe das Gefühl ich kann auch nicht mehr auf die Antivir Webseite zugreifen und updates laden (Mag ich mir einbilden).

Alle Nase lang öffnet sich ein Fenster und will ein File downloaden:
b..php von w**.cansew.ca

Hier ist ein aktueller Logfile, ich hoffe ihr könnt mir hier aus der Patsche helfen.

Schon mal Dankeschön
Batto


Logfile of HijackThis v1.99.1
Scan saved at 23:07:44, on 01/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\COMMON~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Generic\USB Card Reader Driver v1.8d\CR INSPECTOR.exe
C:\WINDOWS\system32\pctspk.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\system32\anti_troj.exe
C:\WINDOWS\system32\winlog.exe
C:\Program Files\TCM\TCM Mouse Only\MouseDrv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\anti_troj.exe
C:\WINDOWS\system32\winlog.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\ADownload\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
h**p://www.google.co.uk/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program
Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [CR INSPECTOR] C:\Program Files\Generic\USB Card Reader Driver
v1.8d\CR INSPECTOR.exe
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [ESB] C:\WINDOWS\system32\ESB.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe
SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe"
-atboottime
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program
Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [anti_troj] C:\WINDOWS\system32\anti_troj.exe
O4 - HKLM\..\Run: [key2] C:\WINDOWS\system32\winlog.exe
O4 - HKLM\..\Run: [WireLessMouse] C:\Program Files\TCM\TCM Mouse
Only\MouseDrv.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Systems.exe] D:\KGB Spy\Systems.exe
O4 - HKCU\..\Run: [anti_troj] C:\WINDOWS\system32\anti_troj.exe
O4 - HKCU\..\Run: [key2] C:\WINDOWS\system32\winlog.exe
O8 - Extra context menu item: E&xport to Microsoft Excel -
res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Program
Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Program
Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Program
Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Program
Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} -
C:\WINDOWS\system32\Shdocvw.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_sit
e.cab?1124643474266
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -
h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_sit
e.cab?1124643457121
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH -
C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. -
C:\PROGRA~1\COMMON~1\AOL\ACS\AOLacsd.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation -
C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) -
Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f
"%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

Hallo Batto,

eine saubere Bereinigung ist IMHO kaum möglich, da durch diverse Würme Dein Antivir-Programm abgeschaltet wurde. Dadurch wurde noch mehr "nachgeladen".

Mein Rat:
http://www.trojaner-board.de/showthread.php?t=12154
dartus

Hi Dartus,

Danke für deine Antwort. Ich habe sofort formatiert und Windows neu aufgesetzt. (Hat ein wenig gedauert bis alles wieder halbwegs lief)

Meine Daten lagen alle auf der D Partition (Desktop, Eigene Daten usw). Muss ich davon ausgehen, dass auch dort Daten manipuliert worden sind?

Ich habe die Daten ersteinmal auf DVD kopiert und würde die wichtigsten Sachen gerne wieder einspielen. Ist das riskant und gibt es eine Möglichkeit diese daten vorher gründlich zu scannen.

Batto

Hallo Batto,

sofern sich auf Deiner Sicherungskopie keine ausführende Dateien befinden (z.B. "exe" usw), sollte es kein Problem sein. Zur Vorsicht mit einem Virenscanner mit aktuellen Signaturen vor der Überspielung prüfen.

dartus

Hi Dartus,

Muss noch einmal nachhaken.

Die Daten waren zum Zeitpunkt der Virusattacke auf dem Rechner. Ich hatte jedoch die Festplatte in eine C und eine D Partition geteilt. Auf der C Partition war das Betriebssystem und die Programme installiert. Alle Daten ( bis auf die Outlook pst Datei) befanden sich auf der D Partition. Mit einem Hilfsprogramm (Powertools) wurden Desktop, Eigene Daten usw dann umgelenkt.

Ich frage mich nun, ist der Virus oder was auch immer auf meinem Rechner getobt hat, so schlau und hat die Daten dort gefunden und evtl infiziert?

Inzwischen habe ich die Daten auf DVD gespeichert und lasse nun alle möglichen Virenscanner darüber laufen. Bislang sieht es so aus als ob sie clean sind.

Batto

Wo Du die Daten hast, also ob auf Partition X, Y oder Z, ist erstmal egal. Wie bereits geschrieben, sollte man ausführbaren Dateien nicht Vertrauen. Sind diese aber überlebensnotwendig, kann man, wie Du es getan hast, diese mit Virenscannern, welche eine aktuelle Signatur haben, scannen. Ein gewisses Restrisiko bleibt.

Hello again!

Nachdem ich das System neu aufgesetzt habe sieht es nun so aus:

Logfile of HijackThis v1.99.1
Scan saved at 17:11:12, on 22.01.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Generic\USB Card Reader Driver v1.8d\CR INSPECTOR.exe
C:\Programme\Generic\USB Card Reader Driver v1.8d\Disk_Monitor.exe
C:\WINDOWS\System32\pctspk.exe
C:\WINDOWS\System32\ESB.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\Ahead\NEROPH~2\data\Xtras\mssysmgr.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
D:\ADownload\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://xxx.google-de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CR INSPECTOR] C:\Programme\Generic\USB Card Reader Driver v1.8d\CR INSPECTOR.exe
O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\Generic\USB Card Reader Driver v1.8d\Disk_Monitor.exe
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [ESB] C:\WINDOWS\System32\ESB.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Ad-aware] C:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe +c
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PhotoShow Deluxe Media Manager] C:\PROGRA~1\Ahead\NEROPH~2\data\Xtras\mssysmgr.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Ich frage mich nun, ob da noch immer ein Virus oder Backdoor Programm im Hintergrund auf meinem System läuft. Könnt ihr etwas erkennen?

Es ist noch ein ziemliches Durcheinander, zB habe ich neben AntiVir noch den Kaspersky drauf. Antivir ist deaktiviert. Ich habe das Gefühl das Kaspersky das System zusehens verlangsamt. Ist das Programm wirklich so gut, dass ich das in Kauf nehmen sollte?

Wie immer bin ich für eure Meinung dankbar

Thks
Batto

hallo,

also wenn das hier dein logfile nach einem Neuaufsetzen ist dann kann ich nix mehr sagen..
hier laufen 2 virenprogramme gleichzeitig,die du vor allem ja installiert haben musst..
und vor allem fehlt hier das SP2 !!
wo ist dieses??
im link steht alles beschrieben,bist du der beschreibung gefolgt??